王 慧， 郭紅濤

(中國人民公安大學(xué)，北京 100038)

0 引言

國內(nèi)對于網(wǎng)絡(luò)犯罪的界定主要表現(xiàn)在刑法第285、286及287條，包含了對計算機信息系統(tǒng)的破壞以及利用計算機信息系統(tǒng)所實施的犯罪等［1］，其對網(wǎng)絡(luò)犯罪行為方式的描述與歐洲委員會《網(wǎng)絡(luò)犯罪公約》非常接近。網(wǎng)絡(luò)犯罪作為一新型犯罪形式，在早期主要體現(xiàn)為黑客入侵、破壞計算機信息系統(tǒng)、侵犯計算機資產(chǎn)等網(wǎng)絡(luò)技術(shù)犯罪，但現(xiàn)在正迅速向傳統(tǒng)犯罪領(lǐng)域滲透，以計算機網(wǎng)絡(luò)為作案手段的犯罪形式層出不窮，涉網(wǎng)敲詐勒索、網(wǎng)絡(luò)淫穢色情、跨國網(wǎng)絡(luò)賭博和金融詐騙等案件的發(fā)案率逐年攀升。

與傳統(tǒng)犯罪行為相比，網(wǎng)絡(luò)犯罪呈現(xiàn)出案發(fā)時間空間交錯復(fù)雜、案件實施手段隱蔽多、涉案嫌疑人非常規(guī)等突出特點，傳統(tǒng)案件的偵破經(jīng)驗往往無法直接繼承，其偵查主體、分析思路、偵破手段都具有新的特點。一般情況下，網(wǎng)絡(luò)犯罪案件附屬于刑事案件，案件偵破工作主要由網(wǎng)警與刑警相互配合進(jìn)行，刑警在案件線索梳理、嫌疑人盤查定位等方面經(jīng)驗豐富，網(wǎng)警在網(wǎng)絡(luò)技術(shù)偵查、電子證據(jù)勘查取證等方面占有優(yōu)勢，但國內(nèi)各地區(qū)網(wǎng)警隊伍建立時間相對較晚，且沒有前期相似案件的偵查經(jīng)驗可繼承，案件偵查串并經(jīng)驗常有所欠缺［2］。目前，隨著公安信息化建設(shè)的深入，業(yè)務(wù)數(shù)據(jù)庫對網(wǎng)絡(luò)犯罪行為的數(shù)據(jù)記錄更加規(guī)范，使得利用大數(shù)據(jù)分析手段對網(wǎng)絡(luò)犯罪案件進(jìn)行技術(shù)性經(jīng)驗繼承成為可能。為實現(xiàn)網(wǎng)絡(luò)犯罪行為的深層次分析，論文在建立約簡決策表的基礎(chǔ)上提出網(wǎng)絡(luò)犯罪行為關(guān)聯(lián)分析算法，該算法首先將原始數(shù)據(jù)按照興趣點不同進(jìn)行屬性集的提取及規(guī)范化，形成決策表，并對決策表進(jìn)行屬性約簡完成前期數(shù)據(jù)預(yù)處理工作，之后就新決策表結(jié)合公安業(yè)務(wù)實際需求使用頻繁概念集上無冗余關(guān)聯(lián)規(guī)則提取算法［3］，最后對所生成的規(guī)則集結(jié)合領(lǐng)域?qū)＜抑R進(jìn)行解釋評價，提出防控策略。

1 網(wǎng)絡(luò)犯罪行為智能分析的可能性與必要性

隨著大數(shù)據(jù)技術(shù)的產(chǎn)業(yè)化發(fā)展，融合智能計算理論的大數(shù)據(jù)分析手段已經(jīng)成為各行各業(yè)的關(guān)注熱點，其核心目的是從數(shù)據(jù)中獲得更深層次、更具有預(yù)測能力的知識。同樣，在公安網(wǎng)絡(luò)犯罪執(zhí)法領(lǐng)域也需要大數(shù)據(jù)智能分析技術(shù)，且隨著公安信息化建設(shè)進(jìn)程的加速，原始數(shù)據(jù)智能分析條件已初步具備。

首先，網(wǎng)絡(luò)犯罪案件信息已經(jīng)全部錄入業(yè)務(wù)系統(tǒng)，信息采集相對規(guī)范，通常在業(yè)務(wù)數(shù)據(jù)庫中附屬于刑事案件，從立案到偵破直至訴訟判決都完全按照基本案件的錄入規(guī)范進(jìn)行。就網(wǎng)絡(luò)犯罪案件而言，其記錄方式分別圍繞涉案人基本信息、涉案物品基本信息、案件基本信息展開，并按其所觸及法律與所定罪名在業(yè)務(wù)數(shù)據(jù)庫中分類存儲，記錄格式多采取關(guān)系數(shù)據(jù)表形式，目前針對原始數(shù)據(jù)表的簡單整合統(tǒng)計工作已實現(xiàn)，但深層次的數(shù)據(jù)總結(jié)預(yù)測基本無法實現(xiàn)。其次，對網(wǎng)絡(luò)犯罪案件的描述相對細(xì)致，涉及描述屬性往往上百個，針對案件特征的小范圍數(shù)據(jù)碰撞比對工作已可進(jìn)行，但比對過程仍需人工干預(yù)，海量數(shù)據(jù)智能比對無法實現(xiàn)。由此可見，現(xiàn)有網(wǎng)絡(luò)犯罪業(yè)務(wù)數(shù)據(jù)從記錄數(shù)量與質(zhì)量上都已奠定了智能分析的基礎(chǔ)，然而現(xiàn)有公安業(yè)務(wù)數(shù)據(jù)分析系統(tǒng)并不是典型大數(shù)據(jù)分析系統(tǒng)，不具備理解、推理、預(yù)測與決策能力，仍存在改善空間。如何讓業(yè)務(wù)數(shù)據(jù)系統(tǒng)適應(yīng)復(fù)雜多變的網(wǎng)絡(luò)犯罪形勢需求，如何在現(xiàn)有數(shù)據(jù)資源的基礎(chǔ)上引入智能分析手段，如何靈活機動地從數(shù)據(jù)庫中提取高置信度的規(guī)則集以梳理案件技術(shù)特征并指導(dǎo)決策，是當(dāng)前網(wǎng)絡(luò)犯罪行為智能分析的迫切要求。

2 網(wǎng)絡(luò)犯罪行為關(guān)聯(lián)分析過程

針對當(dāng)前業(yè)務(wù)數(shù)據(jù)庫，可通過建立新型的概率和統(tǒng)計模型、增加后期數(shù)據(jù)預(yù)處理、數(shù)據(jù)動態(tài)整合、數(shù)據(jù)分析歸納等步驟完成數(shù)據(jù)智能處理并獲取決策知識，關(guān)聯(lián)分析是較常用的智能挖掘處理手段［4］。網(wǎng)絡(luò)犯罪行為關(guān)聯(lián)分析是從大量的網(wǎng)絡(luò)違法犯罪記錄中發(fā)現(xiàn)與犯罪程度或犯罪性質(zhì)具有緊密聯(lián)系的客觀因素，確定引發(fā)犯罪的綜合要素，進(jìn)一步發(fā)現(xiàn)某類網(wǎng)絡(luò)違法行為在案件性質(zhì)、證據(jù)線索分布、案件實施步驟中的潛在規(guī)律，可從線索梳理、犯罪時空特征等角度指出犯罪行為的觸發(fā)要素。根據(jù)挖掘到的規(guī)則可信度，可以輔助布防、監(jiān)控、定位、預(yù)防路線的確立。

一般情況下，犯罪行為在案件庫中已經(jīng)依據(jù)犯案性質(zhì)分類存儲，記錄信息以犯案行為為核心，關(guān)聯(lián)涉案人員、受害人、受損物品等信息，并可以數(shù)據(jù)表形式導(dǎo)出，各類數(shù)據(jù)表之間通過案件編號關(guān)聯(lián)。根據(jù)挖掘分析的目的不同，確定并導(dǎo)出分析對象，即案例分析的主題選擇與案件類型選擇，案件類型選擇確定了需要載入的子數(shù)據(jù)庫，案件主題選擇確定了需要分析的屬性范圍，在此基礎(chǔ)上形成決策表開始后續(xù)關(guān)聯(lián)分析，分析流程如圖1所示。

為避免產(chǎn)生遺漏現(xiàn)象，重組并導(dǎo)出的決策表往往包含上百個屬性，屬性的取值以字符型居多，表中記錄數(shù)量依案件性質(zhì)、案發(fā)時間段、案發(fā)地域的不同差距較大，為有效提高分析效率，屬性約簡常作為必要的前序預(yù)處理步驟，通過屬性約簡，刪除不相關(guān)或不重要的屬性，以有效縮減后續(xù)分析的數(shù)據(jù)規(guī)模。針對此類數(shù)據(jù)，可融合公安領(lǐng)域知識通過主題選擇進(jìn)行屬性約簡［5］，初步明確決策表的分析目的，并在約簡決策表上構(gòu)造Hasse圖數(shù)學(xué)模型完成關(guān)聯(lián)挖掘。

圖1 網(wǎng)絡(luò)犯罪行為關(guān)聯(lián)規(guī)則分析流程

相對商業(yè)領(lǐng)域的關(guān)聯(lián)分析而言，公安領(lǐng)域更關(guān)注于導(dǎo)致某種情況發(fā)生的基本條件集，因此對后件最小的規(guī)則具有更高的興趣度。充分考慮行業(yè)特點，在屬性約簡完成之后，按照常規(guī)算法生成頻繁概念集并構(gòu)造 Hasse圖［3，6］，在圖中進(jìn)行無冗余興趣點關(guān)聯(lián)規(guī)則提取。興趣點關(guān)聯(lián)規(guī)則的無冗余性是指當(dāng)規(guī)則后件為單項集時，前件中包含盡可能少的屬性，如在給定置信度約束下，若規(guī)則ABC?D成立，則前件{ABC}的超集所產(chǎn)生的后件為D的規(guī)則可都由ABC?D根據(jù)推理規(guī)則獲得，是相對規(guī)則ABC?D的冗余項，可根據(jù)需要選擇。

無冗余興趣點規(guī)則的提取算法如下。

輸入:頻繁概念集的Hasse圖［7］(設(shè)Hasse圖共有N個葉子結(jié)點);置信度閾值為mincof。

輸出:無冗余興趣點規(guī)則集IRS(Interested Rule Set)。

步驟1:所有 1頻繁項結(jié)點 Ci〈sup({pi})，{pi}〉進(jìn)入隊列 Q1，i=1，2，…，N;

步驟2:IRS=?;

步驟3:若Q1為空，轉(zhuǎn)向步驟7，否則執(zhí)行步驟4;

步驟4:C〈sup(Y)，Y〉=Outqueue(Q1);

步驟5:若child(C)=∧，轉(zhuǎn)向步驟3，否則執(zhí)行步驟6;

步驟 6:調(diào)用過程 Gen-IR(C〈sup(Y)，Y〉)，轉(zhuǎn)向步驟3;

步驟7:輸出IRS。

3 網(wǎng)絡(luò)詐騙行為關(guān)聯(lián)分析

對于觸及刑法的網(wǎng)絡(luò)詐騙案件，公安部門將以詐騙罪提起訴訟，針對高發(fā)的網(wǎng)絡(luò)詐騙案件運用上述算法進(jìn)行分析，從案件庫中載入相關(guān)詐騙案件526起進(jìn)行關(guān)聯(lián)規(guī)則的提取。

案例分析的主題選定為涉案人員基本特征與案情描述信息之間的關(guān)聯(lián)關(guān)系，業(yè)務(wù)指標(biāo)包括:

“案件基本信息”類屬性:案件編號、案件性質(zhì)、案發(fā)地域、案發(fā)時間、作案手段、作案人數(shù)、作案工具、涉案證據(jù)、取證地區(qū)。

“涉案人員信息”類屬性:案件編號，性別、籍貫、居住區(qū)域、教育背景、職業(yè)經(jīng)歷、收入狀況、家庭背景、有無違法犯罪經(jīng)歷、是否涉黑涉惡、是否團伙作案、是否流竄作案。

圖2 網(wǎng)絡(luò)詐騙案件挖掘模型

選取上述相關(guān)屬性導(dǎo)出數(shù)據(jù)形成決策表，運用基于等價劃分的蟻群優(yōu)化算法進(jìn)行屬性約簡［8－9］，獲得的約簡屬性集包含作案手段、是否團伙作案、作案工具、涉案證據(jù)、取證地區(qū)、性別、籍貫、教育背景等8個屬性，在約簡決策表上提取無冗余關(guān)聯(lián)規(guī)則集，關(guān)聯(lián)分析過程如圖2所示。

選取支持度與置信度閾值Minsup=12.5%，Mincof=75%，通過對載入案例數(shù)據(jù)進(jìn)行分析，獲得規(guī)則集，根據(jù)公安領(lǐng)域知識篩除形如后件為性別等無實際意義的規(guī)則后，所獲部分規(guī)則為:

規(guī)則1:IF教育背景=本科 AND籍貫=A省AND作案手段=網(wǎng)絡(luò)釣魚AND作案工具=虛假網(wǎng)站THEN是否團伙作案=是;

規(guī)則2:IF教育背景=本科AND籍貫=A省AND作案手段 =網(wǎng)絡(luò)釣魚 AND是否團伙 =是THEN取證地區(qū)=B省;

規(guī)則3:教育背景=本科AND作案手段=網(wǎng)絡(luò)釣魚AND作案工具=虛假網(wǎng)站AND是否團伙=是THEN涉案證據(jù)=QQ聊天記錄。

提高支持度與置信度閾值(Minsup=40%，Mincof=80%)后所獲規(guī)則集如圖3所示，從中可以看出，虛假網(wǎng)站、團伙作案、網(wǎng)絡(luò)釣魚、A省、4個信息密切相關(guān)。

圖3 網(wǎng)絡(luò)詐騙行為關(guān)聯(lián)規(guī)則

通過領(lǐng)域?qū)＜覍λ@規(guī)則進(jìn)行評價，可獲以下知識:以網(wǎng)絡(luò)釣魚為作案手段的詐騙案件，涉案人員一般為本科學(xué)歷的A省籍人員，采用分工明確的團伙作案方式，涉案證據(jù)多為點擊率高的購物虛假網(wǎng)頁，如淘寶網(wǎng)店的網(wǎng)頁，證據(jù)落地點多集中于B省一帶。

4 涉網(wǎng)敲詐勒索行為關(guān)聯(lián)分析

涉網(wǎng)敲詐勒索往往是嫌疑人通過非法途徑獲得受害人不愿為第三人所知的隱私信息，以此為把柄通過網(wǎng)絡(luò)途徑向受害人實施的敲詐索財行為。提取XXX市刑事案例庫中涉網(wǎng)敲詐勒索案件156例，案例分析的主題選定為涉案人員特征與涉案電子證據(jù)之間的關(guān)聯(lián)關(guān)系，業(yè)務(wù)指標(biāo)包括:

“案件基本信息”類屬性:案件編號、案件性質(zhì)、案發(fā)地域、案發(fā)時間、作案手段、作案人數(shù)、是否進(jìn)行IP定位、是否進(jìn)行郵件恢復(fù);

“嫌疑人信息”類屬性:案件編號、性別、籍貫、居住區(qū)域、教育背景、職業(yè)經(jīng)歷、收入狀況、家庭背景、有無違法犯罪經(jīng)歷、是否與受害人相識、是否團伙作案、是否流竄作案;

“受害人信息”類屬性:案件編號、性別、籍貫、居住區(qū)域、教育背景、職業(yè)經(jīng)歷;

“涉案電子證據(jù)”類屬性:案件編號、計算機是否被植入木馬、是否存在自動打包發(fā)送軟件、是否存在自動抓屏軟件等。

選取上述屬性導(dǎo)出并形成決策表，以涉案金額作為決策屬性，涉案金額分為普通、重大、巨大3個范圍，屬性約簡后獲得的約簡集包含作案手段、嫌疑人性別、嫌疑人收入狀況、是否與受害人相識、受害人教育背景、計算機是否被植入木馬、計算機中是否存在自動打包發(fā)送軟件、是否存在自動抓屏軟件、是否進(jìn)行IP定位、是否進(jìn)行郵件恢復(fù)等10個屬性。在約簡決策表上構(gòu)造頻繁概念集Hasse圖，并在Hasse上進(jìn)行無冗余關(guān)聯(lián)規(guī)則提?。?0］，獲取的部分規(guī)則集。

提針對規(guī)則集中后件為涉案金額=“重大”的全部規(guī)則進(jìn)行分析，可得出如下結(jié)論:與不雅照片相關(guān)的涉網(wǎng)敲詐勒索行為主要是犯罪嫌疑人通過電子郵件在受害人終端種植木馬，直接竊取存儲的影像信息或暗中打開攝像頭直接獲取影像信息，以此為借口向受害人訛詐;詐騙信息為商業(yè)秘密的網(wǎng)絡(luò)詐騙行為，受害人終端往往存在自動抓屏軟件，對此類案件的偵破一般可圍繞受害人終端提取相關(guān)電子證據(jù)，再由IP重定位取得嫌疑人的IP地址，嫌疑人鎖定抓捕一般通過常規(guī)盤查手段完成。

5 結(jié)論

為對網(wǎng)絡(luò)犯罪行為進(jìn)行智能分析，結(jié)合典型網(wǎng)絡(luò)犯罪案例庫的數(shù)據(jù)特點建立關(guān)聯(lián)規(guī)則分析模型，首先詳細(xì)分析了公安業(yè)務(wù)數(shù)據(jù)庫中網(wǎng)絡(luò)犯罪案件的數(shù)據(jù)描述特點，并對加載案例庫結(jié)合分析關(guān)注點以案件編號為索引提取相關(guān)屬性導(dǎo)出數(shù)據(jù)，形成決策表。其次為提高關(guān)聯(lián)規(guī)則挖掘效率，采用基于蟻群優(yōu)化與等價劃分的屬性約簡算法對決策表進(jìn)行屬性約簡，將約簡后的決策表進(jìn)行數(shù)據(jù)轉(zhuǎn)換并構(gòu)造頻繁概念集的Hasse圖，然后圍繞Hasse圖進(jìn)行無冗余興趣點關(guān)聯(lián)規(guī)則的提取。最后，以網(wǎng)絡(luò)詐騙案件與涉網(wǎng)敲詐勒索案件分析為例，進(jìn)行關(guān)聯(lián)規(guī)則挖掘的應(yīng)用實例驗證，結(jié)果表明所形成關(guān)聯(lián)規(guī)則集符合實際。

鑒于網(wǎng)絡(luò)犯罪案件附屬于刑事案件，錄入規(guī)范基本一致，所提關(guān)聯(lián)分析過程及分析方法對其他犯罪行為同樣適用。

［1］中華人民共和國刑法［M］．北京:中國法制出版社，2011．

［2］王慧，王京．屬性約簡的決策樹分類算法對未成年人犯罪行為的分析［J］．中國人民公安大學(xué)學(xué)報:自然科學(xué)版，2011(4):29－32．

［3］AGRAWAL R，IMIELINSKI T，SWAMI A．Mining association rules between sets of items in large databases［C］∥ACM SIGMOD Record．ACM，1993，22(2):207－216．

［4］毛國君，段麗娟，王實，等．?dāng)?shù)據(jù)挖掘原理與算法［M］．北京:清華大學(xué)出版社，2007．

［5］王國胤，于洪，楊大春．基于條件信息熵的決策表約簡［J］．計算機學(xué)報，2002，25(7):759 －766．

［6］胡可云，陸玉昌，石純一．基于概念格的分類和關(guān)聯(lián)規(guī)則的集成挖掘方法［J］．軟件學(xué)報，2000，11(11):1478－1484．

［7］GANTER B，WILLE R．Formal concept analysis:mathematical foundations［M］．Springer Science＆ Business Media，2012．

［8］DORIGO M，BLUM C．Ant colony optimization theory:A survey［J］．Theoretical Computer Science，2005，344(2):243－278．

［9］王慧，王京．等價劃分與蟻群優(yōu)化的屬性約簡改進(jìn)策略［J］．北京郵電大學(xué)學(xué)報，2011，34(6):55 －58．

［10］王慧，王京．FP-tree上頻繁概念格的無冗余關(guān)聯(lián)規(guī)則提取［J］．計算機工程與應(yīng)用，2012，48(15):12 －15，62．