谋系列 第30章 定时器的证据

市局网安支队的网络流量分析中心，空气里永远弥漫着服务器集群散热发出的低沉嗡鸣和精密空调送出的、带着淡淡电子味的冷风。这里没有窗户，光线恒定，巨大的曲面屏幕上滚动着天书般的代码、拓扑图和实时数据流瀑布，像数字世界无声的脉搏和血液。与外面世界的喧嚣隔绝，这里安静得能听见心跳，却又能“听”到整个城市在网络中奔腾的亿万字节。

赵永南坐在其中一台工作站前，屏幕上分成了十几个小窗口，每个窗口都在高速刷新着不同的数据流。他的眼睛在屏幕之间快速移动，手指在键盘上敲击如飞，偶尔停下来，用笔在旁边的速记本上写下几个符号或数字。他已经在这里坐了超过二十个小时，眼球布满血丝，但精神却处于一种奇异的亢奋状态，像最敏锐的猎犬嗅到了猎物的新鲜痕迹。

他追踪的目标，是柳征自建房那个无线网络的对外通信流量。这不容易。柳征显然具备相当的反侦察意识，家庭网络使用了商业级防火墙，对外通信大量加密，还混杂了各种代理和隧道技术，常规的网络监控手段很难穿透。但赵永南绕过了正面强攻，他选择了一个更巧妙的角度——流量模式分析。

他不关心柳征具体访问了什么内容（这在强加密下几乎不可能实时获取），他关心的是流量本身。数据包的大小、发送接收的时间间隔、频率、协议类型、目标服务器的特征……这些元数据本身，就像一个人的“数字呼吸”和“心跳”，即使看不见脸，也能通过其节奏和模式，判断出这个人在做什么，甚至是不是“本人”。

过去一周，赵永南利用技术手段，在运营商侧合法获取了柳征家宽带出口的流量镜像（基于案件调查的合法授权）。海量的、经过匿名化处理的元数据流像一条浑浊的河，他需要从中筛出属于柳征书房那台特定电脑的“水流”。

通过比对设备MAC地址、IP分配规律、以及流量特征与柳征其他已知设备（如手机）的差异，他逐渐剥离出了一条相对清晰的、属于书房电脑的通信链路。这条链路在每晚固定时间变得异常活跃。

“晚上7点03分，准时。”赵永南盯着时间戳，喃喃自语。连续七天的数据都显示，几乎在每天晚上7点整到7点05分之间，都会有一个稳定的、中等大小的数据包，从柳征家的IP，发往一个位于海外知名云服务商的服务器IP。随后，会有一个稍大的数据包返回。这个过程通常持续几分钟，然后网络活动恢复低水平。

“登录验证，和初始数据同步。”赵永南判断。这很像一个自动化的远程桌面或文件同步程序的握手过程。

接下来，从晚上7点半左右开始，流量模式进入一种“工作状态”：频繁的、小数据包的请求和响应（类似在线编辑文档时的实时保存和同步），夹杂着不定期的、较大的上行和下行数据峰值（类似上传下载大型文件）。这种模式会一直持续，直到……

“凌晨2点。又是凌晨2点。”赵永南将时间轴拉快。连续七天，毫无例外，在凌晨1点55分到2点05分之间，那条活跃的数据流会戛然而止。不是逐渐减少，而是像被一刀切断。最后一次通信通常是几个很小的结束握手包，然后，那条链路彻底沉寂，直到第二天晚上7点再次“醒来”。

7点“醒来”，2点“睡去”。这个时间规律，与吕凯他们在山脚下观察到的、邻居证实的“灯亮到凌晨”，以及智能电表显示的“书房高负载时段”，完美吻合。

但关键在于，赵永南分析了这些“工作状态”下的流量细节。那些“小数据包的请求和响应”，其时间间隔的随机性符合人工操作——人有思考停顿，有打字快慢。但赵永南用算法分析了这些间隔的统计分布，发现它们虽然看起来随机，但其概率分布模型，与一个脚本程序模拟的、带有随机延迟的人工操作高度相似，而与真实人类操作产生的、更具“爆发性”和“不规律长尾”的间隔模型存在微妙但可检测的差异。

简单说，这些“工作流量”，更像是一个精心编写的程序，在模拟一个人坐在电脑前“工作”，而不是一个真人在操作。

“还有这个……”赵永南切换到另一个分析窗口，这里显示的是网络流量中识别出的特定应用协议。他捕捉到了一些属于智能家居协议的数据包。经过解码（该协议相对开放），他发现这些数据包的内容是控制指令：晚上7点，开启“书房主灯”和“书房电脑”；凌晨2点，关闭“书房主灯”、“书房电脑”及一系列关联插座。

指令的发送者，是柳征手机上安装的那个智能家居APP。但指令发出的时间，与流量中观察到的登录、工作、结束流程完全同步。更重要的是，赵永南追踪了这些指令的触发源头。它们不是来自用户的手动点击，而是来自APP内一个设置为重复执行的场景自动化。这个自动化场景的名字就叫“夜间工作模式”，创建时间是半年前，恰好是张明远失踪前后。

本小章还未完，请点击下一页继续阅读后面精彩内容！