蒲譽(yù)文,胡海波,何凌君

0 引言

近年來,隨著智能手機(jī)的普及,通過偽基站[1]向人們發(fā)送垃圾短信來進(jìn)行宣傳和詐騙的違法事件越來越多。偽基站不但造成網(wǎng)絡(luò)堵塞,影響手機(jī)用戶正常通信,侵害用戶的合法權(quán)益,導(dǎo)致用戶財(cái)產(chǎn)損失,甚至危害到國家安全和社會(huì)穩(wěn)定。因此,采用科學(xué)技術(shù)手段檢測以及追蹤偽基站,協(xié)助相關(guān)部門打擊偽基站違法犯罪,是一項(xiàng)非常重要的工作。不少學(xué)者也提出了一些檢測、追蹤偽基站的方法,如陳強(qiáng)等[2]提出基于智能手機(jī)的偽基站檢測方法,該方法可以檢測智能手機(jī)用戶周圍存在的偽基站,但會(huì)暴露終端用戶的位置隱私信息;姚景朋等[3]提出基于三維聯(lián)合檢測法來發(fā)現(xiàn)并識(shí)別偽基站,通過檢測終端接收到的基站信號(hào)強(qiáng)度以及分析異常位置區(qū)碼(Location Area Code, LAC)和位置更新次數(shù)來嘗試發(fā)現(xiàn)偽基站,但無法對(duì)多個(gè)偽基站進(jìn)行實(shí)時(shí)追蹤;王德廣等[4]提出利用手機(jī)信息精確定位偽基站,通過返回接收到垃圾短信的用戶位置信息估算偽基站的位置,但無法感知某個(gè)大區(qū)域內(nèi)的偽基站的分布情況;吳卓凡[5]提出基于信令交互主動(dòng)追蹤車載偽基站的新方法,該方法僅能判斷單個(gè)偽基站的大致位置信息。由于偽基站流動(dòng)性強(qiáng)、隱蔽性高,在保護(hù)終端用戶位置隱私的前提下,有關(guān)偽基站治理的三個(gè)關(guān)鍵問題始終沒有得到很好的解決:1)對(duì)某個(gè)地區(qū)偽基站的整體態(tài)勢感知;2)對(duì)偽基站的活動(dòng)規(guī)律分析;3)對(duì)單個(gè)偽基站的實(shí)時(shí)追蹤。

針對(duì)上述三個(gè)關(guān)鍵問題,本文提出一種通過大數(shù)據(jù)可視分析的方法來實(shí)現(xiàn)偽基站的軌跡追蹤和活動(dòng)態(tài)勢分析,通過手機(jī)應(yīng)用軟件(如360衛(wèi)士)向云端反饋多用戶的垃圾短信相關(guān)信息,進(jìn)而對(duì)垃圾短信大數(shù)據(jù)進(jìn)行分析處理,實(shí)現(xiàn)對(duì)偽基站軌跡的可視分析。為了保護(hù)用戶的位置隱私,假設(shè)用戶u在t時(shí)刻收到偽基站p發(fā)送的垃圾短信mi,該用戶收到垃圾短信mi前最后連接的正常基站為x,此正?；镜奈恢脼閘x,則用戶上傳的位置信息是正常基站的位置lx,即偽基站p的近似位置為正?；緓的位置lx[6]，如圖1(a)所示。當(dāng)搜集到大量用戶上報(bào)的垃圾短信,可根據(jù)時(shí)序T和地點(diǎn)lx(t)(與T相關(guān)的多個(gè)正?；镜奈恢?來擬合出偽基站的活動(dòng)軌跡,如圖1(b)所示。

圖1 通過正?；镜奈恢脕頂M合偽基站的運(yùn)動(dòng)軌跡

1 相關(guān)研究

目前,基于可視分析解決實(shí)際應(yīng)用的研究很多。在網(wǎng)絡(luò)安全方面,Karapistoli等[7]利用雷達(dá)圖、樹圖對(duì)無線傳感器網(wǎng)絡(luò)進(jìn)行可視分析,發(fā)現(xiàn)和分析預(yù)測相關(guān)網(wǎng)絡(luò)攻擊。Li等[8]基于地理信息系統(tǒng)、網(wǎng)絡(luò)拓?fù)鋱D以及網(wǎng)絡(luò)攻擊路線,實(shí)現(xiàn)一個(gè)安全態(tài)勢感知系統(tǒng)。Alsaeh等[9]通過實(shí)現(xiàn)的PHPIDS組件,對(duì)入侵檢測日志和事件特征進(jìn)行多視圖聯(lián)動(dòng)可視分析。Coudriau等[10]采用散點(diǎn)圖、拓?fù)鋱D等對(duì)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)進(jìn)行多視圖展示,發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。SpiralView[11]、NVisionIP[12]和VisTracer[13]等可視化系統(tǒng)通過多視圖結(jié)合,幫助分析人員識(shí)別網(wǎng)絡(luò)攻擊。在其他方面,Trillanes等[14]基于熱度圖對(duì)全球各個(gè)地區(qū)的公共健康和常見病進(jìn)行可視分析,幫助衛(wèi)生組織進(jìn)行醫(yī)療援助。Hennig等[15]通過提取數(shù)據(jù),采用可視化圖表展示一個(gè)人的情感受到各種因素的變化情況。Bladin等[16]通過折線圖、3D球狀圖等對(duì)行星進(jìn)行可視化展示,幫助分析人員感知行星的地表情況以及天氣變化。

2 系統(tǒng)設(shè)計(jì)

2.1 整體架構(gòu)

本文基于多用戶垃圾短信數(shù)據(jù),幫助分析人員快速感知偽基站的分布態(tài)勢,分析偽基站的活動(dòng)規(guī)律以及追蹤偽基站。在設(shè)計(jì)可視化系統(tǒng)時(shí),本文主要考慮了以下兩點(diǎn):

1)視圖展示設(shè)計(jì)。如何在有限的空間內(nèi)盡可能展示足夠多的信息,幫助分析人員更快地發(fā)現(xiàn)問題；如何對(duì)傳統(tǒng)的可視化視圖進(jìn)行改進(jìn),使得新視圖更加高效、美觀。

2)分析模式設(shè)計(jì)。如何既能靜態(tài)分析某個(gè)大區(qū)域的偽基站在某個(gè)時(shí)間點(diǎn)的分布情況,又能動(dòng)態(tài)感知某個(gè)大區(qū)域在某個(gè)時(shí)間段內(nèi)偽基站的運(yùn)動(dòng)變化情況。

整個(gè)可視分析系統(tǒng)由數(shù)據(jù)存儲(chǔ)模塊、數(shù)據(jù)處理模塊、可視化模塊三個(gè)部分組成,如圖2所示。數(shù)據(jù)存儲(chǔ)模塊管理原始數(shù)據(jù)的存儲(chǔ);數(shù)據(jù)處理模塊是對(duì)原始數(shù)據(jù)進(jìn)行降噪、分類以及統(tǒng)計(jì),并將結(jié)果傳給數(shù)據(jù)存儲(chǔ)模塊進(jìn)行存儲(chǔ);可視化模塊負(fù)責(zé)將提取的數(shù)據(jù)通過視圖進(jìn)行展示,以及將交互結(jié)果傳遞給數(shù)據(jù)存儲(chǔ)模塊。

圖2 偽基站可視分析系統(tǒng)架構(gòu)

2.2 可視化模塊設(shè)計(jì)

可視化模塊主要由地圖、熱度圖、雷達(dá)玫瑰圖、日歷圖以及列表視圖構(gòu)成。整個(gè)可視化系統(tǒng)以地圖為背景,右上方是一個(gè)圓形的雷達(dá)玫瑰圖,用于展示時(shí)間維度上的數(shù)量特征。中心區(qū)域是基于地圖的熱度圖,用于展示偽基站的空間分布信息,感知偽基站的整體態(tài)勢以及對(duì)偽基站的實(shí)時(shí)追蹤。左上方是一個(gè)日歷圖,用于區(qū)分所分析的日期是否是工作日。最左方是一個(gè)列表視圖,用于對(duì)單個(gè)偽基站活動(dòng)規(guī)律的詳細(xì)分析。通過多視圖交互,實(shí)現(xiàn)對(duì)偽基站的整體態(tài)勢感知、相關(guān)活動(dòng)規(guī)律的分析以及實(shí)時(shí)追蹤。

分析人員可以從宏觀到微觀、從靜態(tài)到動(dòng)態(tài),逐步分析偽基站的分布情況、活動(dòng)規(guī)律以及運(yùn)動(dòng)軌跡。分析流程如下:

1)通過查看熱度圖和日歷圖可以對(duì)該天的偽基站分布情況進(jìn)行態(tài)勢感知,同時(shí)可以選擇播放當(dāng)天24 h的偽基站動(dòng)態(tài)位置變化情況,對(duì)某個(gè)大區(qū)域內(nèi)偽基站的位置分布進(jìn)行實(shí)時(shí)感知。

2)通過與雷達(dá)玫瑰圖交互查看當(dāng)天任意時(shí)段偽基站發(fā)送的垃圾短信的數(shù)量分布情況,分析偽基站的活動(dòng)規(guī)律。

3)針對(duì)偽基站的軌跡分析,可以點(diǎn)擊感興趣的偽基站,獲得它所發(fā)送的垃圾短信的詳細(xì)信息以及運(yùn)動(dòng)軌跡。選擇播放模式,可以動(dòng)態(tài)地展示該偽基站的位置隨時(shí)間的變化規(guī)律,便于實(shí)時(shí)追蹤偽基站。

2.2.1 地圖和熱度圖

針對(duì)偽基站的犯罪特點(diǎn)[17],在空間維度上,本文認(rèn)為關(guān)鍵在于:1)為分析人員提供偽基站的整體位置分布情況,以確定偽基站的活動(dòng)規(guī)律,實(shí)現(xiàn)對(duì)窩點(diǎn)和犯罪網(wǎng)絡(luò)的掌握;2)能夠?qū)崟r(shí)地追蹤單個(gè)偽基站的具體位置,方便抓捕。

為了解決這兩方面的問題,本系統(tǒng)采用熱度圖和地圖相結(jié)合來展示偽基站的空間分布,并通過播放的方式實(shí)時(shí)展示單個(gè)或多個(gè)偽基站的位置動(dòng)態(tài)變化情況。提供良好的交互功能,有利于分析人員對(duì)整體態(tài)勢感知和單個(gè)偽基站的運(yùn)動(dòng)軌跡進(jìn)行詳細(xì)分析。

熱度圖是基于地圖產(chǎn)生的,是在地圖上添加的熱度層。熱度圖由不同的點(diǎn)組成,每個(gè)點(diǎn)有不同的位置、亮度以及色彩變化情況。本文通過設(shè)置經(jīng)緯度來控制每個(gè)熱度點(diǎn)的位置,設(shè)置熱度圖的光圈顏色來顯示該熱度點(diǎn)所表示的數(shù)量大小。熱度圖的光圈顏色由該點(diǎn)的熱度值V決定。熱度值為[0,1],熱度值大的顏色在光圈內(nèi)側(cè),熱度值小的顏色在光圈外側(cè)。每個(gè)點(diǎn)的熱度值計(jì)算為:

(1)

其中：Count表示該熱度點(diǎn)表示的數(shù)量大小;MaxCount表示該熱度圖上所有熱度點(diǎn)中表示的數(shù)量最大值。

假設(shè)熱度值與顏色映射關(guān)系為：當(dāng)熱度值為0～0.3時(shí)，為藍(lán)色；當(dāng)熱度值為0.3～1時(shí)，為黃色。那么，當(dāng)某熱度點(diǎn)的V<0.3時(shí),則該點(diǎn)只會(huì)顯示藍(lán)色;當(dāng)0.3

圖3 熱度圖設(shè)計(jì)

2.2.2 雷達(dá)玫瑰圖

在時(shí)間維度上,為了更好地展示偽基站在各個(gè)時(shí)間點(diǎn)的活動(dòng)特征,感知偽基站全天的活動(dòng)情況,分析其活動(dòng)規(guī)律,本系統(tǒng)設(shè)計(jì)了美觀、高效的雷達(dá)玫瑰圖。雷達(dá)玫瑰圖是根據(jù)時(shí)鐘和雷達(dá)掃描設(shè)計(jì)的,總體設(shè)計(jì)如圖4所示。

雷達(dá)玫瑰圖一共有四層,從內(nèi)到外依次為餅圖、交互圈A、交互圈B和堆疊圖圈。其中餅圖可以對(duì)各種類型的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)表示,展示各種類型數(shù)據(jù)的占比情況。交互圈A可以選擇0:00—12:00,交互圈B可以選擇12:00—24:00,分析人員可以在交互圈A和交互圈B中通過移動(dòng)鼠標(biāo)形成交互刷選擇查看任一時(shí)間段的數(shù)據(jù)。最外層是堆疊圖圈,是對(duì)所有時(shí)間點(diǎn)的不同類型數(shù)據(jù)的統(tǒng)計(jì)堆疊情況,向外堆疊一圈表示0:00—12:00的數(shù)據(jù)分布情況,向內(nèi)堆疊一圈表示12:00—24:00的數(shù)據(jù)分布情況。如圖4中C表示6:00時(shí)的數(shù)據(jù)堆疊情況,D表示18:00時(shí)的數(shù)據(jù)堆疊情況。此外,在中心水平方向有一左一右兩個(gè)刻度軸。左邊以與最外層圓相交的位置為起點(diǎn)(即0刻度),右邊以與第三層圓相交的位置為起點(diǎn)(即0刻度)。因此,當(dāng)鼠標(biāo)移動(dòng)至C、D上,還能形成虛線的交互圓與水平刻度尺相交,方便分析人員在水平刻度軸查看C、D的具體數(shù)值。

圖4 雷達(dá)玫瑰圖總體設(shè)計(jì)

在雷達(dá)玫瑰圖的設(shè)計(jì)和實(shí)現(xiàn)上,有三個(gè)關(guān)鍵點(diǎn):

1)計(jì)算堆疊位置和弧形長度。傳統(tǒng)的堆疊圖在水平軸上進(jìn)行繪制,由一個(gè)個(gè)堆疊矩形組成，因此通過坐標(biāo)(x,y)即可繪制,x表示該時(shí)刻堆疊矩形的位置,y表示堆疊數(shù)量。而雷達(dá)玫瑰圖由一個(gè)個(gè)堆疊圓弧組成,堆疊圓弧在圓環(huán)上進(jìn)行堆疊,分為向外堆疊和向內(nèi)堆疊。通過與垂直線的夾角θ(向內(nèi)堆疊為θ2)和圓弧的起始半徑r(向內(nèi)堆疊為r2)控制堆疊位置,m(向內(nèi)堆疊為n)表示堆疊數(shù)量,如圖5所示。對(duì)于向外堆疊,設(shè)有i種數(shù)據(jù)類型,每種類型數(shù)據(jù)量分別為a1,a2,…,ai,經(jīng)過線性映射到堆疊交互圈中的弧形長度分別為b1,b2,…,bi。假設(shè)在0:00—12:00區(qū)間中的某一時(shí)刻t(本文中時(shí)間均以分鐘為單位,角度均以弧度為單位，一圈為720 min，一天為1 440 min),則此時(shí)該堆疊弧形與垂直線的夾角θ為:

(2)

第j種數(shù)據(jù)類型的圓弧起始半徑R為:

(3)

該堆疊弧形的總長度M為:

(4)

同理,對(duì)于向內(nèi)堆疊,在12:00—24:00這一區(qū)間中的某一時(shí)刻t2,則此時(shí)該堆疊弧形與垂直線的夾角θ2為:

(5)

第j種數(shù)據(jù)類型的圓弧起始半徑R2為:

(6)

該堆疊弧形的總長度N為:

(7)

圖5 傳統(tǒng)堆疊圖和雷達(dá)玫瑰圖中的堆疊圖設(shè)計(jì)對(duì)比

2)防止內(nèi)外堆疊相交。堆疊圖圈用來展示各個(gè)時(shí)間點(diǎn)的各種類型數(shù)據(jù)的堆疊統(tǒng)計(jì)情況，分為兩層:一層向外堆疊,一層向內(nèi)堆疊。為保證堆疊圖內(nèi)外堆疊不相交,通過遍歷0:00—12:00和12:00—24:00所對(duì)應(yīng)的所有時(shí)間點(diǎn)向內(nèi)向外堆疊之和,找到它的最大值。設(shè)第i分鐘,它的向外堆疊數(shù)量為P(i),第(i+720)分鐘的向內(nèi)堆疊數(shù)量為Q(i+720),則此時(shí)它們的內(nèi)外堆疊數(shù)量之和為P(i)+Q(i+720)。如圖4所示,6:00和18:00的向內(nèi)向外堆疊數(shù)量之和則是圖4中C代表的值與D代表的值之和。用遍歷到的內(nèi)外堆疊最大值與堆疊圈進(jìn)行線性映射,即可使得所有時(shí)刻的內(nèi)外堆疊不相交。

3)基于弧形交互刷獲取時(shí)間。當(dāng)鼠標(biāo)對(duì)交互圈A和交互圈B進(jìn)行操作時(shí),會(huì)在交互圈中產(chǎn)生弧形交互刷。通過獲取弧形交互刷的角度來得到它所表示的時(shí)間節(jié)點(diǎn)。假設(shè)鼠標(biāo)選取交互刷與垂直線的起始角度為startAngle,終止角度為endAngle。若交互刷只在交互圈A中,即選取的時(shí)間段在0:00—12:00范圍內(nèi),則得到的起始時(shí)間startTimeA為:

(8)

結(jié)束時(shí)間endTimeA為:

(9)

若交互刷只在交互圈B中,即選取的時(shí)間段在12:00—24:00范圍內(nèi),則得到的起始時(shí)間startTimeB為:

(10)

結(jié)束時(shí)間endTimeB為:

(11)

若交互刷一部分在交互圈A中,一部分在交互圈B中,即選取的時(shí)間段跨越了12:00,則得到的起始時(shí)間startTimeAB為:

(12)

結(jié)束時(shí)間endTimeAB為:

(13)

通過上述計(jì)算,分析人員即可通過交互查看一天中任一時(shí)間段的詳細(xì)信息。

對(duì)比傳統(tǒng)堆疊直方圖,雷達(dá)玫瑰圖有以下幾個(gè)優(yōu)點(diǎn):1)提高了可用性。雷達(dá)玫瑰圖將只能展示三個(gè)維度信息的堆疊直方圖擴(kuò)展到能展示四個(gè)維度的信息,使得可用性大大提高。2)更加美觀,有設(shè)計(jì)感。在靜止?fàn)顟B(tài)下,雷達(dá)玫瑰圖就像一個(gè)時(shí)鐘,便于分析人員很好地理解各個(gè)維度的信息。在播放模式下,雷達(dá)玫瑰圖會(huì)隨著時(shí)間的變化進(jìn)行掃描運(yùn)動(dòng),相對(duì)于傳統(tǒng)堆疊直方圖更加美觀、有科技感。3)節(jié)約繪制空間。對(duì)比傳統(tǒng)的堆疊直方圖,雷達(dá)玫瑰圖占用空間較小,展示了更多維度的信息,在可視化繪制方面,極大地節(jié)約了繪制空間。

2.2.3 列表視圖

為了實(shí)現(xiàn)對(duì)單個(gè)偽基站的活動(dòng)規(guī)律的分析,本文設(shè)計(jì)了帶有搜索功能的列表視圖。列表視圖由搜索框和下方的屬性列表組成。屬性列表可以對(duì)偽基站發(fā)送的垃圾短信根據(jù)需要的時(shí)間段進(jìn)行統(tǒng)計(jì)和顯示,同時(shí),通過垃圾短信所對(duì)應(yīng)的MD5值可以在搜索框內(nèi)進(jìn)行查詢。此外，點(diǎn)擊感興趣的垃圾短信可以查看發(fā)送該垃圾短信的偽基站最近5 d的活動(dòng)軌跡。

2.2.4 日歷視圖

為了對(duì)比分析工作日和非工作日偽基站的活動(dòng)規(guī)律,以及選擇某天進(jìn)行分析,設(shè)計(jì)了日歷視圖。日歷視圖是由矩形框和日期數(shù)字組成,一行表示一周(7 d),從左到右的位置序數(shù)S依次為[0,6]。先通過new Date得到某月的第一天的星期數(shù)week,計(jì)算出某月第一天在矩形框內(nèi)的位置L:

L=(week+6) mod 7

(14)

剩下日期的位置依次向后放置。此外,本系統(tǒng)還將非工作日進(jìn)行顏色識(shí)別,便于分析人員進(jìn)行對(duì)比分析。

3 案例分析和評(píng)估

3.1 數(shù)據(jù)集及數(shù)據(jù)處理

本文選取的數(shù)據(jù)集是ChinaVis2017數(shù)據(jù)可視分析挑戰(zhàn)賽一的數(shù)據(jù)集,該數(shù)據(jù)集為北京市被標(biāo)記是偽基站發(fā)送的垃圾短信的樣本數(shù)據(jù),是手機(jī)用戶通過應(yīng)用軟件向云端主動(dòng)上報(bào)的垃圾短信的信息,但是為了保護(hù)用戶隱私,將上報(bào)垃圾短信前最后連接的合法基站的位置近似作為偽基站的位置。該數(shù)據(jù)集包括以下幾個(gè)字段: phone(偽基站偽裝的發(fā)送方電話號(hào)碼)、content(短信具體正文)、md5(短信正文MD5)、recitime(垃圾短信接收時(shí)間戳)、conntime(與偽基站的連接時(shí)間戳)、lng(偽基站發(fā)送此條短信時(shí)的近似位置經(jīng)度)、lat(偽基站發(fā)送此條短信時(shí)的近似位置緯度)。

針對(duì)該數(shù)據(jù)源的數(shù)據(jù)特征,本文先對(duì)原始數(shù)據(jù)進(jìn)行降噪處理,接著借助第三方文本分析工具NLPIR將數(shù)據(jù)集按垃圾短信內(nèi)容分為五類,包括:發(fā)票辦證、詐騙短信、色情廣告、房產(chǎn)買賣和其他?；谠摂?shù)據(jù)集對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析,以驗(yàn)證得到的可視化結(jié)果是否正確。

3.2 案例分析

3.2.1 整體態(tài)勢感知

本系統(tǒng)提供靜態(tài)態(tài)勢感知和動(dòng)態(tài)態(tài)勢感知兩種模式。靜態(tài)感知可以觀察一天中偽基站發(fā)送的垃圾短信的數(shù)量及分布情況,而動(dòng)態(tài)態(tài)勢感知可以通過播放的方式,瀏覽一天中每分鐘偽基站發(fā)送的垃圾短信的分布變化情況。以4月12日為例。如圖6所示,從分布在地圖上的熱度圖可以看出,各類垃圾短信主要聚集于五環(huán)內(nèi),尤其是崇文區(qū)、東城區(qū)垃圾短信的分布數(shù)量最多。此外,通往通州方向的路線上,垃圾短信的數(shù)量分布也較多,說明偽基站在這條路線上活動(dòng)比較頻繁。從右上角的雷達(dá)玫瑰圖可以看出當(dāng)天各類垃圾短信的占比情況,以及各類垃圾短信的時(shí)間、數(shù)量分布情況,可以清楚地感知當(dāng)天偽基站在北京市活動(dòng)的整體態(tài)勢。而在動(dòng)態(tài)模式下,可以看到每分鐘北京市的偽基站發(fā)送的各類垃圾短信的分布情況,實(shí)時(shí)了解當(dāng)前偽基站的活動(dòng)變化情況,如圖7所示。

圖6 4月12日全天偽基站發(fā)送的各類垃圾短信分布情況

圖7 動(dòng)態(tài)模式下4月12日對(duì)偽基站發(fā)送的各類垃圾短信的實(shí)時(shí)態(tài)勢感知(10:30左右)

3.2.2 偽基站活動(dòng)規(guī)律分析

通過對(duì)日歷圖、熱度圖、雷達(dá)玫瑰圖以及短信列表視圖的交互分析,可以清楚地掌握偽基站的活動(dòng)規(guī)律。以4月12日(星期三,工作日)和4月15日(星期六,非工作日)為例進(jìn)行對(duì)比分析。如圖6、8所示。首先從右上角的雷達(dá)玫瑰圖可以看出,在工作日(以4月12日為例),從6:00開始,垃圾短信的數(shù)量逐漸增加,主要在8:00—10:00、11:00—14:00、18:00—20:00為高峰期,在人們上下班時(shí),垃圾短信的數(shù)量相對(duì)較多。22:00以后就幾乎沒有任何垃圾短信出現(xiàn)。而在非工作日(以4月15日為例),垃圾短信也是從6:00開始逐漸增加,但是在8:00—10:00這個(gè)時(shí)間段,明顯沒有工作日的垃圾短信數(shù)量多,但是在22:00以后仍有大量的垃圾短信出現(xiàn)。其次,不同的垃圾短信時(shí)空分布是不同的。各種類型垃圾短信的活躍時(shí)間段如表1所示。

表1 各類垃圾短信活躍時(shí)間段

圖8 4月15日偽基站發(fā)送的垃圾短信分布情況

通過熱度圖和雷達(dá)玫瑰圖可以發(fā)現(xiàn),發(fā)票辦證類短信主要集中在東三環(huán)和東四環(huán),該類垃圾短信主要集中在7:00—11:00、17:00—20:00這兩個(gè)上下班高峰期,在工作日數(shù)量明顯多于非工作日。詐騙類短信主要活動(dòng)時(shí)間在10:00—20:00,從9:00開始數(shù)量逐漸增加,在12:00左右和18:00左右出現(xiàn)兩個(gè)高峰期,分布在機(jī)場、火車站、旅游景點(diǎn),在大興區(qū)、望京區(qū)、東四環(huán)附近數(shù)量最多。色情廣告類短信主要活動(dòng)時(shí)間是21:00到次日凌晨2:00,在工作日,22:00以后就基本不出現(xiàn)；非工作日,一直到次日凌晨2:00以后才不出現(xiàn),主要分布在東三環(huán)周圍以及西單阜成門大街附近。房產(chǎn)買賣類短信主要活動(dòng)時(shí)間是11:00—14:00,分布在通勤的終點(diǎn)(如中央商務(wù)區(qū)),其中管莊附近是出現(xiàn)最多的地方。經(jīng)過對(duì)比分析,猜測偽基站的分布與人類活動(dòng)強(qiáng)度有關(guān)。通過將各天垃圾短信的分布情況與北京市人類活動(dòng)強(qiáng)度(以CityIF的十城一日為對(duì)比[18])相對(duì)比可以發(fā)現(xiàn),垃圾短信的分布情況與人類活動(dòng)強(qiáng)度分布大致相似，如圖9所示。這一結(jié)果驗(yàn)證了我們的猜想。

圖9 4月14日18:00垃圾短信分布情況和十城一日熱度圖分布對(duì)比

3.2.3 偽基站實(shí)時(shí)追蹤

針對(duì)偽基站實(shí)時(shí)追蹤問題,本文采用熱度圖播放的方式進(jìn)行實(shí)時(shí)展示。在短信列表視圖中選擇點(diǎn)擊想要追蹤的偽基站所發(fā)出的垃圾短信,可以在熱度圖上看到該偽基站最近五天出現(xiàn)過的近似位置以及該條垃圾短信的數(shù)量。點(diǎn)擊右下角的play按鈕,則可以看到發(fā)送該條垃圾短信的偽基站最近五天的活動(dòng)軌跡。此外,通過與右上角雷達(dá)玫瑰圖中的餅圖交互，可以選擇查看其中任意一天或幾天的活動(dòng)軌跡。圖10是偽基站在4月14日的活動(dòng)軌跡圖，箭頭表示動(dòng)態(tài)變化情況。

圖10 4月14日發(fā)送發(fā)票辦證類垃圾短信的偽基站的位置隨時(shí)間的變化情況

與傳統(tǒng)繪制線條展示軌跡相比,通過播放方式追蹤軌跡有以下幾點(diǎn)優(yōu)勢:第一,提高分析速度。播放的方式利用了人類視覺的殘留現(xiàn)象和人類大腦連續(xù)圖像組織的心理機(jī)制[19],使得分析人員能很好地對(duì)偽基站運(yùn)動(dòng)軌跡進(jìn)行感知和分析。第二,使系統(tǒng)有更好的可擴(kuò)展性。當(dāng)能實(shí)時(shí)獲取數(shù)據(jù)時(shí),則能實(shí)時(shí)監(jiān)測偽基站的位置變化情況,達(dá)到實(shí)時(shí)監(jiān)控、追蹤的目的。

4 結(jié)語

通過上述案例分析可知,本文提出的可視分析的方法能很好地解決目前偽基站研究面臨的三個(gè)關(guān)鍵問題，為執(zhí)法部門打擊偽基站提供很好的參考意見,幫助其合理布置警力以及查找偽基站,打擊不法分子。

在偽基站追蹤方面,由于為了保護(hù)個(gè)人隱私,采集的位置信息是距離其最近的正?；镜木_位置，因此在精確查找偽基站的位置方面仍然存在不足。如何通過有效的算法,使用正?；镜奈恢眯畔?估算出偽基站的精確位置是十分重要的。在探索偽基站和不同垃圾短信的關(guān)系方面,如何判斷及證明同一偽基站是否會(huì)同時(shí)發(fā)送各種不同類型的垃圾短信,這也是一個(gè)難點(diǎn)問題。此外,在可視化視圖設(shè)計(jì)方面,如何設(shè)計(jì)視圖使其在有限的空間內(nèi)展示出較多的信息,幫助分析人員快速發(fā)現(xiàn)問題,把握關(guān)鍵信息，這些都是我們未來研究的重要方向。

參考文獻(xiàn)(References)

[1] 黑靜. “偽基站”工作原理及其鑒定檢測的方法探討[J]. 信息技術(shù)與信息化, 2014(4): 251-253.(HEI J. The discussion about method of operating principle and identification of “pseudo base station”[J]. Information Technology and Informatization, 2014(4): 251-253.)

[2] 陳強(qiáng), 劉亮. 基于智能手機(jī)的偽基站檢測方法[J]. 信息安全與通信保密, 2014(12): 131-134.(CHEN Q, LIU L. Detection method for pseudo base station based on smart phone [J]. Information Security and Communications Privacy, 2014(12): 131-134.)

[3] 姚景朋, 張立志, 何旭萌. 基于三維聯(lián)合檢測法的偽基站檢測系統(tǒng)方案設(shè)計(jì)[J]. 電子設(shè)計(jì)工程, 2016, 24(14): 52-55.(YAO J P, ZHANG L Z, HE X M. Design of the fake base station detection system based on three-dimension union detection method[J]. Electronic Design Engineering, 2016, 24(14): 52-55.)

[4] 王德廣, 張旭. 利用手機(jī)信息精確定位偽基站的方法研究[J]. 微型電腦應(yīng)用, 2014, 30(11): 25-27.(WANG D G, ZHANG X. Study the method that using mobile phone information accurate positioning pseudo base station [J]. Microcomputer Applications, 2014, 30(11): 25-27.)

[5] 吳卓凡. 淺談基于信令交互主動(dòng)追蹤車載偽基站的新方法[J]. 中國新通信, 2016(4): 32-33.(WU Z F. A new method for tracking vehicle pseudo base station based on signaling interaction[J]. China New Telecommunications, 2016(4): 32-33.)

[6] ChinaVisChallenge1 [EB/OL]. [2017- 09- 18]. http: //chinavis.org/2017/challenge.html.

[7] KARAPISTOLI E, ECONOMIDES A A. Wireless sensor network security visualization[C]// Proceedings of the 2012 4th International Congress on Ultra Modern Telecommunications and Control Systems and Workshops. Piscataway, NJ: IEEE, 2012: 850-856.

[8] LI X, WANG Q, YANG L, et al. Network security situation awareness method based on visualization[C]// Proceedings of the 2011 Third International Conference on Multimedia Information Networking and Security. Washington, DC: IEEE Computer Society, 2011: 411-415.

[9] ALSALEH M, ALQAHTANI A, ALARIFI A, et al. Visualizing PHPIDS log files for better understanding of Web server attacks[C]// VizSec 2013: Proceedings of the Tenth Workshop on Visualization for Cyber Security. New York: ACM, 2013: 1-8.

[10] COUDRIAU M, LAHMADI A, FRANCOIS J. Topological analysis and visualisation of network monitoring data: Darknet case study[C]// Proceedings of the 2016 IEEE International Workshop on Information Forensics and Security. Piscataway, NJ: IEEE, 2017: 1-6.

[11] BERTINI E, HERTZOG P, LALANNE D. SpiralView: towards security policies assessment through visual correlation of network resources with evolution of alarms[C]// VAST 2007: Proceedings of the 2007 IEEE Symposium on Visual Analytics Science and Technology. Piscataway, NJ: IEEE, 2007: 139-146.

[12] LAKKARAJU K, YURCIK W, LEE A J. NVisionIP: netflow visualizations of system state for security situational awareness[C]// Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security. New York: ACM, 2004: 65-72.

[13] FISCHER F, FUCHS J, VERVIER P A, et al. VisTracer: a visual analytics tool to investigate routing anomalies in traceroutes[C]// Proceedings of the Ninth International Symposium on Visualization for Cyber Security. New York: ACM, 2012: 80-87.

[14] TRILLANES A O, FABITO B S, FERNANDO M C G, et al. HealthSource: a Web based public health awareness with heat map on common illnesses using social media stream[C]// Proceedings of the 2016 IEEE Region 10 Conference. Piscataway, NJ: IEEE, 2016: 3265-3269.

[15] HENNIG P, BERGER P, BREHM M, et al. Hot spot detection — an interactive cluster heat map for sentiment analysis[C]// Proceedings of the 2015 IEEE International Conference on Data Science and Advanced Analytics. Piscataway, NJ: IEEE, 2015: 1-9.

[16] BLADIN K, AXELSSON E, BROBERG E, et al. Globe browsing: contextualized spatio-temporal planetary surface visualization[J]. IEEE Transactions on Visualization and Computer Graphics, 2018, 24(1): 802-811.

[17] 陸洋, 袁影, 李曉帆. 打擊治理偽基站的問題及建議[J]. 數(shù)字通信世界, 2017(9): 64-65.(LU Y, YUAN Y, LI X F, Problems and suggestions on combating and governing “pseudo-base station”[J]. Journal of Digital Communication World, 2017(9): 64-65.)

[18] CityIF.十城一日[EB/OL]. [2017- 05- 10]. http: //115.28.77.49: 8080/TimelinealbumWeb.html.(CityIF. Ten cities one day [EB/OL]. [2017- 05- 10]. http: //115.28.77.49: 8080/TimelinealbumWeb.html.)

[19] 陳為,張嵩,魯愛東. 數(shù)據(jù)可視化的基本原理與方法[M]. 北京:科學(xué)出版社, 2013: 3-6.(CHEN W, ZHANG S, LU A D. Basic Principles and Methods of Data Visualization[M]. Beijing: Science Press, 2013:3-6.)

This work is partially supported by the Chongqing Research Program of Basic Research and Frontier Technology (cstc2017jcyjB0305).