Intelligent Systems For Security Informatics

CAPÍTULO 1
Revelando o mundo escondido do Web Dark:

Fórum Social Media e Vídeos 1
Hsinchun Chen * , Dorothy Denning y , Nancy Roberts y , Catherine A. Larson * ,

Ximing Yu * , Chun-Neng Huang *
* Gestão de Informação Departamento de Sistemas, da Universidade do Arizona, Tucson, Arizona, EUA
y Departamento de Análise de Defesa, Naval Postgraduate School, Monterey, Califórnia, EUA
Capítulo Esboço
1.1 Introdução 2
1.2 The Dark Forum Web Portal 3
1.2.1 Dados de identificação e Collection 3
1.2.2 Evolução do Fórum Web escuro Portal 4
Versão 1.0 4 2.0
Versão 7 Versão
2.5 8
1.2.3 Resumo das três versões 10
1.2.4 Estudos de Caso usando the Dark Forum Web Portal 10
estudo de caso I. Fóruns escuras no Leste do Afeganistão: Como influenciar o Haqqani público 11 estudo de caso II.
operações psicológicas 12 Conclusão 12
1.3 O Portal de Vídeo 13

1.3.1 Design System 14
1.3.2 Aquisição de Dados 15
1.3.3 Dados Preparação 15
1.3.4 Portal Sistema 16
controle de acesso 17 Navegação 17
Procurando 19 pós-pesquisa de
filtragem 20 Multilingual tradução 22
Análise de redes sociais 22
1 Baseado em: H. Chen, D. Denning, N. Roberts, CA Larson, Y. Ximing, C. Huang, The Dark Forum Web Portal:
de multi-lingual ao vídeo, IEEE Conferência Internacional sobre Inteligência e Segurança Informática (ISI), 2011, pp. 7 e 14. Usado com
permissão.
Sistemas inteligentes de segurança informática.

http://dx.doi.org/10.1016/B978-0-12-404702-0.00001-X 1
direito autoral 2013 Zhejiang University Press Co., Ltd. Publicado por Elsevier Inc. Todos os direitos reservados.
2 Capítulo 1
1.4 Conclusão e Direções Futuras 25 Agradecimentos

26 Referências 27
1.1 Introdução
A presença na Internet de terroristas, grupos de ódio e outros extremistas continua a ser de interesse significativo para os
investigadores antiterroristas, analistas de inteligência e outros pesquisadores no governo, indústria e academia, em campos tão
diversos como: psicologia, sociologia, criminologia, e ciência política; ciências computacionais e de informação; e aplicação da
lei, segurança interna, e política internacional. Através da análise de fontes primárias, como próprios sites dos terroristas,
vídeos, sites de bate-papo e fóruns na Internet, pesquisadores e outros tentam, por exemplo, para identificar quem são os
terroristas e extremistas são, como eles estão usando a Internet e a que propósito, que o público-alvo é, etc. [1] . Por exemplo,
Task Force Counter-terrorismo Implementação das Nações Unidas em 2009 publicou um relatório descrevendo as
preocupações dos Estados membros sobre o uso continuado terrorista da Internet para angariação de fundos, recrutamento e
ataques cibernéticos, entre outras coisas, e analisadas medidas para resolver este uso [2] . McNamee et al. [3] examinaram os
temas das mensagens encontradas em sites de grupos de ódio para entender como esses grupos recrutados e reagiu às
ameaças através da formação de identidade de grupo. Postar [4] observou como os terroristas tinham criado uma “comunidade
virtual de ódio” e escreveu sobre a necessidade de desenvolver um programa de contra-terrorismo com base em psicologia
para, em parte, inibir potenciais participantes de se juntar, reduzir o apoio para estes grupos, e minar suas atividades.
Em 2002, em parte em resposta ao crescente interesse no uso terrorista da Internet, particularmente no rescaldo do 11/9, e em
parte como uma expansão natural do seu trabalho anterior na segurança das fronteiras, e partilha de informação e de mineração
de dados para a aplicação da lei, a Arti fi cial Intelligence (AI) Lab da Universidade de Arizona fundou o seu projecto “Dark web”.
“Dark Web”, como se tornou conhecido, é um programa de pesquisa científica c longo prazo que tem como objetivo estudar o
terrorismo internacional através de uma abordagem computacional, data-centric ( http: // ai.arizona.edu/research/ ).
Dark Web centra-se no lado oculto, “dark” da Internet, onde os terroristas e extremistas usam a Web para difundir suas
ideologias, recrutar novos membros, e até mesmo compartilhar materiais de treinamento de terrorismo. Os objetivos do
projeto são duas: (1) a recolher, de forma tão abrangente quanto possível, todo o conteúdo web relevante gerada por grupos
extremistas e terroristas internacionais, incluindo sites, fóruns, salas, blogs, sites de redes sociais, vídeos, mundo virtual, etc
conversar .; e (2) para desenvolver algoritmos, ferramentas e técnicas de visualização que irão melhorar habilidades
pesquisadores e investigadores para analisar esses sites e sua relevância, e que são generalizáveis a e útil em uma ampla
gama de domínios.
Revelando o mundo escondido do Web Dark: Fóruns e Vídeos 3 Social Media
A próxima seção fornece uma visão geral da génese e evolução do Dark Portal Fórum Web e inclui um exame das
fontes de dados e coleção. A seção a seguir fornece uma visão geral do desenvolvimento do portal de vídeo. O
capítulo termina com uma conclusão e orientações para o trabalho futuro.
1.2 O Web Fórum Dark Portal
O projeto Dark Web tem por vários anos recolhida uma grande variedade de dados relacionados e que emanam de
grupos extremistas e terroristas. Estes dados incluem sites, material multimídia ligados aos sites, fóruns, blogs,
implementações mundiais virtuais, etc. Fóruns, como, sites de discussão interativos dinâmicos que suportam
conversas on-line, provaram ser de interesse significativo. Através do anonimato de postar sob nomes de tela, eles
permitem e apoiar a livre expressão. Eles são uma fonte especialmente rica de informações para o estudo de
organizações e indivíduos, a evolução das idéias e tendências, e outros fenômenos sociais. Nos fóruns, conversas
em andamento são capturados em tópicos, com cada segmento que corresponde aproximadamente a uma área de
assunto ou tema. As respostas, chamados de comentários ou mensagens, são geralmente timestamped e atribuível
a um determinado cartaz (autor). Análise dos tópicos e mensagens muitas vezes pode revelar tendências dinâmicas
em temas e discussões, o seqüenciamento de idéias, e as relações entre cartazes.
1.2.1 Dados Identi fi cação e Cobrança
Os sites de fórum coletados para o projeto Dark Web foram identi fi cados com a participação de pesquisadores terrorismo,
segurança e educadores militares e outros especialistas. Eles foram selecionados em parte porque cada um é geralmente
dedicado a temas relacionados com a ideologia islâmica e teologia, e variam de “moderado” para “extremista” em suas opiniões
e ideologias.
Uma vez identificados, os métodos semi-automatizado de coleção conhecida como “aranhas” são usados para rastrear os
fóruns e capturar todas as mensagens incluindo metadados, como autor (também conhecido como “cartaz”), data e hora. A
data e hora são especialmente importantes para ajudar a manter a rede de resposta: a ordem em que as mensagens são
postadas e respondidas. As aranhas são descritos em mais detalhe abaixo.
Os fóruns foram originalmente coletadas para servir como um teste de pesquisa para uso no laboratório, especialmente para apoiar o
trabalho do sentimento e afetar a análise e o estudo de processos de radicalização ao longo do tempo.
O acesso a estes fóruns agora é fornecido para pesquisadores e outros através do Dark Web Forum Portal [5] . O
portal contém cerca de 15.000.000 mensagens em cinco idiomas: árabe, inglês, francês, alemão e russo. Os
fóruns inglesa e de língua árabe selecionados incluem grandes sites jihadistas; alguns dos fóruns árabes têm
Inglês-language
4 Capítulo 1
Seções. Três fóruns franceses, e os fóruns de solteiro em alemão e russo, fornecer conteúdo representante para
grupos extremistas que produzem conteúdo em línguas. Coletivamente, os fóruns têm aproximadamente 350.000
membros / autores. O portal também fornece análise estatística, download, tradução e funções de visualização de
redes sociais para cada fórum selecionado.
spidering Incremental mantém o conteúdo atualizado [6] . Ferramentas desenvolvidas para pesquisa, navegação,
tradução, análise e visualização estão descritas em uma seção posterior.
1.2.2 Evolução do Dark Web Forum Portal
versão 1.0
Esta seção aborda o desenvolvimento do portal e inclui referências a trabalhos anteriores, onde certos aspectos da
pesquisa e desenvolvimento do portal são explicadas com mais detalhes.
Como mencionado acima, os fóruns Web escuras foram originalmente coletadas para servir como um teste de pesquisa para
o fi Arti cial Intelligence Lab para desenvolver técnicas para analisar a presença na Internet e conteúdo de grupos de ódio e
extremistas (por exemplo, Refs [7 e 11] ). Na época, pouca pesquisa anterior havia sido feito em integração de dados escuro
fórum Web e pesquisa. fóruns na Web escuras são heterogêneos, amplamente distribuído, numeroso, difícil de acessar, e
pode misteriosamente aparecem e desaparecem sem aviso ou advertência. A crescente quantidade de material fórum torna
a busca cada vez mais difícil [12] . Para os pesquisadores interessados em analisar ou monitorar o conteúdo da Web escuro,
integração de dados e recuperação são questões críticas [10] . Sem um sistema centralizado, é trabalhoso, demorado e caro
para pesquisar e analisar dados fórum Web escuras.
Duas outras características de fóruns na Web escuras criam barreiras para usar. A primeira é a natureza dinâmica dos fóruns, o
que cria di fi culdades para análise e visualização de interações entre os participantes. A visualização pode revelar
relacionamentos até então ocultos e redes atrás de atividade on-line [13] . Social Network Analysis (SNA) é um método baseado
em gráfico que pode ser usado para analisar a estrutura da rede de um grupo ou população [14] . SNA tem sido usado para
estudar várias redes do mundo real [15] . fóruns da web são plataformas ideais para a pesquisa de rede social, porque, por
padrão, as comunicações gravam dos participantes e as postagens são recuperáveis [16] . No entanto, alguns estudos
anteriores tinham realmente incorporada uma função de SNA em um sistema em tempo real.
A segunda característica é a natureza multilingue dos fóruns. Fóruns podem ser encontrados em muitas das línguas do
mundo, e fóruns coletados para o estudo Dark Web foram em árabe e Inglês, inicialmente, com fóruns franceses, alemães e
russos sendo adicionados mais tarde. Foi, portanto, fundamental que a barreira da língua ser abordadas.
Com base nas lacunas de pesquisa discutidos acima, ficou claro que era necessária uma abordagem sistemática e integrada para
coletar, pesquisar, navegar e análise de dados fórum DarkWeb. Nós desenvolvemos estas questões de pesquisa para orientar os
próximos passos [5] :
• Q1: Como podemos desenvolver um portal Web para fóruns na Web escuras que irá integrar eficazmente os dados a partir de
múltiplas fontes de dados fórum?
• Q2: Como podemos desenvolver ef fi ciente, pesquisa acurada e procurar métodos em fontes de dados múltiplos fórum em
nosso portal?
• Q3: Como podemos incorporar a funcionalidade de tradução em tempo real em nosso portal para permitir a tradução de dados
fórum automática da não-Inglês (por exemplo árabe) para Inglês?
• Q4: Como podemos incorporar em tempo real, análise de rede social interativa pelo usuário em nosso portal para analisar
e visualizar as interações entre os participantes do fórum?
A iteração primeira do portal foi desenvolvido com base no projeto do sistema mostrado na Figura 1.1 .
O projeto inicial do sistema continha três módulos:
• Aquisição de dados e Usando programas de spidering, páginas web dos fóruns on-line selecionados foram coletadas.
Na primeira iteração do portal, que incluiu seis fóruns árabes e um fórum de idioma Inglês com um total de cerca de
2,3M mensagens.
• Preparação de dados e Usando programas de análise, os dados fórum detalhadas e metadados foram extraídos das páginas web
HTML puro e armazenados localmente em um banco de dados.
Figura 1.1:
projeto do sistema no início do Dark Web Fórum Portal.
6 Capítulo 1
• A funcionalidade do sistema e Usando Apache Tomcat para o portal e Microsoft SQL Server 2000 para o banco de dados,
poderia ser apoiado funções, incluindo pesquisa e navegação. Fóruns poderia ser pesquisados individualmente ou
coletivamente. Para a análise estatística fórum, gráficos baseados em Java applet foram criados para mostrar as
tendências com base nos números de mensagens produzidas ao longo do tempo. A função de tradução multilingue foi
implementado usando a API thencurrent Google Translation ( http://code.google.com/apis/ajaxlanguage/ documentação / #
Tradução ). A função de visualização da rede social previsto redes dinâmicas, interativas pelo usuário implementadas
usando JUNG ( http://jung.sourceforge.net/ ) Para visualizar as interações entre membros do fórum.
Figura 1.2 mostra uma tela de resultados de uma busca de um único fórum usando o termo “bomba” no fórum Alokab.
Alokab é em árabe; o termo de pesquisa “bomba” foi usado para recuperar tópicos correspondentes (mostrado na coluna
do meio, rotulado “Thread Título”), e a função de tradução foi então chamado para traduzir no fl y de Árabe para Inglês (
“Título do Tópico Translation”).
Uma avaliação foi realizada com um pequeno grupo de usuários, cada um dos quais realizados todas as tarefas relacionadas com cada
função. Todas as tarefas de busca foram concluídas com êxito em ambos nosso portal e um sistema de referência; No entanto, em
nosso sistema, em busca foi mais rápido. Os usuários também reagiram positivamente à tradução e funções SNA quando consultado
usando uma escala de Likert de sete pontos para avaliar suas avaliações subjetivas de sua satisfação geral com o portal, incluindo a
sua utilidade e facilidade de uso.
Figura 1.2:
Captura de tela do resultado da pesquisa single-fórum.
Esta primeira iteração do portal foi criado para enfrentar os desafios envolvidos na integração de dados de múltiplas fontes
de dados fórum em vários idiomas, desenvolvimento de pesquisa e ver métodos eficazes para uso em múltiplas fontes de
dados, e incorporando em um portal em tempo real tradução e realtime sociais funções de análise de rede que são
tipicamente autônomo. Mais detalhes sobre a primeira versão do sistema de avaliação e o utilizador podem ser
encontrados em Zhang et al. [5] .
versão 2.0
A versão 2.0 foi desenvolvido com vários objetivos em mente:
• Aumentar o âmbito da recolha de dados, minimizando a quantidade de esforço humano ou intervenção necessária.
• Melhorar a moeda dos dados apresentados no portal e desenvolver os meios para mantê-lo atualizado em como
automatizado forma possível.
• Melhorar a pesquisa e navegação a partir de uma perspectiva do usuário.
Para aumentar o âmbito da recolha de dados e manter a coleta até à data, precisamos examinar nossos procedimentos
spidering. spiders [17] “Programas de software que atravessam o largo espaço de informação Web Mundial, seguindo links de
hipertexto e recuperação de documentos web pelo protocolo HTTP padrão” está definida como Conforme explicado em nossa
pesquisa anterior, existem seis características importantes dos programas de spidering: acessibilidade, tipo de coleção, de
conteúdo riqueza, recursos URL-ordenação, técnicas de ordenação de URL, e atualização coleção procedimento
[18] . A programmust aranha funcional lidar com a exigência de fóruns direcionados (acessibilidade) registro, extrair a
informação desejada a partir de vários tipos de dados (tipo de coleção), fi ltro fora irrelevantes fi le tipos (riqueza de
conteúdo), URLs tipo na fila com base em heurísticas dadas (características URLordering e técnicas ), e manter a recolha até
à data (procedimento de atualização de coleção). Um processo Spidering incremental foi adicionada ao módulo de aquisição
de dados do sistema [6] .
A adição do componente spidering incrementais permitido o portal para manter-se atualizado dentro de 2 semanas de
mensagens do fórum. Ele também nos permitiu adquirir um grande número de fóruns mais e aumentar a coleção de sete
fóruns com 2,3 milhões de mensagens na primeira versão de 29 fóruns e mais de 13Mmessages no segundo. Testes
realizados durante o desenvolvimento da versão 2.0 mostrou, por exemplo, que a aranha incrementais nos permitiu
recolher 29.000 mensagens em menos de 45 minutos [6] .
Outra meta, conforme listado acima, era melhorar a pesquisa e experiência de navegação dos usuários. Mais fl busca booleana
exível foi adicionado, para permitir aos usuários executar “E” e “OU” pesquisas. Os usuários também podem agora entrar em
seus termos de pesquisa em Inglês (ou qualquer língua) e recuperar jogos, independentemente da língua original do portal. A
exibição foi melhorada para permitir aos usuários compreender, num ápice, como exibir, traduzir, ou fazer download de
resultados, quer tópicos ou mensagens.
8 Capítulo 1
versão 2.5
Enquanto a versão 2.0 abordou muitas das questões que identi fi cado em testes de usabilidade, as melhorias na busca ainda
eram necessários. Pesquisa é uma das funções mais importantes e bem utilizados no portal e, a partir da versão 2.0, os resultados
da pesquisa ainda não foram muito satisfatórios nos seguintes aspectos:
• Consulta de análise: Enquanto a versão 2.0 adicionado alguma capacidade de pesquisa booleana, ele não apoiou, consultas
sofisticados complexos.
• ranking de busca: O ranking de busca era problemático quando várias palavras-chave com a relação “OU” foram
inseridos pelos usuários.
• Hit destacando: palavras-chave correspondentes não eram sempre corretamente destacado; algumas palavras destacadas não
correspondem aos termos de pesquisa de entrada.
• Buscando eficiência: Procura mensagens em mais de cinco fóruns simultaneamente foi muito lento a partir de uma
perspectiva do usuário.
Dadas estas questões, nós embarcamos em uma versão mais recente do portal, versão 2.5, com base na versão 2.0. Adotamos
Lucene, um quadro de indexação populares baseados em Java de texto completo para a indexação e busca de títulos de fios e
conteúdo da mensagem ( http: // Lucene. apache.org/ ).
Características do Lucene incluem a indexação de alta performance que se adapta bem, e algoritmos de busca precisos e eficientes.
Seu tamanho do índice é de aproximadamente 20 e 30% do tamanho do texto indexado, e Lucene Java é compatível com Lucene
implementado em outras linguagens de programação. Incremental e indexação batch são ambos rápido. Oferece busca ranking em
que os “melhores” resultados são retornados primeiro, e também oferece uma ampla gama de tipos de consulta.
Implementação Lucene para trabalhar para análise de pesquisa necessário multilingue antes de prosseguir. O Web
Fórum Dark Portal (DWFP) contém 29 fóruns em cinco idiomas: inglês, árabe, francês, alemão e russo. Foram
examinados os idiomas contidos nos 29 fóruns manualmente e descobriram que, entre os fóruns 17 Árabe, 16 são
puramente em árabe. Uma exceção era o fórum Alqimmah, que contém um número considerável de mensagens em
inglês. Todos os sete fóruns de língua Inglês contêm mensagens em árabe. Todos os fóruns franceses, alemães e
russos também contêm mensagens em árabe. Vejo tabela 1.1 para uma lista de fóruns.
Lucene requer diferentes analisadores para diferentes idiomas. Mesmo para os quatro idiomas que usam SnowballAnalyzer,
o analisador tem de ser inicializado de forma diferente para cada idioma. Ao mesmo tempo, documentos representativos
mensagens do fórum têm diferentes campos de documentos representativos tópicos do fórum. Por isso, criou 10 índices
para todos os tópicos do fórum e mensagens (cinco línguas vezes dois tipos de documentos (mensagem e linha)). Uma vez
que é difícil identificar o idioma subjacente de textos em linha ou mensagem de nível, nós escolhemos uma granularidade
mais grossa ao indexar fóruns. Para todos os 16 fóruns árabes que contêm
Tabela 1.1: Fórum disponível na versão 2.5 do Dark Web Forum Portal
índice
Idioma Fóruns
Inglês Alqimmah, Ansar1, Gawaher, IslamicAwakening, IslamicNetwork, Myiwc,

TurnToIslam, Ummah
árabe Alboraq, AlFaloja, AlFirdaws, Almedad, Alokab, Alsayra, AsAnsar, Atahadi,
Hanein, Hawaa, Hdrmut, M3F, Majahden, Montada, Muslm, Shamikh Alqimmah, Ansar1,
Gawaher, IslamicAwakening, IslamicNetwork, Myiwc, TurnToIslam, Umá, Alminhadj, aslama,
Ribaat, DeAnsarnet, KavkazChat
francês Alminhadj, aslama, Ribaat
alemão DeAnsarnet
russo KavkazChat
apenas textos árabes, foi utilizado o ArabicAnalyzer e indexados os tópicos e mensagens em índice árabe correspondente.
Para outros fóruns, que são bilíngües, que correu a indexação em cada fórum duas vezes: uma usando o ArabicAnalyzer
(saída para o índice árabe) ea segunda vez usando o bom SnowballAnalyzer (saída para o índice do idioma
correspondente). Todos os 29 fóruns estavam indexados em um índice árabe usando o ArabicAnalyzer, de modo que todos
os textos árabes nos fóruns estão correctamente posicionadas. Para fóruns bilíngües, cada fórum é mais indexada para
outro idioma de índice, por isso textos em que a linguagem também são indexadas corretamente. Com esta solução, nós
garantimos que todos os textos foram indexados pelo analisador correto pelo menos uma vez. Não pode ser, por exemplo,
alguns textos em inglês indexados em índice árabe, mas eles já foram corretamente indexado no índice Inglês também. Ao
escolher a IndexSearcher adequada na fase de busca, todos os textos indexados incorretamente não afetará os resultados
da pesquisa.
Para apoiar a pesquisa, devemos identificar o idioma fi c específica de usar, para que possamos escolher o analisador correto para
analisar a consulta de pesquisa. Por exemplo, para procurar conteúdo em árabe, nós primeiro traduzir a consulta de pesquisa para
o árabe usando o Google Translate API (mantendo os operadores booleanos não traduzida). Em seguida, a ArabicAnalyzer é
usado para tokenizar a consulta de pesquisa. O IndexSearcher procura através do índice árabe e retorna uma lista ordenada de
visitas que são todos em árabe. Se uma pesquisa é realizada para todas as cinco línguas, cinco IndexSearchers será criado e cinco
listas de sucessos será devolvido. Cada uma das cinco listas é ordenada por pontuação hit, a partir dos resultados correspondentes
com classificação mais alta. Para retornar uma única lista de resultados de busca (como foi o caso nas versões 1.0 e 2.0), teríamos
de fundir as cinco listas ordenadas. Este tipo de fusão tem o potencial de causar dois problemas: o merge sort é muito demorado
para grandes listas, e as pontuações de vida gerados por diferentes IndexSearchers podem estar em diferentes escalas. Por
exemplo, o hit top em Inglês pode se tornar o resultado 1000 na lista de resultados combinados.
10 Capítulo 1
Figura 1.3:
A guia para os usuários a alternar entre diferentes idiomas para os resultados da pesquisa.
Para resolver este problema, permitir aos utilizadores escolher o idioma em que eles gostariam que os resultados da pesquisa, em vez de
tentar devolver todos os cinco idiomas de resultados ao mesmo tempo. Atualmente, o resultado padrão para resultados de língua Inglês; os
usuários são capazes de escolher outros idiomas através de um display com abas (ver Figura 1.3 ).
Em pesquisa rápida, os usuários não podem especificar o idioma a ser usado, por isso os resultados Inglês será devolvido primeiro e os
usuários podem mudar para outros idiomas na página de resultados de pesquisa. Na pesquisa avançada, os usuários podem especificar
diretamente o idioma a usar antes de iniciar uma pesquisa. Eles também pode mudar para outros idiomas na página de resultados de
pesquisa. Usando essa abordagem, nós só precisa procurar em um índice de cada vez, o que ajuda a produzir resultados de busca mais
rápido.
Como mencionado acima, Lucene também suporta a pesquisa booleana sofisticada: a combinação de uma ou mais palavras ou frases
com um ou mais operadores booleanos. Porque a lógica booleana pode ser opaco para os usuários, nós adicionamos em um construtor
de consulta que permitem aos usuários construir buscas usando linguagem que eles eram capazes de compreender.
Implementando Lucene resultou em vantagens e desvantagens. Através de testes de usuário, podemos ver que a
procura foi melhorada através de uma melhor análise da consulta, em busca classificação, e bateu destacando, mas ao
custo de manter e actualizar um índice separado do banco de dados.
1.2.3 Resumo das três versões
Figura 1.4 resume a evolução do DWFP da versão 1.0 para 2.5. Através do desenvolvimento de versões 2.0 e 2.5 do portal,
fizemos o portal mais útil e uma ferramenta mais poderosa para usuários que estão buscando tópicos e tendências de interesse
nos fóruns jihadistas, assim, apoiando ainda mais seu potencial uso como uma ferramenta de inteligência de código aberto. Na
próxima seção deste capítulo, apresentamos dois estudos de caso por alunos usando o Dark Web Fórum Portal enquanto
aprende a executar tarefas de análise de inteligência.
1.2.4 Estudos de Caso usando o Dark Web Forum Portal
Os alunos que participam um curso de análise de defesa da Naval Postgraduate School (NPS), em Monterey, Califórnia
desenvolveu vários estudos de caso; dois são aqui apresentados. Os estudantes
informações
análise da consulta
Consistência
pesquisa pesquisa
versão 1.0 versão 2.0 versão 2.5
acessibilidade de Ranking
traduzir
Destaque Hit
Eficiência
Figura 1.4:
evolução do sistema da versão 1.0 a versão 2.5.
pelo NPS são geralmente em meio de carreira pessoal militar, muitas vezes com signi fi cativa eld fi ou experiência de
batalha, dos Estados Unidos ou de países aliados. Eles podem ser de qualquer ramo das Forças Armadas e estão buscando
uma educação de pós-graduação através de qualquer um dos 18 departamentos, como Análise de Defesa, Ciências da
Informação, etc. A missão do NPS é fornecer “de alta qualidade, programas de educação e de investigação avançada
relevantes e originais que aumentar a eficácia de combate dos Serviços Naval, outras Forças Armadas dos EUA e nossos
parceiros, para melhorar a nossa segurança nacional”(website NPS, http://www.nps.edu/About/ index.html). Em um curso de
Análise de Defesa em con fl ito e ciberespaço, os estudantes analisou como ciberespaço, em particular a Internet, pode servir
como uma ferramenta, alvo, e uma fonte de conflito para os atores estatais e não-estatais. Como parte do curso, o instrutor
deu uma demonstração do Dark Portal Fórum Web em sala de aula. O portal foi apresentado como um recurso potencial para
a inteligência de fonte aberta. Após a demonstração, os alunos foram atribuídos um projeto para usar o portal para investigar
um tema de sua escolha, escrever um artigo de 1200 palavras descrevendo o que eles fizeram e aprenderam, e discutir suas
descobertas em uma classe mais tarde. As duas subseções seguintes discutem dois dos projetos de estudantes. Em ambos
os casos, os alunos tiveram significante campo militar e experiência anterior e deverá continuar seu serviço militar.
estudo de caso I. Fóruns escuras no Leste do Afeganistão: Como influenciar o público Haqqani
No estudo de caso em primeiro lugar, “Fóruns escuras no Leste do Afeganistão: Como influenciar o público Haqqani,” o
estudante, que tinha tido implementações anteriores ao Afeganistão, postulou que uma das razões da guerra continuava a
arrastar-se era que o USAwas “perder a guerra de informação”com o povo do Afeganistão e Taleban‘sites porto seguro’,
um argumento que também foi feita por pesquisadores de combate ao terrorismo (por exemplo, Ref. [19] ). O estudante
utilizado the Dark Forum Web Portal para investigar como a Rede Haqqani do Taliban, identificado como um dos principais
adversários dos EUA, foi capaz de torcer US vitórias táticas em derrotas operacionais na mídia e idéia de batalha campos.
Depois de investigar fóruns e postagens relevantes,
12 Capítulo 1
ele citou, por exemplo, patentemente falsa propaganda distribuída através dos fóruns que descreviam mortes americanas
que na verdade nunca ocorreram e vitórias reivindicados para o Taliban que nunca aconteceu. O estudante também
aprendeu através de fóruns sobre o portal que a sua própria patrulha tinha matado o filho de um membro sênior Haqqani,
enquanto em patrulha. Esta não foi a informação que eles tinham acesso a, enquanto no Afeganistão, e foi extremamente
importante informação tática que teria sido capaz de capitalizar sobre enquanto estiver lá. Outras informações tática útil
adquirida através de postagens no portal incluiu movimentos de outros membros Haqqani na província, e associações
previamente desconhecidas e ligações entre certos indivíduos e organizações. De acordo com o estudante, estes são
exemplos de lacunas de informação que, se tal inteligência chegou a eles, enquanto no país, teria permitido patrulhas
norte-americanas para escolher diferentes cursos de ação.
estudo de caso II. operações psicológicas
No segundo estudo de caso, um estudante familiarizado com operações de apoio à informação militar (MISO) utilizado the Dark Forum Web Portal para
investigar e comparar a popularidade e uso de vários meios de comunicação na comunidade muçulmana. Tal conhecimento pode ajudar as estratégias
guia de tomada de decisão e comunicação tanto dentro como fora de um país de interesse. Os estudantes analisou tópicos do fórum e lançamentos
relacionados para transmitir mídia (rádio e televisão) e mídia de papel (folhetos, folheto ets, e folhetos), como todos esses métodos de comunicação
podem ser úteis para as operações de informações. Ele também investigou postagens relacionadas com “propaganda”, que foram muitas vezes
acompanhada de percepções muito negativas se atribuídos aos EUA e outros governos ocidentais, ou para os governos do Oriente Médio. Muita
propaganda foi atribuída a grupos da conspiração “sionistas”. A maioria das mensagens relativas à propaganda em causa o conteúdo da mensagem e a
falta de legitimidade do ordenador. Um interessante e útil encontrando foi que o rádio foi discutido nos fóruns mais do que quaisquer outros meios de
comunicação, com comentários no sentido de que rádio, particularmente sem licença ou rádio “pirata”, era um meio eficaz para alcançar os muçulmanos.
De acordo com o aluno, a utilidade contínua de rádio supera a de outros meios de comunicação, embora os participantes do fórum também expressaram
interesse em usar mídia impressa, como folhetos para espalhar suas mensagens. No geral, o estudante pensou que o DWFP poderia ser uma
ferramenta muito útil para o planejamento de operações de informação no ciberespaço, bem como para manter a consciência situacional, enquanto em
áreas dominadas pelos extremistas. Um interessante e útil encontrando foi que o rádio foi discutido nos fóruns mais do que quaisquer outros meios de
comunicação, com comentários no sentido de que rádio, particularmente sem licença ou rádio “pirata”, era um meio eficaz para alcançar os muçulmanos.
De acordo com o aluno, a utilidade contínua de rádio supera a de outros meios de comunicação, embora os participantes do fórum também expressaram
interesse em usar mídia impressa, como folhetos para espalhar suas mensagens. No geral, o estudante pensou que o DWFP poderia ser uma
ferramenta muito útil para o planejamento de operações de informação no ciberespaço, bem como para manter a consciência situacional, enquanto em
áreas dominadas pelos extremistas. Um interessante e útil encontrando foi que o rádio foi discutido nos fóruns mais do que quaisquer outros meios de
comunicação, com comentários no sentido de que rádio, particularmente sem licença ou rádio “pirata”, era um meio eficaz para alcançar os muçulmanos. De acordo com o aluno, a ut
Conclusão
Por ter tantos fóruns relevantes prontamente pesquisável e traduzível através de um uniforme, interface fácil de usar, o
valor destes díspares, caso contrário, as fontes de dados inacessíveis é aumentado imensamente. Estes dois estudos
de caso e outros que temos no fi le, demonstrar o valor potencial do Escuro Fórum Web Portal no contexto de
complementar e corroborando informações de inteligência sensível.
1.3 O Portal de Vídeo
O Fórum Dark Portal Web foi originalmente construído para permitir o exame, a partir de uma perspectiva ampla, do uso de
fóruns na web por grupos terroristas e extremistas. O módulo vídeo portal foi adicionado a fim de facilitar o estudo de vídeo,
uma vez que é utilizado por estes grupos. Ambos os portais estão disponíveis para pesquisadores em uma base pedido. Abaixo
fornecemos uma visão geral do desenvolvimento do novo portal de vídeo.
Como Web 2.0 social media tem vindo a ganhar cada vez mais popularidade, tornou-se uma plataforma barata, eficaz e
conveniente para os extremistas e outros para publicar e propagar as suas ideias e pontos de vista. conteúdo relacionado ao
terrorista também pode ser obtida através da Internet e tornou-se uma importante fonte de informação para pesquisadores que
tentam entender, o modelo e impedir comportamento terrorista.
Como mostrado em Figura 1.5 , Os vídeos podem transportar informações rica (e com base som) baseado em imagem; acreditamos que
a identificação e coleta de extremistas e vídeos relacionados com o terrorismo (vídeos “dark”) será, portanto, tornam-se cada vez mais
importante para a comunidade de pesquisa Web escuro. sites de compartilhamento de vídeo online têm atraído menos atenção do que
os fóruns e outras fontes baseadas em texto, mas não deixam de ser potencialmente valiosa. Muitos estudos anteriores têm-se centrado
em mídias sociais baseados em texto, como fóruns [6] e blogs [20] , Com pouco trabalho antes de ter sido publicado na web vídeos
escuros. Huang et al. [21] envolvidos em vídeo escuro identificação e propõe um quadro para a classificação de vídeos escuras e
segregando-os a partir de vídeos não-escuras, mas este é um dos poucos estudos desse tipo. Seus resultados implicaram que os
vídeos escuros existia em sites de compartilhamento de vídeo sem ser imediatamente removido pelos mecanismos de segurança
fornecidos pelos sites.
Mais acessível ao público de compartilhamento de vídeo sites, no entanto, não bloquear, ofensivo, e terrorismo / vídeos ilegais
relacionadas com o extremismo de suas coleções de vídeo enormes. Isto é feito para o
Figura 1.5:
Exemplos de screenshots de vídeos de amostra.
14 Capítulo 1
melhoria da sociedade, mas pode impedir o acesso para fins de pesquisa legítimos. Ao mesmo tempo, muitos desses sites
não têm um meio eficaz e preciso para bloquear automaticamente esses vídeos. YouTube, por exemplo, fornece apenas um
fl mecanismo agging para a marcação de vídeos impróprios. Os vídeos sinalizados são então investigadas manualmente.
Para facilitar a pesquisa de vídeos escuros, estamos desenvolvendo o Portal de Vídeo escuro para coletar vídeos relevantes a
partir de sites de compartilhamento de vídeo e fornecer uma interface de fácil utilização que permite aos usuários pesquisar,
consultar e baixar o vídeo coleção escura. O trabalho anterior na identificação e análise de vídeos escuro tem sido descrita em
Salem et al. [22] , Fu et ai.
[23] , E Huang et al. [21] . Esta seção descreve o progresso atual em desenvolvimento portal.
1.3.1 System Design
O Portal de Vídeo escuro consiste em três componentes principais: aquisição de dados, preparação de dados, e funcionalidade do
sistema. Os detalhes de cada componente são mostrados na Figura 1.6 e descrito nas secções seguintes.
Figura 1.6:
O projeto do sistema do Portal de Vídeo escuro.
Tabela 1.2: Exemplos de terroristas-chave relacionadas
palavra chave Tradução Coleção
Jihad islâmica e Termos usados por extremistas
Hamas e Termos usados por extremistas
USBAT Al Ansar e Termos usados por extremistas
Mujahideen Termos usados por extremistas
preparação explosiva Armas termos técnicos
enciclopédia Armas termos técnicos

grandes armas
cinto de explosivos Armas termos técnicos
1.3.2 Aquisição de Dados
aquisição de dados começou primeiro com a identificação de palavras-chave por especialistas de domínio. inquérito anterior
nessas coleções publicamente acessíveis mostrou que apenas uma pequena porção de vídeos disponíveis podem ser
classificados como “dark”. Portanto, implementamos e estendeu o quadro como descrito na Huang et al. [21] de forma eficaz e
eficientemente identificar e recolher esses vídeos escuros.
Para começar a identificar vídeos escuros para o portal, que começou com dois conjuntos de palavras-chave relacionados com o terrorismo
identificadas pelos nossos especialistas de domínio: os termos usados por extremistas e termos técnicos toweapons relacionados.
Começamos a pesquisar usando 71 termos usados por extremistas (22 em Inglês e 49, em árabe) e 57 termos ligadas aos armamentos (dois
em Inglês e 55, em árabe). tabela 1.2 dá vários exemplos de cada conjunto.
Nós desenvolvemos crawlers focadas para coletar thevideos frompublicly sites de compartilhamento de accessiblevideo e criou
uma colecção de vídeo Candidato. Vídeos, e seus metadados, foram identificados e collectedthroughthreestreams: “Consulta”
vídeos (de busca thetop100videosreturnedfromagivenkeyword), “relacionados” vídeos (as 50 melhores vídeos
recommendedwhenviewing o vídeo query) e vídeos “autor” (os 50 melhores videos enviados fromeach dos autores associada
com os vídeos de consulta). Associatedmetadatawas também recolhidos, incluindo autor, título do vídeo, descrição, comentários,
etc. Todos estes materiais juntos compreendem o Video Collection Candidato.
1.3.3 Preparação de dados
Sabendo que nem todos os vídeos recolhidos seria relevante, nesta etapa vídeo fi ltragem e tópico de clustering foram
implementados para identificar potencialmente vídeos “dark” de dentro do Video Collection Candidato.
Nós primeiro filtradas para fora vídeos de prede fi nidas categorias que eram irrelevantes, como comédia, educação, música,
etc. Os vídeos restantes foram ainda agrupados em tópicos usando tópico
16 Capítulo 1
clustering. Os tópicos foram então classificados como relevante ou irrelevante; vídeos irrelevantes foram removidos da coleção
Candidato. No entanto, porque o trabalho anterior demonstrou que os autores são mais propensos a fazer upload de vídeos
dentro dos mesmos ou similares tópicos, os vídeos “autor” dos vídeos relevantes foram colocados juntos com os vídeos
relevantes como a nova coleção Candidato.
Além disso ltragem fi era necessário para peneirar a todos os vídeos não-escuras. Um conjunto de dados de treinamento foi construído usando os
principais vídeos de ambos os temas relevantes e irrelevantes para servir de pontos de dados como positivos e negativos. O conjunto de dados de
treinamento foi usado para construir um classificador fi usando Support Vector Machine (SVM). Vídeos da Video Collection novo candidato foram
alimentados no er classificadas; aqueles considerados irrelevantes, foram removidas da base de dados.
No total, 104,206 vídeos foram recolhidos usando 128 prede fi palavras-chave ned. Destes, 12.728 foram classificadas como vídeos
“dark”. Tabela 1.3 mostra os detalhes dos resultados para ambos os conjuntos de tipos de palavra-chave: os termos usados por
extremistas e armas termos técnicos.
tabela 1.4 mostra uma pequena amostra de vídeos seleccionados “escuras” recolhidas como descrito acima e agora armazenada na base de
dados de vídeo escuro.
1.3.4 Portal Sistema
A fim de ser acessível e útil para os usuários, a coleta de dados de vídeo escura necessário para ter uma interface
utilizável construídos para suportar o tipo de pesquisa, navegação e outras funções usuários precisa.
Tabela 1.3: Número de vídeos Collected
Número de Collected Número de classificadas Número de Número de Número de
Nome da colecção vídeos vídeos Autores comentários commentors
Termos usados por 90.725 11.355 4743 420446 172146

extremistas
armas técnicos 13.481 1.373 767 42.210 22.061
prazo
totais 104206 11.356 5510 462656 194207
Tabela 1.4: Exemplos de escuras vídeos
vídeo ID Descrição
5nK93eIltHc “Minha espada” jihadista hino

XADz5-x19bg Funeral de um mujahid “mártires”
yZlQrOkVeEI Últimos minutos de um homem-bomba
KB6anaCj1q8 Suicídio de despedida bombardeiro
39UbzotlaJQ Atentado em Kirkuk, no Iraque
8XG5GInbYzw ataque suicida do Taliban

lPoQPQhycS8 Emboscada no Afeganistão
As funções do portal podem ser divididas em várias categorias principais:
• Controle de acesso
• navegação
• Procurando
• Pós-pesquisa fi ltragem
• tradução multilingue
• análise de redes sociais.
Controle de acesso
No controle de acesso, nomes de contas e senhas de usuário são armazenados para permitir o acesso validado para o portal de vídeo.
Todos os usuários devem ser concedidos contas e pede para entrar antes de usar o sistema. Uma imagem é mostrado na Figura 1.7 .
navegação
Depois de efetuar login no sistema, os usuários são levados para a home page (mostrado na Figura 1.8 ), Que fornece uma breve
introdução ao sistema e lista coleções de vídeo atuais. Os usuários podem selecionar uma colecção de vídeo (termos usados por
extremistas e Termos Arma Técnicas) e procure-o através de quatro pontos de entrada:
• Informações Gerais: mostra informações estatísticas gerais sobre a coleção de vídeo selecionado.
• Navegar por Vídeos: lista todos os vídeos, permitindo aos utilizadores seleccionar aqueles de interesse para ver os comentários e
detalhes adicionais.
• Navegar por Autores: lista os autores e os números de vídeos e comentários postados.

• Navegar por Comentários: mostra os comentários para cada autor e o vídeo ao qual o comentário pertence.
Figura 1.7:
Captura de tela do portal log-in.
18 Capítulo 1
Figura 1.8:
Home page do Portal de Vídeo Dark Web; ele fornece acesso a navegação imediata para os usuários.
Quando um conjunto é seleccionada, a informação estatística sobre a recolha é primeiro apresentado, como em Figura 1.9 . Os
usuários também podem ver quantos vídeos foram postados para uma determinada coleção de vídeos, como em Figura 1.10 .
Outra informação estatística disponível através do portal inclui o número de comentários postados por coleção, os 10 melhores
autores que
Figura 1.9:
Screenshot da informação geral para uma coleção de vídeo, incluindo informações estatísticas básicas.
Figura 1.10:
Captura de tela do gráfico que mostra o número de vídeos postados para uma coleção de vídeos fi c específica.
colocaram a maioria dos vídeos, e também os 10 melhores autores postar mais comentários para cada coleção.
Além de visitar as informações gerais fornecidas sobre as coleções, autores e cartazes, os usuários também podem
navegar diretamente por vídeo (classificadas pelo número de comentários de vídeo, como mostra a A Figura 1.11 ) E pelo
autor ( A Figura 1.12 ).
Procurando
Pesquisando também é suportado; esforços têm sido feitos para identificar os caminhos que os usuários podem se aproximar de
busca do portal de vídeo. As seguintes funções de busca são atualmente suportados pelo portal:
• Pesquisa rápida (em títulos de vídeo e descrições)

• Pesquisar por autor
• Busca por Tempo
• Pesquisa por Tópico (Full Text Search).
Os próximos quatro figuras ilustram cada um dos outros métodos de pesquisa disponíveis através do portal. Pesquisa rápida está sempre
disponível na parte superior do site do portal, como mostrado na A Figura 1.13 . Os usuários inserem uma palavra-chave de interesse; o
sistema retorna resultados de todos os títulos de vídeo e descrições. Os usuários também podem pesquisar por nome de um autor ( A Figura
1.14 ), Por um determinado período de tempo ( A Figura 1.15 ), E por tópico ( A Figura 1.16 ).
20 Capítulo 1
A Figura 1.11:
Captura de tela do portal mostrando a função “pesquisar por vídeo”.
Pós-pesquisa fi ltragem
Pós-pesquisa fi ltragem é uma função de navegação útil permitindo que os usuários re ainda fi ne as suas consultas de pesquisa ao
responder a resultados reais. Todos os resultados da pesquisa mostrados acima ilustram os métodos de ltragem fi atualmente
oferecidos pelo portal. Os usuários podem fi ltro seus resultados por Video Collection, pelo autor, e por ano.
A Figura 1.12:
Ao navegar pelo autor, os usuários clicam em uma tela anterior listando cada autor e sua / seu número de vídeos; em clicar no
nome de um autor, o usuário é levado a esta tela, mostrando o autor
vídeos ordenados por data.
A Figura 1.13:
Os resultados de uma “busca rápida” na palavra “jihad”; caixa de pesquisa está delineada em vermelho.
A Figura 1.14:
Os resultados de uma pesquisa autor; caixa de pesquisa está delineada em vermelho.
22 Capítulo 1
A Figura 1.15:
Um exemplo de busca de vídeos postados durante um período específico de tempo fi ed.
tradução multilingue
TheDarkWebVideoPortal contém comentários e outro texto inEnglish além como em uma variedade das diferentes línguas
estrangeiras. Para ajudar os usuários que estão familiarizados somente com Inglês, uma função de tradução multilingue está
embutido no portal para uso com conteúdo textual não-Inglês de língua. texto não-Inglês no sistema é exibida com botões de
tradução, que pode ser usado para traduzir esses conteúdos para o Inglês. Para textos estrangeiros de língua (tais como títulos
de vídeo), uma função de tradução wholepage é fornecido no topo da página (ver A Figura 1.17 Por exemplo).
Além disso, pesquisa multilingue é suportado de modo que os usuários podem usar termos em inglês para procurar conteúdos multilingues.
Por exemplo, em língua Inglês palavras de pesquisa de entrada de usuários são primeiro traduzidos para o árabe, e, em seguida, tanto o
Inglês e termos árabes são usados em conjunto para a pesquisa. A Figura 1.18 mostra os resultados de uma tal pesquisa; o termo “bomba”
foi usada como a entrada da pesquisa. Conteúdos que contenham a palavra “bomba”, seja em Inglês ou árabe, são retornados.
análise de redes sociais
A rede social em vários tipos de mídia social, incluindo muitas coleções de acesso público de vídeos, pode ser
estendido a partir da definição de rede de resposta em fóruns, como ilustrado na A Figura 1.19 .
A Figura 1.16:
Um exemplo de uma pesquisa tópica em títulos de vídeo e descrições.
A Figura 1.17:
Um exemplo de uma página, incluindo o título do vídeo, traduzido para o Inglês.
24 Capítulo 1
A Figura 1.18:
títulos de vídeo contendo a palavra “bomba”, seja em Inglês ou árabe, são retornados como resultados de
a busca da palavra no idioma Inglês “bomba”.
Iniciador de Tópicos
Um usuário do
Responder 1
do usuário B
Responder 2
usuário C
Responder 3
usuário B
usuário B
Um usuário
usuário C
A Figura 1.19:
Um exemplo de uma rede de resposta.
Em uma rede de resposta, cada nó representa um usuário e cada elo representa uma relação de resposta. Se B responde a A, como
no exemplo, uma ligação dirigida é adicionado na rede social, que aponta a partir de A para B. A resposta dirigida rede é extraída com
base na resposta-a relação na discussão rosca. Relações semelhantes proliferam em sites de compartilhamento de vídeo.
Comentários de texto em vídeos podem ser mapeados para postagens em tópicos do fórum da seguinte forma:
Utilizador (site de compartilhamento de vídeo) / Utilizador (Forum)
Descrição do Vídeo / Tópico Iniciado Texto Comentário / Tópico
Responder.
Figura 1.20:
Um vídeo e sua descrição associada com um comentário de texto.
Na imagem em Figura 1.20 , Uma entrevista em vídeo com Osama bin Laden é mostrado com a descrição carregado pelo
cartaz, seguido por um comentário de texto.
No Portal de Vídeo DarkWeb, uma Análise de Interface de Rede social permite que os usuários do sistema para identificar e
analisar as redes de autores e comentadores. Um exemplo da interface mostrando uma pequena rede social de vídeos e
comentários é mostrado na A Figura 1.21 . Esta figura também mostra os vários critérios que podem ser inseridos pelos usuários
para identificação e seleção de redes.
1.4 Conclusão e Direções Futuras
fóruns na web escuras, muitas vezes contêm pepitas de informações úteis, open-source enterrado no ruído significativo. Como
mostrado nos estudos de caso, o Fórum Portal Dark Web tem utilidade potencial demonstrável tanto como um mecanismo de fi
ltragem e como uma fonte de inteligência adicional para

26 Capítulo 1
A Figura 1.21:
Uma captura de tela do portal de vídeo módulo de Análise de Redes Sociais.
análise e investigação. Com base em avaliações recentes, melhorias futuras incluem a implementação da melhoria de
busca oferecido pelo Lucene, e estabilização do sistema de tal forma que pode ser facilmente utilizado por grandes
grupos de usuários.
vídeos escuras, juntamente com seus comentários, geralmente são removidos a partir de sites de compartilhamento de vídeo. No
entanto, esses vídeos podem fornecer importantes insights sobre como extremistas e terroristas comunicar e compartilhar
informações, e pode fornecer pistas importantes sobre a sua capacidade e intenção. Dadas as di fi culdades de identificação e
localização de vídeos escuros, e o interesse manifestado a nós por vários pesquisadores no acesso a eles, nós acreditamos que os
usuários pretendidos vai achar o Portal de Vídeo Dark Web para ser útil para a sua pesquisa. feedback informal recebidos até à
data tem sido positiva tanto em relação ao conteúdo e função. Amore avaliação formal serão realizados para verificar a sua utilidade
e usabilidade.
Agradecimentos
Este trabalho foi apoiado em parte pelo Programa de Contraterrorismo Fellowship (CTFP), Contrato nº N00104-10-C-Q381, a National
Science Foundation em Números Grant SNC-0709338 e CBET-
0730908, e DTRA, sob Award No. HDTRA1-09-0-0058.
Referências
[1] G. Weimann, Terror na Internet: A nova arena, os novos desafios, Instituto da Paz dos EUA, Washington,
DC de 2006.
[2] Nações Unidas, força-tarefa implementação Antiterrorismo (CTITF). Relatório do Grupo de Trabalho sobre
Combater a utilização da Internet para fins terroristas, Fevereiro de 2009. <Http://www.un.org/terrorism/pdfs/ WG6-internet_rev1.pdf>
[3] LG McNamee, BL Peterson, J. Pen~a, uma chamada para educar, participar, invocar e indict: Entendendo o
a comunicação de grupos de ódio on-line, Commun. Monogr. 77 (2) (2010) 257 e 280.
[4] J. Post, 'Quando o ódio é produzido no osso': A psicologia social do terrorismo, Ann. NY Acad. Sei. 1208
(2010) 15 e 23.
[5] Y. Zhang, S. Zeng, L. Fan, Y. Dang, CA Larson, H. Chen, Dark Web Fórum Portal: Pesquisa e análise
fóruns jihadistas, Proceedings da International Intelligence IEEE e Conferência Informática Segurança, Dallas, TX, 2009, pp. 71 e 76.
[6] Y. Zhang, S. Zeng, C. Huang, L. Fan, X. Yu, D. Yan, CA Larson, D. Denning, N. Roberts, H. Chen,
Desenvolvendo uma coleção Dark Web e infra-estrutura para as ciências computacionais e sociais de 2010 IEEE Conferência
Internacional sobre Inteligência e Segurança Informática (ISI), Vancouver, BC, Canadá, 2010, pp. 59 e 64.
[7] A. Abbasi, H. Chen, análise de autoria Aplicando a mensagens fórum web extremista de grupo, IEEE Intell. Syst.
20 (5; edição especial sobre AI para a Segurança Interna) (2005) 67 e 75.
[8] A. Abbasi, H. Chen, Cybergate: Um sistema e estrutura de projeto para análise de texto de computador
comunicação mediada, MIS Q. (MISQ) 32 (4; edição especial sobre Pesquisa em Design Science) (2008) 811 e 837.
[9] R. Zheng, J. Li, H. Chen, Z. Huang, A estrutura para autoria identi fi cação de mensagens on-line:
características de estilo de escrita e técnicas de classi fi cação, J. Am. Soc. Inf. Sei. Technol. 57 (3) (2006) 378 e 393.
[10] Y. Zhou, J. Qin, G. Lai, H. Chen, Colecção de US fóruns extremistas online: Uma abordagem de mineração web,
Conferência Internacional Hawaii anual sobre Ciência do Sistema (2007) 70.
[11] Y. Zhou, E. Reid, J. Qin, H. Chen, G. Lai, EUA grupos extremistas domésticos na Web: Link e conteúdo
Análise, IEEE Intell. Syst. 20 (5) (2005) 44 e 51.
[12] E. Reid, J. Qin, W. Chung, J. Xu, Y. Zhou, R. Schumaker, M. Sageman, H. Chen, conhecimento terrorismo
projeto descoberta:. Uma abordagem de descoberta de conhecimento para enfrentar as ameaças do terrorismo, segundo Simpósio de
Inteligência e Segurança Informática (ISI 2004), Springer-Verlag, 2004, pp 125 e 145.
[13] J. Xu, H. Chen, A topologia das redes escuras, Commun. ACM 51 (10) (2008) 58 e 65. [14] D. Liben-Nowel, o problema Link-previsão para
redes sociais, J. Am. Soc. Inf. Sei. Technol. (JASIST)
58 (7) (2007) 1019 e 1031.
[15] G. Kossinets, DJ Watts, a análise empírica de uma rede social em evolução, Ciência 311 (2006) 88 e 90. [16] Y. Yeung, o estudo
macroscópico das redes sociais formadas em fóruns de discussão baseados na web, Anais
a Conferência de 2005, sobre suporte de computador para Collaborative Learning, 2005, pp. 727 e 731.
[17] FC Cheong, Agentes Internet: Spiders, Wanderers, corretores e bots, New Riders Publishing, Indianapolis,
1996.
[18] TJ Fu, A. Abbasi, H. Chen, um rastreador focado para fóruns na Web escuras, J. Am. Soc. Inf. Sei. Technol. 61 (6)
(2010) 1213 e 1231.
[19] D. Betz, a dimensão virtual da insurgência contemporânea e contra-insurgência, pequenas guerras Insurg. 19 (4)
(2008) 510 e 540.
[20] CC Yang, TD Ng, Terrorismo e criminalidade relacionada com rede social weblog: Link, análise de conteúdo e
visualização de informação, IEEE Conferência Internacional sobre Inteligência e Segurança Informática (2007) 55 e 58.
[21] C. Huang, TJ Fu, H. Chen, baseada em texto de conteúdo de vídeo classi fi cação para sites de compartilhamento de vídeo online, J. Am. Soc.
Inf. Sei. Technol. 61 (5) (2010) 891 e 906.

28 Capítulo 1
[22] A. Salem, E. Reid, H. Chen, Multimédia codificação e análise do conteúdo: desvendar o conteúdo de Jihadi
vídeos dos grupos extremistas, Stud. Con fl. Terror. 31 (7) (2008) 605 e 626.
[23] TJ Fu, C. Huang, H. Chen, Identi fi cação de vídeos extremistas em sites de compartilhamento de vídeo online,
Proceedings da International Intelligence IEEE e Conferência Informática Segurança, Dallas, TX de 2009.
CAPÍTULO 2
Proactive Defesa Cibernética

Richard Colbaugh, Kristin Vidro
Sandia National Laboratories, Albuquerque, Novo México, EUA
Capítulo Esboço
2.1 Introdução 29
2.2 Filtros Proactive 31
2.2.1 Preliminares 31
2.2.2 Algoritmo 1: Transferência de Aprendizagem 32
Proposta algoritmo 32
Avaliação do Algoritmo 35
2.2.3 Algoritmo 2: Geração de Ataque Sintético 37
Proposto algoritmo 37
Avaliação do Algoritmo 40
2,3 de alerta rápido 40
2.3.1 Preliminares 41
2.3.2 Early Warning Método 42
2.3.3 Estudo de caso: DDoS politicamente motivada 45
2.4 Considerações Finais 48

Agradecimentos 49 Referências 49
2.1 Introdução
Avançando rapidamente tecnologias e evolução das práticas e requisitos operacionais cada vez mais dirigir empresas do sector
privado e público para redes de informação altamente interconectadas e tecnologicamente convergentes. soluções de
processamento de informações proprietárias e bancos de dados canalizado fogão estão dando lugar a uni fi cado, sistemas
integrados, aumentando drasticamente o impacto potencial de até mesmo um único invasão bem planejada rede, roubo de
dados, ou ataque de negação de serviço (DoS). Portanto, é essencial que as organizações comerciais e governamentais
desenvolver defesas de rede que são capazes de responder rapidamente a, ou mesmo prever, novas estratégias de ataque e
táticas.
Reconhecendo estas tendências e desafios, alguns pesquisadores de segurança cibernética e profissionais estão concentrando seus
esforços no desenvolvimento proativo métodos de ciberdefesa, em que futuro

http://dx.doi.org/10.1016/B978-0-12-404702-0.00002-1 29
30 Capítulo 2
estratégias de ataque são antecipados e estas informações são incorporados em modelos de defesa
[1 e 5] . No entanto, apesar dessa atenção, ainda há muito a ser feito para colocar o objetivo de defesa pró-ativa sobre
uma base rigorosa e quantitativa. questões fundamentais associadas com a dinâmica ea previsibilidade da “corrida
armamentista” coevolutivas entre atacantes e defensores estão ainda a ser resolvida. Por exemplo, embora o trabalho
recente demonstrou que as ações atacante anteriores e respostas defensor fornecer informações preditivas sobre o
comportamento atacante futuro [3 e 5] , Não se sabe muito sobre o que measurables tem poder de previsão ou como
explorar estas para formar previsões úteis. Além disso, mesmo se estas questões de previsibilidade e de previsão foram
resolvidos, ainda é uma questão em aberto como incorporar essas análises preditivas para o design de sistemas de
praticamente útil de defesa cibernética.
Este capítulo considera o problema de proteger redes de computadores em escala corporativa contra invasões e outras
interrupções. Começamos por alavancar a relação coevolutionary entre atacantes e defensores para desenvolver dois métodos
baseados em LTER proativa fi para a defesa de rede. Cada um destes métodos de formula a tarefa ltragem fi como um
comportamento de classi fi cação, nos quais as actividades de rede inocentes e maliciosas devem ser distinguidos, e cada
parte do princípio que a informação anterior é muito limitado disponível a respeito de ataques exemplares ou atributos de
ataque. Os modelos método primeiras os dados como um gráfico bipartido de exemplos de actividades de rede e das
características ou atributos que caracterizam esses casos. O modelo de dados do gráfico bipartido é usado para derivar um
algoritmo de aprendizado de máquina que precisa classi fi es uma determinada instância ou como inocente ou malicioso com
base em suas características comportamentais. O algoritmo permite que as informações sobre ataques anteriores a ser
“transferido” para uso contra novos ataques; crucialmente, mas não idênticos para que associado com os novos
comportamentos maliciosos. Este algoritmo de aprendizado de transferência oferece uma maneira simples e eficaz para
extrapolar o comportamento atacante para o futuro e, assim, significativamente aumenta a velocidade com que os sistemas
de defesa podem responder com êxito a novos ataques.
A segunda abordagem baseada em er classificadas para defesa da rede pró-ativa representa atacante e defesa co-evolução como
um sistema dinâmico híbrido (HDS) [6,7] , Com o sistema discreto HDS modelar os “modos” de ataque (por exemplo, tipos de
DoS ou procedimentos dados ex infiltração) e o sistema contínuo HDS gerando instâncias específicas de ataque
correspondentes para o modo de ataque presentemente “activo”. O nosso algoritmo toma como entrada quase-potencial futuras
modos de ataque, obtida por exemplo a partir das percepções de analistas virtuais, e gera dados de ataque sintéticos para estes
modos de actividade maliciosa; esses dados são então combinados com ataques recentemente observados para treinar um
simples fi classificador para ser eficaz contra ambas as atuais e (perto) futuros ataques. A utilidade destes métodos baseados em
PELD proactiva fi é demonstrada mostrando que eles superam técnicas padrão para a tarefa de distinguir comportamentos rede
inocentes e maliciosas em análises de dois conjuntos de dados virtuais disponíveis publicamente.
Proactive Defesa Cibernética 31
Uma abordagem alternativa para a defesa da rede pró-ativa é a de considerar o problema de antecipar e caracterizar eventos
ataque iminente com suficiente especificidade e tempo de espera para permitir mitigar ações defensivas a serem tomadas. Nós
também explorar esta abordagem no capítulo, propondo um romance método de alerta precoce como uma solução para este
problema. O método de alerta proposto baseia-se no fato de que certas classes de ataques requerem os atacantes para
coordenar suas ações, muitas vezes através da mídia social ou outros canais observáveis, e explora as assinaturas geradas por
essa coordenação para fornecer aviso de ataque eficaz. Curiosamente, o mais útil indicador de alerta precoce identificados neste
estudo exploratório não é uma das métricas padrão para a atividade de mídia social, mas em vez disso é uma medida sutil da
coordenação maneira ataque interage com o topologia de redes sociais on-line relevantes. O potencial da abordagem de alerta
precoce para defesa cibernética proativo é ilustrada através de um estudo de caso envolvendo ataques em escala de Internet
politicamente motivadas.
2.2 Filtros proativas
Nesta seção propomos dois métodos baseados em fi ltro para defesa da rede pró-ativa e demonstrar a sua utilidade através da
análise de rede de computadores conjuntos de dados securityrelated publicamente disponíveis.
2.2.1 Preliminares
Abordamos a tarefa de proteger redes de computadores contra ataques como um problema de classi fi cação, em que o objectivo é
distinguir a atividade da rede inocente e malicioso. Cada exemplo de actividade rede está representada como um vector
característico X ˛ < j F j, onde a entrada X Eu do X é o valor do recurso Eu: por exemplo, X e F é o conjunto de características instância ou
atributos de interesse ( X pode ser normalizado de várias maneiras [7] ). Instâncias pode pertencer a uma das duas classes: positivo /
inocentes e negativos / mal-intencionados; generalizando a mais de duas classes é simples. Queremos aprender um vetor c ˛ < j F j de
tal modo que oriente classi fi er ¼ placa( c T x) estima com precisão o rótulo classe de comportamento x, retornando º 1 ( 1) para a
actividade inocente (malicioso).
informações classi fi cadores alavanca domínio anterior à base de conhecimento para construir o vector c. Uma maneira de obter tal
classificador fi é montar um “léxico” de recursos inocentes / positivos F º 4 F
e características maliciosas / negativos F 4 F, e para definir c Eu ¼ þ 1 se o recurso Eu pertence a F º, c Eu ¼? 1 se Eu é em F e c Eu ¼ 0 de outro
modo; este fi classi er simplesmente soma os valores de características positivas e negativas no exemplo e atribui classe exemplo em
conformidade. Infelizmente, este tipo de sistema é incapaz de melhorar o seu desempenho ou adaptar-se a novos domínios e,
consequentemente, geralmente não é muito útil em aplicações de segurança cibernética.
Alternativamente, os métodos baseados em aprendizagem tentativa para gerar o vector de er classi fi c a partir de exemplos de actividade de rede
inocente e mal-intencionados. Para obter um er aprendizagem classi fi, pode-se

32 Capítulo 2
começar por montar um conjunto de n eu rotulado {(instâncias X Eu, d Eu)}, Onde d Eu ˛ { º 1, 1} é o rótulo de classe, por exemplo, Eu. o vector c é
então aprenderam através da formação com o conjunto {( X Eu, d Eu)}, por exemplo, resolvendo o seguinte conjunto de equações para c:
h Eu
X T X º g Eu j F j c¼XTd (2,1)
onde matriz X ˛ < nl j F j tem vetores de características instância para linhas, d ˛ < nl é o vector de etiquetas de instância, Eu j F j denota
a j F j? j F j matriz de identidade, e g 0 é uma constante; esta
corresponde a mínimos quadrados regularizadas (RLS) aprendizagem [8] . Muitas outras estratégias de aprendizagem podem ser usados
para calcular c [ 8] . Aprendizagem Baseada em ers classi fi têm o potencial de melhorar o seu desempenho e se adaptar a novas situações,
mas percebendo esses recursos normalmente requer que grandes conjuntos de treinamento de ataques rotulados ser obtida. Esta última
característica representa uma fi desvantagem significativa para aplicações de segurança virtuais, onde é desejável ser capaz de reconhecer
os novos ataques dadas apenas alguns (ou mesmo nenhum) exemplos.
Nesta seção, apresentamos duas novas abordagens baseadas em aprender a defesa cibernética que são capazes de executar bem com
apenas níveis muito modestos de conhecimento prévio sobre as classes de ataque de interesse. A idéia básica é a de aproveitar as
informações “auxiliar” que está prontamente disponível em aplicações de segurança cibernética. Mais especificamente, o método primeira
proposta é um algoritmo de aprendizagem de transferência [9] que permite que a informação presente em dados de ataques anteriores a
serem transferidos para a implementação contra novos ataques. A segunda abordagem usa o conhecimento prévio sobre ataque “modos”
para gerar dados de ataque sintéticos para uso em sistemas de defesa de treinamento, resultando em redes defesas que são eficazes
contra a corrente e (perto) futuros ataques.
2.2.2 Algoritmo 1: Transferência de Aprendizagem
Começamos por derivar um algoritmo de aprendizagem transferência baseada em grafo bipartido para distinguir comportamentos
rede inocentes e mal-intencionados, e, em seguida, demonstrar a eficácia do algoritmo através de um estudo de caso utilizando
dados de rede de intrusão disponíveis publicamente obtidos a partir do arquivo KDD Cup [10] . A hipótese básica é simples e natural:
Porque coevolves comportamento atacante / defensor, atividade anterior deve dar alguma indicação do comportamento futuro, e
aprendizagem de transferência é uma maneira de quantificar e operacionalizar esta intuição.
algoritmo proposto
O desenvolvimento do algoritmo proposto começa por modelar os dados do problema como um grafo bipartido G b, em que
os casos de atividade de rede estão conectados às suas características (ver Figura 2.1 ). É fácil ver que a matriz de
adjacência UMA para gráfico G b É dado por
UMA ¼ 0 X (2.2)
XT0
Figura 2.1:
Dos desenhos animados do modelo de grafo bipartido G b. Instâncias de actividade de rede (vértices branco) estão ligados a
as características (vértices preto) que as caracterizam, e pesos de ligação (bordas pretas) reflectir o
magnitudes tomadas pelas características nas instâncias associadas.
onde matriz X ˛ < n j F j é construído empilhando o n vetores de características instância como linhas, e cada “ 0 ”É uma matriz de
zeros. No algoritmo proposto, o modelo grafo bipartido G b é usado para explorar o relacionamento entre casos e características ao
supor que, em G b, instâncias positivas / negativas tenderão a ser ligado a características positivas / negativas. Note-se que, como
mostrado abaixo, o algoritmo de aprendizagem pode incorporar ambos os rótulos de instância e etiquetas de características (se
disponível). No caso da última assume-se que as etiquetas apresentam são usados para construir vetor
W ˛ < j F j, onde as entradas de W são definidas para º 1 (inocente), 1 (malicioso), ou 0 (desconhecida) de acordo com a polaridade das
características correspondentes.
Muitas aplicações de segurança cibernética são caracterizados pela presença de dados rotulados limitados para a classe ataque de juros,
mas ampla informação rotulado para uma classe relacionada de atividade maliciosa. Por exemplo, um analista pode estar interessado na
detecção de uma nova classe de ataques, e pode ter na mão um grande conjunto de exemplos rotulados de comportamento normal da
rede, bem como os ataques que têm sido experimentadas no passado recente. Neste cenário, é natural a adotar uma abordagem de
aprendizagem de transferência, em que o conhecimento sobre casos anteriormente observados de comportamento inocente / malicioso,
o chamado fonte dados, é transferido para permitir a classi fi cação de novo alvo dados. No que se segue, apresentamos uma nova
abordagem bipartite baseada em gráfico para transferir aprendizagem que é bem adequado para aplicações de defesa cibernética.
Assume-se que os dados iniciais problema consiste de um conjunto de n ¼ n T º n S eventos de rede, onde n T é o (pequeno)
número de instâncias marcados disponíveis para o domínio alvo; isto é, exemplos de atividade de rede de interesse atual, e n S n T é
o número de instâncias rotulados de algum domínio de origem relacionada, dizem refletindo atividade inocente e malicioso
recente; Suponha também que um léxico modesta F eu características de rotulados é conhecido (este conjunto pode estar vazia).
Que este dados da etiqueta ser usado para codificar vetores d T ˛ < nT, d S ˛ < nS, e W ˛ < j F j
respectivamente. Denotamos por d T, Husa ˛ < nT, d S, Husa ˛ < nS, e c ˛ < j F j os vetores de rótulos estimados classe para as instâncias
destino e de origem e as características e fi ne da aumentada classi fi er c agosto ¼ ½ d TS; Husa d TT; Husa c TT ˛ < n thj F j. Note-se que
a quantidade c agosto é introduzido por conveniência de notação no desenvolvimento posterior e não está diretamente
empregado para classi fi cação.
34 Capítulo 2
Obtivemos um algoritmo de aprendizagem c agosto, e, portanto, c, resolvendo um problema de otimização envolvendo os dados de
treinamento origem e de destino marcado, e depois usar c para estimar o rótulo de classe de qualquer nova instância da atividade de rede
através do simples orient er classificadas linear ¼ placa( c T x).
Este er fi classi é referido como -based learning transferência Porque c é aprendido, em parte, através da transferência de conhecimento
sobre a forma como o comportamento da rede inocente e malicioso se manifesta em um domínio que está relacionado com (mas não
precisa ser idêntica a) o domínio de interesse.
Queremos aprender um fi classi aumentada er c agosto com as quatro seguintes propriedades: (1) se um exemplo de origem é marcado,
então a correspondente entrada de d S, Husa deve ser próximo a este 1 rótulo; (2) se um exemplo alvo é marcada, em seguida, a entrada
correspondente de d T, Husa deve ser próximo a este Uma etiqueta, e a informação codificada em d T Deve ser enfatizado em relação ao
que nos rótulos de origem d S; ( 3) se uma característica é no léxico F eu, em seguida, a entrada correspondente de c
deve ser próximo a este Uma etiqueta; e (4) se existe uma aresta X eu j do G b que liga uma instância Eu
e um recurso j, e X eu j possui peso significante, em seguida, os rótulos de classe estimados para Eu e j
devem ser semelhantes.
Os quatro objetivos listados acima pode ser realizado por resolver o seguinte problema de otimização:
min c T agosto eu c agosto º b 1 d S; Husa k S d S 2 º b 2 d T; Husa k T d T 2 º b 3 k cw k 2 (2,3)

c agosto
Onde eu ¼ DA é o gráfico da matriz para Laplaciano G b, com D o grau matriz diagonal para UMA
(ou seja D ii ¼ S j UMA eu j), e b 1, b 2, b 3, k S, e k T são constantes não-negativos. Minimizando (2.3) reforça as quatro propriedades que
procuramos para c agosto Mais especificamente, os segundo, terceiro e quarto termos penalizar “erros” no primeiros três propriedades, e
escolher b 2> b 1 e k T> k S favorece os dados da etiqueta alvo sobre rótulos de origem. Para ver que o primeiro termenforces a quarta
propriedade, note que esta expressão é uma soma de componentes do formulário X eu j( d T, Husa, Eu
c j) 2 e X eu j( d S, Husa, Eu c j) 2. o
constantes b 1, b 2, e b 3 pode ser usado para equilibrar a importância relativa dos quatro propriedades.
o c agosto que minimiza a função de objectivo (2,3) pode ser obtido por resolução do seguinte conjunto de equações lineares:
24 eu 11 º b 1 Eu nS 35 c agosto ¼ 24 b 1 k S d S 35
eu 12 eu 13
eu 21 eu 22 º b 2 Eu nT eu 23 b2kTdT (2,4)
eu 31 eu 32 eu 33 º b 3 Eu j F j b3W
onde o eu eu j são blocos de matriz de eu de dimensão apropriada. O sistema (2.4) é escasso, porque a matriz de dados X é escassa
e, portanto, problemas de grande escala podem ser resolvidos de forma eficiente. Note-se que em situações onde o conjunto de
instâncias alvo marcadas com os recursos disponíveis e é muito fi cador desempenho limitado, classi pode ser melhorada
substituindo eu em (2.4) com o Laplaciano normalizada eu n ¼ D 1/2 LD 1/2, ou com um poder desta matriz eu kn ( para k
um inteiro positivo).
Resumimos a discussão acima esboçando um algoritmo para construir a proposta de transferência de aprendizagem classi
fi er:
Algoritmo TL (Transferência de aprendizagem)
1. Montar o conjunto de equações (2,4) , Possivelmente através da substituição do gráfico Laplaciano eu com eu kn.
2. Resolve equações (2,4) para c agosto ¼ ½ d TS; Husa d TT; Husa c TT ( por exemplo, utilizando o método do gradiente conjugado).
3. Estime o rótulo de classe (inocente ou maliciosa) de qualquer nova atividade da rede X de interesse
como: orient ¼ placa( c T x).
avaliação do algoritmo
Vamos agora examinar o desempenho do Algoritmo TL para o problema de distinguir a atividade da rede inocente e
malicioso na KDD Cup 99 conjunto de dados, uma coleção de dados de rede disponível ao público que consiste em
ambas as atividades normais e ataques de vários tipos
[10] . Para este estudo foram seleccionados aleatoriamente 1000 ligações normais ( N), 1000 ataques de negação ofservice ( DoS), e 1000
eventos de acesso remoto não autorizado ( R2L) para servir como nossos dados de teste. Além disso, pequenas séries de cada uma
destas classes de actividade foram escolhidos aleatoriamente a partir de Ref. [10] para ser utilizado para a formação Algoritmo TL, e um
léxico de quatro características, dois positivos e dois negativos, foi construído manualmente e empregues para formar o vector de léxico W.
Nós definida duas tarefas com as quais a explorar a utilidade de AlgorithmTL. Na primeira, o objetivo é distinguir N e DoS instâncias,
e presume-se que a sequência de dados está disponível para treinar Algoritmo TL: (1) um conjunto de d S / 2 rotulado N e d S
/ 2 rotulado R2L instâncias (dados de base), (2) um conjunto de d T / 2 rotulado N e d T / 2 rotulado DoS instâncias de dados
(alvo), e (3) os quatro características léxico. Assim, o domínio de origem consiste N e R2L actividades e o domínio alvo é
composto de N e DoS instâncias. Na segunda tarefa a situação é inversa e o objetivo é distinguir N e R2L actividades, o
domínio de origem é composta de d S ( total)
rotulado N e DoS instâncias, e o domínio alvo consiste d T ( total) N e R2L instâncias. Em todos os testes o número de casos
de origem marcados é d S ¼ 50, enquanto que o número de casos alvo d T é variada para explorar a forma como classi fi
desempenho er depende deste parâmetro chave. De particular interesse é determinar se é possível obter um bom
desempenho com dados de destino única limitados, já que este resultado seria sugerir tanto que informações úteis sobre
uma determinada classe ataque está presente em outros ataques e que Algorithm TL é capaz de extrair essas informações.
Este estudo comparou a precisão classi fi cação de Algoritmo TL com a de uma versão bem afinada do algoritmo
de RLS (1) e um padrão Nal Ve o algoritmo de Bayes (NB) [11] ; Enquanto o
precisões obtidos com os RLS e NBmethods foram bastante semelhantes, relatamos apenas os resultados da SPI. Algoritmo
TL foi implementado com os seguintes valores de parâmetros: b 1 ¼ 1.0,
36 Capítulo 2
100
95
90
85
precisão
80
75
70
DoS, TL
DoS, SPI
65 R2L, TL
R2L, RLS
60 0
10 20 30 40 50 60
# casos rotulados
Figura 2.2:
Desempenho do Algoritmo TL com dados rotulados limitados. O gráfico mostra como precisão classi fi cador (eixo vertical) varia de acordo
com o número de instâncias alvo marcadas disponíveis (eixo horizontal) para quatro
tarefas: distinguir N e DoS utilização RLS classi fi er, distinguir N e DoS utilizando o algoritmo de TL, distinguir N e R2L usando
RLS classi fi cador, e distinguir N e R2L usando o algoritmo de TL.
b 2 ¼ 3,0, b 3 ¼ 5.0, k S ¼ 0,5, k T ¼ 1,0, e k ¼ 5. Foram examinados conjuntos de treino que incorporaram os seguintes números de
ocorrências alvo: n T ¼ 5, 10, 20, 30, 40, 50, 60. Como nos estudos anteriores (ver, por exemplo, Ref. [10] ), Apenas as 34
“características contínuas” foram usados para aprender as ers fi classi.
Os resultados das amostras deste estudo estão representados na Figura 2.2 . Cada ponto de dados nos gráficos representa a
média de 100 ensaios. Pode ver-se que o algoritmo TL supera a RLS classi fi er (e também o algoritmo NB padrão, não
mostrado), e que a diferença na precisão dos métodos aumenta substancialmente como o volume de dados de treino a partir
do domínio de destino torna-se pequena. O desempenho do algoritmo de TL para esta tarefa também é superior à relatada
por outros métodos de aprendizagem testadas nesses dados [12] . A capacidade de Algoritmo de TL para identificar com
precisão um ataque de novo depois de ver apenas muito poucos exemplos da mesma, que é uma consequência directa da
sua capacidade de transferir o conhecimento útil a partir de dados relacionados, deverá ser de valor considerável para uma
gama de segurança digital aplicações.
Finalmente, é interessante observar que a formulação gráfico bipartido de Algoritmo TL permite informação útil a ser extraído a partir
de dados de rede mesmo que nenhuma instância rotulados estão disponíveis. Mais especificamente, nós repetimos o estudo acima
para o caso em que d T ¼ d S ¼ 0; isto é, quando não há casos marcados estão disponíveis em qualquer um dos domínios de destino
ou de origem. o
100
95 LO
90 LL
85
80
precisão
75
70
65
60
55
50
DoS R2L
tipo de ataque
Figura 2.3:
Desempenho do Algoritmo TL quando há casos rotulados estão disponíveis. Os gráficos de barras mostram precisão fi classificador por quatro
tarefas: distinguir N e DoS usando um léxico somente (LO) classi fi cador (esquerda, barra cinzenta), distinguir N e DoS utilizando-léxico aprendizagem
(LL) via Algoritmo TL (esquerda, barra preta), distinguir
N e R2L usando um fi er LO classificadas (à direita, barra cinza), e distinguir N e R2L usando LL via Algoritmo
TL (direita, barra preta).
conhecimento refletida na w léxico vector ainda é disponibilizado para AlgorithmTL. Como mostrado em Figura 2.3 ,
Empregando um “léxico apenas” classi er fi, em que o vector W é utilizado para construir um regime à base de conhecimento,
tal como descrito em seção 2.2.1 , Produz uma precisão classi fi cação que não é muito melhor do que os 50% da linha de
base obtida com suposição aleatória. No entanto, usando esta informação léxico juntamente com Algoritmo TL permite
precisão classi fi cação útil a ser obtido (ver Figura 2.3 ). Este resultado surpreendente pode ser explicado da seguinte forma:
A propriedade “clusters” de Algoritmo TL codificado em função objetivo (2.3) permite que o conhecimento de domínio no
léxico para alavancar informações latente presente na unlabeled
casos destino e de origem, aumentando assim a precisão fi classificador.
2.2.3 Algoritmo 2: Geração Ataque Synthetic
Nesta seção, derivar nosso algoritmo baseado em ltro segunda fi para distinguir a atividade de rede normal e malicioso e
demonstrar a sua eficácia através de um estudo de caso utilizando o conjunto de dados Ling-Spam disponível ao público [13] .
Mais uma vez a intuição é que co-evolução invasor / defesa deve fazer actividade anterior um pouco indicativo do
comportamento futuro, e no presente caso, operacionalização esta noção, gerando “previsto” de dados de ataque e usando
estes dados sintéticos para a formação fi cador classi.
algoritmo proposto
O desenvolvimento da segunda abordagem para proactiva fi ltro defesa à base começa por modelagem interacção invasor /
defesa como um sistema dinâmico híbrido estocástica (S-HDS). Aqui nós
38 Capítulo 2
apresentar um breve panorama, intuitiva da idéia básica; uma descrição detalhada do procedimento de modelagem é dada em
Ref. [7] . Um S-HDS (ver Figura 2.4 ) É uma interligação de feedback de um processo estocástico discreta de estado, tal como
uma cadeia de Markov, com uma família de sistemas dinâmicos estocásticos de estado contínuo [6,14] . Combinando dinâmicas
discretas e contínuas dentro de uma unificado, computacionalmente tratáveis estrutura oferece um ambiente de modelagem
expressiva e escalável, que é passível de análise matemática formal. Em particular, os modelos S-HDS podem ser usados para
eficientemente representar e analisar fenômenos dinâmica que evoluir em várias escalas de tempo [14] , Uma propriedade de
valor considerável no presente pedido.
Como uma simples ilustração da forma como o formalismo S-HDS permite eficazes, eficientes representação matemática dos
fenómenos cibernéticos, considere a tarefa de modelar o co-evolução de métodos de ataque de spam e lters de spam fi. Em um
nível abstrato, mas ainda útil, pode-se pensar de spam e dinâmica de spam dos filtros como evoluindo em duas escalas de tempo:
• o escala de tempo lento, que capta a evolução de estratégias de ataque; como um exemplo, considere a maneira início de spam
fi ltros aprendeu a detectar spam através da identificação de palavras que foram consistentemente associados com spam, e
como spammers responderam modificando sistematicamente a redação de suas mensagens, por exemplo através de
“add-palavra” (AW) e “ sinônimo”ataques [15] .
• o escala de tempo rápido, que corresponde à geração de casos especiais de ataque para um dado “modo” de ataque
(por exemplo, a síntese de mensagens de spam de acordo com um método de ataque c fi AW especi).
Mostramos na Ref. [7] que uma gama de comportamento contraditório pode ser representado no quadro S-HDS, e derivar
modelos simples, mas razoáveis para o spam e dinâmica dos filtros de spam e para classes básicas de ataques de intrusão de
rede.
No Ref. [14] nós desenvolvemos um procedimento matematicamente rigorosa para análise preditiva para classes gerais de
S-HDS. Entre outras capacidades, esta metodologia analítica permite a
Figura 2.4:
Esquemática da estrutura básica de feedback S-HDS. Os sistemas discretas e contínuas neste modelo quadro de seleção
do adversário de ataque “mode” e comportamento de ataque, resultando
respectivamente, que surgem a partir da co-evoluindo invasor e dinâmica defensor.
previsibilidade de dados dinâmica a ser avaliada e as measurables preditivos (se houver) a ser identificado. Aplicando este
processo de avaliação de previsibilidade para os modelos contraditório S-HDS construídos em Ref. [7] revela que, para
muitos desses modelos, o mensurável mais preditiva é a modo de ataque; isto é, a variável de estado para o componente
do sistema discreto do S-HDS (ver Ref. [7] para uma descrição detalhada desta análise). Observe que este resultado é
intuitivamente sensato.
Essa descoberta sugere a seguinte analítico dados de aprendizagem (sintéticos abordagem SDL) para defesa pró-ativa: Em primeiro
lugar, identificar o modo (s) de ataque de interesse. Para ataques que já estão em curso, Ref. [7] oferece um método de estimativa
S-HDS-sistema discreto estado que permite que o modo para ser inferida utilizando apenas quantidades modestas de dados
medidos. Em alternativa, e de mais interesse na presente aplicação, é muitas vezes possível identificar modos futuro ataque provável
através da análise das fontes de informação auxiliares (por exemplo, o conhecimento objecto possuído por especialistas do domínio
ou dados “não-virtuais” tal como aquele encontrado em mídia social
[16 e 18] ).
Uma vez que um modo de ataque candidato tem sido identificados, os dados de ataque sintéticos correspondentes para o modo pode
ser gerado através do emprego de um dos modelos de S-HDS derivados na Ref. [7] . Os dados sintéticos assumir a forma de um
conjunto de K vectores exemplo ataque de rede, indicadas
UMA S ¼ { X S1, ., X SK}. O conjunto UMA S pode então ser combinado com as medições (real) de eu
exemplos de actividade de rede normais, N M ¼ { X NM1, ., X NML}, e P ( recentemente) observaram ataques, UMA M ¼ { X M1, ., X MP}, produzindo
o conjunto de dados de treinamento TR ¼ N M W UMA M W UMA S de dados reais e sintéticos. Note-se que uma maneira eficaz de
gerar um conjunto UMA S de ataques de síntese consiste em utilizar o formalismo S-HDS para apropriadamente transformar casos de
ataque amostrados a partir do conjunto de ataque observado UMA M, ao invés de tentar construir ataques sintéticos “a partir do zero.”
A hipótese é que ers formação classi fi com dataset TR pode oferecer um mecanismo para derivar defesas que são eficazes contra
ambos atividade maliciosa atual e do futuro próximo.
Resumimos a discussão acima esboçando um procedimento para a construção da proposta SDL classi fi er:
Algoritmo de SDL (sintético Aprendizagem de dados)
1. Identificar o modo (s) de ataque de interesse (por exemplo, através de especialistas do domínio ou dados auxiliares).
2. Montar conjuntos de actividade normal da rede medido N M e actividade ataque medido UMA M
para a rede em estudo.
3. Gerar um conjunto de casos de ataque sintéticos UMA S correspondente ao modo de ataque (s)
identificado no passo 1 (por exemplo por transformação em ataques UMA H).
4. Trem uma classi fi cador (por exemplo, síndrome das pernas inquietas, NB), utilizando os dados de treinamento TR ¼ N M W UMA M W UMA S. estimar o
rótulo de classe (inocente ou maliciosa) de qualquer nova atividade da rede X com a classi fi er treinado usando dados TR.
40 Capítulo 2
avaliação do algoritmo
Vamos agora examinar o desempenho do algoritmo SDL para o problema de distinguir e-mails legítimos e spams no conjunto de
dados Ling-Spam [13] , Um corpus de 2412 e-mails que não são spam recolhidos a partir de uma lista de discussão linguística e 481
e-mails de spam recebidos pela lista. Após a limpeza de dados e subsampling aleatória das mensagens que não são spam ficamos
com 468 spam e 526 não-spammessages para fins de treinamento e teste; este conjunto de 994 e-mails serão referidas como o Spam
nominal corpus (note que todos os e-mails foram pré-processados usando o i fi le ferramenta [19] ).
Nós consideramos três cenários neste estudo:
1. NB classi fi cador / spam nominal: Para cada um dos 10 ensaios, o corpo de spam nominal foi dividido aleatoriamente em formação de igual
tamanho e conjuntos de ensaio e a etiqueta de classe para cada mensagem no conjunto de teste foi estimada com um nai
Ve o algoritmo de Bayes (NB) [11] aprendidas no conjunto de treinamento.
2. NB classi fi cador / spam nominal mais ataque: Para cada um dos 10 ensaios, o corpo de spam nominal foi aleatoriamente dividida em
conjuntos de treino e de teste de igual tamanho e o conjunto de teste foi, em seguida, aumentada com 263 mensagens não-spam
adicionais (retirado do Ling dataset -Spam) e 234 spammessages gerados através de um add-palavra padrão (AW) metodologia de
ataque [15] ; os rótulos de classe para as mensagens de teste foram estimados com um algoritmo NB [11] aprendidas no conjunto de
treinamento de spam nominal.
3. Algoritmo SDL nominal acrescido de ataque de spam /: Para cada uma das 10 corridas, os corpora de treinamento e teste foram construídos
exatamente como no Cenário 2 e os rótulos de classe para as mensagens de teste foram estimados com o Algoritmo SDL.
Em gerando os ataques AW em cenários 2 e 3, assumimos que o atacante sabe para construir AW spam para derrotar
um fi ltro NB, mas não tem conhecimento da especi fi c fi ltro envolvidos [15] . Os ataques AW sintéticos gerados no
Cenário 3 (utilizando o passo 3 do Algoritmo SDL) são calculadas sem o conhecimento da metodologia do invasor para
além do modo de ataque (ou seja, AW).
Os resultados das amostras deste estudo são apresentados na Figura 2.5 . Em cada caso, a “matriz de confusão” [8] relata o
(arredondado) desempenho médio ao longo dos 10 corridas. Pode ser visto que, como esperado, o NB fi ltro faz bem contra o
Spam nominal, mas fracamente contra o Spam AW (na verdade, o NB fi ltro não detecta uma única instância de AW spam).
Em contraste, o algoritmo executa SDL bem contra ambos Spam nominal e AW spam, alcançar ~ 96% de precisão de catiões
classi fi com uma taxa de falsos positivos de baixo. Enfatiza-se que este resultado é obtido utilizando apenas a estimativa
(sintético) do spam AW gerado no passo 3 do Algoritmo SDL.
2,3 de alerta rápido
Nesta seção, vamos desenvolver uma capacidade de alerta precoce para uma importante classe de ataques de rede de computadores
e ilustrar o seu potencial através de um estudo de caso envolvendo motivação política DoS ataques.
Figura 2.5:
Desempenho do Algoritmo SDL no conjunto de dados spam. Cada matriz de confusão mostra o número de mensagens que não são spam
classificadas como não-spam e Spam (coluna da esquerda) e o número de mensagens de spam classificadas como não-spam e Spam (coluna
da direita). As três matrizes, de cima para baixo, relatar os resultados para: NB contra o spam nominal, NB contra o spam que contenha
adicionar palavra-ataques, e Algoritmo
SDL contra o spam que contenha adicionar palavra-ataques.
2.3.1 Preliminares
ataques de rede de computadores assumir muitas formas, incluindo o comprometimento do sistema, o roubo de informações e ataques de
negação de serviço destinados a interromper os serviços. No que se segue nos concentramos em derivar uma capacidade de alerta
precoce para o serviço de negação de distribuída (DDoS); ou seja, os esforços coordenados em que os computadores são instruídos a fl
ood um victimwith tráfego fi c projetado para sobrecarregar serviços ou consumir largura de banda. Em particular, nós nos concentramos
em ataques DDoS politicamente motivados, por três razões principais: (1) este tipo de ataques é uma ameaça importante e em
crescimento [17] (2), esta classe é representativa de outras ameaças de interesse, e (3), espera-se que, no caso de ataques politicamente
motivados a coordenação entre os atacantes podem ter lugar, em parte, através de meios de comunicação social, permitindo assim uma
análise empregando única dados publicamente disponíveis.
Considere a tarefa de detectar as assinaturas de mídia social associados atacantes coordena um DDoS politicamente
motivadas. Um exemplo clássico do tipo de ataque de interesse é a sequência de ataques DDoS que foram lançados
contra sites governamentais e comerciais na Estónia a partir do final de Abril de 2007. Curiosamente, um estudo
retrospectivo desses eventos revela que houve planejamento significativo e coordenação entre atacantes através da
web
42 Capítulo 2
fóruns e blogs antes dos ataques reais [17] , Apoiando a hipótese de que pode ser possível detectar indicadores de
alerta precoce em mídia social antecipadamente de tais ataques.
Claro, a detecção de indicadores de alerta precoce de um ataque DDoS iminente nas mídias sociais é uma tarefa
assustadora. Desafios associados com esta tarefa incluem o vasto volume de discussões em curso on-line, a necessidade de
distinguir as ameaças credíveis de tagarelice irrelevante, e a necessidade de identificar os indicadores de ataque confiáveis
cedo o suficiente para ser útil (por exemplo, pelo menos, alguns dias antes do ataque ). Recentemente, temos desenvolvido
um quadro geral dentro do qual a estudar esta classe de problema de alerta precoce [14,18,20] . A premissa básica é que a
geração de previsões úteis sobre processos sociais, tais como o planejamento e coordenação de um evento de DDoS, exige
uma análise cuidadosa da forma como os indivíduos interagem através de suas redes sociais. portanto, a metodologia aviso
proposta explora informações sobre interações de rede sociais para prever que as discussões on-line nascente acabará por
levar a eventos de ataque do mundo real e que irá desaparecer na obscuridade. Curiosamente, as características
encontradas possuir poder preditivo explorável vir a ser medidas sutis de dinâmica de rede associados com a evolução das
discussões relacionadas com o ataque início [14,18,20] .
Nós agora fl brie y resumir o quadro de alerta precoce apresentado em Refs [14,18,20] e sua aplicação para os DDoS
aviso problema, e em seguida, ilustrar a implementação e desempenho do método de alerta através de um estudo de caso
envolvendo ataques pela Internet politicamente motivadas.
2.3.2 Método de Alerta Precoce
Na dinâmica social, os indivíduos são frequentemente afectados por aquilo que os outros fazem. Como consequência, os
fenômenos sociais pode depender das características topológicas da rede social subjacente, por exemplo, o grau de distribuição
ou presença de pequena estrutura mundo, e aspectos desta dependência foram caracterizados (ver Ref. [21] para uma revisão
recente). Mostramos em Refs
[14,18,20] que, para uma ampla gama de fenômenos sociais, previsão útil exige uma análise da forma como o
comportamento dos indivíduos interage com comunidades de redes sociais; isto é, densamente ligado grupos de indivíduos
que têm apenas relativamente poucas ligações a outros grupos. O conceito de estrutura da comunidade de rede é ilustrado
na Figura 2.6
e é definida com mais cuidado abaixo. Esta dependência sugere que a fim de obter métodos de alerta precoce úteis
para fenômenos sociais, deve-se considerar a topologia da rede social subjacente; no entanto, os algoritmos de
previsão padrão não incluem tais características.
Enquanto a estrutura da comunidade é muito apreciado ser uma propriedade topológica importante nas redes sociais do
mundo real, não há um consenso semelhante quanto qualitativos ou quantitativos definições de fi para este conceito. Aqui
adotamos a de fi nição baseada na modularidade proposto na Ref. [23] , Em que um bom particionamento de vértices de uma
rede em comunidades
Figura 2.6:
estrutura da comunidade de rede. Diagrama da esquerda mostra uma rede com três comunidades; gráfico à direita é uma rede de
blogs políticos nos quais comunidade de blogs liberais (grupo à esquerda) e
comunidade de blogs conservadores (grupo à direita) são claramente visíveis [22] .
é aquela para a qual o número de arestas entre as comunidades putativos é menor do que seria de esperar em um particionamento
aleatória. Para ser concreto, um particionamento baseado em modularidade de uma rede em duas comunidades maximiza a
modularidade Q, definida como
Q ¼ s T bs = 4 m (2,5)
Onde m é o número total de arestas na rede, a partição é especi fi cados com os elementos do vector s, definindo s Eu ¼ 1
se vértice Eu pertence à comunidade 1, e s Eu ¼? 1 se ele pertence à comunidade 2 e matriz B tem elementos B eu j ¼ UMA eu
j k Eu k j / 2 m, com UMA eu j e k Eu
denota a matriz de adjacência rede e grau de vértice Eu respectivamente. Partições de rede em mais de duas comunidades
podem ser construídos de forma recursiva [23] . Note-se que partições comunidade baseada modularidade pode ser fi
cientemente ef calculado para as grandes redes sociais e requerem apenas dados de topologia de rede para a sua construção.
Apesar do fato de que a estrutura da comunidade é omnipresente em redes sociais reais, pouco tem sido feito para incorporar
considerações de comunidades em métodos de previsão sociais. em Refs
[14,18,20] apresentamos evidência teórica e empírica de que a previsibilidade da dinâmica social, muitas vezes depende
crucialmente da estrutura da comunidade de rede. Mais especificamente, mostramos que a dispersão precoce de uma
“atividade” dinâmica social em comunidades de rede é um indicador precoce de confiança que a medida final da atividade
será signi fi cativa. (Talvez surpreendentemente, esta medida é mais preditivo do que a magnitude início da actividade.)
No contexto de alerta precoce para ataques cibernéticos com motivações políticas, a atividade social de interesse é a
comunicação associada ao planejamento e coordenação do ataque. Assim, é de interesse para recolher dados que permitem a
quantificação da extensão em que as comunicações iniciais deste tipo são dispersos através das comunidades de rede. Tais
dados devem, portanto, incluir rede social informações su fi ciente para permitir que o de identificação das comunidades de
rede como
44 Capítulo 2
bem como a detecção de discussões relacionadas com ataque entre indivíduos na rede. Uma maneira de lidar com esse desafio
é adotar conectados atividade social como um proxy para discussão e troca de informações attackrelated do mundo real. Mais
especificamente, usamos posts como nosso conjunto de dados principal. A rede de blog é modelada como um gráfico no qual os
vértices são os blogs e as arestas representam ligações entre blogs, com dois blogs que está sendo vinculado se um post em um
hiperlinks para um post no outro. Entre outras coisas, este modelo gráfico do blog permite que o de identificação das
comunidades no blog: Estes são os grupos de blogs correspondentes à partição gráfico blog que maximiza a modularidade Q para
o gráfico (ver (2,5)); estes grupos de blogs servem como nosso procurador para as comunidades da rede social.
Estamos agora em uma posição para especificar um algoritmo de alerta precoce para ataques DDoS politicamente motivadas.
O algoritmo operacionaliza a “dispersão inicial de discussões relacionadas com o ataque” indicador, computando uma medida
da magnitude desta dispersão e emitir um alerta se e somente se a dispersão é “grande”.
Algoritmo EW (Early Warning):
Inicialização: Identificar um conjunto (grande) de blogs e fóruns relevantes de segurança cibernéticos B de ser continuamente
monitorada; B deve incluir locais contribuíram para e freqüentado por ambos os atacantes (ex: fóruns de hackers) e defensores (por
exemplo, blogs de segurança).
Procedimento:
1. Execute detecção meme com os blogs em B para identificar todos os “memes” que são potencialmente
relacionadas com ataques DDoS politicamente motivadas. Caracterizar o tema (s) discussão associado a cada
meme.
2. Realizar uma sequência de indexações gráfico g e construir uma série de gráficos de tempo g G B ( t).
Para cada meme / tópico M de interesse e cada período de tempo t, rotular os blogs em G B ( t) como “ativo” se eles
contêm um post contendo M e “inativa” caso contrário.
3. formar a União G B ¼ W t G B ( t), divisória G B em comunidades de rede, e mapear o
comunidades estrutura G B de volta para cada um dos gráficos G B ( t).
4. Calcule a série temporal de volume pós e a entropia post / comunidade ( PCE) séries temporais
para cada meme / tópico.
5. Construção de um conjunto de síntese de PCE séries temporais da dinâmica de volume pós para
cada meme / tópico.
6. Compare o real PCE série tempo para a série conjunto sintético para cada meme / tópico
M para determinar se a dispersão inicial observado da atividade nas comunidades é “grande” para o tópico M.
Nós já oferecem detalhes adicionais sobre o procedimento; uma discussão mais abrangente da metodologia é fornecida
no Ref. [7] . Passo 1 é realizada utilizando o processo descrito nas Refs [20,24] . Observe que “memes” neste contexto
são frases distintas que se propagam relativamente inalterado online e funcionar como “rastreadores” para tópicos de
discussão. Isto é
mostrado nas Refs [20,24] que a detecção memes nos meios de comunicação social é uma maneira útil e geral para
descobrir tópicos e tendências emergentes, e nós demonstramos em Ref. [7] que a análise meme permite a detecção de
discussões sobre o planejamento e coordenação de DDoS politicamente motivadas dentro de um ou dois dias do início
destas discussões.
Passo 2 é agora padrão, e existem diversas ferramentas que podem executar essas tarefas [25] . Na etapa 3, comunidades de rede blog
são identi fi cados com um algoritmo de extração de comunidade baseada na modularidade aplicada ao gráfico de blogue [23] . No passo
4, o volume pós para um meme dada / tópico M,
comunidade Eu, e intervalo de amostragem t é obtida através da contagem do número de mensagens que contenham
M feito para os blogs que compreendem comunidade Eu durante o intervalo t. PCE para um meme especial / tópico M e intervalo de amostragem
t é definida da seguinte forma:
PCE M t ¼? X f Mi t registro f Mi t (2,6)

Eu
Onde f Mi( t) é a fracção do total contendo M e é feito durante o intervalo t, que ocorre em comunidade Eu. Dada a série temporal
volume de pós obtidos no passo 4, passo 5 envolve a construção de um conjunto de PCE séries temporais que seria esperado
sob “circunstâncias normais”; isto é, se meme M propagadas a partir de um pequeno conjunto de sementes de iniciadores de
acordo com modelos padrão de difusão social [18,20] . Observe que este passo nos permite quantificar a dispersão esperada
para PCE H ( t), para que possamos reconhecer dispersão “grande”. Passo 6 é levada a cabo através da procura de memes M e
períodos de tempo t durante o qual PCE H ( t) excede a média da sintético PCE ensemble de por um utilizador de-fi limite nido
(por exemplo, dois desvios-padrão).
2.3.3 Estudo de Caso: DDoS motivação política
Esta subseção apresenta os resultados de um estudo de caso tem como objetivo explorar a capacidade do Algoritmo EW para
fornecer alerta precoce confiável para ataques DDoS. Para este fim, nós primeiro identificaram um conjunto de Internet “perturbações”
que incluíam exemplos de três classes distintas de eventos:
1. bem-sucedidos ataques DDoS politicamente motivados e estes são os eventos para os quais Algorithm
EW se destina a fornecer aviso com su fi ciente tempo chumbo para permitir mitigar ações a serem tomadas.
2. Os eventos naturais que interrompem serviços de Internet e estes são as perturbações, tais como tremores de terra
e interrupções de energia elétrica, que o impacto da Internet, mas para o qual sabe-se que não há sinal de alerta precoce existe nos meios de
comunicação social.
3. períodos de calma e estes são períodos em que não há mídia social “conversa fiada” sobre
iminente ataques DDoS mas, essencialmente, nenhum ataque (sucesso) ocorreu.
eventos, incluindo selecionados a partir desses três classes no estudo de caso se destina a fornecer um teste bastante
abrangente de AlgorithmEW. Por exemplo, essas classes correspondem a (1) o domínio de interesse (ataques DDoS), (2) um
conjunto de perturbações que afetam a Internet, mas não têm
46 Capítulo 2
sinal de mídia social aviso, e (3) um conjunto de “não-acontecimentos” que não afetam o Internet mas não possuem sinais de
alerta putativos de mídia social (discussão de ataques DDoS).
Foram selecionados 20 eventos a partir dessas três classes:
ataques DDoS politicamente motivados
• evento Estónia em abril de 2007
• incidente CNN / China em Abril de 2008

• Israel / Palestina con fl ito evento em janeiro de 2009
• DDoS associados eleições iranianas em Junho de 2009

• caso WikiLeaks em novembro de 2010
• Anonymous v. PayPal, ataque etc. em dezembro de 2010
• Anonymous v. Ataque HBGary em fevereiro de 2011.
distúrbios naturais
• falta de energia Europeia em Novembro de 2006

• terremoto Taiwan em dezembro de 2006
• Furacão Ike em setembro de 2008
• corte cabo Mediterrâneo em janeiro de 2009
• terremoto Taiwan março 2010
• terremoto Japão em Março de 2011.
períodos de silêncio
Sete períodos, entre março de 2005 a março de 2011, durante o qual houve discussões em mídias sociais de
ataques DDoS em várias agências do governo dos EUA, mas há ataques (de sucesso) ocorreram.
Para abreviar, uma discussão detalhada desses 20 eventos não é dado aqui; o leitor interessado é referido Ref. [7] Para obter
informações adicionais sobre estas perturbações.
Foram coletadas duas formas de dados para cada um dos 20 eventos: dados cibernéticos e dados sociais. Os dados cibernéticos
consistem em séries temporais de atualizações de roteamento que foram emitidos pelos roteadores de Internet durante um período de
um mês ao redor de cada evento. Mais precisamente, estes dados são as atualizações de roteamento Border Gateway Protocol (BGP)
trocados entre os hosts de gateway na rede Sistema Autônomo da Internet. Os dados foram descarregados a partir do site coleção RIPE
acessíveis ao público [26] usando o processo descrito no Exemplo de Ref. [27] (Ver Ref. [27] para obter detalhes adicionais e
informações básicas sobre a dinâmica de roteamento BGP). A evolução temporal do volume de atualizações de roteamento BGP (por
exemplo, mensagens de abstinência) dá uma medida coarsegrained do tempo e magnitude de grandes interrupções da Internet e,
portanto, oferece uma maneira simples e objetiva para caracterizar o impacto de cada um dos eventos em nossa coleção. Os dados
sociais consistem em séries temporais de mídia social menções de memes relacionados com cibernéticos
Figura 2.7:
resultados da amostra para o estudo de caso de alerta precoce DDoS. As parcelas de séries temporais ilustrativos apresentados correspondem
ao evento WikiLeaks em novembro de 2010 (linha superior) e do terremoto no Japão em março de 2011 (linha inferior). Para cada evento, o enredo
à esquerda é a série temporal de BGP contagem de mensagens de atualização de roteamento (note o grande aumento nas atualizações
desencadeadas pelo evento). O enredo sobre o direito de cada linha é a série de tempo dos dados de mídia social, com a curva sólida mostrando
volume de post e a entropia do blog curva pontilhada representando (em cada caso, as séries temporais são indicados para o meme com maior
volume total ). Note-se que enquanto o volume de pós é escalado para visualização conveniente, a escala
por entropia é consistente em todos os lotes para permitir a comparação cruzada evento.
detectado durante um período de um mês em torno de cada um dos 20 eventos. Estes dados foram recolhidos utilizando o
procedimento especi fi cados no Algoritmo EW.
parcelas de séries temporais ilustrativos correspondentes a dois eventos no estudo de caso, o ataque WikiLeaks DDoS em
novembro de 2010 e terremoto no Japão em março de 2011, são mostrados na
Figura 2.7 . Observe que a série temporal de atualizações de roteamento BGP são semelhantes para os dois eventos, com cada
experimentando um grande “pico” no momento do evento. A série temporal do volume post também são semelhantes nos dois
eventos, com cada um mostrando o volume modesto antes do evento e exibindo um grande aumento na atividade na hora do
evento. No entanto, o tempo de
48 Capítulo 2
série para o blog entropia são bastante distintos para os dois eventos. Especificamente, no caso do WikiLeaks DDoS a
entropia Blog (curva a tracejado na Figura 2.7 ) Experimenta um aumento dramático vários dias antes do evento (e leva o
volume post), enquanto que no caso do terremoto de Japão do blog entropia é pequena para todo o período de coleta (e
defasagens de volume post). comportamento da mídia social semelhante é observado para todos os eventos no estudo de
caso, sugerindo que: (1) dispersão inicial de discussões entre as comunidades de rede blog pode ser um indicador útil de
alerta precoce para ataques DDoS politicamente motivados, e (2) o volume pós associada que estas discussões não
parece ser um indicador precoce útil para esses ataques.
Para investigar esta possibilidade com mais cuidado, avaliamos o desempenho preditivo de sinais de alerta precoce de dois
candidatos nos 20 eventos em nosso conjunto de teste: (1) a “dispersão cedo” PCE
indicador calculado em Algoritmo EW, e (2) um indicador com base no volume simples, em que a presença ou ausência de signi fi de
volume não podem de pós é usada como um sinal de que um ataque DDoS é iminente. Descobrimos que o PCE indicador de bom
desempenho, classificar corretamente todos os 20 eventos (sete ataques e 13 não-ataques) e fornecendo um tempo médio de
chumbo de 16 dias para aviso de ataque. Em contraste, o volume blog não foi encontrado para ser útil para alerta precoce, exibindo
um comportamento essencialmente idêntico para os ataques DDoS e distúrbios naturais e spiking ligeiramente depois de a ocorrência
da interrupção para todos os eventos.
2.4 Considerações Finais
Este capítulo considera o problema de proteger redes de computadores contra invasões e outras interrupções de uma forma
pró-ativa. Começamos por derivar dois novos métodos fi lterbased proativas para defesa da rede: (1) um algoritmo de
aprendizagem bipartite baseado em gráfico de transferência que permite que as informações sobre ataques anteriores a
serem transferidos para aplicação contra novos ataques, aumentando assim substancialmente a taxa com que os sistemas
de defesa pode com sucesso responder a novos ataques, e (2) um método de aprendizagem de dados sintéticos que explora
informações básicas ameaça para gerar dados de ataque para uso em aprender ações de defesa adequados, resultando em
defesas de rede que são eficazes contra ambos os atuais e (perto) futuros ataques. A utilidade destes métodos baseados em
PELD duas fi é demonstrada mostrando que eles superam técnicas padrão para a tarefa de detectar actividade maliciosa na
rede em dois conjuntos de dados virtuais disponíveis publicamente. Em seguida, apresentamos um método de alerta precoce
como uma solução para o problema de antecipar e caracterizar eventos ataque iminente com su fi ciente especificidade e
oportunidade para permitir atenuantes ações defensivas a serem tomadas. O método de aviso é baseado no fato de que
certas classes de ataques requerem os atacantes para coordenar suas ações, e explora as assinaturas desta coordenação
para fornecer aviso de ataque eficaz. O potencial da abordagem baseada em alerta para defesa cibernética é ilustrada
através de um estudo de caso envolvendo ataques pela Internet politicamente motivadas.
Trabalhos futuros incluem a aplicação dos métodos de defesa pró-ativa propostas para ameaças adicionais, incluindo ameaças não
cibernéticos que envolvem atacante e coevolução defensor (por exemplo, contra-terrorismo), bem como o desenvolvimento de novas
estratégias de defesa pró-ativa. Como um exemplo de uma abordagem para o último objectivo, temos mostrado recentemente que a
actividade adversário pode ser prevista com precisão e combatida em certas configurações por métodos de análise de dados de forma
apropriada, combinando (por exemplo, de aprendizagem automática) com modelos comportamentais para dinâmica contraditório (por
exemplo, modelos de jogo incrementais) [28] .
Agradecimentos
Este trabalho foi apoiado pelo Programa de Pesquisa e Desenvolvimento laboratorial controlada pelo Sandia National Laboratories. Agradecemos
Chip Willard do Departamento de Defesa dos EUA para inúmeras discussões úteis sobre aspectos desta pesquisa.
Referências
[1] S. Byers, S. Yang, de fusão em tempo real e de projecção de actividade de intrusão de rede, Proc. ISIF / IEEE
Conferência Internacional sobre Informação Fusion, Colônia, Alemanha, Julho de 2008. [2] R. Armstrong, J. Mayo, F. Siebenlist, desafios
ciência da complexidade em cibersegurança, Sandia National
Laboratórios Relatório AREIA (Março de 2009).
[3] R. Colbaugh, faz co-evolução na adaptação de malwares permitir a análise preditiva? IFAWorkshop, Explorando
Padrões de adaptação de malware, San Francisco, CA, maio de 2010.
[4] Y. Mashevsky, Y. Namestnikov, N. Denishchenko, P. Zelensky, Método e sistema para a detecção e
predição de epidemias relacionadas a vírus de computador, patente US 7743419 (Junho de 2010). [5] M. Bozorgi, L. Saul, S. Savage, G. Voelker,
além heurísticas: Aprender a classificar vulnerabilidades e prever
explorações, Proc. Conferência Internacional ACM em Descoberta de Conhecimento e Mineração de Dados, Washington, DC, julho de 2010.
[6] R. Majumdar, P. Tabuada, Sistemas Híbridos: Computação e Controle, LNCS 5469, Springer, Berlim, 2009. [7] R. Colbaugh, K. Vidro, Defesa
pró-ativa para a evolução de ameaças cibernéticas, AREIA Sandia National Laboratories
Relatório (setembro de 2011).
[8] T. Hastie, R. Tibshirani, J. Friedman, The Elements of Statistical aprendizagem, segunda ed. Springer, New York,
De 2009.
[9] S. Pan, Q. Yang, uma pesquisa sobre o aprendizado de transferência, IEEE Trans. Knowl. Eng dados. 22 (2010) 1345 e 1359. [10] < http://kdd.ics.uci.edu/databases/kddcup99/
>, Último acesso de Dezembro de 2010. [11] < http://www.borgelt.net/bayes.html >, Acessado pela última Julho de 2010.
[12] J. Ele, Y. Liu, R. Lawrence, aprendizagem transferência baseada em grafos, Proc. Conferência ACM de Informação e
Gestão do Conhecimento, Hong Kong, em novembro de 2009. [13] < http://labs-repos.iit.demokritos.gr/skel/i-con fi g / descargas / >, Acessado pela
última vez de Julho de 2010. [14] R. Colbaugh, K. Vidro, análise preditiva para os processos sociais I: Escala Multi- modelagem sistema híbrido, e
II: Previsibilidade e análise aviso, Proc. IEEE Internacional Multi-Conferência sobre Sistemas e Controle, St Petersburg, Rússia, julho de
2009.
[15] D. lowd, C. Meeks, ataques boa palavra sobre estatísticas de spam fi ltros, Proc. 2005 Conferência sobre e-mail e Anti-
Spam, Palo Alto, CA, Julho de 2005.
[16] L. Cao, P. Yu, C. Zhang, H. Zhang, F. Tsai, K. Chan, extracção de dados para Estilo ameaças à segurança virtuais, em: Dados
Mining para aplicações de negócios, Springer US de 2009.
[17] J. Nazario, negação politicamente motivados de ataques do serviço, em: The Virtual batalha campo: Perspectivas sobre Cibernético
Warfare, IOS Press, Amsterdam de 2009.

50 Capítulo 2
[18] R. Colbaugh, K. Vidro, análise de alerta precoce para eventos difusão social, Proc. IEEE Internacional
Conferência de Inteligência e Segurança Informática, Vancouver, Canada, Maio de 2010. [19] < http://www.nongnu.org/i
fi l / >, Acessado pela última Julho de 2010.
[20] R. Colbaugh, K. Vidro, Emergentes detecção tópico para inteligência de negócios através de análise preditiva de 'meme'
dinâmica, Proc. AAAI 2011 Primavera Symposium, Palo Alto, CA, março de 2011.
[21] D. Easley, J. Kleinberg, Multidões Redes e Mercados: raciocinar sobre um mundo altamente conectado,
Cambridge University Press, New York, 2010.
[22] L. adâmica, N. vista, a blogosfera política e da eleição nos EUA 2004: Dividido eles blogue, Proc. ACM
Conferência Internacional sobre Descoberta de Conhecimento e Mineração de Dados, Chicago, agosto de 2005. [23] M. Newman, modularidade e
estrutura da comunidade em redes, Proc. Natl. Acad. Sei. EUA 103 (23) (2006)
8577 e 8582.
[24] J. Leskovec, L. Backstrom, J. Kleinberg, Meme-rastreamento e a dinâmica do ciclo de notícias, Proc. ACM
Conferência Internacional sobre Descoberta de Conhecimento e Mineração de Dados, Paris, França, Junho de 2009. [25] K. Vidro, R. Colbaugh,
Web analytics para informática de segurança, Proc. Inteligência e Segurança Europeia
Informática Conferência, Atenas, Grécia, em setembro de 2011. [26] < http://data.ris.ripe.net/
>, Acessado pela última Julho de 2011.
[27] K. Vidro, R. Colbaugh, M. Planck, identificando automaticamente as fontes de eventos de grande Internet, Proc. IEEE
Conferência Internacional sobre Inteligência e Segurança Informática, Vancouver, Canada, Maio de 2010. [28] R. Colbaugh, Monsoons,
filmes, memes e genes: Combinando KD e M & S para a previsão, Keynote Talk,
KDMs Oficina, Conferência Internacional ACM em Descoberta de Conhecimento e Mineração de Dados, San Diego, CA, agosto de 2011.
CAPÍTULO 3
Privacidade-Preservar Integração Social

Network Analysis, and Mining
Christopher C. Yang
Universidade Drexel, em Filadélfia, Pensilvânia, EUA
Capítulo Esboço
Análise 3.1 Rede Social e Mineração 51
Preservação 3,2 privacidade 52
3.2.1 Preservação de privacidade de dados relacional 52
3.2.2 Preservação de Privacidade da Rede Social de Dados 53
3.3 Integração de Informações e Preservação de privacidade para SNAM 54

3.3.1 Research Definição do problema 54
3.3.2 A Framework de Integração de Redes Sociais 58
A partilha de informação 59
subgráfico generalização 60
Integrando rede social generalizada para a tarefa SNAM 62
3.4 Conclusão 64
Referências 64
Análise 3.1 Rede Social e Mineração
UMA rede social é uma rede de pessoas ou outras entidades sociais com as bordas correspondentes aos seus relacionamentos ou
associações. Uma rede social é representado como um gráfico, G ¼ ( V, E), no qual V é um conjunto de nós que corresponde a pessoas
e E é um conjunto de arestas ( E 4 V V)
correspondente às relações das respectivas pessoas.
análise de redes sociais e mineração ( SNAM) recebeu signi fi cativa a atenção nos últimos anos. Com a proliferação
de comunidades on-line e serviços de e-commerce, um grande número de redes sociais podem ser facilmente
coletadas em várias configurações on-line. Por exemplo, um rastreamento sistemático de weblogs na Internet pode
identificar as interações de blogueiros e diferentes tipos de relações, como amigos, assinantes, e blog de anel [1] .
Estas redes sociais são valiosas em vários domínios de aplicação, tais como marketing, gestão, sociologia, psicologia,
segurança interna, e epidemiologia.

http://dx.doi.org/10.1016/B978-0-12-404702-0.00003-3 51
52 Capítulo 3
Muitas técnicas de análise de redes sociais e de mineração têm sido investigados na literatura. medidas de centralidade e
medidas de similaridade são duas medidas populares em SNAM. Em geral, as medidas de centralidade determinar a
significância relativa de um nó em uma rede social. medidas de similaridade calcular a similaridade entre dois subgrupos
dentro de uma rede social. Em medidas de centralidade, centralidade grau, centralidade proximidade e centralidade
betweenness são as medidas típicas. L1-Norm, L2-Norm, informação mútua, e clustering coeficiente algumas medidas de
similaridade comuns.
Desenvolvimentos recentes na linkmining [2] das redes sociais foco onobject classificação [3 e 5] , Objeto classi fi cação [6 e 8] ,
Detecção grupo [9 e 13] , Resolução de entidade [14,15] , Previsão ligação [16 e 19] , Descoberta subgráfico [20,21] , E representar
graficamente modelos generativas [22,23] . Algumas aplicações recentes de SNAMinepidemiology, especialista em identificação,
criminoso rede social / terrorista, a rede social acadêmica e visualização rede social são encontrados na literatura. Por exemplo,
vários modelos de redes sociais têm sido aplicados em epidemiologia [24] . Especialista identi fi cação [25]
desenvolve mecanismos para identificar especialistas em redes sociais e consultas de rotas para os especialistas fi cados
identi. redes sociais criminosos / terroristas [1,26 e 28] visam identificar os papéis de terroristas e criminosos minando os
padrões em uma rede social. redes sociais académicas [29] modelar aspectos tópicas de publicações, autores e locais de
publicação, e fornecer um serviço de pesquisa de especialistas e suas associações. redes de co-autoria e co-citação são
redes típicas neste estudo [30] . visualização rede social [31,32] fornece técnicas de visualização de rede para analisar as
interações dinâmicas dos indivíduos em uma rede.
Preservação 3.2 de Privacidade
Como discutido acima, muitas técnicas e aplicações SNAM foram desenvolvidos. Ao mesmo tempo, há uma quantidade
crescente de dados de redes sociais para a coleta em muitos ambientes on-line. É uma boa oportunidade para colher o
conhecimento de diferentes tipos de redes sociais desde as técnicas estão se tornando mais madura e os dados disponíveis são
enormes. Por outro lado, há uma crescente preocupação com preservação de privacidade devido à dinâmica de crescimento das
atividades no SNAM. usuários online de comunidades virtuais, membros de organizações ou de assinantes de serviços públicos
não podem estar cientes de suas informações privadas sendo publicado ou compartilhado com outras partes desconhecidas. Tal
preocupação tem motivado uma série de trabalhos de pesquisa dedicados à preservação da privacidade de dados relacionais
(dados representados em um formato tabular) nos últimos anos, mas ainda há uma quantidade relativamente limitada de trabalho
com foco na preservação da privacidade dos dados da rede social.
3.2.1 Preservação de Privacidade de Dados Relacionais
Um número de abordagens para preservação da privacidade dos dados relacional foram desenvolvidos, incluindo k-anonimato
[ 33] , l-diversidade [ 34] , t-proximidade [ 35] , m-invariância
Privacidade-Preservar Integração Social Network Analysis, and Mining 53
[36] , d- presença [ 37] e anonimato-apoio k [ 38] . preservação privacidade é importante na publicação de dados. O objetivo é
a publicação de uma versão anônima de dados relacionais de propriedade de uma organização para o público, enquanto a
identidade dos indivíduos não pode ser determinada de modo que ninguém pode reconhecer os valores de atributos
sensíveis de um registro particular. Outros aprimoradas técnicas de k- anonimato e eu- diversidade com personalização,
como o anonimato personalizado [39] e ( uma, k) - anonimato [40] , Permitem aos usuários especificar o grau de proteção de
privacidade ou especificar um limiar uma sobre a frequência relativa dos dados sensíveis. publicação versátil [41] anonimiza
subtabelas para garantir regras de privacidade.
preservação privacidade de dados relacionais também tem sido aplicado em bancos de dados estatísticos. restrição consulta [ 42] , perturbação
de saída [ 43 e 45] e modi fi cação de dados [ 39,46,47] três principais abordagens. restrição consulta [ 41] rejeita certas consultas quando
um vazamento de valores sensíveis é possível através da combinação dos resultados das consultas anteriores. perturbação de saída [ 43 e
45]
aumenta a confusão no resultado de uma consulta para produzir uma versão perturbado. modi fi cação de dados
[39,46,47] prepara uma versão adequadamente anónimos de dados relacionais para uma consulta. o
abordagem criptografia de preservação de privacidade de dados relacional tem como objetivo desenvolver um protocolo de
troca de dados entre várias partes privadas. Ele tenta minimizar a informação revelada por cada partido. Por exemplo, topo- k
pesquisa [48] relata o top- k tuplas na união dos dados em várias partes.
3.2.2 Preservação de Privacidade de Dados de Rede Social
A pesquisa atual sobre a preservação de privacidade de dados da rede social (ou gráficos) centra-se no objectivo da publicação de
dados. A NAI abordagem VE remove as identidades de todos os nós e apenas

revela as bordas de uma rede social. Neste caso, as propriedades de rede global são preservados para outras
aplicações de pesquisa, assumindo que as identidades dos nodos não são de interesse nas aplicações de pesquisa.
No entanto, Backstrom et ai. [49] provou que é possível descobrir se as bordas entre especi fi c alvejado pares de nós
existe ou não por ataques ativos ou passivos. Para fazer face a ataques ativos e passivos e preservar a privacidade
das identidades do nó em uma rede social, existem vários modelos de anonimato propostos na literatura recente,
como k- anonimato candidato [50] , k- anonimato grau [51] e k- anonimato
[52] . Tais modelos de anonimato são propostas para aumentar a culdade di fi de ser atacado com base na noção de k- anonimato
em dados relacionais. Por exemplo, k- anonimato [52] define que, para cada nó v em um gráfico G, existem, pelo menos k
1 outros nós G, de tal forma que seus bairros anónimos são isomorfos.
A técnica utilizada para atingir os anonymities acima é borda ou nó perturbação [50 e 52] . Através da adição e / ou
eliminação de arestas e / ou nodos, um gráfico perturbado é gerado para satisfazer o requisito de anonimato. Adversários
só pode ter um ança con fi de 1 / k para descobrir a identidade de um nó por ataques de bairro.
54 Capítulo 3
Desde que a pesquisa atual sobre a preservação da privacidade dos dados rede social centra-se na preservação das
identidades de nó na publicação de dados, a rede social anónimos só pode ser usado para estudar propriedades de rede global
e não pode ser aplicável a outras tarefas SNAM. Além disso, os conjuntos de nós e arestas em uma rede social perturbado são
diferentes do conjunto de nós e arestas na rede social original. Conforme relatado na Ref. [52] , O número de arestas adicionados
pode ser tão elevado como 6% do número original de bordas de uma rede social. Um estudo recente
[53] investigou como aresta e perturbação nó pode alterar certas propriedades da rede. Tal distorção pode causar erros
signi fi cativos em determinadas tarefas SNAM, como a medição centralidade, embora as propriedades globais pode ser
mantida. Neste trabalho, nós não só preservar as identidades de nós, mas também as estruturas de rede social (ou seja,
bordas).
3.3 Integração de Informações e Preservação de privacidade para SNAM
Embora os dados de redes sociais são fáceis de agregar através das configurações em linha ou comunicações, estes dados são
normalmente distribuídos e cada organização ou agente só conhece um pequeno pedaço de rede completa [54] . Usando um
pequeno pedaço de dados, as técnicas SNAM não são capazes de extrair o conhecimento essencial. Em alguns casos, será
obtido um resultado impreciso. Por exemplo, cada unidade de aplicação da lei tem a sua própria rede social criminal. Mineração de
uma rede social criminosa incompleta pode não ser capaz de identificar a ligação entre dois subgrupos criminais. Infelizmente,
devido a limites impostos pela política de privacidade, diferentes organizações só são permitidas para compartilhar um pequeno
pedaço de informação, mas não suas redes sociais. Como resultado, um SNAM exata não pode ser realizado a menos que a
integração das redes sociais pertencentes a diferentes organizações podem ser alcançados.
3.3.1 Research Problema De fi nição
Dadas duas ou mais redes sociais ( G 1, G 2, .) de diferentes organizações ( O 1, O 2, .), O objetivo é alcançar Mais análise e
mineração precisos resultados rede social, integrando a informação crucial e insensível compartilhada entre estas
redes sociais ao mesmo tempo preservar a informação sensível com um nível prescrito de tolerância vazamento de
privacidade. cada organização O Eu tem um pedaço de rede social G Eu, que faz parte de toda a imagem e uma rede
social G construído por integração de todas G Eu. Conduzindo a tarefa SNAM em
G, pode-se obter o resultado exato SNAM da informação integrada. No entanto, a realização da tarefa SNAM em
qualquer G Eu, nunca se pode alcançar o resultado SNAM exata por causa da falta de informação. Ao integrar G Eu e
alguns informação generalizada do G j, O Eu
deve ser capaz de alcançar resultados mais precisos SNAM, embora não seja o resultado exato SNAM. Isso significa que se O Eu
pode obter informações generalizada de todas as outras organizações,
O Eu será capaz de obter um resultado SNAM muito mais próximo do resultado SNAM exata do que a obtida a partir de G Eu sozinho.
A fim de compartilhar informações para a integração e ainda não invadir a privacidade dos indivíduos, informação
generalizada que não contém qualquer informação privada pode ser liberado para outro partido. A informação generalizada
é um modelo probabilístico da propriedade geral de uma rede social. Para determinar como gerar esta informação
generalizada, pode-se decidir que a informação crucial para a tarefa SNAM designado é. Nem todas as informações são
úteis para uma tarefa SNAM particular.
Desde que a informação generalizada é basicamente um modelo probabilístico de uma rede social, ele requer alguns pontos
de integração para incorporar a informação generalizada a partir de múltiplas redes sociais para analisar a informação
integrada. Estes pontos de integração deve ser uma informação insensível às partes envolvidas no processo. Quando uma
determinada peça de informação é conhecido por ambas as partes, tal informação não é considerado como sensível a
qualquer das partes. No entanto, outras informações que está relacionado a tais informações insensível ainda é considerado
sensível. Por exemplo, quando um paciente é encaminhado a partir de uma unidade médica para outra unidade médica, a
identidade deste paciente é insensível a ambas as unidades médicas, mas as identidades de outras pessoas que estão
associados a este paciente são sensíveis. Um pedaço de informação também pode ser conhecido por ambas as partes
quando tal informação é acessível a partir de uma fonte comum. Por exemplo, quando um fl u paciente suína é comunicada à
autoridade de saúde pública, a identidade deste paciente é conhecido por todas as unidades médicas.
Ao compartilhar e integrar a informação generalizada para tarefas SNAM, temos de assegurar que uma tolerância especi fi cado
de vazamento de privacidade é satisfeita. A medida de vazamento de privacidade deve ser independente das técnicas utilizadas
na geração e integração de informações generalizada de redes sociais. Privacidade significa que nenhum partido deve ser
capaz de aprender algo mais do que a informação insensível compartilhada por outras partes ea saída prescrito das tarefas
SNAM. Se qualquer ataque adversário pode ser aplicado para aprender quaisquer dados privados e sensíveis, há um
vazamento de privacidade. Neste problema, a informação insensível compartilhada é a informação generalizada e as
identidades dos nodos insensíveis são os pontos de integração. As saídas prescritas das tarefas SNAM são as medidas de
centralidade ou medidas de similaridade tais como papel central proximidade de um nó. O ataque adversário pode ser um
ataque activa ou passiva. ataques ativos referem-se a plantar subgraphs bem estruturados em uma rede social e, em seguida,
descobrir as ligações entre os nós alvo, identificando as estruturas plantadas. ataques passivos referem-se a identificação de
um nó por sua associação com os países vizinhos e, em seguida, identificar outros nós que estão ligados a esta associação.
Estes ataques são também chamados ataques de bairro.
O vazamento da informação privada inclui as identidades de gânglios sensitivos e na adjacência (ou seja bordos) de quaisquer
dois nós independentemente de qualquer um destes nós são sensíveis ou insensível. Se qualquer um dos ataques activos ou
passivos pode ser aplicado à informação generalizada ou a saída das tarefas SNAM para aprender o acima mencionado
privada
56 Capítulo 3
informação, há um vazamento de privacidade. As definições fi de de tolerância de vazamento de privacidade são dadas abaixo:
Tolerância zero de vazamento de privacidade:
• Sem identidade exacta de nódulos sensíveis podem ser identificados.
• Sem adjacência entre quaisquer dois nós exatos podem ser identificados.
s- tolerância de vazamento de privacidade em um nó sensível:
• A identidade de um nó sensível não pode ser identificado como um dos s ou menor número de identidades possíveis conhecidos.
s- tolerância de vazamento de privacidade na adjacência entre um nó insensível e um nó sensível:
• A identidade de um nó insensível é conhecida, mas a sua adjacência com outros nós sensíveis não é conhecido.
• Os nós adjacentes não pode ser identificado como um dos s ou menor número de possíveis nós sensíveis.
s 1 s 2- tolerância de vazamento de privacidade na adjacência entre dois nós sensíveis:
• A identidade de um nó sensível UMA não pode ser identificado como um dos s 1 ou menor número de identidades possíveis conhecidos.
• O nó adjacente deste nó sensível UMA não pode ser identificado como um dos s 2 ou menor número de identidades possíveis conhecidos.
Tolerância zero significa nenhum ataque pode descobrir a identidade exacta de um nó sensível ou a adjacência entre quaisquer dois
nós exatas. A maioria dos ataques não pode descobrir a identidade exata ou adjacência dada uma técnica de preservação de
privacidade razoável. No entanto, muitos ataques são capazes de diminuir a identidade de algumas possíveis identidades conhecidas.
Por exemplo, a identidade de um nó sensível é John. Se um ataque descobre a identidade de ser João, Pedro ou Maria, que satisfaz a
3 de tolerância de vazamento de privacidade, mas não a 4 de tolerância ou superior. De acordo com essas definições de fi, quanto
maior o valor de s, quanto mais apertado o controlo de fuga de privacidade.
Tolerância zero é o requisito mínimo de qualquer problema de preservação da privacidade. Nenhuma informação privada deve ser
descoberto. No entanto, para assegurar um nível mais elevado para prevenir a fuga de privacidade, s- tolerância é proposto e
definido aqui. Não só a identidade exacta de um nó sensíveis não ser descoberto, mas também a identidade não pode ser
identificado como um fora de s
ou menos identidades possíveis. Idealmente, uma técnica de preservação da privacidade deve alcançar
N- tolerância, o que significa que nenhum ataque pode encontrar um indício da possível identidade de um nó sensível. Na realidade, é
quase impossível de alcançar N- tolerância devido ao conhecimento de fundo possuído por adversários. No entanto, uma boa técnica
de preservação da privacidade deve reduzir o vazamento de privacidade, tanto quanto possível, o que significa atingir um valor mais
elevado de s em vazamento de privacidade.

A informação generalizada neste problema são os modelos probabilísticos das redes sociais generalizadas em vez de um
modelo perturbado usando o k- abordagem anonimato. Como resultado, o
s- tolerância de vazamento de privacidade é independente da técnica generalização. Além disso, ele preserva tanto as
identidades e estruturas de rede. Ao integrar os modelos probabilísticos de várias redes sociais generalizadas, o objetivo
é alcançar um melhor desempenho de tarefas SNAM. Ao mesmo tempo, nem os modelos probabilísticos nem os
resultados SNAM deve liberar informações pessoais que possa violar o prescrito s- tolerância de vazamento de
privacidade quando está sob ataques do adversário.
Na seção anterior, nós discutimos as técnicas de privacidade-preservação de dados existentes de redes sociais. No entanto, ele
não é capaz de resolver os problemas definida aqui principalmente por causa das seguintes limitações:
1. Ele preserva as identidades de nós em uma rede social, mas não preserva a estrutura da rede (ou seja, bordas)
de uma rede social.
2. A abordagem anonymization proíbe a integração de redes sociais. Isso ocorre porque o mapeamento entre as
redes sociais não podem ser realizadas uma vez todos os nós de uma rede social são anónimos. A abordagem
anonimização é útil quando se quer analisar as propriedades rede global de uma rede social divulgado.
3. A perturbação de uma rede social aumenta a culdade di fi de ser atacado; no entanto, a perturbação muda a
conectividade de nós e pode significativamente distorcer o resultado SNAM.
4. As técnicas de preservação de privacidade existentes não considerou a aplicação da rede social no SNAM. O
foco é utilizar os dados publicados para analisar propriedades de rede global.
Outra abordagem de análise de redes sociais de preservação da privacidade relacionadas com o nosso problema de pesquisa
é a computação multi-partido seguro (SMC). SMC lida com o problema onde um conjunto de partes ( P 1, P 2, ., P n) com entradas
privadas ( X 1, X 2,., X n) deseja calcular conjuntamente algumas funções de seus insumos f (x 1, X 2,., X n). Este problema foi primeiro
proposto em Ref. [55] . Se considerarmos as redes sociais de partes individuais como entradas privadas e da análise de redes
sociais das redes sociais integradas como função articular, o social, problema de análise de rede de preservar a privacidade
pode ser considerado como um caso especial da SMC [56] . SMC utiliza a tecnologia de criptografia para calcular a função
articular, tendo os dados privados encriptados como entradas. A chave está construindo protocolos com base nos dados de
entrada privada e da função articular para a computação. Por exemplo, Brickell e Shmatikov [57] desenvolveu os protocolos
para calcular o conjunto de união de nós a partir de várias redes sociais e as menores distâncias entre todos os pares de nós
na rede social combinado. Frikken e Golle [54] desenvolvido um protocolo para reconstruir o gráfico combinado mas anonymize
os nós e as bordas. Kerschbaum e Schaad [58] propôs os protocolos para calcular a proximidade e intermediação centralidades
que requerem as partes chegarem a acordo sobre um conjunto de nós. Sakuma e
58 Capítulo 3
Kobayashi [59] desenvolveu um protocolo para calcular os algoritmos de classificação. A vantagem da abordagem SMC está
no uso de criptografia para proteger os dados privados e ainda calcular a saída da função articular com precisão. Por outro
lado, há também preocupações levantadas nesta abordagem:
1. Os dados privados criptografados são compartilhados com outras partes. Há um risco de que os dados criptografados estão sob ataque
pelo partido malicioso e os dados privados serão recuperados. No nosso problema, apenas a informação generalizada é
compartilhada e garantiu para alcançar uma tolerância prescrita de vazamento de privacidade.
2. A segurança das saídas da função articular é geralmente além do âmbito da SMC. Como resultado, o vazamento de
privacidade na abordagem SMC não foi investigado.
3. A complexidade da SMC é alta. Pode ser computacionalmente impraticável quando os dados rede social de entrada são muito
grandes.
3.3.2 A Framework de Integração de Redes Sociais
Propomos âmbito da partilha de informação e preservação de privacidade para a integração de redes sociais mostrados
na Figura 3.1 .
assumindo organização P (O P) e organização Q (O Q) têm redes sociais G P e G Q

respectivamente, O P precisa realizar uma tarefa SNAM mas G P é apenas uma rede social parcial para
Organização P (O p ) Organização Q (O Q)
necessidades de informação N P Identificação

Informação
Insensitive Rede social G Q
Rede social G P
subgráfico
Generalização
Redes sociais
Integração
Compartilhando
DataGeneralized Rede
Social de G Q ( G Q ')
Análise de Redes Sociais &
Tarefa Mining
Figura 3.1:
Um quadro de partilha de informação e preservação de privacidade para a integração de redes sociais.
a tarefa SNAM. Se não houver preocupações com a privacidade, pode-se integrar G P e G Q para gerar um sistema integrado G e obter um melhor
resultado SNAM. Devido a preocupações com a privacidade, O Q não pode liberar G Q

para O P mas só compartilha a informação generalizada de G Q para O P. Ao mesmo tempo, O P não precisa de todos os dados de O Q mas
apenas aqueles que são críticos para a tarefa SNAM. Os objectivos consistem em maximizar o compartilhamento de informação que é
útil para a tarefa SNAM mas para preservar a informação sensível para satisfazer o prescrito s- tolerância de vazamento de privacidade
e alcançar resultados mais precisos SNAM.
Compartilhamento de informações
No nosso quadro apresentado em Figura 3.1 , Propomos que as informações compartilhadas entre as duas partes
deve basear-se as necessidades de informação para satisfazer a tarefa SNAM, a identi fi cação de informações
insensíveis entre as duas partes, e as informações disponíveis na rede social. Quando realizamos o
compartilhamento de dados rede social, é preciso considerar que tipo de informação tem a maior utilidade para
realizar uma tarefa SNAM particular. Precisamos determinar os dados insensíveis a serem compartilhados e
serviram como pontos de integração entre duas redes sociais para que a informação generalizada podem ser
integrados.
Dentro k- técnicas de privacidade-preservação anonimato, todas as identidades são considerados sensíveis, mas a estrutura da rede é
insensível e é publicado para estudar as propriedades de rede global. No nosso problema de pesquisa, ambas as identidades e
estruturas de rede são considerados sensíveis, mas apenas a informação generalizada é compartilhado. No entanto, também
consideramos um pequeno número de identidades que são insensíveis. As identidades desses nós são conhecidos do público ou
insensível a ambas as organizações que estão compartilhando a informação. Por exemplo, quando um paciente você é referido a partir
de uma unidade médica O p para uma outra unidade médica O q, que pode ser uma unidade especializada, a identidade do você não é
mais sensível a O p ou O q. No entanto, os conhecidos de você que são conhecidos pelos O p ainda são sensíveis e suas identidades não
pode ser liberado para O q. Se a identidade do paciente você foi disponibilizado em uma fonte comum de O p
e O q, em seguida, ele não é sensível a qualquer O p ou O q. Esta fonte comum pode ser uma fonte de dados. Nós de fi ne a sensibilidade de
uma identidade você entre duas organizações O p e O q Como sensibilidade
( u, ó p, O q):
Sensibilidade u; O p; O q ¼ 0 se Referir O p você; O q ¼ 1; Referir O q você; O p ¼ 1; ou Fonte O p O q você ¼ 1

1 pessoa
Onde
Referir X ð você; y Þ ¼ 1 quando X faz uma referência de você para y e
Fonte x; y você ¼ 1 quando você pode ser obtido a partir de uma fonte comum de X e y:
60 Capítulo 3
Tabela 3.1: Exemplos de atributos para Generalização
O número de nós de uma rede social ou um subgrupo de uma rede social o comprimento do caminho mais
curto numa rede social ou um subgrupo de uma rede social
O grau dos nós em uma rede social ou um subgrupo de uma rede social
O número de caminhos mais curtos passando por um nó insensíveis entre quaisquer dois nós em uma rede social
ou um subgrupo de uma rede social
O comprimento do caminho mais curto entre dois nós insensíveis O número dos
caminhos mais curtos entre dois nós insensíveis
O grau dos nós insensíveis
A excentricidade / k- centricity dos nós insensíveis em uma rede social ou um subgrafo de um gráfico social
O raio / diâmetro de uma rede social ou um subgráfico de um gráfico social
O centro / periférico / mediana de uma rede social ou um subgrafo de um grafo social, se se trata de um (ou são)
insensível nó (s)
Quando a informação é compartilhada com outra organização, algumas informações sensíveis devem ser preservados, mas a
informação generalizada pode ser liberado de modo que uma estimativa mais precisa das informações necessárias para as medidas
de centralidade pode ser obtida. Tabela 3.1 apresenta alguns exemplos de atributos para generalização.
generalização subgráfico
Considerando os dados que estão disponíveis para compartilhar, propomos a abordagem subgráfico generalização
para criar uma rede social generalizada G 0 Q para distribuição aos O P. Uma generalização subgráfico cria uma versão
generalizada de uma rede social, em que um subgrafo conectado é transformado como um nó generalizado e apenas
informações generalizadas será apresentado no nó generalizado. A informação generalizada é o modelo probabilístico
dos atributos apresentados no Tabela 3.1 . O bordo que une a partir de outros nós na rede a todos os nós do subgráfico
será ligado ao nó generalizada. A rede social generalizada protege todas as informações sensíveis ao liberar a
informação crucial e não sensíveis à informação solicitando festa para integração de rede social e a tarefa SNAM
pretendido. É necessário um mecanismo para (i) a identificar os subgráficos para generalização, (ii) determinar a
conectividade entre o conjunto de nodos generalizadas na rede social generalizada, e (iii) construir a informação
generalizada para ser compartilhada.
Um subgrafo de G ¼ ( V, E) é denotado como G 0 ¼ ( V 0, E 0) Onde V 0 3 V, E 0 3 E, E 0 4 V 0 V 0. G 0 é
um subgráfico conectado se existe um caminho para cada par de nós em G 0. Nós só considerar subgráfico conectado
quando realizamos subgráfico generalização.
Para construir um subgrafo de generalização, existem algumas alternativas, incluindo

n-bairro, k-conectividade, e borda intermedialidade:
• n-bairro: Para um nó v ˛ G, a Eu th vizinho v é N Eu( v) ¼ { você ˛ G: d (u, v) ¼ Eu},

Onde d (u, v) é a distância entre você e v. Dado um nó de destino, v pode ser um insensível
nó, eo n- grafo de vizinhança de v é denotado como n-Vizinho (v, L). n-Vizinho

( v, G) ¼ ( V Eu, E Eu ), Onde V Eu ¼ { você ˛ G: d (u, v) n} e E Eu 3 E, E Eu 4 V Eu V Eu.
• k- conectividade: a conectividade k ( G) de um gráfico G é o número mínimo de nós cujos resultados num gráfico
desconectado remoção. A conectividade ponta k 0 ( G) de um gráfico G é o número mínimo de extremidades cujos
resultados num gráfico desconectado remoção. Um gráfico é
k- conectado se k ( G) k e isso é k- borda conectado se k 0 ( G) k. Se é um gráfico k- Beira
ligados, dois ou mais componentes ligados subgráficos () que estão desligados um do outro são criados depois
de remover o k arestas. Subgráficos pode ainda ser gerado se os subgrafos sendo criados também são k- borda
ligada.
• Edge-betweenness: A intermediação de uma aresta é definida como o número de percursos mais curtos entre
quaisquer pares de nós de um gráfico G que passam por ela. Por triagem da ordem descendente da intermediação de
bordas em G, pode-se remover as bordas a partir aqueles com a maior betweenness até um número fi nida prede de
subgráficos são criados. Os subgráficos construídos deve ser mutuamente exclusivas e exaustiva. Um nó v só pode ser
parte de um subgrafo, mas não quaisquer outros subgraphs. A união de nós de todos os subgrafos
V0 n deve ser igual V, o conjunto original de nós em G.

1; V 0 2; .; V 0
Conectividade de nós generalizadas
Após a construção subgraphs, convertemos cada subgrafo como um nó generalizado. Para cada nó generalizado, nós
fornecemos a informação generalizada do nó generalizado. As arestas entre os nós generalizados são retidos. No entanto,
essas bordas correspondem apenas às adjacências entre os nós generalizadas, mas não solte a identidade dos nós nos
gânglios generalizadas que produzem a adjacência. Como resultado, ele não causa diretamente qualquer vazamento de
privacidade. No entanto, combinando essa informação com outra informação generalizada, um ataque pode ser feito para
descobrir informações confidenciais e, portanto, o desenvolvimento das técnicas de construção subgráfico deve tomar a
tolerância prescrita de vazamento de privacidade em consideração.
informação generalizada e modelo probabilístico
Para cada nó generalizado v 0 j ˛ V 0 j, determinamos a informação generalizada para ser compartilhado.

A informação generalizada deve atingir os seguintes objectivos: (i) ser útil para a tarefa SNAM após a integração,
(ii) preservar a informação sensível, e (iii) ser mínimo para que a informação desnecessária não é liberado. Por
exemplo, em algumas tarefas SNAM, a distância entre nós é importante para seu cálculo. A informação
generalizada de V 0
Eu
pode ser o modelo probabilístico da distância entre quaisquer dois nós v j e v k dentro V 0 Eu ,
P (Distância (v j, v j) ¼ d), v j, v k ˛ V 0 Eu .
A construção de subgraphs desempenha um papel importante na determinação da informação generalizada para ser
compartilhado ea utilidade da informação generalizada. Reter a informação generalizada insensível útil para aumentar
a utilidade da informação compartilhada é
62 Capítulo 3
um objectivo importante da generalização subgráfico. Ao compreender o impacto da

n-bairro, k-conectividade, e borda-betweeness técnicas sobre a utilidade da informação generalizada, vamos
elaborar outros algoritmos de construção subgráfico para otimizar o utilitário.
Além da utilidade da informação generalizada, o desenvolvimento dos algoritmos de construção subgráfico deve tomar
vazamento de privacidade em consideração. Ao tomar as subgraphs generalizadas e a informação generalizada de cada
subgrafo, os ataques podem ser projetados para descobrir identidades e adjacências de nós sensíveis e insensíveis. Nós nos
concentramos sobre os ataques passivos primeiro assumindo as organizações dentro da coalizão de compartilhamento de
informações são partidos honestos que não planejam ataques ativos sobre o outro. Os algoritmos de construção subgráfico
deve minimizar a possibilidade de fugas de privacidade e garantir que o nível prescrito de tolerância vazamento de privacidade
é satisfeita.
Integrando rede social generalizada para a tarefa SNAM
Figura 3.2 apresenta uma visão geral da abordagem subgráfico generalização. Tomando a rede social generalizada de
várias organizações, precisamos desenvolver técnicas para fazer uso dos dados compartilhados com a rede social
existente para realizar a tarefa SNAM pretendido, conforme ilustrado na Figura 3.3 . Por exemplo, se a tarefa SNAM
calcula a centralidade proximidade, precisamos desenvolver uma técnica para fazer uso das informações adicionais a
partir dos nós generalizadas para obter estimativas precisas das distâncias entre os nós em uma rede social.
O resultado de uma tarefa SNAM é denotado como J ( G), Onde G é uma rede social. O resultado SNAM de organização P é J ( G P). Se
a organização Q compartilha sua rede social, G Q, com a organização P, P pode integrar G P e G Q para G e obter um resultado
SNAM J ( L). A precisão do J ( G) é muito maior do que a de J ( G P); Contudo, Q Não é possível compartilhar G Q com P devido a
preocupações com a privacidade, mas apenas a rede social generalizada, G 0 Q. A técnica de integração
subgráfico 1
Generalized
Generalized Rede
Rede subgráfico subgráfico 2 Geração de social
social Construção Informação e
Informação
subgráfico 3 Generalized
Prescrito τ- tolerância de Verificação de

vazamento de privacidade Proteção de
privacidade
Figura 3.2:
Quadro da abordagem subgráfico generalização.
Generalized
organização 1 Rede
Social 1
Análise
Generalized Integração com redes probabilística e
organização 2 Rede sociais Rede Social
Social 2 Análise
Generalized
organização 3 Rede
Social 3
Figura 3.3:
Integração de redes sociais generalizadas para análise de rede social.
investigamos aqui deve ser capaz de utilizar a informação útil em G 0 Q e integrar com G P, que é designado como I
(G P, G 0 Q). A precisão do J ( I (G P, G 0 Q)) deve ser perto de J ( G)
e significativamente melhor do que J ( G P).
Integração de modelos probabilísticos de várias redes sociais generalizadas
Nós integramos os modelos probabilísticos das redes sociais generalizadas de várias organizações para obter um modelo
probabilístico integrado de G. Merugu e Ghosh [60] investigaram um quadro de aprendizagem distribuído para obter um modelo
probabilístico mundial dos modelos probabilísticos de dados tabulares locais. Em sua estrutura, eles combinam as
características de vários bancos de dados locais em um conjunto de recursos combinada. Os modelos locais são integrados
para obter o modelo global pela maximização de entropia. Os resultados experimentais mostram que o modelo global aprendi é
próximo do modelo centralizado e melhor do que quaisquer modelos locais. No entanto, este trabalho é limitado a integrar
modelos locais de dados tabulares para um modelo global para tarefas de mineração de dados. Investigamos como integrar os
modelos probabilísticos das redes sociais generalizadas de várias organizações para obter um modelo probabilístico integrada
para alcançar uma melhor análise e mineração de resultados da rede social. Nosso trabalho preliminar [32,61,62] mostra que
podemos conseguir uma melhor análise de centralidade das redes sociais, integrando informações generalizada simples, como
distâncias máximas e mínimas em subgrafos. Ao integrar modelos probabilísticos sofisticados, ele deve ser capaz de obter um
melhor desempenho.
Por exemplo, a estimativa da distância entre dois nós UMA e B é importante por muitas medidas de centralidade. Deixei d ser
a distância entre um par de nós em um subgráfico G Eu. Deixei
P G 0 Eu ð d º ser a probabilidade da distância entre quaisquer dois nós no subgráfico G 0 Eu. Deixei UMA e
B ser os nós em dois subgráficos diferentes e o caminho mais curto entre UMA e B ( observado a partir do gráfico generalizado) passa
através de um conjunto de subgráficos G 0. Dado P G 0 Eu ð d º de todos os subgrafos em G 0 Q e os subgráficos sobre o caminho mais curto
entre UMA e B dentro G 0, podemos computar

64 Capítulo 3
P (distância (A, B) ¼ d) integrando P G 0 j ( Distância (A, B) ¼ d), c G 0 j ˛ G 0. Esta análise probabilística nos ajuda a fazer
melhores estimativas da distância entre UMA e B. Ao usar as probabilidades de outras medidas, como a
excentricidade e grau, e outros valores, como raio, diâmetro e conectar nós de subgrafos, podemos desenvolver
algoritmos para integrar esta informação generalizada para obter uma melhor análise e mineração de resultados da
rede social. Os desafios são para determinar que informação generalizada é útil para uma análise particular sociais
da rede e tarefa de mineração e como fazer uso desta informação generalizada para obter os resultados otimizados.
Dadas as modelos probabilísticos de mais de uma rede social generalizada proveniente de mais de uma organização, a
integração desses modelos probabilísticos vai ajudar a melhorar a estimativa das propriedades entre nós no gráfico
integrado. Supõe-se que quanto mais o compartilhamento de informações de gráficos generalizadas, melhor a
avaliação. No entanto, também depende de como podemos otimizar a utilidade da informação generalizada e ainda
minimizar o compartilhamento de informações desnecessárias e vazamento de privacidade.
3.4 Conclusão
dados da rede social são importantes para a descoberta de conhecimento sobre uma comunidade, que é crítico em criminologia, o
terrorismo, a saúde pública, e muitas outras aplicações. Ao mesmo tempo, há uma grande quantidade de informações particulares
sobre indivíduos em uma rede social, o que o torna sensível quando os dados de redes sociais são compartilhados entre as
organizações. Sem compartilhamento de dados de redes sociais, cada organização pode ter apenas parte de uma grande rede
social global. Por exemplo, cada unidade de aplicação da lei local pode ter uma rede social criminal. Sem integrar as redes sociais
de várias unidades policiais, cada unidade pode não ser capaz de identificar a relação entre suspeitos ou grupos precisamente.
Neste capítulo, fazemos uma revisão da literatura sobre a publicação de dados de preservação da privacidade e
compartilhamento. Nós definimos os problemas de integração de redes sociais, análise e mineração. Nós definimos a s- privacidade
vazamento de tolerância para garantir que uma tolerância especi fi cado de vazamento de privacidade deve ser satisfeita.
Desenvolvemos a técnica generalização subgráfico para compartilhar informações insensível, que podem ser integrados para
análise de rede social e de mineração da rede social global. Nosso trabalho preliminar tem mostrado resultados promissores da
técnica proposta, mas há mais caminhos para explorar para melhorar seu desempenho.
Referências
[1] CC Yang, TD Ng, Terrorismo e rede social weblog relacionados com o crime: Link, análise de conteúdo e
visualização de informação, IEEE Conferência Internacional sobre Inteligência e da segurança informática, New Brunswick, NJ de 2007.
[2] L. Getoor, CP Diehl, extracção Link: Uma pesquisa, ACM SIGKDD Explor. 7 (2) (2005) 3 e 12.
[3] R. Bhatt, V. Chaoji, R. Parekh, prevendo a adopção do produto nas redes sociais de grande escala, ACM CIKM,
Toronto, Ontário, de 2010.
[4] J. Kleinberg, fontes oficiais em um ambiente com hiperligação, J. ACM 46 (5) (1999) 604 e 632. [5] L. Página, S. Brin, R. Motwani, T.
Winograd, A citação PageRank ranking: Trazer ordem para a Web.
Relatório Técnico, Universidade de Stanford de 1998.
[6] R. Himmel, S. Zucker, Nas bases de processo de etiquetagem relaxamento, IEEE Trans. Padrão Anal. Mach.
Intell. 5 (3) (1983) 267 e 287.
[7] L. Lafferty, A. McCallum, F. Pereira, condicionais aleatórios fi campos: modelos Probabilísticos para segmentar e
dados de sequência de marcação, Conferência Internacional sobre Machine Learning, 2001. [8] com base-Link P. Lu, L. Getoor, classi fi
cação, Conferência Internacional sobre Machine Learning, 2003. [9] J. Adibi, H. Chalupský, E. Melz , A. Valente, O KOJAK grupo fi nder: Ligar
os pontos via integrada
Baseada no conhecimento e raciocínio estatístico, aplicações inovadoras de Conferência cial Inteligência Arti fi,
2004, pp. 800 e 807.
[10] J. Kubica, A. Moore, J. Schneider, Y. Yang, ligação estocástica e detecção grupo, Conferência Nacional sobre
Arti fi cial Intelligence, Associação Americana para Arti fi cial Intelligence de 2002.
[11] J. Kubica, A. Moore, J. Schneider, detecção grupo tratável em grandes conjuntos de dados link, IEEE Internacional
Conferência sobre Data Mining de 2003.
[12] MEJ Newman, detectando a estrutura da comunidade em redes, Eur. Phys. J. B 38 (2) (2004) 321 e 330. [13] JR Tyler, DM Wilkinson, BA
Huberman, e-mail como Espectroscopia: Automated Discovery of Community
Estrutura dentro das organizações, Holanda, 2003.
[14] I. Bhattacharya, L. Getoor, resolução Entidade em gráficos. Relatório Técnico 4758, Ciência da Computação
Departamento da Universidade de Maryland de 2005.
[15] Dong X., A. Halevy, J. Madhavan, reconciliação de Referência em espaços de informação complexa, ACM SIGMOD.
Conferência Internacional sobre Gestão de Dados de 2005.
[16] M. Craven, D. DiPasquo, D. Freitag, A. McCallum, T. Mitchell, K. Nigam, S. Slattery, Aprender a construir
bases de conhecimento da world wide web, Artif. Intell. 118 (1 e 2) (2000) 69 e 114.
[17] V. Leroy, BB Cambazoglu, F. Bonchi, previsão ligação arranque a frio, ACM SIGKDD, Washington, DC, 2010. [18] D. Liben-Nowell, J.
Kleinberg, o problema previsão ligação para redes sociais, Internacional Conferência sobre
Gestão da Informação e Conhecimento. (CIKM'03) de 2003.
[19] J. O'Madadhain, J. Hutchins, P. Smyth, predição e algoritmos de classificação para os dados da rede com base em eventos,
ACM SIGKDD Explor. 7 (2) (2005) 23 e 30.
[20] M. Kuramochi, G. Karypis, descoberta subgráfico frequente, IEEE International Conference onDataMining, 2001. [21] X. Yan, J. Han,
Gspan:-base padrão gráfico mineração subestrutura, Conferência Internacional sobre Data Mining,
2002.
[22] T. Frantz, KM Carley, Uma caracterização formal de redes celulares. Relatório Técnico CMU-ISRI-05-109,
Universidade Carnegie Mellon de 2005.
[23] J. Watts, SH Strogatz, dinâmicas coletivas de redes “pequeno mundo”, Nature 339 (6684) (1998) 440 e 442. [24] M. Morris, Epidemiologia de
rede: Um Manual para Design de questionário e coleta de dados, Universidade de Oxford
Press, Londres, 2004.
[25] MA Ahmad, J. Srivastava, Uma abordagem de otimização colônia de formigas ao perito identi fi cação em redes sociais,
in: H. Liu, JJ Salerno, MJ Young (Eds.), computação social, Behavioral Modeling, e Previsão, Springer, 2008.
[26] J. Xu, H. Chen, CrimeNet Explorer: Um framework para descoberta de conhecimento rede criminosa, ACM Trans.
Inf. Syst. 23 (2) (2005) 201 e 226.
[27] CC Yang, N. Liu, M. Sageman, analisando as redes sociais terroristas com ferramentas de visualização, IEEE
Conferência Internacional sobre Inteligência e da segurança informática, San Diego, CA, 2006. [28] CC Yang, TD Ng, J. Wang, C. Wei, H.
Chen, análise e visualização de estrutura do fórum web cinza, Paci fi c
Oficina Ásia em Inteligência e Segurança Informática de 2007.
[29] J. Tang, J. Zhang, L. Yao, J. Li, L. Zhang, Z. Su, ArnetMiner: Extracção e mineração de Academic social
Networks, ACM KDD'08, ACM imprensa, Las Vegas, NV, 2008.
66 Capítulo 3
[30] YK Chau, CC Yang, A mudança para multi-disciplinar em ciência da informação, J. Am. Soc. Inf. Sei.
Technol. 59 (13) (2008) 2156 e 2170.
[31] CC Yang, M. Sageman, Análise de redes sociais terroristas com vistas fractal, J. Inf. Sei. 35 (3) (2009)
299 e 320.
[32] CC Yang, X. Tang, B. Thuraisingham, uma análise das user in fl uência do ranking algoritmos sobre Dark Web
fóruns. Proceedings of ACM SIGKDD Workshop sobre Inteligência e Segurança Informática (ISI-KDD), Washington, DC, 25 de julho de
2010.
[33] L. Sweeney, K-anonimato: Um modelo para a protecção da privacidade, Int. J. incerto. Fuzz. Knowl. Syst. 10 (5) (2002)
557 e 570.
[34] A. Machanavajjhala, J. Gehrke, D. Kifer, L-diversidade: de Privacidade para além k-anonimato, ICDE'06, 2006. [35] N. Li, T. Li, t-proximidade:
para além de Privacidade k- anonimato e l-diversidade, ICDE'07, 2007. [36] X. Xiao, Y. Tao, m-Invariance: Para preservar privacidade
re-publicação de conjuntos de dados dinâmicos. ACM
SIGMOD'07, ACM Press, 2007.
[37] ME Nergiz, M. Atzori, C. Clifton, escondendo a presença de indivíduos a partir de base de dados partilhado, SIGMOD'07,
De 2007.
[38] C. Tai, PS Yu, M. Chen, anonimato k-suporte com base em taxonomia pseudo para a externalização de frequente
itemset mineração, ACM SIGKDD, Washington, DC, 2010.
[39] X. Xiao, Y. Tao, preservação privacidade personalizado, SIGMOD, Chicago, IL, 2006. [40] RC Wong, J. Li, R. Fu, K. Wang, (alfa, k)
-Anonymity: An modelo K-anonimato aumentada para privacidade-
preservando a publicação de dados, SIGKDD, Philadelphia, PA de 2006.
[41] X. Jin, M. Zhang, N. Zhang, G. Das, publicação versátil para preservação de privacidade, ACM KDD, Washington,
DC, 2010.
[42] SU Nabar, B. Marthi, K. Kenthapadi, N. Mishra, R. Motwani, Para robustez em auditoria consulta, VLDB
(2006) 151 e 162.
[43] A. Blum, C. Dwork, F. McSherry, K. Nissim, privacidade prática: o quadro Sulq, ACM PODS'05, 2005. [44] I. Dinur, K. Nissim, revelando
informações preservando privacidade, ACM PODS'03 (2003). [45] C. Dwork, F. McSherry, K. Nissim, A. Smith, Calibração ruído a sensibilidade
na análise de dados privados,
TCC'06 de 2006.
[46] R. Agrawal, R. Srikant, D. Thomas, Privacidade preservar OLAP, ACM SIGMOD'05, Baltimore, MD, de 2005, pp.
251 e 262.
[47] K. Muralidhar, R. Sarathy, Segurança de métodos de perturbação dados aleatórios, ACM Trans. Syst banco de dados. 24 (4)
(1999) 487 e 493.
[48] RJ Vaidya, C. Clifton, consultas top-k de preservação da privacidade, Conferência Internacional de Dados
Engenharia de 2005.
[49] L. Backstrom, C. Dwork, J. Kleinberg, arte Portanto tu R3579X? redes sociais anónimos, escondidos
padrões e esteganografia estrutural. WWW'07 Banff, Alberta, Canadá, 2007. [50] M. Hay, G. Miklau, D. Jensen, P. Weis, S.
Srivastava, anonimato redes sociais, Relatório Técnico
07 e 19, da Universidade de Massachusetts, Amherst de 2007.
[51] K. Liu, E. Terzi, Para Identidade Anonymization em gráficos. ACM SIGMOD'08, ACM Press, Vancouver,
BC, Canadá, 2008.
[52] B. Zhou, J. Pei, preservar a privacidade em redes sociais contra ataques de bairro, IEEE Internacional
Conferência sobre Engenharia de Dados de 2008.
[53] X. Ying, X. Wu, Randomizing redes sociais: Uma abordagem preservar espectro, SIAM Internacional
Conferência sobre Data Mining (SDM'08) Atlanta, GA, 2008.
[54] KB Frikken, P. Golle, análise de rede social privada: Como montar peças de um graphy privada, 5º
Oficina ACM sobre privacidade na sociedade Eletrônico (WPES'06), Alexandria, VA, 2006. [55] AC Yao. Protocolos para
computações seguras, Proceedings do 23º Simpósio Anual IEEE sobre
Fundamentos da Ciência da Computação (1982) 160 e 164.
[56] Y. Lindell, B. Pinkas, computação multiparty seguro para extracção de dados de preservação da privacidade, J. Priv. Confiante.
1 (1) (2009) 59 e 98.
[57] J. Brickell, V. Shmatikov, algoritmos de gráfico no modelo semi-honesto, Proceedings de preservar a privacidade-
ASIACRYPT (2005) 236 e 252.
[58] F. Kerschbaum, A. Schaad,-Privacy preservar análise de redes sociais para investigações criminais,
Anais do Workshop de ACM sobre privacidade na sociedade Eletrônico (2008). Alexandria, VA. [59] J. Sakuma, S. Kobayashi, Link análise
para gráficos ponderados particulares, Proceedings da ACM SIGIR'09, Boston,
MA, 2009, pp. 235 e 242.
[60] S. Merugu, J. Ghosh, Um quadro de aprendizagem distribuído para as fontes de dados heterogéneos, ACM KDD'05
(2005). Chicago, IL.
[61] CC Yang, partilha de informação e protecção de privacidade de terroristas ou redes sociais criminais, IEEE
Conferência Internacional sobre Inteligência e Segurança Informática, Taipei, Taiwan, 2008, pp. 40 e 45.
[62] CC Yang, X. Tang, as redes sociais de integração e preservação de privacidade usando subgráfico generalização,
Proceedings of AMC SIGKDDWorkshop sobre segurança cibernética e inteligência Informática. Paris, França, Junho
28, 2009.
CAPÍTULO 4
Um Modelo Digraphs para Risco de Identi fi cação

e Gestão em Sistemas SCADA
Jian Guan * , James H. Graham y , Jeffrey L. Hieb y
* Departamento de Sistemas de Computador da Informação, Universidade de Louisville, Louisville, Kentucky, EUA
y Departamento de Engenharia Elétrica e de Computação da Universidade de Louisville, Louisville, Kentucky, EUA
Capítulo Esboço
4.1 Introdução 69
4.2 fundo 70
4.3 Um Modelo Digraphs de Sistemas SCADA 71
4.3.1 Estrutura de Sistemas SCADA 72
4.3.2 Um Modelo Digraphs de Sistemas SCADA 73
4.3.3 Risco de impacto e de identificação Algoritmos 77
4.4 Conclusões 82 83
Referências
4.1 Introdução
controle de supervisão e aquisição de dados (SCADA) são fundamentais para instalações e infra-estruturas industriais de
hoje. sistemas SCADA têm evoluído para redes grandes e complexas de sistemas de informação e são cada vez mais
vulneráveis a vários tipos de riscos de segurança. sistemas SCADA desempenhar um papel importante na operação diária
de infra-estruturas críticas geograficamente distribuídas, tais como gás, água e distribuição de energia e sistemas de
transporte como ferrovias. Os primeiros sistemas SCADA foram isolados, sistemas proprietários, independentes em que
cibernética ou segurança eletrônica foi largamente ignorado [1] . No entanto, estes sistemas têm sofrido grandes mudanças
nas últimas décadas e têm evoluído para redes complexas de sistemas de informação heterogêneos com interconexões
altamente sofisticados e interações [2,3] . A dependência crescente de infra-estruturas críticas e automação industrial
nesses sistemas de controle interligados resultou em uma crescente ameaça à segurança de sistemas SCADA [4] .
Enquanto um grande desastre, até agora, sido evitada, houve incidentes tais como a penetração verme 2003 slammer de
parte de uma rede em uma usina nuclear DavisBesse em Ohio [5] , O lançamento de esgoto bruto em parques e riachos em
uma planta de tratamento de esgoto australiano [6] , E o recente penetração hackers de um sistema usado para operar
parte de uma instalação de tratamento de água em Harrisburg, PA [7] .

http://dx.doi.org/10.1016/B978-0-12-404702-0.00004-5 69
70 Capítulo 4
Identificar os riscos andmanaging em SCADAsystems tornou-se fundamental para garantir a segurança ea

fiabilidade desses equipamentos e infra-estrutura. A maioria das pesquisas existentes sobre modelagem e gestão
de riscos SCADA tem se concentrado em abordagens baseadas em probabilidades ou quantitativas. Enquanto
abordagens probabilísticas provaram ser úteis, eles também sofrem de problemas comuns, como hipóteses
simplificadoras, os custos de implementação grandes, e sua incapacidade de capturar completamente todos os
aspectos importantes de risco. Este capítulo apresenta um modelo digraph para sistemas SCADA que permite a
representação formal, explícito de um sistema SCADA. Um número de métodos de gestão de riscos são
apresentados e discutidos para um sistema SCADA baseia-se no modelo proposto. Em particular, este capítulo
apresenta métodos para avaliação de impacto de risco e diagnóstico de falhas usando o proposedmodel.
As contribuições do capítulo são duas. Primeiro, o modelo proposto pode servir como uma base conceitual para representar tanto
os aspectos estáticos e dinâmicos de um sistema SCADA para fins de concepção, síntese e integração. Em segundo lugar, o
modelo proposto pode ser utilizado para tarefas de gerenciamento de risco comuns, como a avaliação de risco e diagnóstico de
falhas. As implicações para a gestão de sistemas SCADA são imediatos. Gestores de redes SCADA precisa fi de dados capaz
preciso e justi sobre as consequências de específico tipos de violações de segurança e dados capazes fi precisas e justi sobre o
que possíveis consequências de ataque são eliminados por medidas de segurança c especi fi. A abordagem aqui proposta
fornece aos gerentes com ambos os tipos de dados.
O resto do capítulo é organizado da seguinte forma. A próxima seção fornece fundo e uma breve revisão da literatura. Isto é
seguido pela apresentação do modelo para sistemas SCADA. Depois que os dois algoritmos de gestão de risco são propostos
para avaliação de risco e diagnóstico de falhas. Durante todo o capítulo um sistema SCADA para uma coluna de destilação de
produto químico é usado para ilustrar o proposedmodel e algoritmos. Finalmente, na última seção as implicações capítulo
discussesmanagement para a abordagem proposta para a modelagem SCADA e gestão de riscos.
4,2 Fundo
sistemas SCADA evoluíram na última década em sistemas altamente complexos e interligados. Por razões como a
eficiência, redução de custos, e integração com sistemas de informação em toda a empresa, os sistemas SCADA não têm
dedicado linhas de comunicação. Em vez disso, eles compartilham canais de comunicação com o resto da organização.
Essa mudança levou a um risco muito diferentes pro fi le para sistemas SCADA e expô-los para os problemas comuns e as
ameaças da Internet [8,9] . Este aumento do nível de ameaça de segurança exige uma gestão mais rigorosa dos sistemas
SCADA para garantir as operações seguras e suaves das infra-estruturas subjacentes. A maioria das pesquisas existentes
sobre a segurança SCADA centra-se na modelagem quantitativa / probabilístico e análise de risco. Os métodos propostos
incluem aqueles baseados em Hidden Markov Models, modelos baseados estatisticamente, e árvores de ataque [4,10 e 12] .
Um Modelo Digraphs para Risco de Identi fi cação e Gestão em Sistemas SCADA 71
Madan et al. [10] aplicado um modelo estocástico para um sistema de rede de computadores para capturar o comportamento atacante
e analisar e quantificar os atributos de segurança. Eles determinaram disponibilidade steady-state de requisitos de qualidade de serviço
e o tempo médio de falhas de segurança com base em probabilidades de falha devido a violações de diferentes atributos de segurança.
Taylor et al. [12]
fundiram análise de risco probabilístico com a análise do sistema de sobrevivência com pequenas modi fi cação do que seria
considerado análise de risco probabilístico tradicional, mas ainda depende da obtenção de estimativas de probabilidades. A
capacidade para determinar se ou não a redução do risco é conseguido quando modi fi cações são feitas é importante. Cálculos
simples para redução de risco foram publicados [13] . No papel de Tolbert, uma métrica de risco foi calculado que era
simplesmente o produto da frequência, a probabilidade de ocorrência e gravidade de acordo com uma escala arbitrária de 1
seleccionado e 5 para cada um dos três factores. O cálculo é feito antes e depois de um modi fi cação é feita. Mais recentemente,
McQueen et al. [11] resultados publicados de um método promissor para calcular as estimativas de redução de riscos para um
sistema SCADA e um conjunto de acções correctivas do sistema de controle. O método empregue um grafo orientado (gráfico de
compromisso), onde os nós representam fases de um potencial ataque e os bordos representam esperado timeto-compromisso
para diferentes níveis invasor. avaliação probabilística do risco fornece para o cálculo da redução do risco quando aplicada à
segurança SCADA. Se uma probabilidade evento inferior de uma fi c ameaça específica pode ser ajustado para zero pela adição
de uma melhoria de segurança, o efeito sobre a probabilidade de eventos de topo de um ataque global pode ser calculado. Patel
et al. [14] desenvolveram uma ferramenta de modelagem de risco com dois índices para quantificar o risco associado com os
sistemas SCADA. Seu trabalho faz uso de árvores de vulnerabilidade aumentada, que combinam árvores ataque e árvores
vulnerabilidade métodos. árvores de ataque foram aplicados a um sistema de comunicação SCADA [4] . Os autores identificaram
11 gols atacante e vulnerabilidades de segurança associados nas especi fi cações e desenvolvimento de sistemas SCADA
típicos. Eles foram então usados para sugerir as melhores práticas para operadores SCADA e melhorias para o padrão
MODBUS. A sua aplicação foi qualitativo em que a análise da árvore ataque foi utilizado apenas para identificar caminhos e
qualificar a gravidade de impacto, probabilidade de detecção, e o nível de dificuldade. Eles não calcular a probabilidade de um
ataque real ser bem sucedido.
Um ponto fraco comum destes métodos é a sua fiabilidade na informação estatística e / ou de ataque padrões anteriores, que
são muitas vezes difíceis de obter. Além disso, qualquer solução para a segurança SCADA não pode ignorar a importância da
interoperabilidade desses sistemas altamente complexos. Igura et al. salientar que existem muitos protocolos proprietários em
SCADAmarket de hoje
[9] . Isso pode fazer tanto inter e intra-empresa de comunicação difícil, aumentando assim a dificuldade de gestão de
risco para os sistemas SCADA.
4.3 Um Modelo Digraphs de sistemas SCADA
Esta secção apresenta uma abordagem diferente para modelar sistemas SCADA usando uma representação grafo orientado de
sistemas SCADA. Em primeiro lugar, uma descrição geral dos sistemas SCADA é
72 Capítulo 4
fornecidos e que é seguido pela apresentação do modelo digraph proposto. Finalmente, um algoritmo de impacto de risco e
um algoritmo de diagnóstico de falhas são fornecidos para ilustrar como o modelo digraph pode facilitar a tarefa de
gerenciamento de risco.
4.3.1 Estrutura de sistemas SCADA
Um sistema SCADA típico consiste de um ou mais centros de controle, um ou mais sites eld fi, e uma infra-estrutura de
comunicações (ver Figura 4.1 ). No centro de controle de uma unidade terminal principal ou mestre (MTU) processa a informação
recebida a partir de locais de campo para criar uma representação digital do processo físico ou infra-estrutura e envia directivas
de controlo de volta para locais de campo. Operadores visualizar o estado das directivas do sistema e de controlo de emissão
usando várias interfaces homem-máquina (IHM) sob a forma de telas operador. operação de campo é realizada por dispositivos
de campo. Os tipos comuns de dispositivos eld fi são unidades remotas de telemetria (UTRs), dispositivos eletrônicos
inteligentes (IEDs) e controladores lógicos programáveis (PLCs). O restante deste capítulo irá usar o RTU prazo com o
entendimento de que a discussão relacionada com a segurança cibernética se aplica igualmente bem para IEDs e PLCs. UTRs
e MTUs são conectados por uma rede de área ampla (WAN). Possíveis tipos de redes incluem linhas alugadas, Redes
telefónicas públicas comutadas (RTCP), redes celulares, telefones fixos baseados em IP, rádio, microondas e até mesmo
satélite. Um sistema SCADA única pode fazer uso de mais de um tipo
Centro de Controle
2 Campo 1
As estações de
operador de exibição trabalho de engenharia

Telefone Switched modem
Linha alugada ou PLC
Power Line
Communications Based
campo do Site Site
Rádio,
Micro-ondas, ou
Celular
CARTÃO WAN
IED
Satélite
3 Campo site
multiplexer
SCADA Servidor
Historiador (MTU) Wide Area Network
de dados modem
RTU
Figura 4.1:
arquitetura SCADA típico. Adaptado de Ref. [15] .
de rede e a ligação entre um MTU e RTU pode ainda incluir mais do que um tipo de tecnologia de rede.
4.3.2 Um Modelo Digraphs de Sistemas SCADA
Ao longo da discussão no resto do capítulo, uma coluna de destilação à escala laboratorial é utilizado como um exemplo de
um sistema SCADA. Figura 4.2 é um diagrama esquemático do sistema de destilação da coluna e SCADA Figura 4.3 representa
o sistema SCADA como um dï¿½rafo.
Deixei X ¼ f X 1;.; X n g ser um conjunto de componentes de um sistema SCADA onde X Eu é um componente, tal como uma estação mestre, estação
SUBMASTER, ou uma UTR. Em seguida, uma relação impacto de risco R pode ser definida em X de tal modo que X Eu Rx j significa que os componentes
X Eu e X j são acoplados. Em outros uma falha no X Eu
pode propagar para X j. Um dígrafo impacto de risco G é então usado para representar esta relação tão
G ¼ f V; E g (4,1)
Onde
V ¼ f X Eu j X Eu é um componente g (4,2)
Figura 4.2:
esquemático coluna de destilação.
74 Capítulo 4
Figura 4.3:
Conceptualização da coluna de destilação como um dï¿½rafo.
é o conjunto de vértices, e
E ¼ FD X Eu; X j º X Eu e X j e estão acoplados Eu 6¼ j g (4,3)
é o conjunto de ponta. Deixei UMA ¼ ( uma eu j) ser a matriz de adjacência que representa o digrama de gestão de riscos, tais que uma eu j ¼ 1 se ð X Eu; X j º ˛ R
e uma eu j ¼ 0 se ð X Eu; X j º; R. Se existe um caminho em G a partir de X Eu
para X j, X j é dito para ser acessível a partir de X Eu. No contexto da avaliação de impacto de risco ou diagnóstico, isto significa que
um risco de segurança que ocorrem em X Eu pode ter um impacto de segurança em X j. Para completar cada vértice em G é definido
para ser acessível a partir de si por um trajeto de 0. Como definido acima, a acessibilidade é transitória. Por conveniência de
notação os componentes no exemplo coluna de destilação são numerados 1, 2, 3, etc, e o diágrafo para a coluna de destilação é
como mostrado na Figura 4.3 . A matriz de adjacência para o sistema SCADA exemplo é dado como se segue:
26666666666666666664 37777777777777777775
1100000000000111000000000010
0000000000110000000001001000
0000010001000000010000100000
1000011100000001000110000000
0001110000000001101000000000
0111
UMA ¼ (4,4)
A matriz de acessibilidade P pode ser definida como se segue:
P ¼ ð UMA º Eu º r ¼ ð UMA º Eu º r 1 6¼ ð UMA º Eu º r 2 (4,5)
Onde Eu é a matriz identidade e as operações são booleana. A matriz de acessibilidade P para o dígrafo em Figura 4.3 é
calculada como se segue:
26666666666666666664 37777777777777777775
1111000000000111000000000010
0000000000110000000001111000
0000011101000000011100100000
1111011100000111001010001111
1111110011111111101011111111
1111
P¼ (4,6)
A matriz de acessibilidade pode ser utilizado para derivar várias propriedades importantes que descrevem um sistema SCADA [16 e 18] .
Duas partições pode ser definida na matriz de acessibilidade P, a partição do nível e da partição de peças separadas. Deixei R (x), o conjunto
de acessibilidade, ser o conjunto de vértices acessível a partir de X Eu e Machado Eu), o conjunto antecedente, ser o conjunto de vértices que
atingem X Eu.
Em seguida, o nível de partição G (P) é definida como
eu ð P Þ ¼ ½ eu 1; eu 2; eu k (4,7)
Onde k é o número de níveis. Se o nível 0 é definido como o conjunto vazio, eu 0 ¼ B, o nível de partição P pode ser encontrada de forma
iterativa da seguinte forma:
eu j ¼ f X j ˛ PL 0 eu 1. eu j 1 R j ð X j Þ ¼ R j ð X Eu º X UMA j ð X Eu THG (4,8)
Os níveis assim obtidas apresentam as seguintes propriedades:
• W eu Eu ¼ V; para Eu ¼ 1; k
• eu Eu X eu Eu ¼ B; para Eu 6¼ j
• Bordas deixando vértices no nível eu Eu pode ir apenas para os vértices em níveis eu j de tal modo que Eu j. em outra
palavras, um risco de segurança em componentes em um nível só pode impactar ou propagar para componentes na mesma
ou em níveis mais baixos.
Nível de particionamento pode ser obtido através de tabulação [17] . As partições de nível para a coluna de destilação são
como se segue (ilustrada na Figura 4.4 ):
eu ¼ FD 3; THD 2; 4 º; ð 1; 5; 6; 7 º; ð 8; 9 º; ð 10; 11 º; ð 12 THG (4,9)

76 Capítulo 4
Acumulador Nível 1
3
Coluna de destilação Fluxo de destilado Nível 2

2 4
alimente Fluxo Fluxo Bottoms Fluxo de vapor Fluxo de refluxo Nível 3

1 7 6 5
RTV 1 RTV 2 nível 4

8 9
rede IP Comunicação DNP3 Nível 5

10 11
MTV nível 6
12
Figura 4.4:
As partições de nível para o dígrafo coluna de destilação.
É possível que alguns dos componentes de P constituem uma dï¿½rafo menor que é separado do restante da dï¿½rafo. A
partição de peças separadas é utilizado para identificar essas partes disjuntos do sistema SCADA. Para definir a partição-peças
separadas, de um conjunto de componentes bottomlevel deve ser definida. B é um conjunto de componentes de nível inferior, se e
somente se, para qualquer p Eu ˛ B:
UMA ð X Eu Þ ¼ R ð X Eu º X UMA ð X Eu º (4,10)
Dada a matriz de acessibilidade P para um sistema SCADA, uma partição de peças separadas S ( P) pode ser definida como
S ð P Þ ¼ ½ D 1; D 2; .; D m (4.11)
Onde m é o número de dígrafos disjuntos que constituem o dígrafo representado por UMA. Para encontrar S ( P), o conjunto de
componentes de nível inferior B deve ser encontrado, onde
B ¼ f X Eu ˛ P j UMA ð X Eu Þ ¼ R ð X Eu º X UMA ð X Eu THG (4.12)
Em seguida, todos os dois componentes X Eu, X j ˛ B são colocados no mesmo bloco se e somente se:
½ R ð X Eu º X R ð X j º? 6¼ ½ B (4,13)
Uma vez que os componentes de B foram atribuídos aos blocos, os componentes restantes dos conjuntos de acessibilidade para
cada bloco são acrescentados ao bloco.
4.3.3 Risco Impacto e algoritmos de identificação
Um dos principais objectivos deste capítulo é demonstrar a utilidade deste modelo SCADA na gestão de riscos de
segurança em um sistema SCADA. Dois desses algoritmos são apresentados nesta seção. O algoritmo primeiro permite a
avaliação do impacto de um componente de risco em um sistema SCADA. O segundo algoritmo realiza diagnóstico de
falhas para localizar fontes de erros.
O primeiro algoritmo localiza os componentes que podem ser afectados por um determinado conjunto de componentes em risco. A
entrada para o algoritmo são a matriz de adjacência UMA representando o dígrafo SCADA G e o conjunto de componentes F que são
assumidos / conhecido por estar em risco. A saída do algoritmo é um conjunto de componentes, O ¼ { X 1, X 2, X 3, ., X n}, que são susceptíveis
de serem afectadas pelas vulnerabilidades de segurança fi cados identi.
1. Calcula-se a matriz de acessibilidade P do G.

2. Calcula-se o nível de partição G.
3. Calcular o-partes distintas de partição G.
4. Para cada parte separada:
uma. Encontrar o conjunto impacto Q ¼ f W R ð X Eu thj X Eu 3 F g.
b. Encontrar o conjunto impacto nivelada LQ ¼ f LQ Eu j W LQ Eu ¼ Q g; para i ¼ 1, k, Onde k é o
número de partições de nível.
etapas 1 e 3 pré-processar o digrama que representa o modelo, encontrando a matriz de acessibilidade, as partições de nível, e as
partições de peças separadas. Passo 4a fi nds o impacto definida em cada partição separada (dï¿½rafo disjuntos). Um conjunto de
impacto é definido como os componentes que podem ser afectados pelo componente (s) em situação de risco em F. Segue-se que estes
conjuntos de impacto representam componentes no conjunto de acessibilidade (s) dos componentes em risco. Passo 4b divide cada
impacto definido em níveis usando partições nível. Dividindo os componentes de impacto definida ajuda a distinguir componentes que são
mais propensos a sofrer o impacto daquelas que são menos propensos a ser afetado. Componentes em uma partição de nível mais
elevado é mais provável que seja mais ou imediatamente afectado por os componentes em risco devido à sua maior proximidade com os
componentes em risco. A saída fi nal O é a união de todos os conjuntos de impacto nivelado em todas as partições.
Mais uma vez utilizando a coluna de destilação exemplo, suponha que o componente em risco é F ¼ { 11}, então o conjunto impacto
nivelada seria
LQ ¼ FD 8; 9 º; ð 1; 5; 6; 7 º; ð 2; 4 º; ð 3 THG (4,14)
Onde
LQ 1 ¼ FD 8; 9 THG; LQ 2 ¼ FD 1; 5; 6; 7 THG; LQ 3 ¼ FD 2; 4 THG; e LQ 4 ¼ FD 3 THG (4,15)
Em outras palavras, se o componente 11 se encontra / assumida para estar em risco, então os componentes (1,2,3,4,5,6,7,8,9) são susceptíveis de ser
afectadas. Além disso, a partir dos conjuntos de impacto partição niveladas,

78 Capítulo 4
é fácil ver que o impacto nivelada definir LQ 1 ¼ {( 8,9)} é mais provável que seja imediatamente afetados do que os outros
componentes. Assim, o impacto definida Q pode ser usado para obter uma avaliação dos componentes afetados dado um alerta de
risco. Além disso, o nível particionado conjunto impacto, LQ, classifica o conjunto de componentes impactadas em termos de rapidez
de impacto, assim métodos de redução de risco / ação pode ser dirigido para os componentes que são susceptíveis de ser impactado
primeiro.
O modelo também pode ser usado para apoiar um outro risco tarefa relacionada à gestão, ou seja, diagnóstico de falhas.
diagnóstico de falhas é um processo de localizar os componentes que levaram à falha em um sistema SCADA ou partes de um
sistema SCADA. Muitas vezes, quando um sistema falha, os componentes cuja falha são observados não são as verdadeiras
causas de falhas, mas as vítimas de falhas que tenham propagado a partir de outras partes do sistema [16,17] . Esta seção
apresenta um algoritmo adaptado de Ref. [16] para diagnosticar falhas em um sistema SCADA dado sintomas observados.
Assim como no algoritmo de avaliação de impacto de risco, o processo de diagnóstico começa com o cálculo da matriz
de acessibilidade e as partições. Estes são referidos como os passos de pré-processamento.
Calcula-se a matriz de acessibilidade P do G.
Calcula-se a partição do nível G.

Calcula-se a partição de peças separadas de G.
DIAGNÓSTICO
1. S ¼ X AS (x Eu) para X Eu ˛ F
2. Q ¼ B
3. Enquanto S < > B
4. T ¼ { X r X ˛ S e nível ( x) ¼ min {nível ( X Eu) para todos X Eu ˛ S}} 1
5. TESTCOMPONENTS (t)
6. Volte Q como a origem do erro
onde o TESTCOMPONENTS algoritmo é a seguinte:
TESTCOMPONENTS (t)
1. Se r T r ¼ 1:
2. v ¼ T
3. Se r T r> 1:
4. v ˛ T de tal modo que p vz ¼ max { p xz para todos X ˛ T e z é o descendente comum de todos X ˛ T}
5. Se v não foi testado:

6. S ¼ S { v}, T ¼ Televisão}
1 Se houver mais de um nó no nível mais baixo em S, um deles é escolhido de forma aleatória para começar o teste
processo.
7. Teste o componente v e marcar v como testado

8. Se o componente é anormal:
9. Q ¼ Q W { v}
10. Se o componente é testado normais:
11. Remova em UMA Todas as arestas incidentes de e para v
12. Pré-processo a dï¿½rafo

13. Reinicie o algoritmo de diagnóstico
14. Se Ancestral ( v) < > B:
15. T ¼ Ancestral imediato ( v)
16. Se j T j < > B:
17. TESTCONTROLS (t)
Os algoritmos acima destinam-se a auxiliar na identificação de componentes para o teste quando foi observado um
conjunto de componentes ter falhado / mau funcionamento. O objectivo é encontrar a fonte (s) das falhas / mau
funcionamento, uma vez que é provável que as observadas falhas / maus funcionamentos são o resultado da propagação
de erros provenientes de componentes / fontes nos níveis mais elevados no dï¿½rafo. O algoritmo começa encontrando os
ancestrais comuns das falhas observadas F e salva o resultado em S ( ver passo 1). Este conjunto de ancestrais comuns, S, é
o conjunto de fontes de erro candidato e é definida como a intersecção dos ancestrais dos nós de F ( X Machado Eu) para X Eu
˛ F no passo 1). O algoritmo próxima testar os componentes em S e / ou seus antepassados para identificar fontes de erro
nas etapas 3 e 5. As “enquanto” ciclo (passos 3 e 5) examina cada um dos potenciais fontes de erro começando com a um
nível mais baixo do dï¿½rafo repartiu-nível. Uma vez que o componente no nível mais baixo é identi fi cado (passo 4), um
algoritmo de busca de depth- primeira modi fi cado ( TESTCOMPONENTS) orienta o processo de diagnóstico por recuo ao
longo de todas as possíveis vias de propagao de erro (passo 5). No algoritmo TESTCOMPONENTS a entrada T contém o
conjunto de componentes para examinar seguinte. Por favor, note que a primeira vez o algoritmo TESTCOMPONENTS é
invocada a partir de DIAGNÓSTICO, T contém apenas um componente. E se T contém apenas um componente, este
componente será testada (passo 7 em TESTCOMPONENTS). Uma vez que um componente é testado, é removido do
conjunto de fontes de erro candidato (passo 6) e marcado como testado (passo 7). Se o componente é normal, o erro é
improvável que tenha originado a partir dos seus componentes ancestrais mais a montante trajectos de propagação de
modo a relacionados são removidos do diágrafo, as partições são recalculados, e o processo de diagnóstico é reiniciado
(reinicialização DIAGNÓSTICO) ( as etapas 10 e 13). Caso contrário, o componente anormal testado é adicionado ao conjunto
de fontes de erro Q ( passo 9). Neste ponto, o operador humano tem a opção de parar o processo de diagnóstico ou
continuar até que todas as potenciais fontes de erro são testados. As etapas 14 e 15 vai passar a busca para a frente,
examinando os pais do nó anormal v. Se o nó anormal v não tem qualquer pai, o processo de diagnóstico continua com a
fonte (s) erro candidato no próximo nível mais baixo no algoritmo
DIAGNÓSTICO ( passo 4, em DIAGNÓSTICO). Se o nó anormal v tem pais, eles são

80 Capítulo 4
examinou chamando o algoritmo TESTCOMPONENTS recursivamente (passo 17 no

TESTCOMPONENTS).
Há duas possibilidades. No primeiro caso existe apenas um único pai e este pai vai ser testado (condição no passo 1, em TESTCOMPONENTS).
No segundo caso há mais do que um progenitor e o pai a partir do qual é mais provável que tenha propagado pode ser
determinada de acordo com as probabilidades de propagação de erros. Isto é para permitir a busca para ficar tão perto quanto
possível no caminho mais provável para a fonte (passo 4). Para qualquer componente X o erro pode ter propagado a partir de
qualquer um dos componentes ancestrais montante. Em alguns casos, pode haver vários ancestrais imediatos de X e a falha
poderia ter propagado a partir de qualquer um destes ancestrais ou qualquer um dos trajectos de propagação de erro
encabeçados por estes ancestrais. obviamente, para X uma falha pode ser mais provável para se propagar de alguns dos
componentes em vez de outros. Esta informação pode ser captada através de uma probabilidade de propagação. Associado com
cada ponta é então p eu j, a probabilidade de que uma falha irá propagar a partir de X Eu para X j, 0 < p eu j
1. É
assumido que esta informação está disponível a partir de usuários experientes com o sistema SCADA. No caso de tal informação
não estiver disponível, igual probabilidade pode ser atribuído a cada p eu j ea verdadeira probabilidade de p eu j pode ser gradualmente
adquirido pelo uso do sistema [19] . Assim, para cada componente X j, p eu j é definida de tal forma que S ni ¼ 1 p eu j ¼ 1, onde n é o em
graus do vértice representando o componente X j. Por exemplo, Figura 4.5 mostra um componente que tem três componentes
ancestrais que poderiam propagar uma falha para ele.
Passo 4 no TESTCOMPONENTS algoritmo dirige a busca do caminho mais provável de acordo com as probabilidades de
propagação de falhas e ajuda a garantir que a busca vai ficar tão perto quanto possível no caminho mais provável para a fonte de
culpa. Em geral, um componente é escolhido para o ensaio de modo que o resultado do teste pode podar distância pelo menos
um caminho de componentes de posterior consideração.
Assim, o algoritmo volta atrás ao longo do caminho até aos sub-trajectos de fora em dois ou mais trajectos. Se o
componente apenas testada não tem qualquer pai, então o algorithmwill recursiva
x1 x3
p1j = 0,2 p2j = 0,4 p3j = 0,5 x2
xj
Figura 4.5:
Falha probabilidade de propagação.
permitem que todos os outros caminhos possíveis de erro a ser testado (passo 17). Uma vez que todos os caminhos possíveis
provenientes do componente escolhido no algoritmo principal ter sido examinada, a fonte potencial de erro na próxima nível menor irá
ser utilizado para orientar a próxima ronda de teste (passo 4 no algoritmo principal). Este processo continua até que todas as potenciais
fontes de erro em S estão esgotados.
Como um exemplo de um cenário de diagnóstico de falhas, suponha que um hacker é capaz de penetrar a rede corporativa e
injetar SCADA tráfego fi c para a rede de controle. O hacker pode não ter qualquer conhecimento da coluna de destilação
configurar, mas fi nds o DNP3 tráfego fi c fl uxo na rede. código Amalicious injectado no DNP3 (nó 11 em Figura 4.4 ) TRAF fi c
pode resultar em danos para a coluna de destilação. O código / comando injectado pode contar os dispositivos para operar
directamente fluxo de alimentação (nó 1, em Figura 4.4 ), Coluna de destilação (nó 2 em Figura 4.4 ), E / ou Re fl uxo de fluxo
(nó em 5 Figura 4.4 ). Como um resultado, por exemplo, a re fl uxo de fluxo da válvula começa a oscilar entre 100% aberto e a
definição da posição de válvula de vapor da válvula alvo. Os outros dois componentes podem apresentar problemas
semelhantes. Daí os componentes F ¼ { 1,2,5} pode apresentar sintomas de falha. O operador humano, ao detectar as leituras
erradas nos componentes 1, 2, e 5, podem usar o DIAGNÓSTICO algoritmo para localizar a fonte de falhas, isto é, o código
malicioso injectado no DNP3 (nó 11 em Figura 4.4 ). De acordo com o algoritmo o único ancestral comum aos componentes
defeituosos é DNP3 (11). Como resultado {11} será devolvido como uma provável fonte de faltas. Isto irá alertar os operadores
a tomar especi fi c e ação imediata,
Acumulador Falha sintomas

3
Falha Fonte
Coluna de destilação Fluxo de destilado

2 4
Propagação
caminhos
alimente Fluxo Fluxo Bottoms Fluxo de vapor Fluxo de refluxo

1 7 6 5
RTV 1 RTV 2
8 9
rede IP Comunicação
10 DNP3
11
MTV
12
Figura 4.6:
cenário falha exemplo.
82 Capítulo 4
tais como aumentar temporariamente a segurança no gateway de controle, parando o tráfego fi c da rede corporativa, etc. Veja Figura
4.6 para obter uma descrição do cenário de falha. Como um exemplo de probabilidades de propagação orientam o processo de
diagnóstico, a coluna de destilação em Figura 4.6
poderia fazer parte de um sistema SCADA maior e num componente de processo de diagnóstico de falhas 2 (ver
Figura 4.4 ) Pode ter sido encontrado como estando anormal. Neste cenário, a falha poderia ter propagado a partir de um dos
quatro componentes ancestral imediato {1,5,6,7}. Nesse caso culpa probabilidades de propagação iria dirigir o processo de
diagnóstico de pesquisa ao longo do caminho mais provável no passo 4 do TESTCOMPONENTS algoritmo. Este algoritmo
diagnóstico de falhas pode ser particularmente útil em um sistema SCADA grande que contém centenas ou milhares de
componentes e uma oportuna identificação de fontes de falha é crítica.
4.4 Conclusões
Este capítulo apresenta um modelo digraph para sistemas SCADA. Um sistema SCADA, uma coluna de destilação laboratoryscale, é usada como um
exemplo para ilustrar o modelo proposto. O modelo SCADA proposta oferece uma abordagem simples e fácil de implementar para a representação de
ambos os aspectos estáticos e dinâmicos de um sistema SCADA. A abordagem difere da maioria das pesquisas existentes, onde a abordagem
predominante é a modelagem das probabilidades de risco ou padrões de ataque. Em vez disso, este modelo é projetado para capturar os aspectos mais
fundamentais de um sistema SCADA (ou seja, a sua estrutura e comportamento), e construir avaliação de risco e operações de diagnóstico a partir de
um tal modelo de aspectos fundamentais. Cada componente em um sistema SCADA é representado como um nó num dï¿½rafo e possíveis trajectos de
propagação de erro constituem as bordas da dï¿½rafo. Várias partições importantes do dígrafo pode ajudar as operadoras a avaliar rapidamente o
impacto de possíveis vulnerabilidades e localizar fontes de erro. Estas características do modelo proposto são demonstrados através de dois algoritmos.
O algoritmo primeiro permite que um operador para avaliar o possível impacto do risco de segurança em qualquer componente ou combinação de
componentes. O segundo algoritmo auxilia o operador na localização de fontes de falhas que foram propagados através do sistema. Tal abordagem tem
vantagens importantes. Em primeiro lugar, a estrutura simples do modelo proposto é fácil de implementar. Para além da sua simplicidade a maior parte
da informação necessária para a construção do modelo é prontamente disponível a partir da documentação do sistema, isto é, estrutura e função do
sistema. Em segundo lugar, o modelo proposto pode servir como uma base conceitual para representar tanto os aspectos estáticos e dinâmicos de um
sistema SCADA para fins de concepção, síntese e integração. Em terceiro lugar, o modelo proposto pode ser utilizado para tarefas de gerenciamento de
risco comuns, como a avaliação de risco e diagnóstico de falhas. As implicações para a gestão de sistemas SCADA são imediatos. Gestores de redes
SCADA precisa fi de dados capaz preciso e justi sobre as consequências de específico tipos de violações de segurança e dados capazes fi precisas e
justi sobre o que possíveis consequências de ataque são eliminados por medidas de segurança c especi fi. A abordagem aqui proposta fornece aos
gerentes com ambos os tipos de dados. o modelo proposto pode ser utilizado para tarefas de gerenciamento de risco comuns, tais como avaliação de
risco e diagnóstico de falhas. As implicações para a gestão de sistemas SCADA são imediatos. Gestores de redes SCADA precisa fi de dados capaz
preciso e justi sobre as consequências de específico tipos de violações de segurança e dados capazes fi precisas e justi sobre o que possíveis
consequências de ataque são eliminados por medidas de segurança c especi fi. A abordagem aqui proposta fornece aos gerentes com ambos os tipos
de dados. o modelo proposto pode ser utilizado para tarefas de gerenciamento de risco comuns, tais como avaliação de risco e diagnóstico de falhas. As
implicações para a gestão de sistemas SCADA são imediatos. Gestores de redes SCADA precisa fi de dados capaz preciso e justi sobre as
consequências de específico tipos de violações de segurança e dados capazes fi precisas e justi sobre o que possíveis consequências de ataque são
eliminados por medidas de segurança c especi fi. A abordagem aqui proposta fornece aos gerentes com ambos os tipos de dados.
Referências
[1] RH McClanahan, SCADA e IP: É a convergência de rede realmente aqui? Ind. Appl. Mag. IEEE 9 (2) (2003)
29 e 36.
[2] DC McFarlane, Developments no planejamento da produção holônica e controle, Prod. Plano. Controlo 11 (6) (2000)
522 e 536.
[3] RM Murray, KJ Astrom, SP Boyd, RW Brockett, G. Stein, indicações futuras no controle em um informações
mundo rico, IEEE Controle Syst. Mag. 23 (2) (2003) 20 e 33.
[4] EJ Byres, M. Franz, D. Miller, A utilização de árvores de ataque em avaliar as vulnerabilidades em sistemas SCADA,
Oficina de Infraestrutura Sobrevivência Internacional (IISW'04), IEEE, Lisboa, Portugal, Dezembro de 2004. [5] K. Poulsen, Slammer verme
caiu Ohio net nuclear planta, < http://www.securityfocus.com/news/6767 > 2003. [6] T. Smith, Hacker iailed para ataques de vingança esgoto, < http://www.theregiste
for_revenge_sewage / > 2001.

[7] R. Esposito, Hackers bater sistema de água Pensilvânia, < http://www.isa.org/InTechTemplate.cfm?
Seção ¼ NewHome & template ¼ / Gestão de conteúdo / ContentDisplay.cfm & ContentID ¼ 57151 > 2006.
[8] T. Brown, Segurança em sistemas SCADA: Como lidar com a crescente ameaça de processar automação, Comput.
Eng controle. 16 (3) (2005) 42 e 47.
[9] VM IGURA, SA Riso, RD Williams, questões de segurança em redes SCADA, Comput. Secur. 25 (7) (2006)
498 e 506.
[10] BB Madan, K. Gogeva-Popstojanova, K. Vaidyanathan, KS Trivedi, Modelação e quantificação de
atributos de segurança de sistemas de software, Conferência Internacional sobre confiáveis Sistemas e Redes, DSN (2002) 505 e 514.
[11] MA McQueen, WF Boyer, MA Flynn, GA Beitel, quantitativa do Cyber Risco Redução Estimativa
Metodologia para um pequeno sistema SCADA de controle, IEEE Computer Society, Washington, DC, EUA, 2006. [12] C. Taylor, A. Krings,
J. Alves-Foss, análise e avaliação de riscos de sobrevivência probabilística (RAPSA): An
abordagem de avaliação para o endurecimento poder subestação, Proc. Oficina ACM em cientí fi cos Aspectos de ciberterrorismo (SACT),
Washington, DC, 2002.
[13] GD Tolbert, redução do risco residual: sistematicamente decidir o que é “seguro”, Prof. Saf. 50 (2005) 25 e 33. [14] SC Patel, JH Graham, PAS
Ralston, aumento de segurança para os protocolos de comunicação utilizando SCADA
árvores de vulnerabilidade aumentada, Anais da 19ª Conferência Internacional sobre Aplicações Informáticas de Indústria e Engenharia de
2006, pp. 244 e 251.
[15] K. Stouffer, NIST actividades de segurança do sistema de controlo industrial, Proceedings of the ISA Expo, Chicago, IL,
2005.
[16] J. Guan, JH Graham, raciocínio diagnóstico com dï¿½rafo propagação de falhas e de ensaio sequencial, IEEE
Trans. Syst. Homem. Cybern. 24 (10) (1994) 1552 e 1558.
[17] NH Narayanan, N. Viswanhadam, Uma metodologia para aquisição de conhecimento e raciocínio em fracasso
análise, IEEE Trans. Syst. Homem. Cybern. 17 (2) (1987) 274 e 288.
[18] Guerra JN fi eld, Estruturação Sistemas Complexos, Instituto Battelle Memorial (1974).
[19] J. Guan, JH Graham, uma abordagem integrada para o diagnóstico de falhas com a aprendizagem, Comput. Indus. 32 (1) (1996)
33 e 51.
CAPÍTULO 5
De Alto Nível Architecture and Design

de um mecanismo de decisão para
a Segurança e segurança marítima 1
Piper Jackson * , Uwe Glasser * , Hamed Yaghoubi Shahir * , Hans Wehn y

* Software Technology Lab, Escola de Ciência da Computação, Universidade Simon Fraser, Burnaby,
British Columbia, Canadá y Research & Development, MDA Corporation, Richmond,
British Columbia, Canadá
Capítulo Esboço
5.1 Introdução 86
5.2 fundo 87
5.2.1 O ciclo OODA 87
5.2.2 Automated Planejamento 88
5.2.3 Fundamental Planejamento Elements 89
5.2.4 Hierarchical Task Networks 89
5.2.5 Research outros relacionados 90
5.3 Concepção 91
5.3.1 Requisitos 91
Arquitetura 5.3.2 Sistemas e Design 92
gestão Goal 94 Plano de
gerenciamento de 94
Gerenciamento Decisão 95
Avaliação 95
mecanismo de comunicação 96
5.3.3 híbrido HTN Quadro 97
5.3.4 Plano Robustez 98
5.3.5 Tecnologias Emergentes 99
5,4 representação formal 100

Máquinas 5.4.1 Resumo do Estado 100
5.4.2 CoreASM Ambiente 100
5.4.3 Decisão Motor ASM Especificações 101
1 Com base em: P. Jackson, U. Glasser, H. Yaghoubi Shahir, e H. Wehn. Um mecanismo de decisão Extensible para Marine
Segurança e Segurança. IEEE Int. Conf. em Inteligência e Segurança Informática (ISI), 2011: 54 e 59, com permissão.
Este trabalho foi apoiado em parte pelo MDA Corporation e MITACS através do programa MITACS-Acelerar estágio.

http://dx.doi.org/10.1016/B978-0-12-404702-0.00005-7 85
86 Capítulo 5
5.5 Aplicação 103

5.6 Conclusões e Trabalhos Futuros 103
Agradecimentos 104 Referências 104
5.1 Introdução
Pela sua própria natureza, alguns domínios de aplicação são imprevisíveis. Nós trabalhamos para desenvolver as melhores
tecnologias e práticas a fim de resolver os problemas que enfrentamos, nós somos incapazes de assumir que nossas ações vão
continuar sem interrupção. O equipamento pode falhar e as pessoas podem cometer erros. Apesar do melhor planejamento,
decisões erradas podem ser feitas. Isto é especialmente verdadeiro em situações críticas, quando o tempo é limitado e as
penalidades para o fracasso são graves. Quando enfrentamos a possibilidade de interferência por atores neutros ou contraditório,
as coisas tornam-se ainda mais difícil. No entanto, somos capazes de lidar com esta realidade na vida cotidiana porque somos
capazes de reagir de forma dinâmica para o mundo que nos rodeia. Nós aprender com os erros e evitar problemas quando eles se
tornam aparentes. Para um sistema automatizado para um bom desempenho em situações do mundo real,
Planejamento é o processo de geração de uma série de ações que realizar um objetivo. Em computação, abordagens
clássicas para o foco de planejamento nas propriedades teóricas e algoritmos gerais. Ao longo das últimas décadas, o
planejamento clássica tem sido bem estudada [1] . No entanto, uma série de hipóteses simplificadoras são feitas para este tipo
de pesquisa. Mais comumente, apenas os sistemas que são estáticos, finito, determinista e totalmente observável são
considerados. Essas suposições são apropriados apenas para algumas aplicações do mundo real, tais como fabricação, mas
para outros que não se aplicam. segurança Marine é um domínio para o qual o planejamento automatizado seria muito útil.
operações relacionadas incluem uma mistura de actividades de rotina e de emergência, condições de mudança rápida, e os
requisitos de recursos complexos. Canadá, com o maior litoral do mundo [2] , Tem um interesse particular em inovações neste
campo. Para o planejamento automatizado para ser capaz de realizar em tal domínio, ele deve ser mais flexível do que um
modelo clássico permite. Há eventos e entidades incontroláveis, conhecimento imperfeito e não-determinismo, acções ou seja,
pode ter resultados inesperados. Replanejamento, a geração dinâmica de novos planos, é uma estratégia que pode ajudar a
resolver esses problemas.
Veja este exemplo: A chamada 911 vem em um centro de comando de serviços marítimos, iniciando uma rescuemission.Aplan
searchand é juntos que tem o melhor fi chanceof encontrando o navio naufragou aswell como qualquer survivorswithin o timewindow
dado. Sincewe são incógnitas dealingwith, este plano não pode ser responsável por todas as eventualidades. Várias coisas podem
acontecer que poderia exigir uma rápida alteração do plano. Por exemplo, novas informações (tais como relatos de testemunhas)
poderia adicionar ou remover áreas de interesse da pesquisa. Outra possibilidade é a insuficiência de recursos, quer no
De Alto Nível Arquitetura e Desenho de um mecanismo de decisão para a Segurança e Segurança 87 Marinha
perda de recurso real FORMOF ou devido a capacidades reductionof situacionais. Badweather é uma causa principal deste,
quer por causar directamente danos ao equipamento, ou interferindo com o movimento ou sensores (includingvision).
Finalmente, é possível que uma decisão descrito no planmay falhar. Neste caso, é uma decisão crítica se deve ou não repetir
a ação falhou, tente outra coisa, ou abortar a missão atual. Busca de sobreviventes em águas abertas durante o mau tempo
pode não proceder de forma manual. Pode ser necessário tentar uma variedade de tecnologias ou soluções de detecção, e é
possível a tentativa de busca pode tornar-se perigoso demais para continuar.
Propomos aqui um modelo de arquitetura abrangente e estrutura algorítmica de métodos formais planningusing contínuas para
representar themodel a nível operacional abstrato, capturando o comportamento do sistema como um todo. Especificamente, usamos o
método Abstract State Machine (ASM) [3] para expressar e delinear as responsabilidades dos componentes do sistema. O mecanismo
de decisão é projetado para ter uma arquitetura de plug-in, permitindo que vários paradigmas de planejamento para ser usado dentro de
seus componentes. Por exemplo, o conjunto de algoritmos de planejamento disponíveis shouldmatch as necessidades do domainmodel
como representado por INFORMLab [4] , Uma simulação industrial platformfor desenvolvimento de sistemas de apoio à decisão em
themarine de domínio e de segurança (ver Secção 5.2.4 para mais detalhes). Apresentamos também um paradigma de planejamento
adequado ao domínio de aplicação. Este projeto é construído de modo que à medida que novas técnicas e tecnologias relevantes são
desenvolvidos, eles podem ser trocados no sem dificuldade. Quando completa, que se destina a funcionar como um guia para futuras
implementações de uma camada de planejamento contínuo.
O restante deste capítulo é organizado da seguinte forma: Seção 5.2 discute conhecimentos e conceitos relacionados com o
projecto de fundo; Seção 5,3 apresenta projeto Decisão do motor; Seção 5,4
propõe uma abordagem formal representação para o mecanismo de decisão baseado no método de máquina de estado
abstrato com alguns exemplos; Seção 5.5 descreve o contexto do aplicativo no qual o mecanismo de decisão foi desenvolvido;
finalmente, a Seção 5.6 conclui o capítulo com uma discussão sobre o trabalho futuro e outras possíveis aplicações desta
pesquisa.
5.2 Background
Nesta seção, discutimos vários temas que são fundamentais para a nossa investigação. O ciclo OODA é o quadro operacional
dentro do qual existe o sistema. planejamento automatizado é a disciplina acadêmica que regula esta tema de pesquisa. No
Fundamental subseção Planejamento Elements, discutimos várias idéias e entidades de importância para o foco de nossa
investigação. Em seguida é uma explicação geral da hierárquicos Tarefa Networks, uma vez que são de particular interesse
para este projecto. Finalmente uma breve descrição de outras pesquisas relacionadas é dado.
5.2.1 O ciclo OODA
O ciclo OODA ( Figura 5.1 ), Desenvolvido pelos Estados Unidos da Força Aérea Coronel John Boyd, é um modelo de como
um agente inteligente, sentindo interage com um ambiente dinâmico, bem
88 Capítulo 5
Figura 5.1:
ciclo OODA de John Boyd.
estabelecida em ambos os contextos militares e de negócios. É composto de quatro etapas principais: Observar o ambiente para
descobrir o que está acontecendo; Orientar a evidência observada, para estabelecer o seu significado em termos da própria situação
e interesses; Decidir o que fazer com base no que foi entendido durante a orientação; e, finalmente, Aja sobre essa decisão. Este é
um ciclo iterativo, com os resultados do Aja fase de alimentação para a próxima Observar Estágio. Por continuamente seguindo o
ciclo OODA, um agente individual ou grupo de agentes são capazes de actuar em conformidade com a situação que se encontram.
Aqui, o ciclo OODA é empregue como um modelo nitiva fi de de como ambos dirigidos e comportamento reactivo pode ser dividido
em seus elementos constituintes, e como esses elementos interagem uns com os outros. Por esta razão, os quatro passos serão
utilizados ao longo deste texto para se referir a qualquer processo ou algoritmo que alcança sua finalidade dentro do contexto de um
sistema adaptativo em tempo real.
5.2.2 Automated Planejamento
Planejamento é o processo de encontrando um conjunto de ações que realizam um metas oumais. planejamento automatizado é
realizada computacionalmente, a fim de controlar os sistemas automatizados ou auxiliar os operadores humanos em sua tomada de
decisão. planejamento automatizado tem um grande potencial para lidar com a complexidade dos sistemas que usam muitos recursos
de gestão. Como eld fi, planejamento automatizado tem proporcionado vários métodos que podem ser usados para decidir sobre como
agir quando dada metas e um ambiente no qual a agir. No entanto, o planejamento algoritmos são frágeis por conta própria, uma vez
que as condições podem mudar depois de um plano é constructed.Most havebeen formulado assumindo um ambiente fechado e
previsível [1] . Não é ainda maior complexidade para domínios que interagem com o mundo em geral, uma vez que isso significa que
haverá muitos fatores que são difíceis ou impossíveis de controlar. abordagens clássicas para o planejamento são bem
compreendidos, mas não lidam bem com conhecimento incompleto ou o inesperado. sistemas de planejamento contínuas adaptar
dinamicamente, a fim de lidar com os desafios encontrados durante a execução. ofertas de planejamento contínuo com os desafios de
condições complexas, permitindo que o sistema de planejamento para reagir ao feedback do ambiente e replanejar quando
necessário. Características que permitem

planeamento contínua eficaz são descritos nas Refs [5,6] . Estes incluem: a capacidade de monitorar as mudanças no
ambiente e na execução de um plano; ser capaz de manter vários planos e escolher qual a comprometer-se; elaboração de
um plano conforme apropriado para o conhecimento atual e os recursos disponíveis; ea capacidade para os planos de
auditoria e alterá-los, se necessário. O projeto proposto neste capítulo visa incorporar essas características.
5.2.3 Elementos de Planejamento Fundamentais
Existem quatro classes de objetos que são fundamentais para o planejamento. Estes são: metas, planos, decisões e ações.
Metas são declarações de alto nível que o sistema visa ful fi ll. A missão, tais como busca e salvamento, é um excelente
exemplo de um objetivo. Resolver um problema que está a interferir com as atividades do sistema também é uma meta,
embora neste caso seria gerado dinamicamente em vez de ser introduzida por operadores do sistema. Objetivos são
alcançados através da realização de acções apropriadas.
As ações são simples: são as acções externas realizadas por um sistema como ele interage com seu ambiente durante
a execução. Eles estão intimamente ligados a decisões, que são sua contrapartida lógica. Desta forma, é possível
representar tanto o intenção para fazer algo (a decisão) eo Aja de fazê-lo (a ação). Esta distinção é vital quando os
resultados de uma ação não são completamente previsíveis. As ações podem falhar ou nunca tem uma oportunidade
para começar. Eles podem ter sucesso parcial ou ter consequências inesperadas. Na verdade, é precisamente a
diferença entre decisão e ação que o sistema deve avaliar a fim de determinar uma reação apropriada a um resultado
imprevisto. Esta distinção permite comportamento planejamento robusto em um ambiente dinâmico com a incerteza.
Os planos são objetos necessários ao intermediário para gerar decisões adequadas para um determinado objetivo. Eles são usados
para construir e organizar um conjunto de decisões que são susceptíveis de resultar na ful fi llment desse objetivo. Um plano pode
conter pontos de decisão (condicionais) e restrições que limitam quando o plano pode ser promulgada, tais como pré-requisitos que
devem ser fi ful encheram antes de começar (incluindo de outras decisões deve precedê-la em termos de execução).
5.2.4 hierárquicas Tarefa Networks
O paradigma hierárquico da rede de tarefas (HTN) é uma abordagem para o planejamento automatizado que aproveita o conhecimento
de domínio para reduzir o espaço de busca ao desenvolver uma solução para um problema de planejamento. As abordagens
tradicionais de tentativa de planejamento para transformar um estado inicial a um estado meta aplicando ações disponíveis em uma
ordem fi c específica. Isso requer considerando muitas ações possíveis em cada ponto de decisão ao construir uma solução, de modo
que o espaço de busca para tal um planejador é imensa: sem restrições severas em representação ou sintaxe, é de complexidade
computacional exponencial [1] . Em vez de olhar para cada ação possível, HTNs usar métodos para quebrar de forma incremental para
baixo uma tarefa objetivo abstrato inicial em progressivamente mais

90 Capítulo 5
tarefas específicas (referidas como as decisões no contexto do nosso projeto). Por exemplo, uma missão de resgate para salvar um
barco virou seria dividido em três tarefas de alto nível: pesquisa, extracção (pessoal) e segura (o barco). Por sua vez, cada uma
delas teria de ser ainda mais fogo definida em tarefas especí fi cas relacionadas com os recursos em movimento, usando o
equipamento, etc. Os métodos são desenvolvidos utilizando conhecimento especializado especi fi c para o domínio que o planejador
será usado para. Isso requer mais esforço na construção de um planejador geral, mas este esforço resulta em um planejador mais
rápido e mais útil em tempo de execução.
métodos HTN expressar o conhecimento de domínio de uma forma estruturada e formal. Desde métodos HTN são criados por especialistas humanos do
campo que o planejador é usado dentro, isso faz com que os planos resultantes mais útil para os usuários humanos em uma série de maneiras. Primeiro
de tudo, os planos são mais fáceis de entender, uma vez que eles são semelhantes a um plano formulado por um ser humano. Em segundo lugar, uma
vez que a estrutura geral de um plano corresponde a um que um especialista humano viria com, isso significa que um usuário do sistema será capaz de
usar um plano gerado como parte de seu processo de planejamento sem a necessidade de contar com ele completamente. Eles podem ser con fi dente
na sua capacidade de alterar ou peças corretas do plano baseado em sua própria experiência ou conhecimento das coisas não representados no
ambiente de simulação. Uma vez que cada simulação de computador é necessariamente uma aproximação do mundo real, esta situação é inevitável. É
importante reconhecer o papel de um Sistema de Apoio à Decisão (DSS) como INFORM Lab. Ele é capaz de realizar cálculos de culto di fi e considerar
um grande número de itens muito mais eficaz do que um ser humano é capaz de fazer. No entanto, é limitado ao conhecimento representado nele, e é
incapaz de inovar. Assim, a saída de um DSS deve ser de uma forma que um usuário humano ainda é capaz de trabalhar com ele. Um sistema de
planejamento que produz planos de uma forma inexplicável ou arcano não será tão útil, porque vai ser muito difícil para os operadores humanos para
verificar se os planos são efectivamente ser aplicadas. Estas são as duas grandes vantagens de HTNs: um espaço de busca tratável em condições
normais de execução, e uma abordagem que imita especialistas humanos e podem, portanto, ser entendida e gerida por eles. É importante reconhecer o
papel de um Sistema de Apoio à Decisão (DSS) como INFORM Lab. Ele é capaz de realizar cálculos de culto di fi e considerar um grande número de
itens muito mais eficaz do que um ser humano é capaz de fazer. No entanto, é limitado ao conhecimento representado nele, e é incapaz de inovar.
Assim, a saída de um DSS deve ser de uma forma que um usuário humano ainda é capaz de trabalhar com ele. Um sistema de planejamento que
produz planos de uma forma inexplicável ou arcano não será tão útil, porque vai ser muito difícil para os operadores humanos para verificar se os planos
são efectivamente ser aplicadas. Estas são as duas grandes vantagens de HTNs: um espaço de busca tratável em condições normais de execução, e
uma abordagem que imita especialistas humanos e podem, portanto, ser entendida e gerida por eles. É importante reconhecer o papel de um Sistema de Apoio à Decisão (DSS) com
A abordagem HTN foi implementado em várias linguagens de programação, incluindo C, Java, Prolog, e Golog [7 e 10] . HTNs
também são apropriadas para problemas de planejamento que são de natureza dinâmica, e os estudos mostraram como
eles podem ser usados em conjunto com replanejamento e reparação plano [11] . Um grupo na Toshiba Research produziram
um número de artigos olhando usando HTNs em sistemas com reordenamento [9,12,13] . Sua pesquisa é particularmente
interessado em identificar quais ações podem ser canceladas, e os efeitos que um cancelamento tem. HTNs são
considerados uma abordagem geral e útil para o planejamento por muitos pesquisadores, incluindo o planejamento para
ambientes dinâmicos com incerteza.
5.2.5 Outro Pesquisa Relacionada
Uma visão abrangente do campo do planejamento automatizado é encontrado no texto homônimo de Ghallab, Nau, e
Traverso [1] . A maior parte do texto concentra-se em bem estabelecida clássica
planejamento de técnicas que devem ser feitas de ine fl. No entanto, mesmo na introdução, as questões relacionadas com aplicações
de planejamento do mundo real, incluindo o planejamento contínuo, são descritos de forma clara. Uma descrição mais ampla das di fi
culdades e potencial de distribuição, planejamento contínuo é encontrado em Ref. [14] . Um dos autores deste artigo, Edmund Durfee,
completamente contornos distribuídos planejamento em seu artigo canônica, que foi atualizado várias vezes, a mais recente das
quais é Ref. [15] . Uma questão, em geral, com o planejamento distribuído é a confiabilidade de outros agentes. Se os agentes que
trabalham juntos em um plano são incapazes de confiar um no outro totalmente, uma grande quantidade de esforço deve ser gasto
em rastrear o comportamento e reputação de outros agentes, a fim de determinar quem pode ser confiável. Este não é um problema
para sistemas multiagentes destinados a fi ful enchendo os objetivos de uma única organização, como em operações de segurança.
Todos os agentes podem ser seguramente assumido que estar disposto a cooperar a fim de atingir as metas de todo o sistema.
Embora isso possa parecer óbvio, é significativamente reduz a complexidade do planejamento distribuído quando comparado com o
caso mais geral.
Vários exemplos de sistemas semelhantes em escopo de informar Lab que integram o planejamento e simulação existe. Eles
destacam os benefícios de planejamento para cenários de segurança. I-GLOBE simula respostas de emergência; em
particular, que simula a construção de instalações médicas temporárias em resposta a um desastre baseada ilha. Ele ilustra
como planejamento distribuído pode ser implementado de forma contínua [16] . EKEMAS é uma simulação de planejamento
contínuo, com ênfase em considerações geográficas. Ela emprega tanto o raciocínio espacial e geo-simulação para resposta
a desastres naturais [17] . Ele usa floresta fogo de resposta como o exemplo de domínio de aplicação. MADGS é um projeto
da Força Aérea dos Estados Unidos que é um sistema de simulação abrangente incorporando diversos componentes
legados. Ela coloca particular ênfase para as necessidades de recursos satisfatórios [18] . Esses exemplos ilustram diferentes
soluções para esses tipos de desafios. Um objetivo do nosso projeto é o desenvolvimento de uma abordagem geral que se
baseia em técnicas existentes e pode ser mais amplamente aplicada.
5.3 Projeto Conceitual
Nesta seção, vamos definir os requisitos de um componente abrangente de tomada de decisão de um sistema baseado em
OODA operando em um ambiente complexo e dinâmico. Nós descrevemos o design do mecanismo de decisão e explicar
como ele satisfaz estas preocupações fundamentais.
5.3.1 Requisitos
Provocando e capturar os requisitos de um sistema de software é um dos primeiros passos fundamentais em software e
engenharia de sistemas. Desde a concepção e implementação de um sistema extensível é complexo, é importante
estabelecer claramente os requisitos. Aqui listamos os requisitos de alto nível e de alta prioridade do mecanismo de
decisão:
92 Capítulo 5
• saída apropriada: Produzir um conjunto de decisões quando fornecido com um objetivo. Estas decisões devem ser
susceptíveis de atingir esse objetivo.
• actualização contínua: Atualização objetivos em curso, planos e decisões com base em evidências situação prevista por um
processo de orientação.
• Programação flexível: Ser capaz de fazer agendamento conforme apropriado para o estado atual do sistema. Quando o tempo está
disponível, agendamento deve ser feito como parte do processo de planejamento. Nesta situação, o sistema deve tirar vantagem de
qualquer algoritmos de escalonamento de otimização que estão disponíveis para ele. Quando o tempo é limitado, a programação
deve simplesmente consistir encontrando recursos apropriados que estão disponíveis com relação à prioridade objetivo, e atribuir os
recursos, de maneira primeiro a ser servido primeiro-vir.
• robustez: O mecanismo de decisão deve ser capaz de reparar um plano problemático (ver Secção
5.3.4 para uma explicação detalhada), e ser capaz de repetir, transferir ou replanejar uma decisão falhou, conforme o caso.
• Extensibilidade: O sistema deve ser capaz de incluir outros algoritmos como subplanners e programadores dentro do
componente Gerenciamento de Plano.
• Generalidade: O sistema precisa ser um modelo geral de tomada de decisão por dois motivos. Em primeiro lugar, uma vez que é parte
de um ambiente de simulação de pesquisa, deve ser facilmente compreensível para que outros grupos de pesquisa pode usá-lo e
modificá-lo como parte de seu próprio trabalho. Em segundo lugar, ele deve ser capaz de integrar novas tecnologias à medida que
amadurecem e se tornam uma consideração crescente dentro do domínio de estudo.
5.3.2 Arquitetura e Design do sistema
O mecanismo de decisão é um modelo de máquina de estado, composto por quatro entidades ativos: avaliação, gestão de
metas, gestão Plano e Gestão de decisão (ver Figura 5.2 ). Cada comporta-se como uma entidade autónoma simultaneamente
operar, interagindo uns com os outros de forma assíncrona dentro do seu ambiente operacional (a decisão do motor). Os
componentes de gerenciamento são responsáveis por manter e atualizar seus respectivos pools de objetos (metas para a
gestão Goal, etc.). A Avaliação monitores de componentes progresso e condições actuais, a fim de reconhecer quando
re-ordenamento é necessário. O processo de geração de decisões começa quando o mecanismo de decisão é enviado metas
e / ou evidências do sistema de pai (no nosso caso, informe Lab, ver Secção 5.5 ). Planos são construídos com as metas de
endereço; decisões são então derivadas de planos para fornecer meios concretos para alcançar essas metas. A fim de apoiar
estes esforços, o mecanismo de decisão é capaz de consultar o sistema pai de informações relevantes, como o status de
recursos ou condições atuais do tempo. Esta informação é usada para monitorar o progresso e os resultados das actividades
em curso, e são tomadas medidas correctivas se as expectativas correspondentes não são cumpridas. Desta forma, o
mecanismo de decisão como um todo visa proporcionar decisões para o sistema pai para usar na atribuição de recursos para
várias atividades. Vamos agora descrever os quatro principais componentes em mais detalhes, bem como considerações
tecnológicas e requisitos relevantes para nosso projeto.
Figura 5.2:
Projeto conceitual da Motor decisão.
94 Capítulo 5
gestão de meta
O componente de Gerenciamento Objetivo é responsável por atualizar e processar as metas realizadas na piscina objetivo,
que é o conjunto de objetivos ativos no sistema. Como os outros componentes de gerenciamento, ele verifica regularmente
os progressos dos objetos em sua piscina, realizando tarefas de gerenciamento, quando necessário, e reagir a problemas
quando eles surgem. O componente de Gestão Goal aceita novas metas quando eles são inseridos no mecanismo de
decisão e mantém a lista de planos associados com esse objetivo. O potencial para ter múltiplos planos para um único
objetivo proporciona maior robustez desde que os critérios de selecção que pretende agir pode mudar dependendo de
prioridades atuais e / ou condições ambientais. análise meta hierárquica é usada sempre que possível para quebrar metas
em submetas independentes, a fim de simplificar o planejamento.
gestão de planos
O componente de Gestão Plano de cria, constrói e mantém planos dentro do sistema. Para cada objetivo, um ou mais planos são
criados, dependendo do número de opções viáveis disponíveis. Se houver mais do que um plano, o custo relativo de cada um vai
determinewhich é escolhido para ser o plano ativo para um objetivo e colocado em movimento. Planos são concluídas quando
possível: a falta de informação pode impedir que um plano de estar concluído antes de começar. decisões de espaço reservado pode
ser usado como um método de lidar com este desafio, conforme descrito na Ref. [19] . A história das escolhas feitas ao desenvolver um
plano também é mantido, a fim de permitir o retrocesso ao reparar um plano. O componente de planeamento transforma os requisitos
de alto nível de um objetivo em decisões de um nível prático o suficiente para que eles possam ser postas em prática. Avariety de
algoritmos pode ser usado para realizar esse processo. Isto pode ser feito como um processo único atômica ou de forma incremental,
gradualmente re fi ning um plano incompleto como as informações exigidas torna disponível. Um plano deve manter a história de seu
processo de construção de modo que possa voltar atrás e olhar através de cursos alternativos de ação. Isso pode ocorrer durante a
construção plano inicial ou como parte de uma tentativa de replanejamento para reparar um plano que se tornou problemático durante
a execução.
É importante notar que o planejamento e programação não são modelados como processos separados ao mais
alto nível. Isto é devido ao fato de que a divisão entre os dois não é clara, e talvez até mesmo arbitrária. Eles
existem ao longo de um continuum de pesquisa através do espaço de decisão. Em geral, o planejamento pode ser
considerado o aspecto da tomada de decisões relacionadas a escolher as ações a serem executadas, enquanto
agendamento lida com a atribuição de recursos a serem utilizados. Os dois aspectos raramente são
independentes, uma vez que a disponibilidade de recursos pode afetar quais ações podem ser executadas. Uma
determinada implementação de planejamento pode optar por otimizar as atribuições de recursos através da
integração de planejamento e programação a cada passo, ou pode, em grande parte ignorar agendamento para
que o desempenho é otimizado para reacção atempada a situações críticas.
(Decidir sobre plataformas específicas para atribuir). Qualquer uma destas gurações con fi de planejamento e
programação são válidos, e um design de alto nível do processo de decisão deve ser capaz de abranger todos
eles. De fato, considerando a mistura de atividade de rotina e de emergência com experiência em operações
marítimas, é benéfico para ser capaz de fazer um planejamento rápido com simples agendamento quando
necessário e otimização quando o tempo está disponível. O mecanismo de decisão faz isso, permitindo que tanto
o processo de Decision Management (rápida) para fazer as atribuições de recursos processo de Gestão de Plano
(otimização) ou. Além disso, um plano provisório pode ser rapidamente proposto e iniciado enquanto o processo
de planejamento continua a olhar para um plano alternativo melhorado. Se o tempo estiver disponível e a mudança
vale a pena, o sistema pode mudar para o plano alternativo.
gerenciamento de decisões
O componente Decision Management lida com as decisões que estão ativos no sistema. Isto inclui ambas as decisões que estão em execução, e,
portanto, são emparelhados a uma ação a ser realizadas pelo sistema e as decisões que estão à espera para a execução. Gestão destas decisões inclui
assegurar que as decisões têm recursos atribuído a eles, reconhecer quando uma decisão deve começar a execução, bem como a monitorização e
reagir a atualizações de status. Por exemplo, pode ser necessário interromper a execução de uma decisão devido a uma execução falhou, ou uma
mudança nas condições climáticas, ou porque ele foi forçado a lançar seu actual recurso a uma decisão maior prioridade. Assim, é necessário para a
Gestão da decisão para monitorar mudanças no status atual de uma decisão. Isto é, a fim de reconhecer a informação que se relaciona com o progresso
de decisões em execução. Primeiramente, isto é em relação ao desvio do comportamento esperado. Por exemplo, um recurso não pode mover-se tão
rapidamente como esperado para um local de destino, ou uma capacidade sensorial necessário pode ser comprometida, seja devido às condições
meteorológicas ou falha do equipamento. Se possível, esses problemas devem ser resolvidos no gerenciamento de decisões ou nível de programação
antes de recorrer a replanejamento. Desta forma, o componente Decision Management alças esperando decisões, bem como aqueles cuja ação
correspondente está atualmente em execução. ou uma capacidade sensorial necessário pode ser comprometida, seja devido às condições
antes de recorrer a replanejamento. Desta forma, o componente Decision Management alças esperando decisões, bem como aqueles cuja ação
correspondente está atualmente em execução. ou uma capacidade sensorial necessário pode ser comprometida, seja devido às condições
antes de recorrer a replanejamento. Desta forma, o componente Decision Management alças esperando decisões, bem como aqueles cuja ação correspondente está atualment
Avaliação
A parte restante do mecanismo de decisão é o componente de avaliação. Ele é responsável por decidir se o estado atual
do mundo exige replanejamento. Avaliação recebe a entrada para o mecanismo de decisão, na forma de objetivos e
evidências situação. Os objetivos são repassados para o componente Gerenciamento de meta a ser adicionado ao pool
objetivo. Situação Evidence é a informação gerada através de um processo de orientação que se relaciona
especificamente com as metas, planos e decisões que estão ativos no sistema. Isso inclui coisas como a estimativa de
tempo ou recursos necessários para completar uma decisão, e prever os resultados de
96 Capítulo 5
atividade atual. Avaliação é necessária para o planejamento contínuo, uma vez que é o processo que identifica quando
o plano atual precisa mudar. Comparação das expectativas originais ou exigências contra condições atuais e previsões
com ajuda a identificar quando um problema surgiu, como quando um veículo está se movendo muito lentamente para
chegar ao seu destino no momento em que se espera lá. Isso poderia resultar em ajuste de decisões dependentes, ou
mesmo o abandono da missão atual no caso extremo. Isso pode resultar em uma mudança de status para um objetivo,
plano ou decisão, que pode incluir o cancelamento. Em muitos casos, seria necessária nenhuma mudança. Também
pode ser necessário criar uma nova meta para lidar com algum novo conjunto de condições. A capacidade de
raciocinar sobre e reagir à mudança, aqui fornecidas pelo componente Avaliação, [6] .
mecanismo de comunicação
O mecanismo de decisão emprega um paradigma de passagem de mensagens como parte de sua fundação. A informação que está
sendo considerada inclui qualquer coisa que está relacionada com a execução atualmente decisões. Essa informação precisa ser
modelado como proveniente de dados de sensores, como os outros dados que já estão sendo coletados na simulação. Sensores
que monitoram os fatores que afetam a execução de decisões, tais como status do motor, sensoriais, etc., são considerados
interno sensores. Isto está em contraste com externo sensores, tais como visibilidade e radar, que monitoram o estado do
mundo como encontrado por um recurso.
O primeiro benefício disso é que atualizações de status para metas, planos, decisões e ações são todas fi processadas primeiro como
prova situação, o componente de avaliação. Não há nenhuma atualização direta, automático feito quando uma ação completa, por
exemplo. O raciocínio por detrás disto é que os resultados de uma acção deve ser observada por meio de sensores (internos ou externos),
a fim de ser aceite como realidade. Em outras palavras, uma vez que não podemos prever totalmente os resultados de qualquer ação
tomada, só podemos saber com certeza o que aconteceu através da observação. Outro aspecto de um sistema baseado em mensagem é
que somos capazes de modelar cada um dos componentes dentro do sistema de planejamento como um agente de serviço de software,
permitindo o uso flexível de recursos para coincidir com as actuais prioridades. Da mesma forma, vários planos podem ser suportados por
um único objetivo, com a decisão de qual usar com base nas condições atuais. Uma vez que cada agente de serviço age sobre dados
compartilhados de uma maneira diferente, a sincronização não é um problema. Além disso, como um sistema de planejamento contínuo,
seu propósito fundamental é reconhecer e situações problemáticas fi x.
O segundo benefício de empregar a passagem de mensagens é que ele permite que os componentes para operar serviços como
assíncronas. O modelo é mais geral uma vez que mesmo uma implementação síncrona será uma expressão válida do modelo. Além
disso, ele pode melhorar a flexibilidade durante a execução como, por exemplo, os vários processos podem ser executados
simultaneamente, mas apenas usar o poder de computação proporcionais às suas necessidades atuais. Isto poderia significar que o
processo de planejamento pode ser ocupado quando primeiro chegando com planos e menos movimentada depois. Pode tornar-se
ocupado novamente quando é viável para gastar recursos na melhoria do actual conjunto de
planos. Podemos imaginar esse tipo de comportamento como um ciclo OODA com vários anéis concêntricos. Os resultados de
algumas ações são imediatamente observável, eo mecanismo de decisão tem o potencial para reagir a elas rapidamente, permitindo
um comportamento ágil no sistema. Outros processos realizam-se durante um longo período de tempo, e as interacções entre os
componentes correspondentes, e, assim, o seu ciclo OODA subjacente, são de uma escala maior. Ao empregar o paradigma de
passagem de mensagens para modelar o sistema, somos capazes de apoiar esse espectro natural de comportamento dinâmico.
5.3.3 híbrido HTN Framework
O modelo do motor decisão é concebida para incorporar as tecnologias atuais e futuras para o gerenciamento de planos. Isto é conseguido, em parte,
usando um planejador de HTN como uma abordagem geral para o planejamento que podem invocar os planejadores mais especializados onde for
apropriado. Por exemplo, um planejador de HTN pode identificar que uma decisão Move é necessário para obter um recurso para o lugar certo. Neste
caso, é mais adequado e ef fi ciente para ter um Planner Caminho para calcular as trajetórias reais e questões espaciais (como detecção de colisão e
evitar). Desde HTNs considerar apenas decisões como operadores que mudam o estado do mundo, seria difícil e ineficiente para tentar representar
todas as decisões relacionadas ao movimento através do espaço como decisões HTN. Desta forma, o planejador HTN actua como o mecanismo central
de um planejador automatizada, que une uma família de planejadores mais especializadas. Isso permite que um grupo variado de decisões que exigem
diferentes algoritmos para calcular os seus planos para ser usado em conjunto para alcançar um objetivo. Por exemplo, uma busca e salvamento missão
exigirá a coordenação de detecção, comunicação e movimento de recursos apropriados (tais como veículos de resgate) apenas para configurar a
tentativa de resgate real. Cada uma dessas atividades envolve diferentes algoritmos para calcular, tais como Path Encontrar para o movimento. Desde
HTNs quebrar abstratas, metas de alto nível, um planejador de HTN pode atuar como um quadro, distribuindo decisões fi cos mais especificas para as
subplanners apropriadas quando aplicável. Este uso de HTNs como um quadro pode ser considerada a extensão lógica do conceito de críticos dentro
HTNs Isso permite que um grupo variado de decisões que exigem diferentes algoritmos para calcular os seus planos para ser usado em conjunto para
alcançar um objetivo. Por exemplo, uma busca e salvamento missão exigirá a coordenação de detecção, comunicação e movimento de recursos
apropriados (tais como veículos de resgate) apenas para configurar a tentativa de resgate real. Cada uma dessas atividades envolve diferentes
algoritmos para calcular, tais como Path Encontrar para o movimento. Desde HTNs quebrar abstratas, metas de alto nível, um planejador de HTN pode
atuar como um quadro, distribuindo decisões fi cos mais especificas para as subplanners apropriadas quando aplicável. Este uso de HTNs como um
quadro pode ser considerada a extensão lógica do conceito de críticos dentro HTNs Isso permite que um grupo variado de decisões que exigem diferentes algoritmos para calcu
Figura 5.3 ilustra um exemplo de como a arquitetura de planejamento híbrido HTN funciona. Dado um objetivo de detectar
operações de contrabando em uma determinada área, o planejador HTN começa com uma decisão resumo de alto nível que
corresponde diretamente com esse objetivo: detectar o contrabando. Esta decisão possui parâmetros que detalham o fi speci cs
desta missão particular, por exemplo, a área que deve ser observado. O planejador HTN então usa de forma iterativa métodos
para quebrar a decisão mais alto nível em mais queridos específico. Por exemplo, mover a área de interesse é fogo definido
com mosca, porque este é o melhor método para alcançar a área sob consideração. No entanto, o próximo nível de refinamento
utiliza um subplanner navegação geográfica, a fim de gerar um plano de vôo para esta ight fl. O subplanner em questão é
especializado para lidar com objetos geográficas e questões. Outros subplanners são usados para re fi ne outras decisões. Por
exemplo, um subplanner que pode calcular padrões de pesquisa e considerar as capacidades do sensor é
98 Capítulo 5
detectar contrabando
Mover para Área de Comunicar

Área de procura Mover a base de dados
Interesse Resultados
HTN HTN HTN HTN
Transferência
Fly Pesquisa Atualização
Mosca Mosca
Padrão verbal de dados
HTN HTN HTN HTN HTN
rede de
Rota de Vôo Rota de Vôo Use Radio Rota de Vôo
Transmissão
Nawgaron Pesquisa HTN Rouing Nawgaron
Legend
Refliement Mosca Tarefa / Decisão
Precedelice HTN algoritmo de planejamento
Figura 5.3:
Exemplo plano gerado pelo híbrido abordagem HTN proposto.
usado para gerar o plano de vôo para a decisão Pattern Fly Search. HTNmethods são usados para selecionar quais
subplanners de usar. Neste exemplo simplificado, o menor nível de decisões (as “folhas”) seria a saída de todo o
processo de planejamento, sendo repassada como decisões para o Gestor de decisão no caso em que este plano é
escolhido para ativação.
5.3.4 Plano de Robustez
Fundamentalmente, o modelo de planejamento empregada aqui aceita a existência de falhas e surpresas, e lida com eles de uma
forma pró-ativa quando capaz. Um componente de avaliação é utilizada para analisar evidência situação gerado tanto através da
actividade do agente, bem como de detecção do meio ambiente. Desta forma, problemas imediatos são reconhecidos como os
conflitos com restrições de decisões na piscina decisão. problemas futuros potenciais são destacadas, comparando o que se
espera com o progresso atual, por exemplo, tempo de chegada contra a velocidade da corrente esperado. Sucesso, problemas e
falhas são apontados como alterações do estado nas decisões, planos e objetivos. O fracasso não é um estado absoluto: pode
permitir a repetir de uma ação como é, ou com métodos ou recursos alternativos; também pode significar a necessidade de
replanejamento, e só resultará
no abandono de uma missão em um cenário de pior caso. Todo o planejamento é feito de uma forma tal que os custos
relevantes são minimizados, incluindo o tempo ea despesa monetária. Replanejamento também considera os custos associados
com a mudança de um curso de ação, eo plano atual é mantida, tanto quanto possível, a fim de apoiar esta. Programação de
recursos é feita de acordo com a disponibilidade e a prioridade de uma determinada decisão. O modelo de planejamento
contínuo proposto neste projeto inclui estas estratégias de planejamento atuais, a fim de permitir que o comportamento
inteligente e dinâmico para agentes automatizados em um ambiente complexo.
O sistema proposto permite-nos empregar a abordagem fi ciente mais ef quando se trata de planejar reparação, nesta ordem de
preferência:
1. repetir: Se a ação planejada falhou, mas o plano como um todo ainda é válido, ou seja, ainda há
recursos e tempo disponíveis para realizá-la e suas restrições operacionais ainda mantêm, em seguida, a escolha
mais simples é continuar com a decisão existente. Este é realizada em Gestão de decisão.
2. reatribua: Se os recursos atribuídos à decisão tornaram-se perdido ou ineficaz, atribuir novo

recursos à decisão. Esta é a reação óbvia para o fracasso de uma ação devido a um problema de recursos (por
exemplo, falha do motor) ou mudanças no ambiente que interferem com a capacidade dos recursos atuais (por
exemplo, o tempo severo). Esta opção também é realizada em Gestão de decisão.
3. Replan: Empregam um algoritmo replanejamento para reparar o plano. Se possível, alterações ao

plano deve ser mínima, a fim de evitar a dificuldade em ajustar o plano recém-reparado. Neste caso, a resposta
para a questão é cuidado em Gestão Plano.
Desde que a solução para o problema é cuidado em DecisionManagement quando possível, esta abordagem é o análogo
online para usando um algoritmo de retrocesso para fi x um plano gerado.
5.3.5 Tecnologias Emergentes
planejamento automatizado é uma área ativa de pesquisa, e várias novas tecnologias e paradigmas tornaram-se
proeminentes recentemente. Um exemplo é a fusão plano, que está preocupado com a fusão das ações dos
planos em conjunto, a fim de limitar a redundância. Por exemplo, em vez de enviar dois pacotes por mensageiros
separados, faz mais sentido usar um correio para ambos os pacotes, se o tempo e limitações de capacidade ainda
podem ser cumpridas. É importante que todo o projeto geral para um sistema que inclui o planejamento é capaz
de integrar estas novas tecnologias à medida que começam a amadurecer. Plano de fusão ainda é um tema de
pesquisa em desenvolvimento, e, como tal, não é maduro o suficiente para incluir um algoritmo de plano de fusão
dentro do mecanismo de decisão ainda. Contudo,
Não delinear a forma de executar o planejamento de uma forma distribuída aqui, já que o foco desta fase da nossa
pesquisa é o comportamento dinâmico complexo de um único agente.
100 Capítulo 5
No entanto, um método para lidar com este que é directamente aplicável ao sistema proposto é descrito em Ref. [21] .
5,4 representação formal
Um objetivo principal desta pesquisa é capturar as questões centrais do planejamento contínuo de uma maneira que é
fundamentalmente matemática na natureza. O design de alto nível abrangente aqui apresentada utiliza métodos formais
para expressar o modelo a nível operacional, capturando o comportamento do sistema como um todo. Ao usar métodos
formais para analisar e projetar o modelo proposto, desenvolvimento e implementação mais tarde deve ser simples.
Especificamente, usamos o método Abstract State Machine (ASM) para delinear as responsabilidades dos componentes do
sistema.
5.4.1 Máquinas de estado abstrato
O método ASM é um formalismo que é particularmente adequado para a engenharia de sistemas aplicada. ASMs combinar estruturas
de primeira ordem, fi a fim de representar estados como estruturas de dados arbitrários, com sistemas de transição de estado, a fim
de capturar o comportamento dinâmico de um sistema de destino. Eles são capazes de captar conceitos naturalmente e
formalmente, de modo que as características essenciais do sistema de destino são expressas de forma clara. Esta clareza é útil
quando se trabalha em conjunto com especialistas de domínio, uma vez que é mais fácil para eles para participar da construção e
validação de um modelo de sistema. O método inclui um ASM re gradual fi namento processo, permitindo que qualquer parte do
modelo a ser definida a um nível adequado de pormenor ou abstracção. ASM são executáveis, em princípio, de modo que pode
também ser usado de uma maneira empírica, tal como por ensaio de um modelo experimental. Desta forma, eles actuar como uma
ponte entre os métodos especí fi cação e modelagem computacional. Uma explicação oficial de ASMs está contido em Ref. [3] .
5.4.2 CoreASM Ambiente
CoreASM é um ambiente de idioma fi cação e ferramenta de especificação executável que permite a análise experimental de
ASM especi fi cações. Sua arquitetura plug-in baseado fornece uma estrutura extensível que pode ser aumentada de forma
modular, a fim de atender as necessidades da aplicação atual [22] . Em nossa pesquisa, CoreASM é empregado para testar os
ASM Decisão Motor especi fi cações através da execução em cenários de exemplo. Um resultado secundário de prosseguir esta
linha de desenvolvimento com o mecanismo de decisão é um método para usar CoreASM em conjunto com código Java
existente. Anteriormente, apenas uma forma de comunicação de CoreASM para Java era possível. Agora, CoreASM pode ser
acessado a partir de Java, permitindo a interação bidirecional. Este, por sua vez faz com que seja possível executar o mecanismo
de decisão como um ASM especi fi cação em conjunto com um sistema existente (neste caso INFORMAR Lab, funcionando em
Figura 5.4:
ASM especi fi cação dos domínios do sistema.
Java). Isso permite que um tipo de “hardware-in-the-loop” do processo de desenvolvimento, onde as decisões de design de alto nível pode
ser imediatamente testado através da interação com código previamente existente.
5.4.3 Decisão Motor ASM especi fi cações
Um especi fi State Machine Abstract cação do mecanismo de decisão foi desenvolvido em um alto nível de abstração. Em primeiro
lugar, os domínios ou tipos de elementos centrais e conjuntos, estão listados na
Figura 5.4 .
Em seguida, as regras que governam Gestão Goal são mostrados na Figura 5.5 .
Dentro Figura 5.6 , As regras primárias relacionadas com a componente de Administração do Plano são apresentadas. Note-se que
a regra de Administração do Plano principal considera todos os gols no goalPool ( o conjunto ativo de metas), a fim de agir sobre
(ou criar) os planos relacionados a esses objetivos; Ele também considera todos os planos no planPool ( o conjunto ativo de planos)
individualmente para atualizações apropriadas.
O componente Decision Management em Figura 5.7 em grande parte segue a regra de gerenciamento de tarefas
apresentadas na Ref. [23] . Por fim, uma descrição geral do componente de avaliação está contida em Figura 5.8 . Este
componente é o mais novo conceitualmente, e desenvolvimento seria benéfica. Enquanto especí fi cos critérios para
avaliar o progresso não são difíceis de estabelecer, como comparando localização atual contra o destino alvo no
Figura 5.5:
ASM especi fi cação do componente Gerenciamento de Meta.
102 Capítulo 5
Figura 5.6:
ASM especi fi cação do componente Gerenciamento de Plano.
Figura 5.7:
ASM especi fi cação do componente Decision Management.
Figura 5.8:
ASM especi fi cação do componente Avaliação.
caso do movimento, um algoritmo geral para avaliar o progresso e reagir a desenvolvimentos inesperados ainda é um
problema em aberto. Em particular, é difícil de determinar qual reação a uma falha parcial é melhor para um c situação fi
cações, como se replanejamento é necessário ou simplesmente esperando vai ser suficiente para lidar com o problema.
Assim, a corrente fi cação específica para este componente descreve os requisitos para este componente, e consideramos
mais um re namento fi como um problema em aberto (e interessante).
5.5 Aplicação
O sistema de destino para a implementação, INFORMAR Lab, combina de nível superior fusão informação dinâmica distribuída, gestão dinâmica de
recursos distribuídos, estratégias de comunicação e gestão de con fi guração em um ambiente de segurança e simulação de segurança marítima. Em
particular, informe Lab simula as ações direcionadas de activos afectos à theMarine SecurityOperations Centro com base em Esquimalt, BritishColumbia.
Por exemplo, o sistema é capaz de investigar e identificar comportamentos suspeitos que podem ser contrabando nos arredores do Estreito de Georgia,
incluindo Vancouver Island e à costa continental British Columbia. Ele foi projetado e desenvolvido atMDACorporation, Richmond, BC, Canadá. Ele tem
servido como fonte para estabelecer as exigências de uma camada de planejamento contínuo, e mostrou uma tal camada pode encaixa em um sistema
maior mecanismo de simulação ou suporte decisão. No futuro, INFORMAR Lab pode agir como uma cama de teste para testar a implementação da
camada de planejamento contínuo em seu papel como um mecanismo de decisão. Isto será conseguido através de uma interface que liga os dois
sistemas e permite a troca de informação. O objetivo eventual deste projecto é para uma implementação bem-testado ao motor decisão de agir como um
processador decisão melhorado para INFORMLab. Nossa pesquisa é alsomotivated pelo potencial uso futuro de uma aplicação como INFORMLab
sendo usado por operadores humanos em um papel de apoio à decisão para as atividades do mundo real. INFORMAR Lab pode agir como uma cama
de teste para testar a implementação da camada de planejamento contínuo em seu papel como um mecanismo de decisão. Isto será conseguido através
de uma interface que liga os dois sistemas e permite a troca de informação. O objetivo eventual deste projecto é para uma implementação bem-testado
ao motor decisão de agir como um processador decisão melhorado para INFORMLab. Nossa pesquisa é alsomotivated pelo potencial uso futuro de uma
aplicação como INFORMLab sendo usado por operadores humanos em um papel de apoio à decisão para as atividades do mundo real. INFORMAR Lab
pode agir como uma cama de teste para testar a implementação da camada de planejamento contínuo em seu papel como um mecanismo de decisão.
Isto será conseguido através de uma interface que liga os dois sistemas e permite a troca de informação. O objetivo eventual deste projecto é para uma implementação bem-tes
5.6 Conclusões e Trabalhos Futuros
Este capítulo apresentou um projeto conceitual para um mecanismo de decisão que podem trabalhar dentro do contexto de uma malha de
controle baseado em OODA. Um tal motor pode ser utilizado para a determinação
104 Capítulo 5
e controlar ações de agente em qualquer aplicação para a qual a tomada de decisões é complexa e deve ser feito
de forma online. Este fi ful LLS os requisitos de um sistema de planejamento contínuo para operações de
segurança e protecção marítimas, onde as decisões críticas devem ser feitas rapidamente em um ambiente
complexo e com conhecimento imperfeito. No entanto, muitas outras atividades que não ocorrem em um ambiente
isolado (por exemplo, uma fábrica) caem na mesma categoria. Assim, argumentam que é apropriado para várias
operações do mundo real, incluindo situações com agentes autônomos (como um controlador para robôs ou em
simulações) e / ou seres humanos (quando usado em um papel de apoio à decisão). Atualmente, a presente
decisão motor está sendo usado em conjunto com INFORMAR Lab para fins de pesquisa,
Um dos principais benefícios da abordagem apresentada neste capítulo é o uso do quadro HTN híbrido para lidar com
situações on-line e em tempo real. Através do desenvolvimento de um quadro em CoreASM que pode lidar com diferentes
planejadores, subplanners e programadores, será possível integrar diferentes planejadores implementadas (incluindo JSHOP2
para HTN) e informar Lab. Desta forma, um grupo variado de decisões que exigem diferentes algoritmos para calcular os seus
planos podem ser processados em conjunto, a fim de satisfazer um objetivo. O sistema proposto captura explicitamente, a um
nível elevado, as qualidades que um planejador contínua precisa possuir para ter sucesso nas operações do mundo real em
um ambiente dinâmico com a presença de incerteza, e que se destina a ser adequado como um modelo no futuro para
aplicações em ambientes de simulação semelhantes.
Agradecimentos
O trabalho aqui apresentado foi financiado pelo MDA Corporation e MITACS através do programa MITACS-Acelerar estágio.
Referências
[1] M. Ghallab, D. Nau, P. Traverso, Planejamento Automatizado:. Teoria e Prática, primeiro ed, Morgan Kaufmann, 2004. [2] Recursos Naturais
do Canadá, The Atlas of Canada: Litoral e Litoral (online). <http://atlas.nrcan.gc.ca/
site / Inglês / learningresources / fatos / coastline.html> (Acessada 01.09.11)
[3] E. Borger, R. Stark, abstratos Máquinas de Estado: Um Método de Alto Nível do Sistema Projeto e Análise,
Springer de 2003.
[4] Z. Li, H. Leung, P. valina, H. Wehn, o sistema de fusão de dados de alto nível para CanCoastWatch, Proc. 10 Int. Conf.
Informação do Fusion, Quebec City, Canadá de 2007.
[5] M. Pollack, J. Horty, há mais vida do que fazendo planos: Gestão Plano de dinâmica, multiagent
ambientes, AI Mag. 20 (4) (19990 71 e 83.
[6] R. Hunter, J. Happe, W. Wei, M. Lau, C. Gagne', S. Peters, D. Shubaly, S. Jovanovic, S. Mitrovic-Minic,
Execução de Gestão e Plano de Adaptação, Relatório Final, DRDC Toronto, CR 2008-123, 2008. [7] D. Nau, O. Ilghami, U. Kuter, J.
Murdock, D. Wu, F. Yaman, SHOP2: Um HTN sistema de planejamento, J. Artif.
Intell. Res. 20 (2003) 379 e 404.
[8] O. Ilghami, Documentação para JSHOP2, Departamento de Ciência da Computação da Universidade de Maryland, CS-TR-
4694 de 2005.
[9] H. Hayashi, S. Tokura, F. Ozaki, Rumo agentes de planejamento HTN do mundo real, Knowl. Processo. Decis. Mak.
Agente Syst. 170 (2009) 13 e 41.
[10] R. Goldman, A semântica para métodos HTN, Proc. 19 Int. Conf. em Automated Planejamento e Programação,
Thessaloniki, Grécia de 2009.
[11] N. Ayan, U. Kuter, F. Yaman, R. Goldman, HOTRiDE: hierárquica Pedi Tarefa Replanning em dinâmica
Ambientes, Proc. do Workshop ICAPS de Planejamento e plano de execução para mundo real Sistemas: Princípios e Práticas de
Planejamento na execução de 2007.
[12] H. Hayashi, K. Cho, A. Ohsuga, computação especulativa e execução acção em sistemas multi-agente,
Elétron. Notas teor. Comput. Sei. 70 (5) (2002) 153 e 166.
[13] H. Hayashi, K. Cho, A. Ohsuga, um novo quadro de planejamento HTN para agentes em ambientes dinâmicos,
Comput. Registro. Multi Agente Syst. 3259 (2005) 55 e 56.
[14] M. Desjardins, E. Durfee, C. Ortiz, M. Wolverton, Um estudo de investigação em distribuído, planejamento contínuo, AI
Magaz. 20 (4) (1999) 13 e 22.
[15] E. Durfee, distribuído a resolução de problemas e planejamento, multi Agent Syst. Appl. 2086 (2006) 118 e 149. [16] A. Komenda, J. Vok RI
'nek, M. P echou CEK, G. Wickler, J. Dalton, A. Tate, planejamento Distribuída e
coordenação em ambientes não-deterministas, Proc. 8ª Int. Conf. de Agentes Autónomos e Sistemas Multi (AAMAS), Budapest, Hungria
de 2009.
[17] N. Sahli, B. Moulin, EKEMAS, um quadro geo-simulação baseada em agentes para apoiar o planejamento contínuo em
a palavra-real, Appl. Intell. 31 (2) (2009) 188 e 209.
[18] E. Santos, S. DeLoach, M. Cox, Atingir dinâmico, multi-comandante, planejamento e multi-missão
execução, Appl. Intell. 25 (3) (2006) 335 e 357.
[19] M. Brenner, B. Nebel, planejamento contínuo e agir em ambientes multiagentes dinâmicos, Auton. agentes
Multi Agente Syst. 19 (3) (2009) 297 e 331.
[20] K. Erol, J. Hendler, D. Nau, A semântica para o planejamento de tarefas-rede hierarquizada, da Universidade de Maryland
Computador Relatório Técnico Ciência, CS-TR-3239 de 1994.
[21] U. Glasser, P. Jackson, A. Khalili Araghi, H. Yaghoubi Shahir, H. Wehn, um suporte de decisão colaborativa
modelo para as operações de segurança e protecção marítimas, Proc. 3 IFIP TC 10 Int. Conf. em Biologicamente Inspirado Collaborative
Computing (BICC), Brisbane, Austrália de 2010.
[22] R. Farahbod, U. Glasser, o quadro de modelagem CoreASM, Software: prática e experiência, Especial
Edição: Edifício Ferramenta em Métodos Formais 41 (2) (2011) 167 e 178.
[23] U. Glasser, P. Jackson, A. Khalili Araghi, H. Yaghoubi Shahir, suporte decisão Inteligente para a segurança marítima
e as operações de segurança, Proc. IEEE Int. Conf. de Inteligência e Segurança Informática (ISI), Vancouver, Canadá, de 2010.
CAPÍTULO 6
Resolução de Identidade Criminal Usando pessoais e

Identidade social Atributos: A Collective
resolução Approach
Jiexun Li * , Alan Wang G y
* Faculdade de Ciência da Informação e Tecnologia da Universidade Drexel, em Filadélfia, Pensilvânia, EUA
y Departamento de Tecnologia da Informação da empresa, Virginia Tech, em Blacksburg, Virginia, EUA
Capítulo Esboço
6.1 Introdução 107
6.2 Trabalhos Relacionados 109
6.2.1 Teorias Identidade 109

6.2.2 Atributos de identidade utilizados nos Identity Resolution 110
6.2.3 existentes técnicas de resolução 110

6.2.4 Técnicas de Resolução ativado por contextos sociais 112
Resolução 6.3 uma identidade colectiva Abordagem 113

6.3.1 Problema Formulação 114
6.3.2 resolução Identidade Abordagens 114
atributos de identidade e similaridade mede 115 estratégias
Matching 117 análise de complexidade 119
6.4 Experiências de 119

6.4.1 Síntese de geração de dados 119
6.4.2 Experimento 120
6.4.3 métricas de avaliação 121
6.4.4 Resultados e Discussão 122
6.5 Considerações finais 123 123

Referências
6.1 Introdução
resolução de identidade é um processo de reconciliação semântica que determina se uma única identidade é o mesmo quando está
a ser descrito de forma diferente [1] . Uma técnica de resolução efetiva é especialmente importante em criminosos combates fi e
terroristas e garantir a segurança nacional. O diretor assistente do FBI CounterterrorismDivision testi fi cado em um depoimento ao
Congresso, “Devemos

http://dx.doi.org/10.1016/B978-0-12-404702-0.00006-9 107
108 Capítulo 6
ser capaz de determinar se um indivíduo é que eles pretendem ser. Isto é essencial em nossa missão para identificar potenciais
terroristas, localize os seus meios de apoio financeiro, e prevenir atos de terrorismo ocorra” [2] . No entanto, esta não é uma tarefa
trivial, pois um criminoso pode assumir múltiplas identidades usando meios fraudulentos quer ou legítimos. Terroristas são
conhecidos por cometer crimes de identidade, ou seja, a fraude de identidade, roubo de identidade e fraude de identidade, a fim
de aumentar as chances de sucesso em suas missões. Um relatório divulgado pela Of fi ce do Coordenador de Contraterrorismo
descreve muitos casos onde os terroristas em diferentes países usam passaportes falsos e outros cátions identi fi para facilitar
suas operações fi nanceiras e a execução de ataques [3] . O Relatório da Comissão 9/11 também descreve em detalhes como
terroristas fraudulentamente adquirir documentos de viagem utilizando, por exemplo, passaportes substituído-de foto ou em
branco batismais certi fi cados. Em sistemas de gestão de registros que gerenciam enormes quantidades de identidades,
referências de identidade duplicadas para um indivíduo também pode ser introduzida devido a erros de entrada de dados. O
problema de um indivíduo ter várias identidades pode facilmente enganar inteligência e aplicação da lei investigações e diminuir
os seus esforços.
Nas comunidades de banco de dados e de mineração de dados muitas técnicas de resolução de identidade têm sido desenvolvidos
para resolver esta questão. A maioria das técnicas tradicionais de resolução de identidade só usam atributos de identidade pessoais,
como nome e identificação números para fi nd identidades correspondência porque esses atributos são muitas vezes utilizados para
descrever uma pessoa na maioria dos sistemas de gestão de registros [4,5] . No entanto, os atributos de identidade pessoais estão
sujeitos a problemas como a fraude, fraude e problemas de qualidade de dados. Sua disponibilidade e confiabilidade variam entre os
diversos sistemas de gerenciamento de registro. desenvolvimento recente em técnicas de resolução de entidade genéricos, como o
modelo probabilístico Relacional [2] e o modelo de resolução de Pessoa Colectiva [6] , Fez com que o uso da informação contextual
além descritiva atributos de entidades. No contexto da resolução de identidade informação contextual pode referir-se ao conhecimento
social e relacionamentos, como os próprios companheiros de quarto e colegas de trabalho. Comparado com atributos de identidade
pessoais, características sociais são difíceis de falsificar, porque eles podem exigir esforços extraordinários para engano colaborativo [7]
Neste capítulo apresentamos uma técnica de resolução de identidade romance que leva em conta tanto a identidade pessoal e
identidade social atributos de forma coletiva. Em comparação com outras propostas de resolução de identidade, esta técnica tem
as seguintes vantagens. Em primeiro lugar, pode utilizar sistemas de gerenciamento de registro atual sem a introdução de uma
revisão infra-estrutura e hardware caro. Em segundo lugar, ligando identidades conhecidas que supostamente co-se referem a
um indivíduo, ele fornece evidência mais forte para inteligência e aplicação da lei investigadores e melhora a Cacy fi ef e
eficiência das investigações. Em terceiro lugar, reduz a carga de pesquisa desduplicando registros em um banco de dados. Por
último, vai permitir novas técnicas de resolução de identidade, explorando a informação rica por trás de um de de fato identidade.
Este capítulo é organizado da seguinte forma. Nós fi teorias revisão de identidade primeiros e técnicas de resolução de entidade
existentes, seguido por uma introdução à nossa identidade coletiva proposta

Resolução de Identidade Criminal Utilizando Pessoal e Social Identidade Atributos 109
técnica de resolução. Relatamos uma avaliação empírica do desempenho da nossa técnica proposta que combina
os dois atributos identidade pessoal e social.
6.2 Trabalhos Relacionados
Nesta seção, vamos rever teorias da identidade da literatura das ciências sociais e atributos revisão de identidade e de
técnicas analíticas utilizadas em estudos de resolução de identidade existentes.
6.2.1 teorias da identidade
O conceito de identidade tem sido estudado em filosofia, psicologia e sociologia. Ele tem uma noção subjetiva complexo e em
mudança [8] . Nós consideramos a identidade de um indivíduo a ter dois componentes básicos, ou seja, uma identidade
pessoal e uma identidade social.
A identidade pessoal é a auto-percepção como um indivíduo [9] . Ele lida com essas condições fi cientes necessárias e SUF em que a
auto persiste ao longo do tempo. Por exemplo, as pessoas muitas vezes fazem perguntas comuns sobre suas identidades pessoais,
tais como “Quem sou eu” e “Onde é que eu venho.” A identidade pessoal podem incluir informações pessoais dadas no nascimento
(por exemplo, nome, data e local de nascimento), pessoal identi fi cadores (por exemplo, número de segurança social, o número de
passaporte), descrições físicas (por exemplo, altura, peso), e a informação biométrica (por exemplo, fi impressão digital, ADN). Um
estudo conduzido pelo Reino Unido Home Of fi ce [10] sugere que os crimes de identidade geralmente envolvem o uso ilegal ou
alteração desses componentes identidade pessoal.
A identidade social é a própria história biográfica que se acumula ao longo do tempo. Ele reflete como uma pessoa
interage com a sociedade que ele ou ela pertence. teorias de identidade sociais consistem de pontos de vista
psicológicos e sociológicos. O psicológico vista define uma identidade social como a auto-percepção como um membro
de determinados grupos sociais, como nação, cultura, gênero e emprego [11,12] . Com base na visão psicológica, as
pessoas dentro de um grupo social pode partilhar algumas características comuns que podem distinguir-se de pessoas
de outros grupos. Por outro lado, a visão sociológica incide sobre “as relações entre atores sociais que realizam papéis
mutuamente complementares (por exemplo empregador e empregado, médico e paciente)" [13] . A ênfase é sobre as
relações interpessoais entre as pessoas e a estrutura social formada com base nas relações [14] . Além disso, um do
contexto social determina as especificações papéis fi cos que o indivíduo toma. Por exemplo, um homem pode ter
diferentes papéis em sua família: o pai de seus filhos, o filho de seus pais, e o marido de sua esposa. identidade social
de um indivíduo, nesse sentido, é definida como as interações baseadas em funções entre o indivíduo e as pessoas em
suas circundantes redes sociais. Deaux e Martin [13] integrado o ponto de vista psicológico e visão sociológica em um
quadro por considerá-los como diferentes níveis de contexto social. O ponto de vista psicológico lida com grupos sociais
de larga escala, enquanto a visão sociológica trata dos grupos sociais imediatas em
110 Capítulo 6
que os membros interagem uns com os outros. Neste quadro, uma identidade social se torna um conceito multinível que
envolve grupos sociais de um entendimento em várias escalas.
6.2.2 Atributos de identidade utilizados nos Identity Resolution
Para a resolução de identidade, estamos interessados em determinar características que podem confiantemente identificar um indivíduo.
atributos identidade pessoal, tais como nomes são frequentemente sujeitos a problemas de qualidade de dados, tais como erros de entrada
de engano e de dados [5] . O uso de cartões e dados biométricos identificação tem sido apontado para ser confiável ers fi identi por seus
proponentes [15,16] . No entanto, não só existem preocupações públicas sobre as suas implicações de privacidade, mas um estudo também
sugere que a ligação entre o uso de cartões nacionais de identidade e antiterrorismo é em grande parte intuitiva
[17] . Eles investigaram 25 países que tinham sido mais adversamente afetados pelo terrorismo desde
1986. Os países que empregaram um sistema de bilhete de identidade e técnicas biométricas não mostram diminuído
atividades terroristas em termos de número de ataques e mortes. O'Neil [18]
discutidas as deficiências na biometria como uma ferramenta contra-terrorista. Ele descobriu que a biometria não foram tão confiável e à
prova de fraude como as pessoas esperavam. A falta de uma confiança pessoal identi fi er nos leva a procurar um bom conjunto de
atributos para a resolução de identidade mais preciso do que qualquer identi fi cador.
As teorias de identidade revisados na seção anterior sugerem que os atributos de identidade pessoal e social pode
complementar-se com o propósito de resolução de identidade. atributos de identidade sociais são derivados de atividades e
relacionamentos com outros indivíduos sociais das pessoas. Tais atributos existem implicitamente em bancos de dados de
gerenciamento de identidade e podem ser extraídos para a resolução de identidade. Por exemplo, podemos inferir relações entre
identidades com base nos fatos que algumas identidades compartilham o mesmo endereço ou se envolver no mesmo incidente.
Estes atributos sociais inferidas pode ser mais confiável que atribui identidade pessoal em que eles não podem ser facilmente
alterados ou falsi fi cou por um indivíduo. Levando-se em conta as características da identidade social pode fornecer evidências
adicionais ao distinguir um indivíduo de outros.
6.2.3 existentes técnicas de resolução
técnicas de resolução de identidade são um tipo de técnica de resolução entidade especializada em gestão de identidade.
resolução entidade também é conhecido como linkage e desduplicação nas áreas de estatística e gestão de banco de dados,
respectivamente. linkage, teve origem na comunidade estatísticas, registros identi fi es no mesmo ou em diferentes bancos de
dados que se referem à mesma entidade do mundo real [19] . A mesma tarefa é estudada como deduplicação de registro em
comunidades de inteligência fi ciais de banco de dados e arti [20 e 22] . Esta considera registros composta de vários campos. Para
determinar se ou não dois registros corresponder, eles primeiro comparar correspondente campos individuais entre dois
registros. Um modelo de decisão determina se ou não os dois registros se referem à mesma entidade do mundo real através da
combinação de todos
resultados da comparação. Elmagarmid et al. [23] fornecer um levantamento sobre indivíduo fi técnicas e modelos que detectam registros
duplicados campo de correspondência.
Comparado a resolução geral entidade, resolução de identidade tem seus próprios desafios. Primeiro, a resolução de identidade
precisa ser eficientes, especialmente para tarefas relacionadas à segurança. Em segundo lugar, a avaliação de uma técnica de
resolução de identidade pode estar sujeito a critérios diferentes em diferentes circunstâncias. Por exemplo, a taxa de falso-positivo
pode ser menos tolerável do que a taxa de falso-negativo para autenticação de identidade que dá acesso a uma instalação de
infra-estrutura crítica. No entanto, uma alta taxa de falso-positivo pode não ser de grande preocupação quando um detetive procura
um suspeito com informações limitadas. Por último, a identidade correspondente em comunidades de inteligência e aplicação da lei
sofre muito com o problema de dados em falta [4] . Essas técnicas de ligação e de desduplicação recorde tendem a trabalhar mal se
muitos campos estão em falta a partir de um registro. Em seguida nós brie y rever as técnicas de fl existentes mais adequados para a
resolução de identidade. Nós categorizá-los em abordagens baseado em regras e aprendizado de máquina.
Na literatura tem havido várias abordagens baseadas em regras para a resolução de identidade através da codificação de regras de
correspondência especificada por especialistas humanos. Por exemplo, em um estudo sobre a integração de dados crossjurisdictional,
Marshall et al. [24] heurísticas dos peritos codificar em uma regra simples: dois registros de identidade corresponder somente se o seu
primeiro nome, sobrenome e data-de-nascimento (DOB) os valores são todos idênticos. Obviamente, no caso de problemas de qualidade de
dados, incluindo valores em falta, tais heurísticas de correspondência exata fará com que muitas decisões falso-negativos e não pode
efetivamente identificar correspondentes registros de identidade. Algumas outras abordagens permitem uma correspondência parcial para
reduzir falsos negativos. O IBM DB2 resolução Identidade incluídos nos Analytic Solutions entidade (EAS) é um produto comercial líder
projetado para gerenciar registros de identidade [1] . Ele fornece um sistema de identidade de correspondência baseado em regras que
associa registros de identidade representam a mesma pessoa. Para um par de registros de identidade, uma pontuação correspondente é
calculado seguindo um conjunto de regras prede fi nidos por especialistas humanos. Por exemplo, dados dois registros de identidade com
datas idênticas de nascimento e apelidos, o sistema irá resolvê-los em um, se a pontuação correspondente de seus nomes primeiros é
superior a 70%. A pontuação pode ser calculado usando qualquer uma das técnicas de comparação de string na ref. [23] . Por estas
abordagens baseadas em regras, o processo de criação de regras pode ser muito demorado, e as regras tendem a ser dependentes do
domínio e não portátil em diferentes contextos.
Uma alternativa para codificação regra manual é a aprendizagem de máquina, o que pode criar automaticamente modelos de resolução
de identidade, aprendendo com um conjunto de dados de treinamento com pares anotados. técnicas de resolução de identidade baseados
em aprendizagem de máquina pode ser ainda classificados em métodos baseados em distância e probabilísticos. métodos baseados em
distância fi ne medidas de educação a distância / similaridade para diferentes tipos de atributos descritivos e combiná-los em uma
pontuação distância média ponderada. Dois registros de identidade cuja distância total é abaixo de um limiar NED prede fi será
considerado como uma partida. Brown e Hagen [25] propôs um método de associação de dados para a ligação de registos criminais que,
possivelmente, se referem ao mesmo suspeito. Este método

112 Capítulo 6
compara dois registos e calcula uma medida total de similaridade como uma soma ponderada das medidas de similaridade de todos os
valores de características correspondentes. Os recursos utilizados pelo seu método incluem suspeito e modo de operação ( MO)
descrições. O método carece de um modelo de decisão correspondente e só fornece uma lista de candidatos correspondentes. Wang
et al. [5] propôs um algoritmo de comparação de registro para detectar identidades enganosas, comparando quatro características
pessoais (nome, data de nascimento, número de segurança social (SSN), e endereço) e combiná-los em uma pontuação global de
similaridade. Um processo de aprendizagem supervisionada determina um limite para as decisões de correspondência usando um
conjunto de pares de identidade marcadas por um perito. No entanto, os valores ausentes poderiam significativamente afetar o
desempenho do algoritmo de comparação de registro [4] . métodos probabilísticos para correspondência de identidade estão enraizados
no trabalho seminal de Ref. [19] . Posando linkage como um problema de classi fi cação probabilística, eles propõem um quadro formal
para identificar pares de identidades de dois conjuntos de dados diferentes como “jogo” ou “não-jogo” com base no acordo entre as
diferentes características. Assumindo independência condicional entre as características dadas a classe jogo, o quadro estima os
parâmetros probabilísticos do modelo linkage de uma forma sem supervisão. Muitos estudos posteriores foram construídos com base
nesse trabalho para enriquecer o modelo probabilístico [26 e 29] . Estes estudos têm mostrado que os modelos probabilísticos alcançar
um bom desempenho para a correspondência de identidade. No entanto, os parâmetros dos modelos probabilísticos não pode ser
estimado com precisão na ausência de dados de treinamento su fi ciente [30] .
A maioria das técnicas de resolução de identidade analisados acima contam com atributos de identidade pessoais. Embora esses
atributos constituem uma boa base para as decisões de jogo, eles são propensos a várias questões, incluindo erros de entrada, fraude
de identidade e fraude, e os valores em falta. resolução de identidade, especialmente no crime / contexto brigando terrorista, não é
simplesmente um problema de qualidade de dados como técnicas de resolução existentes sugerem. Resolver um problema tão
complexo requer uma combinação de várias técnicas e precisa ser visto de uma perspectiva de rede [2] . Os indivíduos não são
isolados, mas inter-relacionados uns com os outros em uma sociedade. Os contextos sociais associados a um indivíduo pode fornecer
evidências que revela seu / sua identidade inegável. Portanto, há uma necessidade de desenvolver técnicas de resolução de
identidade que também incorporam a perspectiva social de identidades.
6.2.4 Técnicas de Resolução ativado por contextos sociais
Muitos estudos recentes começaram a ter em conta de ligação e informação contextual para a resolução de identidade. Kopcke e
Rahm [31] resolução entidade categorizados abordagens nas matchers valor do atributo e matchers contexto. Ao contrário
matchers valor do atributo, que consideram apenas valores de atributos descritivos, matchers contexto confiar na informação
inferida por meio de interações sociais representados em uma estrutura gráfico. métodos baseados em distância pode combinar a
semelhança atributo e semelhança relacional em uma pontuação agregada de desempenho correspondência mais confiável.
Ananthakrishna et al. [32] introduziu um método de redução de redundância utilizando
uma hierarquia dimensional (por exemplo, cidade e Estado e país) sobre as relações de link em um armazém de dados de clientes.
Este método melhora a técnica de comparação de recursos pessoais em apenas comparando os valores de recursos que têm a
mesma dependência de chave estrangeira. Por exemplo, a semelhança de nomes de duas pessoas serão avaliados somente quando
ambos vivem na mesma cidade. No entanto, esse método requer uma hierarquia entre os relacionamentos de atributos. Além disso,
ele não aborda o impacto da existência de valores ausentes em um banco de dados. Num estudo sobre a clarificação de referência,
Kalashnikov et al. [33] incorporados inter-relações de objectos, tais como co-filiação e de co-autoria para remover a ambiguidade
referências usando um modelo de optimização não linear. No entanto, seu método não pode facilmente funcionar como uma solução
plug-and-play em outras aplicações resolução entidade. Além disso, modelos probabilísticos que os contextos de captura social têm
sido propostos para a resolução de entidade. Culotta e McCallum [34] construiu um modelo condicional aleatória fi eld (CRF) para
deduplicação de registro que captura as interdependências entre os diferentes tipos de entidades. Este método, no entanto, não
consegue modelar as ligações explícitas entre o mesmo tipo de entidades. Pasula et al. [35] propôs um modelo genérico probabilística
relacional (PRM) para correspondência de citação. Ele captura as dependências entre as entidades mais de uma estrutura de banco
de dados relacional através de relações de chave estrangeira. Este modelo é construído sobre a estrutura de banco de dados
relacional existente e pode ser usado como uma solução plug-and-play, porque armazenar registros maioria dos sistemas de
gerenciamento de registro atual em bancos de dados relacionais. Esta abordagem, no entanto, sofre de intratabilidade
computacional. Bhattacharya e Getoor [36] propôs um método graphbased para a resolução de entidade. Ele define uma medida de
semelhança que combina atributos correspondentes semelhanças com similaridade relacional baseado em gráfico entre cada par
referência entidade. Seus experimentos mostram que a nova medida de similaridade melhora o desempenho ao longo dos métodos
de resolução que consideram apenas atribuem semelhanças. Além disso, e Bhattacharya Getoor [6] alargado a sua abordagem
resolução relacional para coincidir com entidades de forma coletiva. Ao invés de fazer comparações entidade pares, seu método se
funde coletivamente registros em clusters. Através deste processo, novas informações relacional pode ser derivada e ajudar a apoiar
novas decisões correspondentes.
Os recentes desenvolvimentos em técnicas de resolução de entidade mostra que os relacionamentos entre entidades podem ser
usados para melhorar o desempenho resolução, além de atribuir distâncias / semelhanças. Como analisamos anteriormente,
relações sociais desempenham um papel ainda mais importante no identidades pessoais do que outros tipos de entidades porque
eles afetam a percepção psicológica e sociológica da própria identidade. É nossa intenção, com base nas teorias de identidade,
para definir atributos de identidade social que podem ser usados para efetivamente melhorar o desempenho da resolução de
identidade.
6.3 A abordagem colectiva resolução Identidade
Nesta seção, vamos introduzir uma técnica de resolução de identidade que utiliza tanto atributos identidade pessoal e
atributos de identidade social. Definimos dois tipos de identidade social
114 Capítulo 6
atributos, ou seja, atribui o comportamento social e atributos relacionamento social. Vamos explorar diferentes estratégias
correspondentes ao combinar atributos identidade pessoal e atributos sociais. Vamos determinar a estratégia de
correspondência ideal usando uma avaliação empírica.
6.3.1 Formulação do Problema
Nós formular o problema de resolução de identidade da seguinte maneira. Dado um conjunto de referências de identidade,
R ¼ { r Eu}, onde cada referência r é descrito por um conjunto de atributos de identidade pessoal r • UMA 1,
r • UMA 2, ., r • UMA k. Estas referências correspondem a um conjunto de entidades desconhecidas E ¼ { e Eu}. Devido à duplicatas e
enganos, múltiplas referências { r e 1;.; r e n} pode ser co-referente à mesma entidade subjacente e. Nós usamos r • E para se referir à
entidade à qual referência r refere-se a. Além disso, cada referência é envolvido com, pelo menos, um incidente e cada incidente
pode envolver uma ou várias referências. Nós representamos cada incidente como um hiper-edge em que várias referências podem
co-ocorrem. Descreve-se a co-ocorrência com um conjunto de hiper-bordas H ¼ { h Eu}. Cada hiper-aresta h
também pode ser descrito por um conjunto de atributos h • B 1, h • B 2, ., h • B eu, e usamos h • R para designar o conjunto de referências
envolvidos. Uma referência r pode pertencer a zero ou qualquer número de hiper-bordas e usamos r • H para designar o conjunto de
hiper-bordas em que r participa. O problema é recuperar o conjunto escondido de entidades E ¼ { e Eu} e os rótulos entidade r • E para
referências individuais dado os atributos observados das referências e seus hiper-bordas envolvidos. Figura 6.1 ilustra o problema
de resolução de identidade em um gráfico de cinco nós de referência ligados por três hiperarestas.
6.3.2 Abordagens Identity Resolution
Cada abordagem resolução identidade inclui dois componentes principais: uma medida de similaridade atributo e uma estratégia
correspondente. A função de similaridade mede o quão semelhante duas referências
Figura 6.1:
Uma visão gráfica do problema de resolução de identidade.
são uns com os outros com base em determinados atributos. A estratégia de correspondência especi fi es do procedimento algorítmico de
recuperar as unidades subjacentes de um dado conjunto de referências. Nesta seção, primeiro de fi ne os atributos de identidade que
podem ser usados na resolução de identidade. Também discutimos como podemos medir a similaridade para cada tipo de atributo de
identidade. Por fim, apresentamos as estratégias que tomam decisões correspondentes com base na identidade atribuem semelhanças
correspondência.
atributos de identidade e medidas de similaridade
Para determinar se duas referências são co-referente, precisamos medir sua semelhança. Uma maior pontuação de semelhança
implica uma probabilidade mais elevada de co-referência ou correspondente, e
vice-versa. Descrevemos cada tipo de atributos de identidade e as suas medidas de similaridade da seguinte forma.
atributos identidade pessoal
atributos de identidade pessoais são pessoais identi fi ers que são comumente usados para distinguir uma pessoa de outros.
Exemplos incluem, mas não estão limitados a, nome, data de nascimento, número de segurança social (SSN), e endereço. A
semelhança entre esses atributos textuais pode ser calculada por medidas edição distância como a distância Levenstein [37] . Nós
usamos UMA para se referir à abordagem baseada em atributo de identidade. Se a pontuação de similaridade sim UMA( r Eu, r j) está
acima de um limiar, referências r Eu e r j são considerados como co-referente. Estas abordagens tendem a executar bem para
referências com duplicatas e erros de digitação, mas pode não ser capaz de detectar enganos intencionais.
atributos comportamento social
atributos comportamento social representam as características comuns do grupo social que se pertence. Eles refletem o ponto de vista
psicológico de identidades pessoais. A maioria dos sistemas de gerenciamento de identidade envolvem um certo tipo de transação (por
exemplo, os incidentes de criminalidade, transações de cartão de crédito). Por isso, optamos por usar padrões comportamentais baseados
em transações para descrever as características comuns de um grupo social. Nós denotar o conjunto de hiper-arestas envolvendo
referência r Como r • H. Em seguida, cada hiper-aresta r Eu • h envolvendo r Eu é comparada com cada hiper-aresta
r j • h 0 do r j. A semelhança comportamental global entre r Eu e r j é calculado pela média de todas as pontuações de similaridade os pares
hiper-Edge. Assim, a semelhança de comportamento entre duas referências r Eu e r j pode ser definida como:
1
sim b ð r Eu; r j Þ ¼ sim b ð r Eu • H; r j • H Þ ¼ (6,1)
r Eu • H r j • H P sim b ð r Eu • h; r j • h 0 º
h ˛ r Eu • H; h 0 ˛ r j • H
Onde j r • H j indica o número de hiper-arestas envolvendo r.

116 Capítulo 6
Levando-se em conta tanto a semelhança identidade pessoal e semelhança social, comportamental, usamos B para se referir a esta
abordagem de resolução em particular. A semelhança global entre duas referências r Eu e r j é definida como:
sim B ð r Eu; r j Þ ¼ uma sim UMA ð r Eu; r j Þ þ ð 1 uma º ? sim b ð r Eu; r j º (6,2)
onde 0 uma 1 e que pode ser alterada para controlar os pesos das duas pontuações de semelhança.
atributos de relacionamento social
atributos relação social capturar os contatos sociais que muitas vezes interage. Estes atributos refletem o ponto de vista
sociológico de identidades pessoais. Se duas referências r Eu e r j são ambos relacionados com a mesma referência r k ( por
exemplo r Eu e r j co-ocorrer com r k em diferentes hiper-bordos), este pode ser considerado como evidência de que estas duas
referências são co-referente. Denotamos a vizinhança de uma referência r Como NBR (r). Então, a semelhança bairro entre duas
referências r Eu e r j pode ser definida como:
sim N ð r Eu; r j Þ ¼ sim N ð NBR ð r Eu º; NBR ð r j THTH ¼ sim N ð r Eu • H; r j • H º (6,3)
Para calcular a semelhança entre referências bairro r Eu e r j, que de fi ne hiper-edge semelhança bairro sim N ( h Eu, h j) entre
duas bordas hiper- h Eu e h j como um jogo de pares entre as suas referências.
Para cada r ˛ h Eu, a melhor correspondência para h j é definida como:
sim N ð r; h j Þ ¼ max r 0 ^ Ih j sim N ð r; r 0 º

(6,4)
De modo semelhante, para cada r 0 dentro h j, a melhor correspondência para h Eu é definida como:
sim N ð h Eu; r 0 Þ ¼ max r ˛ h Eu sim N ð r; r 0 º (6,5)
Aqui, a semelhança relacional entre dois hiper-bordas h Eu e h j é calculado como o máximo da pontuação de
semelhança entre uma referência r ˛ h Eu e um de referência r 0 ˛ h j.
Além disso, a semelhança bairro entre duas referências r Eu e r j é definida como:
1
sim N ð r Eu; r j Þ ¼ (6,6)
r Eu • H r j • H P sim N ð r Eu • h; r j • h 0 º
h ˛ r Eu • H; h 0 ˛ r j • H
Onde j r • H j ainda indica o número de hiper-arestas envolvendo r. Vale a pena notar que o bairro de referência r contém
r. Assim, se duas referências r Eu e r j não compartilhar qualquer vizinho comum, sua semelhança bairro sim N ( r Eu, r j) é
igual a sua identidade pessoal
similaridade atributo sim UMA( r Eu, r j). Em outras palavras, duas referências com os mesmos vizinhos / semelhantes pode ser
considerado como evidência positiva para apoiar que eles são mais propensos a ser co-referente, enquanto duas referências
não ter um vizinho comum não será tratado como evidência de eles não serem co -referente.
Além disso, podemos de fi nir uma restrição negativa baseada em relações sociais: duas referências que co-ocorrem no mesmo
hiper-edge (por exemplo, um incidente criminoso) não pode se referem à mesma entidade.
Além disso, a semelhança entre duas referências relacional r Eu e r j pode ser definida como uma combinação linear
dos três componentes identidade pessoal atribuem semelhança, similaridade social, comportamental e semelhança
bairro social:
sim R ð r Eu; r j Þ ¼ uma sim UMA ð r Eu; r j th th b sim b ð r Eu; r j Þ þ ð 1 ab º ? sim N ð r Eu; r j º (6,7)
onde 0 uma, b uma º b 1 e podem ser ajustados para controlar a importância dos três pontos de similaridade.
estratégias de correspondência
Dada uma coleção de referências, o nosso objectivo é determinar quais referente ao co-referem-se a mesma identidade
subjacente e quais não. , Encontramos três estratégias comumente usadas em técnicas existentes resolução, comparação ou
seja, pares, fechamento transitivo, e agrupamento coletivo.
Comparação parelha
comparação de pares é uma estratégia básica e simples para a resolução de entidade. Para cada par de referências r Eu e r j, podemos
calcular a pontuação de semelhança usando uma das funções acima mencionadas. Se a pontuação de similaridade SIM (r Eu, r j) é maior
do que um limiar NED prede fi q, concluimos que r Eu e r j são co-referente. Usamos A, B, e R para denotar comparação pareada
abordagens utilizando a identidade pessoal somente os atributos, os atributos de identidade pessoal e atribui o comportamento social,
e todos os três tipos de atributos de identidade, respectivamente.
fechamento transitivo
O resultado da comparação pareada nos diz se duas referências corresponder ou não. Estritamente falando, isso ainda não foi ainda
descoberto as entidades desconhecidas para a coleção de referência. Considere um exemplo simples onde as referências r Eu e r j são
consideradas como uma correspondência, e r j e r k

também são considerados uma partida, enquanto r Eu e r k está determinado a ser um não-jogo. Neste caso, a comparação par a par
podem produzir resultados de resolução conflitantes. Uma estratégia simples para descobrir as entidades subjacentes é usar
fechamento transitivo. No exemplo anterior, embora r Eu e r k não são su fi cientemente semelhante, nós ainda considerá-los como um
par co-referente, porque r Eu fósforos r j e r j fósforos r k. Este processo deve ser realizado de forma iterativa até que todos fecho
transitivo são atingidos. Finalmente, cada fecho transitória é considerada como uma distinta
118 Capítulo 6
entidade. Dado os resultados da comparação de pares, computação fecho transitivo é simples e eficientes. Obviamente, um
tal processo de fusão diminui o limiar dos critérios de correspondência e, portanto, tende a reduzir os falsos negativos mas
introduzir mais falsos positivos. Usamos A *, B * e R * para denotar fechamento transitivo abordagens utilizando atributos
identidade pessoal sozinho, atribui identidade pessoal e atributos comportamento social, e todos os três tipos de atributos de
identidade, respectivamente.
agrupamento coletivo
Ao contrário de computação fechamento transitivo, uma estratégia diferente de descobrir identidades subjacentes dada pontuação de
similaridade entre pares de referências é o agrupamento coletivo [6] . Em particular, um algoritmo de agrupamento de aglomeração
ávido pode ser utilizada para achar as referências mais semelhantes (ou grupos) e fundi-los. Figura 6.2 mostra a pseudo-código para o
algoritmo.
A diferença fundamental entre este algoritmo de agrupamento e as outras duas estratégias correspondentes uma
semelhança função definida em clusters de referências. Aqui, vamos dar uma abordagem ligação média e de fi ne a
semelhança entre dois clusters c Eu e c j como a semelhança entre cada média em referência c Eu e cada referência em c j:
1
sim ð c Eu; c j Þ ¼ (6,8)
c Eu • R c j • R P sim ð c Eu • r; c j • r 0 º
r ˛ c Eu • R; r 0 ˛ c j • R
Onde j c • R j representa o número de referências no agrupamento c.
No primeiro, os aglomerados são inicializados e cada referência é atribuído a um grupo diferente. Como grupos fundir um cluster
pode conter várias referências que são determinados a ser co-referentes. O algoritmo funde a par aglomerado mais semelhante
iterativamente até que a semelhança cai abaixo do limiar. Toda vez que dois grupos são mesclados, as pontuações de similaridade
entre clusters precisam ser recalculadas para os novos pares de clusters mais próximos fi nd. Especificamente, fundindo dois clusters c
Eu e cj
em uma entidade deve ser considerada como nova prova para calcular a similaridade entre outras referências que
co-ocorrem com referências em c Eu e c j. Tal procedimento iterativo computacional distingue o algoritmo de agrupamento
com as outras abordagens baseadas na comparação de pares. Usamos CA, CB e CR para denotar abordagens de
agrupamento coletivos utilizando
1. aglomerados Inicializar
2. Calcula-se a semelhança entre cada par de cluster
*
3. Encontrar o par conjunto com o máximo SIM (c Eu, c j)
*
4. Se SIM (c Eu, c j) maior do limiar
fundir c Eu e c j
Ir para o passo 2
Figura 6.2:
Pseudo-código de agrupamento coletivo.
atributos identidade pessoal sozinho, atributos de identidade pessoal e atributos sociais de comportamento, e todos os três tipos de
atributos de identidade, respectivamente.
análise de complexidade
Dada uma coleção de n referências, uma abordagem de comparação de pares completa considera todos os pares de referência
possíveis como potenciais candidatos para a fusão. As abordagens agrupamento iterativo exigir muito mais computação. Para além da
questão de escala, na realidade, a maioria dos pares será rejeitada embora muitas vezes apenas menos de 1% de todos os pares são
verdadeiros jogos. Assim, certos passos de bloqueio pode ser realizada antes de correspondência, de modo a filtrar os pares
candidatos altamente improváveis para correspondência. Existem várias técnicas de bloqueio, mas eles muitas vezes empregam um
simples e função computacionalmente barato para agrupar referências em um número de baldes. Baldes podem sobrepor-se, onde uma
referência pode pertencer a diversos baldes. pares candidatos Apenas pares de referência dentro do mesmo balde são considerados
para comparar e mesclar, Considerando que um par de referências de dois baldes diferentes não é considerado como co-referentes.
Para agrupamento coletivo, dois clusters deve ter todas as suas referências pertencentes ao mesmo balde para torná-los um par
candidato a se fundir. Além disso, no processo de agrupamento de aglomeração, não é necessário para recalcular as pontuações de
semelhança para cada par de cluster único. Mais estratégias para reduzir a complexidade do agrupamento coletivo pode ser encontrada
em Ref. [6] .
6.4 Experiências
Neste estudo, para fins de ilustração, avaliamos nossa abordagem resolução de identidade com diferentes estratégias que
combinem usando dados sintéticos gerados por computador. Nós descrevemos nossas experiências e discutir nossos achados
nesta seção.
6.4.1 Síntese de geração de dados
Nós adoptado um método de geração de dados de duas fases descrito no Exemplo de Ref. [6] com algumas modi fi cações,
como descrito em Figura 6.3 .
Na criação encenar o algoritmo primeira cria N entidades com um atributo de identidade pessoal X
e um atributo comportamento y. Nós diferenciar esses dois atributos, porque atribui identidade pessoal pode ser facilmente modi fi cado ou
falsi fi cados, enquanto atributos sociais comportamentais tendem a ser mais consistente e menos propensos a mudar significativamente ao
longo do tempo. Em seguida, criamos M ligações entre estes N entidades para representar suas relações sociais subjacentes. Quando
criamos esses links, duas entidades com um atributo comportamental social semelhante y são mais propensos a ser relacionados uns aos
outros com uma probabilidade de P b ð e Eu; e j Þ ¼ P j e Eu • vós j • y j
b
, ou seja, duas pessoas com interesses semelhantes
são mais propensos a ser relacionado. Na fase de geração, criamos R hiper-bordas, que incluiu um conjunto de referências de entidades
relacionadas. Uma entidade pode participar de um hiper-edge de seu vizinho com uma probabilidade de P c. Sempre que uma entidade é
participar de um hiper-edge, que quer escolher um já existente

120 Capítulo 6
Stage criação
1. Repita N vezes
2. Criar entidade e
3. Criar atributo X representar e' atributos s identidade
4. Criar atributo y representar e' s atributos comportamentais
5. Repita M vezes
6. Escolha entidades e Eu e e j com P b ( e Eu, e j)
7. Defina e i = NBR (e j) e e j = NBR (e Eu)
geração Estágio
8. Repita R vezes
9. Aleatoriamente escolher entidade e
10. Com P uma, selecione referência r para e ou gerar r utilização N (ex, 1)

11. Inicializar hiper-aresta h = <r>
12. Repita com probabilidade P c
13. aleatoriamente escolher e j de NBR ( e) Sem substituição
14. Com P uma, selecione referência r j para e j ou gerar r j utilização N (e j. x, 1)
15. Add r j hiper-aresta h
16. Atribuir hiper-aresta h de atributo y = média( hrey)
Figura 6.3:
Pseudo-código de geração de dados sintéticos.
referência desta entidade com uma probabilidade P uma ou criar uma nova referência com seu atributo X valor que se segue uma
distribuição de Gauss de N (e • x, 1). cada referência r junta-se pelo menos uma hiper-extremidade. Cada hiper-aresta também é atribuído
um atributo y, que é igual à média de atributo comportamento de todos os entidades participantes y.
É interessante notar que este gerador de dados sintético tem duas diferenças principais em comparação com a descrita no Exemplo de Ref. [6] .
Em primeiro lugar, para cada entidade, que de fi ne um atributo adicional y para representar uma de características comportamentais que podem
ser refletida e observadas em suas envolvidos hiper-bordas. Em segundo lugar, os nossos dados sintéticos permitir uma referência para se juntar
mais do que um hiper-bordo, enquanto que na Ref. [6] cada referência apenas se junta a uma única hiper-extremidade. Esta é mais realista em
cenários de gerenciamento de identidade real e requer mais custo em semelhanças entre as referências de computação.
Projeto 6.4.2 Experiment
Em nossos experimentos, nós comparamos nove resolução entidade abordagens para a resolução de identidade baseada na
categorização descrevemos na seção anterior (ver Tabela 6.1 ). Para o cálculo de similaridade, que de fi nidas três funções de
similaridade diferentes que usam identidade pessoal atributos sozinho, atribui identidade pessoal e atributos comportamento
social, e todos os três tipos de atributos de identidade, respectivamente. Para cada função de similaridade, utilizou-lo usando
uma de três estratégias diferentes de correspondência: comparação par a par, de fecho transitória, e agrupamento colectiva.
Nas nossas experiências, escolhemos os seguintes valores de parâmetros para gerar os dados sintético:
N ¼ 100, M ¼ 200, R ¼ 500, P uma ¼ 0,8, P b ¼ 0,9, P c ¼ 0,5, e o valor de gamas X e y estavam
Tabela 6.1: Experimento: Identidade Atributos vs. Estratégia Matching
Identidade pessoal º
Identidade pessoal º Comportamento social º
Identidade pessoal Comportamento social Relacionamento social
Comparação parelha UMA B R

fechamento transitivo UMA* B* R*
aglomerado coletiva CA CB CR
ajustado de 0 a 500. Com essas definições de parâmetros, geramos 50 conjuntos de dados sintéticos e comparados os nove
abordagens diferentes de resolução.
A semelhança identidade pessoal entre duas referências é definido como:
sim UMA ð r Eu; r j Þ ¼ j r Eu • xr j • X j (6,9)

alcance ð X º
A similaridade entre duas hiper-bordos é definida como:
sim b ð h Eu; h j Þ ¼ j h Eu • yh j • y j (6,10)

alcance ð y º
Os dois parâmetros que controlam os pesos dos três tipos de funções de similaridade são definidos como
uma ¼ 0,5 e b ¼ 0,25. O limiar da pontuação geral semelhança é definida como 0,99.
6.4.3 métricas de avaliação
Nós avaliamos o desempenho de cada abordagem resolução por verificar a exactidão das decisões correspondentes para cada
par de referência. Seguimos a maioria dos estudos de resolução de identidade e escolheu precisão, recall e F- medir como as
nossas métricas de avaliação [6] . Como ilustrado na
tabela 6.2 , Cada decisão correspondente sobre um par de referências ou é um “jogo” (positivo) ou um “não-jogo”
(negativo). A decisão pode ser verdadeira ou falsa.
Tabela 6.2: Possíveis resultados das decisões Matching
Decisão
Realidade Combine Non-jogo
Combine Verdadeiro positivo ( TP) Falso negativo ( FN)

Non-jogo Falso positivo ( FP) Verdadeiro negativo ( TN)
122 Capítulo 6
Com base no resultados da decisão, precisão, recall, e F- medida são definidos da seguinte forma:
Precisão ¼ TP (6.11)
TP º FP
recordação ¼ TP (6,12)
TP º FN
F- a medida ¼ 2 Precision recall (6,13)

Precisão º recordação
6.4.4 Resultados e Discussão
Figura 6.4 resume o desempenho das abordagens de resolução de nove. Entre os nove abordagens, CB alcançado
a mais alta precisão (92,92%) com a menor recordação (78,66%), A * conseguido mais lembradas (99,49%), mas o
menor precisão (18,81%) e menor F- medida (31,57%). A abordagem colectiva agrupamento relacional (CR)
alcançou a maior F- medida de 89,39% por considerar todos os três tipos de atributos de identidade e referências
combinados de forma coletiva e iterativo.
Com a mesma estratégia de correspondência, os resultados mostram que abordagens utilizando a identidade pessoal atributos sozinho
sempre alcançado maior recordação, mas à custa de muito baixa precisão e F-
a medida. Como similaridade social, comportamental é levado em conta, observamos um aumento significativo na precisão e F- a
medida. Isso mostra que os atributos de comportamento sociais contribuem para a melhoria da resolução identidade
desempenho, reduzindo falsos positivos. Além disso, quando atributos sociais relacionais também foram considerados, havia
algumas gotas menores em precisão, mas com geralmente mais elevada F- a medida. Em particular, as abordagens utilizando
todos os três tipos de atributos de identidade (R, R *, e CR) superou as suas linhas de base em termos de F- a medida.
Figura 6.4:
Os resultados da experiência de nove abordagens de resolução de identidade.
6.5 Considerações Finais
Neste capítulo, introduziu uma técnica de resolução de identidade que utiliza tanto atributos identidade pessoal e atributos de
identidade social. Guiada por teorias de identidade existentes, de fi nida e analisou três tipos de sinais de identidade, atributos ou
seja, a identidade pessoal, atributos comportamento social e os atributos relação social, para a resolução de identidade. Nós
também avaliou três estratégias diferentes de correspondência: comparação par a par, fechamento transitivo, e agrupamento
coletivo. Os resultados experimentais mostram que tanto o comportamento e relacionamento atributos sociais melhoraram o
desempenho da resolução de identidade em comparação ao uso de identidade pessoal atributos sozinho. O algoritmo de
agrupamento relacional coletiva obteve o melhor desempenho global em termos de F- medir entre todas as abordagens. Para
validar, melhorar e operacionalizar estas técnicas de resolução de identidade, ainda precisamos testá-los em grande escala
conjuntos de dados de identidade do mundo real.
Referências
[1] J. Jonas, resolução de Identidade: 23 anos de experiência prática e observações em escala, Proceedings of the
2006 ACM Conferência Internacional SIGMOD sobre Gestão de Dados, ACM Press, New York, EUA, de 2006,
p. 718.
[2] E. Mumford, Problema, conhecimento, soluções: Resolvendo problemas complexos, J. Strateg. Inf. Syst. 79 (4) (1998)
255 e 269.
[3] Departamento de Estado dos EUA, País relatórios sobre o terrorismo de 2006. <Http://www.state.gov/s/ct/rls/crt/2007/index.
htm> De 2007.
[4] GA Wang, HC Chen, JJ Xu, H. Atabakhsh, detectando automaticamente o engano de identidade penal:
algoritmo de detecção adaptativa, IEEE Trans. Syst. Homem. Cybern. A Syst. Murmurar. 36 (5) (2006) 988 e 999.
[5] G. Wang, H. Chen, H. Atabakhsh, detectando automaticamente identidades criminais enganosas, Commun. ACM 47
(3) (2004) 70 e 76.
[6] I. Bhattacharya, L. Getoor, resolução entidade Colectivo de dados relacionais, ACM Trans. Knowl. Discov. Dados
(TKDD) 1 (1) (2007) 5.
[7] T. Donaldson, Um papel em posição engano colaborativa, AAAI-94 Workshop sobre Planeamento para interagent
Comunicação de 1994.
[8] E. Finch, que um Tangled Web nós tecemos: roubo de identidade e Internet, Willan, Collompton, Reino Unido, 2003
86 e 104.
[9] JM mordente, SR Briggs, auto-consciência e aspectos de identidade, Journal of Research in Personalidade 16 (4)
(1982) 401 e 408.
[10] Reino Unido Home Of fi ce, fraude de identidade: um estudo. <Http: //www.homeof fi ce.gov.uk/cpd/id_fraud-report.
pdf> De 2002.
[11] H. Tajfel, JC Turner, A identidade social do Comportamento Inter-Grupo, Nelson-Hall, Chicago, 1986. [12] JC Turner, algumas questões
atuais na pesquisa sobre identidade social e Teorias auto-categorização, Blackwell,
Oxford de 1999.
[13] K. Deaux, D. Martin, redes interpessoais e categorias sociais: Níveis de Especificação de contexto na identidade
processos, Soe. Psychol. Q. 66 (2) (2003) 101 e 117.
[14] S. Stryker, RT Serpe, Compromisso, destaque de identidade, e Comportamento Papel: Teoria e Exemplo Research,
Springer, New York, 1982.
[15] R. Conyers, F. Sensenbrenner, ato ID real de 2005, o Congressional Record Casa 151 (14) (2005).
124 Capítulo 6
[16] ST Kent, LI Millet, IDs e Não é fácil: Perguntas sobre Nationwide Identity Systems, National
Academy Press, Washington, DC, 2002.
[17] Privacy International, Mistaken Identity: explorando a relação entre identidade nacional Cards eo
Prevenção do Terrorismo, Privacy International, Londres, Reino Unido, 2004.
[18] PH O'Neil, Complexidade e contraterrorismo: pensar sobre biometria, Stud. Con fl. Terror. 28 (6) (2005)
547 e 566.
[19] IP Fellegi, AB Sunter, uma teoria para linkage, J. Am. Stat. Assoc. 64 (328) (1969) 1183 e 1210. [20] M. Bilenko, R. Mooney, W. Cohen, P.
Ravikumar, S. Fienberg, Adaptive nome correspondente em informações
integração, IEEE Intell. Syst. 18 (5) (2003) 16 e 23.
[21] MA Hernández, SJ Stolfo, O problema de intercalação / purga de grandes bases de dados, em: MJ Carey, DA Schneider
(Eds.), SIGMOD '95:. Proceedings de 1995 da Conferência Internacional de ACM SIGMOD sobre Gestão de Dados, San Jose, CA, ACM
Press, 1995, pp 127 e 138.
[22] AE Monge, algoritmos correspondentes dentro de um sistema de detecção de duplicados, IEEE Dados Eng. Touro. 23 (4) (2000)
14 e 20.
[23] AK Elmagarmid, PG Ipeirotis, VS Verykios, Duplicar detecção de registro: Uma pesquisa, IEEE Trans. Knowl.
Eng dados. 19 (1) (2007) 1 e 16.
[24] B. Marshall, S. Kaza, J. Xu, H. Atabakhsh, T. Petersen, C. Violette, H. Chen, criminoso interjurisdicional
redes de atividades para apoiar a segurança das fronteiras e transporte, Proceedings da 7ª Conferência Internacional de IEEE sobre Sistemas
Inteligentes de Transporte, Washington, DC, 2004.
[25] DE Brown, SC Hagen, métodos de associação de dados com aplicações para a aplicação da lei, Decis. Apoio, suporte
Syst. 34 (4) (2003) 369 e 378.
[26] D. Dey, S. Sarkar, P. De, Um modelo probabilístico decisão para correspondência entidade em bases de dados heterogéneos,
Manag. Sei. 44 (10) (1998) 1379 e 1395.
[27] P. Ravikumar, WW Cohen, um modelo gráfico hierárquico para linkage, Proceedings of the 20th
Conferência sobre Incerteza em Inteligência Arti fi cial, AUAI Press, Arlington, VA, 2004. [28] GA Wang, H. Chen,
H. Atabakhsh, A NAI multi-camada VE modelo Bayes para correspondência de identidade aproximada,
Lecture Notes in Computer Science 3975, Springer. San Diego, CA de 2006, pp. 479 e 484.
[29] WE Winkler, Métodos para Record Linkage e Bayesian Networks, Estatística Research Division, US
Census Bureau, Washington, DC, 2002. Disponível em < http://www.amstat.org/Sections/Srms/Proceedings/ y2002 / Files /
JSM2002-000648.pdf >.
[30] K. Nigam, AK McCallum, S. Thrun, T. Mitchell, textos classi fi cação de documentos marcados e não marcados
utilizando EM, Mach. Aprender. 39 (2/3) (2000) 103 e 134.
[31] H. Kopcke, E. Rahm, quadros de correspondência de entidade: Uma comparação, dados Knowl. Eng. 69 (2) (2010)
197 e 210.
[32] R. Ananthakrishna, S. Chaudhuri, V. Ganti, eliminando duplicados distorcido em armazéns de dados, Proceedings of
a 28ª Conferência Internacional sobre Muito grandes bases de dados, Hong Kong, China, 2002, p. 586 e 597.
[33] DV Kalashnikov, S. Mehrotra, Z. Chen, Exploração de relações para limpeza de dados independente de domínio,
Procedimentos da conferência SIAM Internacional sobre Mineração de Dados (SDM), Newport Beach, CA, 2005. [34] A. Culotta, A. McCallum,
Articulação desduplicação de vários tipos de registros em dados relacionais, ACM, Bremen,
Alemanha de 2005. http://doi.acm.org/10.1145/1099554.1099615 .
[35] H. Pasula, B. Marthi, B. Milch, S. Russell, I. Shpitser, incerteza e de identidade correspondente citação, Adv. Neural
Inf. Processo. Syst. 22 (3) (2003) 1425 e 1432.
[36] I. Bhattacharya, L. Getoor, Um modelo Dirichlet latente para resolução entidade sem supervisão, SIAM Internacional
Conferência sobre Data Mining, Bethesda, MD, 2006, p. 47 e 58.
[37] VI Levenshtein, códigos binários capazes de corrigir deleções, inserções e inversões, Sov. Phys. Dokl. 10
(8) (1966) 707 e 710.
CAPÍTULO 7
Al Qaeda Financiamento do Terrorismo

Irina Sakharova, Bhavani Thuraisingham
Universidade do Texas em Dallas, Richardson, Texas, EUA
Capítulo Esboço
7.1 Importância da corte Financiamento do Terrorismo 125
7.2 Descrição do Financial Network da Al Qaeda 126

7.3 História e Desenvolvimento da Al Qaeda e sua Rede Financeira 128
7.4 Estrutura organizacional: controle sobre Finanças Dentro Al Qaeda 132
Carteira e Fontes de “Receitas” 135 de 7,5 Al Qaeda
7.5.1 As doações 135
7.5.2 negócio legítimo 139
7.5.3 rendimentos criminosos 141
7.6 Métodos de Transferência de Fundos e Armazenando 143 150

Referências
7.1 Importância da corte Financiamento do Terrorismo

“Nós vamos direcionar todos os recursos à nossa disposição e todos os meios diplomáticos, todas as ferramentas de
inteligência, todos os instrumentos de aplicação da lei, todos os fi nanceira in fl uência, e todas as armas necessárias de
guerra e à destruição e à derrota da rede global do terror
. Vamos morrer de fome terroristas de financiamento “. [1]
O presidente George W. Bush, 20 de setembro, 2001
É sem dúvida que interromper terrorista financiamento é necessário. Como o presidente George W. Bush afirmou em seu
discurso em 24 de setembro de 2001, os recursos financeiros são considerados “a alma de operações terroristas” [2] . Como
afirmado por autoridades do governo dos EUA “a luta contra a al Qaeda financiamento era tão crítica como a luta contra a
própria al-Qaeda” [3] . Um dos principais objetivos de derrotar o terrorismo é de lutar a estrutura fi nanceira de organizações
terroristas, detectando, interrompendo, e desativando suas redes fi nanceiros.
A Assembleia Geral das Nações Unidas adoptou a Convenção Internacional para a Supressão do Financiamento do
Terrorismo, em 1999; no entanto, somente alguns países tinham ratificado a convenção antes de Setembro de 11. Os
EUA ratificaram a convenção apenas em 2002 [4] com o início da campanha para “morrer de fome os terroristas de
financiamento.” Desde o início do theWar on Terror em 2001, várias iniciativas e políticas a nível nacional, regional e
internacional

http://dx.doi.org/10.1016/B978-0-12-404702-0.00007-0 125
126 Capítulo 7
níveis completada a convenção. Uma série de novas leis internacionais que criminalizou o fi nanciamento de
atividades terroristas foram introduzidos por muitos países.
A Convenção Internacional para a Supressão do Financiamento do Terrorismo dá formal de fi nição do financiamento do

terrorismo [5] . O fi nanciamento de terrorismessentially pode ser definida como qualquer tipo de apoio financeiro de thosewho
terrorismor em participar de qualquer maneira nele [6] .
Há uma boa quantidade de informações disponíveis em várias fontes e métodos de transferência de fundos utilizados por terroristas.
Fundos vêm de uma ampla gama de legítimos (doações para organizações de caridade, empresas frente) e ilegítimo (pequenos
crimes, contrabando, fraude de cartão de crédito, e fi cking TRAF droga) fontes. Terroristas movimentar dinheiro usando o sistema
financeiro e os sistemas alternativos de remessa em grande parte não regulamentados como hawala ou simplesmente realizar “sacos
de dinheiro” através das fronteiras. Eles usam commodities, como diamantes, tanzanite, e safiras para armazenar valor em dinheiro [7] .
A capacidade de adaptação que é “mostrada por organizações terroristas sugere que todos os métodos que existem para movimentar
dinheiro ao redor do globo são, até certo ponto em risco” [8] .
Praticamente falando, impedindo terrorista financeiro fluxos tem sido extremamente difícil. No entanto, detectar e
seguir o dinheiro da Al Qaeda podem ser produtivos em rastrear e prevenir atividades terroristas.
Curiosamente, a Al Qaeda gastou apenas quantidades relativamente modestos sobre o planejamento e execução de seus ataques terroristas.
No entanto, ele precisa de quantidades significativas de dinheiro para satisfazer as necessidades globais de estabelecimento e manutenção de
uma rede terrorista.
Custos das operações do dia-a-dia como a organização, recrutamento, treinamento e equipar novos recrutas, pagando membros e
suas famílias, subornando pública de funcionários fi, viajando, promovendo a ideologia da Al Qaeda, e outra apoiando as suas
actividades representam um dreno significativo sobre os recursos.
Perturbar terrorista financiamento aumenta os custos e riscos de elevação e movimentação de fundos para terroristas, e “cria
um ambiente hostil para o terrorismo, restringindo capacidades globais de terroristas e ajudar a frustrar a sua capacidade de
executar ataques” [8] .
7.2 Descrição do Financial Network da Al Qaeda
Não há nenhuma outra organização terrorista que construiu uma tão complexa rede sofisticada, robustand-adaptive-to-mudanças globais
financeira como a Al Qaeda, de. Ele é baseado em um sistema que foi construído por bin Laden para prestar apoio aos ghters fi
mujahedin no Afeganistão durante a invasão soviética no final de 1980. Ele usa diferentes fontes de financiamento e uma variedade de
métodos de armazenamento e transferência de fundos. No entanto, como observado no relatório independente Grupo de Trabalho sobre
Financiamento do Terrorismo “, a fonte mais importante de fundos da Al Qaeda é os seus esforços de captação de recursos contínuos.
rede de angariação de fundos global da Al Qaeda é construída sobre uma fundação de caridade,
Al Qaeda Financiamento do Terrorismo 127
Organizações Não-Governamentais, mesquitas, sites, intermediários, facilitadores e os bancos e outras instituições

financeiras” [9] .
Embora rede fi nanceira da Al Qaeda foi claramente enfraquecida pela guerra contra o terror, certamente não foi
destruída. Enquanto novas regulamentações do setor financeiro se tornou um obstáculo signi fi cativo para os
terroristas movimentar o dinheiro através do sistema financeiro, financiadores da Al Qaeda se adaptaram
rapidamente ao novo ambiente. Os terroristas foram forçados a mover suas organizações fora do sistema formal
financeira. Mesmo antes de 9/11, a Al Qaeda e suas células utilizado o sistema financeiro global para transferir
fundos com muito cuidado de forma a não levantar suspeitas. Como resultado das novas políticas de
financiamento de combate ao terrorismo, tornaram-se cada vez mais cuidadoso. O mais provável, em vez de
mover os fundos através do sistema fi nanceiro, os grupos terroristas estão usando outros canais de transferência
de fundos e outros meios de armazenamento de riqueza,
De acordo com o ex-chefe da seção de operações de financiamento terrorista do FBI, Dennis M. Lormel, “As leis
aprovadas desde 2001 ter fechado algumas lacunas e dirigida vulnerabilidades que tornou fácil para a Al Qaeda para
levantar e transferir dinheiro; No entanto, a rede tem respondido rapidamente” [10] . Loretta Napoleoni, autor de Jihad
moderna: Traçando os dólares Atrás do Terror Networks, diz “Terrorist financiamento é muito diferente hoje. cinco anos
atrás, tivemos grande movimentação de fundos que passou através do sistema financeiro internacional fi”
[11] . Hoje, as células estão levantando seu próprio dinheiro ao invés de receber fundos de fontes externas que poderiam ser
facilmente detectados pelas autoridades governamentais.
af fi liated grupos da Al Qaeda se tornaram auto-financiado pela derivação de renda de empresas legítimas locais ou de várias
actividades criminosas, tais como pequenos crimes, fraude, extorsão e sequestro. Devido à pequena escala de tais transações,
há pouca razão para suspeitar de envolvimento terrorista. Como Stephen Swain, um ex-fi cial da Scotland Yard, observou,
“Essa é a inteligência desses esquemas e para mantê-lo sob o radar. Ao fazer isso, eles podem aumentar fi quantidades
significativas de dinheiro, rapidamente, e não há nenhuma maneira real para detectá-lo” [10] .
Hoje, a Al Qaeda não pode ser visto como uma única organização que se tornou muito fragmentado ao longo da última
década. Al Qaeda tem transformado a partir de um grupo com organização hierárquica com um grande orçamento
operacional em um movimento ideológico com fi liated grupos af em todo o mundo. Al Qaedaism inspira indivíduos ou
pequenos grupos para realizar ataques, sem apoio operacional da organização central. Como as células se tornam fi ciente
rendimentos provenientes de auto-suf de empresas legítimas locais ou de várias actividades criminosas, torna-se quase
impossível para as autoridades para detectar as actividades da organização e apreender seus agentes.
O estado financeiro enfraquecido da Al Qaeda não deve ser subestimada, uma vez que ainda representa uma ameaça. ataques terroristas são
relativamente baratos. As estimativas sugerem que a Al Qaeda gastou US $ 500.000

128 Capítulo 7
sobre os ataques de 9/11, que vieram de uma rede fi nanceira estabelecida. Em comparação, o grupo que realizou os atentados
de Madrid de 2004 usado apenas US $ 10.000 e 15.000, que foi gerado por TRAF drogas fi cking e vendendo CDs falsificados.
Os atentados de Londres de 2005 foram ainda mais barato e $ 2000 e dinheiro que provavelmente era poupança pessoal. Esta é
uma diferença principal entre top-down al Qaeda, como era antes, quando se financiado operações do Afeganistão, e a nova
organização, muito mais flexível do localizados liates fi af inspirados pela Al Qaedaism que aumentam os seus próprios fundos e
escolher os seus próprios objectivos.
7.3 História e Desenvolvimento da Al Qaeda e sua Financial Network
O líder da Al Qaeda, Osama bin Laden, nasceu na Arábia Saudita em 1957. Seu pai, Muhammad bin Laden, veio de
Iêmen e saiu da pobreza a ser mais importante desenvolvedor de construção da Arábia Saudita, que construiu seu
império por ganhar contratos do real saudita família para a construção de residências reais. Osama tem a sua herança
aos 11, quando seu pai morreu em um acidente de helicóptero em 1968. Sua riqueza era entre US $ 30 milhões a US $
300 milhões. No entanto, é impossível determinar o que permanece como ele tem usado sua fortuna para financiar a Al
Qaeda e retido detalhes de sua fortuna. Sua família rica e bem respeitado se separou da Osama, mas autoridades dos
EUA acreditam que alguns membros da família deu-lhe acesso a fundos familiares [12] .
Enquanto estudava na Universidade Rei Abdel Aziz, em Jidda, bin Laden foi grandemente influenciado por Abdullah Azzam,
um respeitado teólogo islâmico sunita palestino [13] . Azzam, em seguida, tornou-se seu mentor no Afeganistão e o pai
ideológico da al Qaeda. Em 1979, quando o exército soviético invadiu o Afeganistão, Osama deixou a Arábia Saudita para se
juntar aos rebeldes afegãos, o mujahedin, na sua lutar com os soviéticos. Apesar de bin Laden era de uma família rica, seu
compromisso era para a independência do Afeganistão e muçulmano, e como resultado, sua influência e popularidade entre
os mujahedin foi signi fi cativa. “Ele não só nos deu o seu dinheiro, mas ele também deu a si mesmo” [14] .
Em 1984, Abdullah Azzam e Osama bin Laden co-fundador do Maktab al Khidmat (MAK) ou afegão Bureau de Serviços [15] ,
Que mais tarde foi fi gurado de reconhecimento por Bin Laden em uma organização chamada al-Qaeda (TheBase). Binladen
encarregou-se de fi nanças do oGrupo andwas instrumental no recrutamento de muçulmanos para os “árabes afegãos”. MAK
fornecido ajuda logística, recursos captados, propaganda disseminada, recrutou novos membros, e canalizada a assistência
estrangeira para os mujahedin. “MAK distribuiu US $ 200 milhões em Oriente Médio e ajuda ocidental, mainlyAmerican
andBritish, destinado a theAfghan jihad” [15] .MAKreceived os fundos fontes fromvarious. Binladen usou seu familywealth para
ajudar os rebeldes. Ele também raisedmoney entre ricos árabes do Golfo, e através de organizações de caridade. MAK
colaborou extensivamente com ISI do Paquistão, o Inter Services Intelligence, que supostamente estava distribuindo armas e
dinheiro da CIA e fornecer treinamento para o mujahedin [15] . “Durante a guerra do Afeganistão,
theCentral IntelligenceAgency forneceu cerca de US $ 500 milhões por ano inmaterial apoio aos mujahedin” [16] . Embora Milton
Bearden, um aposentado da CIA de fi cer, afirma que a CIA não tinha relações diretas com bin Laden, US de fi funcionários
admitem que uma parte da ajuda financeira destinada para os mujahedin pode ter acabado nas mãos de Bin Laden [13] .
Perto do fim da União Soviética e guerra do Afeganistão, a relação de de Azzam e Osama deteriorou como eles discordaram
sobre uma série de questões. Azzam esperava para alavancar os mujahedin como uma “força de reacção rápida” pronto
para lutar pela independência de todos os muçulmanos [15] . Osama e Ayman al Zawahiri, seu novo mentor, que na época
era o chefe da Jihad Islâmica Egípcia, queria recriar o califado islâmico, declarando guerra contra governos corruptos no
Oriente Médio e nos Estados Unidos, como a maioria destes governos foram aliados americanos. Ele queria transformar
MAK em “A Base” ou al Qaeda, uma organização que formam a base sobre a qual um exército islâmico mundial seria
construído. De acordo com muitos insiders, al Zawahiri transformado Osama partir de uma guerrilha em um terrorista. Os
dois queria treinar os mujahedin em táticas terroristas [17] . Azzam emitido fatwa que os fundos de jihadistas utilizados para
treinamento de terroristas violado a lei islâmica [15] . Como esta tensão e desejo de Osama para recon fi gura MAK em al
Qaeda cresceu, tornou-se óbvio que a luta pelo poder entre Azzam e bin Laden só terminaria com a remoção de um deles.
Azzam e seus dois filhos foram mortos em 1989. Embora seja incerto quem o matou, em seu livro Dentro al Qaeda: Rede
Global de Terror, Rohan Gunaratna, um especialista em terrorismo internacional, sugere que Azzam foi morto pelos egípcios
rivais que agiam sob as ordens de bin Laden. Em qualquer caso, o assassinato de Azzam deixou Osama bin Laden em
pleno controle do futuro da al Qaeda [15] .
Após a retirada do exército soviético do Afeganistão no final de 1980, Bin Laden voltou à Arábia Saudita. Em 1990, o Iraque
invadiu o Kuwait e Osama ofereceu o exército saudita a ajuda de veteranos árabes da afegão conflito. No entanto, os sauditas
escolheu para aceitar a ajuda dos EUA em vez disso, e convidou as tropas americanas, o que nunca tinha acontecido antes.
Como muitos outros muçulmanos, Bin Laden viu a presença do exército dos EUA como um assalto em terras muçulmanas.
Bin Laden começou a fazer discursos acusando o regime saudita de corrupção e sendo unIslamic. King Fahd colocou sob
prisão domiciliar em 1991, e Osama posteriormente fugiu do país para o Sudão, onde foi convidado pela Frente Nacional
Islâmica. Mais tarde, em 1994, as autoridades sauditas revogou a cidadania de Bin Laden e congelou seus bens. “Bin
Laden trouxe recursos para o Sudão, a construção de estradas e ajudar financiar a guerra do governo contra os
separatistas do sul” [18] . Ele também iniciou uma série de empresas cujos recursos ele usou para financiar algumas das
operações da al-Qaeda. Enquanto no Sudão, Bin Laden formado al Qaeda com base na estrutura MAK estabelecido no
Afeganistão. Al Qaeda começou a se espalhar sua rede em todo o mundo, com os seus centros regionais em Londres,
Nova York, Turquia e outros países. No início de 1990, bin Laden estava focada em lançar ataques contra os Estados
Unidos, “a cabeça da serpente”, como ele chamou o país [18] . No período entre 1992 e 1996, a Al Qaeda realizou seus
ataques primeiros no Iêmen, Somália e Arábia Saudita que visam americanos.
130 Capítulo 7
Sob pressão dos EUA e da Arábia Saudita, Bin Laden teve que deixar o Sudão em 1996. O Governo sudanês apreendido
seus bens depois que ele abandonou o país. Bin Laden se mudou para o Afeganistão, onde foi oferecido o apoio dos
Taliban em troca de dinheiro e uma oferta de muitos ghters fi para apoiar o regime talibã. Em 1997 e 1998, bin Laden
estava trabalhando na criação de alianças com outros grupos islâmicos enviando deputados para seus líderes e
dizendo-lhes que eles tinham que se unir em coalizão para mobilizar os muçulmanos contra os americanos. Como
resultado, em 1998 a Al Qaeda formou uma aliança com outros grupos terroristas: o egípcio Jihad Islâmica, grupo
islâmico do Egito, Jamiat Ulema-e-Paquistão, e Movimento Jihad de Bangladesh [15] . Bin Laden e Al Zawahiri, o líder da
Jihad Islâmica egípcia, emitido fatwa em 1998, apenas metade de um ano antes dos ataques às embaixadas dos EUA no
Quênia e na Tanzânia, em que anunciou:
“A decisão de matar os americanos e seus aliados e civis e militares e é um dever individual de todo muçulmano
que pode fazê-lo em qualquer país em que é possível fazê-lo, a fim de libertar a Mesquita al-Aqsa e da Mesquita
Sagrada [Meca] de suas garras, e para que os seus exércitos para sair de todas as terras do Islã” [19]
Arábia Saudita tentou forçar os talibãs em extraditar bin Laden após os atentados de 1998. A determinação do
Taliban para proteger bin Laden resultou em uma ruptura das relações diplomáticas entre a Arábia Saudita e
Afeganistão.
E depois havia os ataques de 9/11. O Federal Bureau of Investigation declarou: “A evidência ligando al Qaeda e
Bin Laden aos ataques de 11 de setembro é clara e irrefutável” [20] . Os ataques teve como objetivo deter o poder
econômico e político dos Estados Unidos, e teve baixas mais devastador do que qualquer outro ataque terrorista
já conheceu.
De acordo com o relatório da Comissão 9/11:
“Os seqüestradores de 11 de setembro utilizado instituições fi nanceiras externa dos EUA e para manter, movimentar e recuperar o
seu dinheiro. Os sequestradores depositado dinheiro em US contas principalmente por transferências bancárias e depósitos de
dinheiro ou cheques de viagem trazidos do exterior. Além disso, vários deles mantidos fundos em contas estrangeiras, que eles
acessados nos Estados Unidos através de ATM e transações de cartão de crédito. Os sequestradores receberam fundos dos
facilitadores na Alemanha e os Emirados Árabes Unidos ou diretamente de Khalid Sheikh Mohammed 1 como eles transitado
Paquistão em seu caminho para os Estados Unidos” [3]
1 Khalid Sheikh Mohammed (KSM) foi preso em Rawalpindi, Paquistão em 1 de Março de 2003 e enviado para os EUA
centro de detenção em Cuba em 2006. De acordo com as transcrições tribunal auditivos liberados, ele “serviu como o chefe do comitê militar da Al
Qaeda, e foi o principal agente da Al Qaeda, de Osama bin Laden, que dirigiu 11 setembro 2001 ataques nos Estados Unidos” [69] . Ele também
admitiu a responsabilidade pelo ataque de 1993, sobre o World Trade Center em Nova York, o bombardeio de casas noturnas em Bali em 2002 e um
hotel do Quênia, no mesmo ano, e alguns outros lotes ataques terroristas.
Os seqüestradores responsáveis fundos recebidos para treino de pilotos, o custo de vida e de viagem, e retornou cerca de US $ 26.000 “não
utilizado” dinheiro para um facilitador nos Emirados Árabes Unidos alguns dias antes de realizar os ataques [3] .
realização acima de tudo, de Osama bin Laden estava construindo rede financeira da Al Qaeda com base no sistema de MAK. Foi
construído desde a fundação do sistema de MAK usada para fornecer apoio financeiro para os mujahedin durante a guerra afegã. A
maior parte da infra-estrutura da al Qaeda foi desenvolvido no final de 1980. Naquela época bin Laden começou a desenvolver uma
estratégia para tornar a sua organização financeiramente auto-su fi ciente. Não só ele deseja estabelecer um sistema de captação de
recursos, ele também estava interessado em encontrando formas de transferência de fundos para operações de finanças da Al Qaeda
em todo o mundo. Bin Laden usou uma variedade de fontes para levantar fundos para a Al Qaeda. Além da rede de instituições de
caridade desenvolvido por Azzam e contatos pessoais de Bin Laden com instituições de caridade sauditas e doadores ricos, de Bin
Laden irmão-de-lei, Mohammed Jammal Khalifa, fundou um número de organizações de caridade nas Filipinas; várias instituições de
caridade adicionais foram estabelecidas na Malásia e Indonésia. Uma das razões pelas quais o Sudeste Asiático era ideal para a Al
Qaeda foi a existência de instituições de caridade islâmicas e bancos com regulamentações frouxas, e lavagem de dinheiro generalizada [21]
. Estas condições simplificada o processo de recolha e transferência de fundos ao redor do mundo. Charities foram o principal pilar da
estrutura financeira da Al Qaeda. Bem como ajudar a levantar fundos, algumas instituições de caridade também pode mover esses
fundos entre as suas de fi ces em todo o mundo. No entanto, era desconhecido para a maioria das instituições de caridade que membros
da Al Qaeda foram empregadas por essas instituições de caridade ou que as doações foram utilizados para apoiar atividades terroristas.
Por muitos anos, pensava-se que Bin Laden usou sua riqueza pessoal para financiar a organização. Pensava-se que ele herdou
cerca de US $ 300 milhões, dinheiro que ele usou no Sudão e no Afeganistão. No entanto, a Comissão Nacional de ataques
terroristas contra os Estados Unidos, em monografia sobre o Financiamento do Terrorismo, dissipa este mito. Entre 1970 e 1993
ou 1994, bin Laden foi dado cerca de um milhão de dólares por ano, o que torna $ 23 e 24 milhões no total, mas não a fortuna de
US $ 300 milhões de [3] . Como mencionado antes, o governo saudita congelou seus bens quando ele deixou o país. Além disso,
seus bens no Sudão não pode ser visto como a fonte do dinheiro desde que o Governo sudanês expropriados desses ativos.
Depois de se mudar de volta para o Afeganistão, Bin Laden estava em um estado financeiro fraco. Após a sua proliferação no
Afeganistão, a Al Qaeda suportado-se através de angariação de fundos. Parece que a Al Qaeda recebido diretamente
financiamento de doadores ricos através de facilitadores fi nanceiros. A maioria desses doadores ricos foram da região do Golfo
e conhecida como a cadeia de Ouro. Tal como acontece com instituições de caridade, nem todos os doadores individuais que
foram abordados pelos facilitadores, caridade de funcionários fi, e angariadores de fundos sabia dos destinos de suas doações.
Por muito tempo pensou-se que a Arábia Saudita foi uma das principais fontes de al Qaeda financiamento. No entanto, não havia
nenhuma evidência encontrada para apoiar essa alegação. Além disso, não havia nenhuma prova conclusiva de que qualquer governo
forneceu apoio financeiro à Al Qaeda. Ainda assim, alguns

132 Capítulo 7
os governos podem ter conhecimento sobre atividades de angariação de fundos da Al Qaeda em seus países, mas fez vista grossa a
ele [18] .
Como observado anteriormente, após os ataques de 9/11 e o início da guerra contra o terrorismo, o financiamento da Al Qaeda sofreu
substancialmente. Apesar da redução do financiamento da Al Qaeda, é importante lembrar que o pouco financiamento é necessário para
implementar um ataque terrorista. Com a descentralização da Al Qaeda, células individuais tornou-se auto-su fi ciente, com instituições de
caridade e doadores individuais continuam a ser a principal fonte de financiamento para esses grupos.
7.4 Estrutura organizacional: controle das finanças Dentro Al Qaeda
Antes de 9/11, a Al Qaeda foi em grande parte centralizado, com sede no Afeganistão. Osama bin Laden estava no
controle firma da organização e ele teve a decisão fi nal sobre todas as missões da Al Qaeda. Alguns especialistas
terroristas comparar a estrutura da Al Qaeda para uma empresa. Peter Bergen pensa que a Al Qaeda se assemelhava
a Arábia Binladin Group, a empresa de construção gigante fundada pelo pai de Osama [22] , Onde Bin Laden atuou
como diretor e estabeleceu a sua direção geral com a entrada de seu shura ou conselho consultivo (o que representou
colaboradores mais próximos de Bin Laden). Esses conselheiros superiores tomaram decisões executivas para o
grupo. Havia seis comitês reportam ao shura conselho 2 : “Sharia” e do Comité Político responsável pela emissão fatwa; Comité
Militar responsável por propor metas e planejamento de ataques; o Comité de Segurança responsável pela proteção
física e coleta de inteligência; Comitê de Informação responsável pela propaganda; Comitê de Finanças; e Comitê de
Compra do Foreign [18] (Vejo Figura 7.1 ).
Havia dois comitês nesta estrutura que foram relacionados para financiar: a finanças e compras externas Comitês que
consistiam de banqueiros profissionais, contadores e financistas [15] . O Comitê de Finanças foi responsável por questões de
angariação de fundos e de planejamento orçamentário, como suporte para campos de treinamento, o custo de vida, viagens,
custos de moradia, salários, etc. O propósito do Comitê de Compra do Exterior era de adquirir armas, explosivos e
equipamentos técnicos do exterior . No entanto, a Comissão Nacional sobre os Ataques Terroristas afirmou que esta
estrutura “serviu como meios para coordenar funções e fornecer apoio financeiro para as operações. operações c especi fi
foram atribuídos a células selecionadas com cuidado, liderado por altos membros da Al Qaeda que relataram pessoalmente
a bin Laden” [3] .
Por exemplo, o serviço de inteligência civil da Indonésia tem ligado Hambali, cujo nome verdadeiro é Riduan
Isamuddin, com a Bali ataque de 2002. Acredita-se ter sido no controle da operação, bem como o canal financeiro [23] .
operações financeiras em todo o mundo foram geridos por gestores regionais. Por exemplo, Mohammed Jamal
Khalifa, do irmão-de-lei bin Laden, foi responsável por investimentos em todo o mundo em Maurício, Singapura,
2 Gunaratna eo nome Bergen apenas quatro comitês: militar, finanças, ideológica e mídia.
Figura 7.1:
Al Qaeda estrutura organizacional. Fonte: Visão geral do inimigo, Comissão Nacional sobre os Ataques Terroristas
nos Estados Unidos, 16 de junho de 2004 [18] .
Malásia e Filipinas [15] . Ele também foi responsável pelo apoio financeiro para a trama Operação Bojinka [24] , O
ataque terrorista em grande escala por Ramzi Yousef e Khalid Shaikh Mohammed para explodir 12 aviões sobre o
Pacífico c, planejado para ocorrer em janeiro
1995.
Como a Operação Liberdade Duradoura dos militares dos EUA no Afeganistão foi lançado em outubro de
7, 2001, em resposta ao 11 de setembro de 2001 contra os EUA, a Al Qaeda perdeu o seu “porto seguro” para o planejamento de
ataques terroristas, assim como a maioria de sua liderança sênior, e foi forçado a descentralização. No entanto, os especialistas temer
que a estrutura do Al Qaeda tem permitido o seu funcionamento, mesmo na ausência de controlo centralizado.
operações contra o terrorismo em curso ter isolado a liderança da al Qaeda. quadros de comando da Al Qaeda tem sido na
corrida e eles estão mais preocupados para escapar de ser capturado ou morto. Comunicação e coordenação de operações
complexas, bem como sensibilização e de transferência de fundos entre o centro e as células tornaram-se extremamente difícil e
arriscado para os terroristas, devido à liderança isolada. No entanto, novos agentes estão surgindo para substituir líderes antigos.
Esses líderes emergentes pode ser visto como prova de que a Al Qaeda pode se adaptar a novas circunstâncias e recuperar a
sua liderança [25] . Eles não mais velha são veteranos da escola de guerra do Afeganistão dos anos 1980, mas eles estão
assumindo maiores responsabilidades e autonomia. Eles são menos capazes de se comunicar uns com os outros. Al Qaeda não
foi erradicada, mas em vez foi espalhado ao redor do mundo. Autoridades tê-lo encontrado mais difícil de apreender agentes
terroristas e detectar suas atividades.
Al Qaeda passou por uma transformação, de um grupo de base territorial com a organização hierárquica para um
movimento mais descentralizada, ideológica confiando em ambas as células fi ciente auto-su fi e liated grupos af. Os 2003
ataques suicidas em Casablanca e Istambul foram realizadas por atacantes de diferentes grupos, mas todos eles foram
ligados à Al Qaeda [26] .
134 Capítulo 7
Antes de 11 de setembro de células foram encorajados a ser auto-su fi ciente para todas as suas despesas para além de
despesas operacionais. A sede da Al Qaeda levantou fundos para o treinamento, propaganda e despesas operacionais. As
células eram esperados para levantar dinheiro para cobrir as despesas. Como al Qaeda tornou-se descentralizada, a rede
financeira também se tornou descentralizada. Os ataques de 11 de setembro foram os últimos ataques que foram planejados,
financiados e realizados sob supervisão direta do quadro de comando da Al Qaeda. As consequentes ataques foram executados
por indivíduos e grupos que só foram ligados à Al Qaeda ideologicamente [27] .
Uma rede de células fi cientes auto-su é mais adaptável e menos susceptível de ser detectada. células locais e fi liated grupos af
precisam de menos recursos, os meios utilizados para arrecadar dinheiro variam muito e dependem das condições locais, há menos
necessidade de transferência de fundos, e a comunicação entre os grupos é mínima [28] . Estes grupos são mais autônoma em sua
operação e auto-financiado pela derivação de renda de empresas legítimas locais ou de várias actividades criminosas. A pequena
escala de suas operações de captação de recursos geralmente não levantar suspeita de envolvimento terrorista. Além disso, em caso
de ataque a um fonte de financiamento, os terroristas podem facilmente mudar para outra.
Desde o início da guerra contra o terror, o Governo dos EUA, juntamente com a União Europeia e outros membros da
comunidade internacional, fez um grande esforço para perturbar terrorista financiamento em todo o mundo, impondo
numerosas leis e regulamentos. Dezenas de instituições de caridade foram fechadas, mais de 172 países congelaram milhões
de bens terroristas, e mais de 100 países implementaram novos regulamentos anti-terrorismo e políticas, incluindo legislação
anti-lavagem de dinheiro [26] . rede fi nanceira da Al Qaeda foi interrompida significativamente. Com vários facilitadores
importante financeiros serem mortos ou presos, a quantidade de recursos captados diminuiu e os riscos de levantar e
transferir dinheiro têm aumentado. Em uma mensagem gravada detectado pelo CBS News em 2009 e enviado por Mostafa
Abul Yazid 3 , gerente-chefe financeiro do grupo terrorista pede um contato na Turquia para fundos imediatos. “Estamos falta de
fundos aqui na arena jihad afegã. A ação lenta nas operações aqui nos dias de hoje é devido à falta de fundos, e muitas
mujahedin não poderia realizar a jihad, porque não há dinheiro suficiente” [29] . De acordo com o Tesouro dos Estados Unidos
de fi cial David Cohen, al Qaeda tinha frequentemente solicitados fundos em 2009. Ele disse: “Nós avaliamos que a Al-Qaeda
está em seu ponto mais fraco condição financeira em vários anos e que, como resultado, sua influência está diminuindo” [30] .
No entanto, ele afirmou que se a organização tinha doadores que estavam “prontos, dispostos e capazes de contribuir”, a
situação poderia ser rapidamente mudada [30] . Al Qaeda tem instruído regularmente seguidores que doar é uma alternativa
viável para brigando [31] . Apesar de ter sido gravemente ferido e forçado a descentralização, a Al Qaeda ainda representa
uma ameaça, pois é um, adaptável e associação de doentes flexível que pode desenhar em suporte global ao redor do
mundo.
3 Al Qaeda confirmaram que seu líder no Afeganistão e chefe financeiro de fi cial Mostafa Abul Yazid foi morto
em um ataque aéreo dos EUA no Paquistão maio 2010 [70] .

Carteira e Fontes de “receitas” de 7,5 Al Qaeda
O tamanho da carteira da al Qaeda, bem como o seu orçamento anual é desconhecida. Várias fontes dão estimativas que diferem
em grande medida. Por exemplo, em 2002, as Nações Unidas Grupo de Acompanhamento referido uma figura estimada de
doações de doadores individuais de entre US $ 16 milhões e US $ 50 milhões. No entanto, houve pouca informação para fazer
backup desses números [32] . 9/11 Relatório da Comissão afirmou que a CIA estima que, antes de 11 de setembro de orçamento
anual da al Qaeda foi cerca de US $ 30 milhões por ano. Por muitos anos, pensava-se que Osama bin Laden financiados
despesas da Al Qaeda por sua riqueza pessoal. Ele teria herdado uma fortuna, com estimativas variando de US $ 25 e 30 milhões a
US $ 250 e 300 milhões. No entanto, como observado antes, isso é um mito. Como dito em um Relatório da Força Tarefa sobre
Financiamento do Terrorismo “a fonte mais importante de fundos da Al Qaeda é os seus esforços de angariação de fundos
contínuos” [9] . As principais fontes de financiamento da Al Qaeda podem ser divididos em três grupos:
1. As doações (através fi facilitadores financeiras ou de beneficência)
2. Empresas legítimas
3. produtos do crime.
7.5.1 Doações
As contribuições directas indivíduos fromwealthy e recursos captados por meio de caridade e facilitadores fi nanceiros são fontes
primárias de financiamento para a Al Qaeda.
Um dos principais pilares do Islã é um dever religioso para todos os muçulmanos a doar anualmente 2,5% de sua renda para causas de
caridade conhecido como zakat. “Em muitas comunidades, o zakat muitas vezes é fornecido em dinheiro para, líderes proeminentes de
confiança da comunidade ou instituições, que, em seguida, misturar e dispersar verbas doadas a pessoas e instituições de caridade que
eles determinam para ser digno” [9] . Essas práticas não são auditadas, geralmente em situação irregular e, portanto, são fáceis de ser
abusado por grupos como a Al Qaeda. além obrigatória zakat, existem doações voluntárias e infaq e shadaqah.
Muitos governos muçulmanos não recolhem impostos, e muçulmanos, portanto, devotos, através de seu pagamento de zakat
e sadaqah, contribuir para bem-estar social [17] . Alguns governos, por exemplo, na Indonésia, feita zakat dedutíveis para
estimular doações de caridade.
Al Qaeda continua a levantar fundos através de doações diretas de apoiantes ricos e através de instituições de caridade.
Alguns dos doadores conhecer os fins jihadistas que suas doações servirão. Outros acreditam que suas doações são
utilizadas para fornecer assistência humanitária, educação e serviços médicos para aqueles que estão em necessidade. No
caso contra o Global Relief Foundation, que foi criada em Bridgewater, Illinois, em 1992, agentes dos EUA obtidos cheques
de doadores com notas pró-Jihad sobre eles [3] .
Além disso, nem todas as instituições de caridade conscientemente apoiou al Qaeda. A maioria deles não estavam cientes de que alguns de seus
funcionários de fi estavam trabalhando para a Al Qaeda e desviando “milhares de dólares para

136 Capítulo 7
financiar actividades terroristas e para construir a rede global da al Qaeda, que apoiou ghters fi jihadistas na
Chechênia, os Balcãs, Kashmir, Afeganistão, Ásia Central e Sudeste Asiático” [17] .
A maioria das redes de caridade foram desenvolvidos no final de 1980 e início de 1990 por Azzam e contatos pessoais de Bin Laden
com instituições de caridade sauditas e doadores ricos. Estas redes de caridade foram construídos para suportar a briga contra as
tropas soviéticas no Afeganistão. Os Estados Unidos, Reino Unido, Arábia Saudita, Paquistão e muitos países muçulmanos
encorajou os líderes islâmicos para estabelecer essas redes [17] . As doações foram usadas para ajudar ghters fi mujahedin, para
construir campos de treinamento, para cobrir as despesas de deslocação dos jovens muçulmanos interessados em ingressar na
guerra contra os soviéticos, e para apoiar as famílias dos ghters fi. Essas organizações de caridade estabeleceu uma forte presença
no Oriente Médio, especialmente na região do Golfo Pérsico, e nos países ocidentais, incluindo os Estados Unidos.
Sabe-se que a Al Qaeda contou com facilitadores financeiros que desempenharam um grande papel no aumento, transferir e reter
o dinheiro para a Al Qaeda. Eles receberam dinheiro de conhecer e desconhecendo os doadores principalmente nos países do
Golfo, mas também de países em todo o mundo. Estes facilitadores financeiros também permitiu al Qaeda para construir uma
extensa web fi nanciamento no sudeste da Ásia, Europa e África.
doadores ricos são uma parte integrante da rede fi nanceira da Al Qaeda. Um doadores fewwealthy pode patrocinar o terror
considerável. “Mustafa Ahmed al-Hasnawi, o homem do dinheiro Laden nacional e bin Arábia, enviou os fundos operacionais de
11 de setembro seqüestradores e recebeu pelo menos US $ 15.000 em fundos não gastos antes de deixar os Emirados Árabes
Unidos para o Paquistão em 11 de setembro” [33] . Evidências encontradas em Março de 2002, o de escritórios da Fundação
Internacional de Benevolência na Bósnia incluía documentos manuscritos digitalizados em formatos de computador com um fi le
intitulado “A história de Osama” que continha uma lista de 20 doadores ricos referida como a “Cadeia de Ouro”, com indicação de
o valor doado eo nome do facilitador. De acordo com a lista, pelo menos sete dos doadores sabia bin Laden pessoalmente e deu
o dinheiro diretamente a ele, e seis dos outros doaram dinheiro para o fundador caridade muçulmana [34] . Certamente eles sabiam
o destino das doações. “Esses facilitadores financeiros também apareceu a depender fortemente de certos imãs de mesquitas
que foram desviados zakat doações para os facilitadores e encorajou apoio a causas radicais” [3] .
Um objectivo principal de governos internacionais tem sido a de capturar facilitadores fi nanceiros. Embora muitos desses
facilitadores foram presos ou colocados em listas designados, alguns deles permanecem sem serem detectados. “Quando
experientes facilitadores financeiros tais como Mostafa Abul Yazid estão presos ou mortos, a Al Qaeda é forçado a entregar suas
funções aos membros cada vez mais júnior e não testados. Estes novos líderes muitas vezes não sabem e não são confiáveis por
potenciais doadores. Eles também não têm uma compreensão profunda das formas mais eficazes para movimentar o dinheiro” [35] .
Com base no exposto, podemos concluir que a Al Qaeda enfrenta fi problemas financeiros. Mas isso pode mudar dado há doadores
dispostos a financiar grupos como a Al Qaeda.

Charities são uma parte fundamental da estrutura financeira da Al Qaeda. Charities são baseadas na confiança do público,
eles têm acesso a uma fonte contínua de dinheiro, ea maioria deles têm filiais em todo o mundo (o que é útil para a
transferência de fundos). Além disso, a maioria das instituições de caridade arrecadar fundos informalmente, e por isso é
difícil de monitorar suas atividades. Estas características fazem caridade atraente e vulnerável ao mau uso por grupos
terroristas.
Uma série de instituições de caridade islâmicas e organizações relacionadas nonpro fi t são usados por grupos terroristas. Um relatório
da Comissão Nacional sugeriu duas formas de envolvimento. Em alguns casos, a Al Qaeda no fi ltrated sucursal estrangeira de
escritórios de grandes instituições de caridade. E por causa da falta de supervisão e controles dentro de instituições de caridade,
membros da Al Qaeda foram capazes de sifão dinheiro de instituições de caridade. Além disso, as organizações inteiras de caridade
foram estabelecidas para fins de financiamento do terrorismo. Nesses casos, toda a organização estava sob controle al Qaeda, com
agentes ter acesso a contas bancárias. Tais instituições de caridade corruptas, incluindo a Fundação WAFA Charitable, agora foram
fechados [3] .
instituições de caridade sauditas desempenham um papel central no financiamento terrorista. Arábia Saudita tem sido criticado por
fazer vista grossa ao terrorista financiamento. Desde os ataques de 11 de setembro, a Arábia Saudita implementado várias
políticas para reforçar o controlo do sistema fi nanceiro, colaborou intensamente com os Estados Unidos sobre a detecção de
terroristas financiamento, encerre suspeitos instituições de caridade, e proibiu coleções dinheiro em mesquitas e trocas de dinheiro
não licenciados [36] . Como resultado da colaboração conjunta entre os EUA e os governos da Arábia Saudita, onze ramos da Al
Fundação Islâmica Haramain (IBID), uma instituição de caridade ligadas à realeza saudita, foram designados. Foi provado que a Al
Qaeda recebeu financeiro, material e apoio logístico a partir desses ramos. Além disso, um ex-funcionário da Al Haramain estava
ligada ao bombardeio da embaixada dos EUA na Tanzânia 1998 [36] . Outra Arábia caridade financiamento al Qaeda era o al WAFA
organização humanitária, que era um “defensor militante do Taleban.” Evidence descoberto em afegã de fi ces de WAFA
demonstrou o envolvimento em conspirações terroristas contra cidadãos norte-americanos. autoridades norte-americanas têm
identificou WAFA “como um componente-chave da organização de Bin Laden” [37] . Uma autoridade disse que al WAFA e outros
grupos listados “fazer uma pequena quantidade de trabalho humanitário legítimo e levantar um monte de dinheiro para o
equipamento e as armas” [33] .
A Organização Internacional do Islamic Relief (Iiro), que faz parte do mundo islâmico League, foi criada em 1978 e
tem filiais em mais de 20 países ao redor do mundo. Abd Al Hamid Sulaiman Al-Mujil, um sénior de fi cial na filial
Iiro de fi ce na Arábia Saudita, tem sido referido como o “Million Dollar Man” para fornecer fundos diretamente para
a Al Qaeda e outros grupos militantes islâmicos, como Abu Sayyaf Group e Jemaah Islamiyah
[37] . As acusações foram feitas que um ramo nas Filipinas foi envolvido no financiamento da Al Qaeda desde
meados da década de 1990, quando foi dirigido por Mohammed Jamal Khalifa, de Bin Laden irmão-de-lei, que
financiou o plano Bojinka no início de 1990. Os ramos Filipinas e da Indonésia do Iiro foram designados como um
nancier fi do terrorismo, os EUA e
138 Capítulo 7
ONU em 2006. Al-Mujil foi designado também. De acordo com relatórios da CIA, a Iiro financiou vários campos de treinamento da
Al Qaeda no Afeganistão antes de 9/11. Além disso, o Iiro tinha ligações directas a grupos responsáveis pelos atentados de 1998
contra as embaixadas americanas em Dar es Salaam e Nairobi [38] .
o Arábia Alto Comissariado para a ajuda à Bósnia foi estabelecido em 1993 por príncipe Salman bin Abdul Aziz. Durante os
ataques da OTAN, antes e depois de fotografias do World Trade Center, embaixadas americanas no Quênia e na Tanzânia, eo
USS Cole; mapas de edifícios do governo em Washington; materiais para forjar emblemas do Departamento de Estado dos
Estados Unidos; e fi les sobre o uso da aeronave agrícola foram todos descobertos [33] .
Durante o julgamento de 2001, relativo aos ataques da embaixada 1998, um número de organizações foram envolvidos em ajudar
os atacantes, incluindo Socorro Agência Internacional de misericórdia.
L'Houssaine Kherchtou, um homem considerado culpado dos atentados de 1998 contra as embaixadas norte-americanas em
Nairobi e Tanzânia, testi fi cado, “Povo de al Qaeda estavam lidando com a Mercy Internacional” e um número de funcionários
foram, na verdade membros da Al Qaeda [39] . registros telefônicos foram descobertos demonstrando que o telefone por satélite
de Bin Laden foi usado para entrar em contato com o diretor Mercy Ahmad Sheik Adam. Além disso, Wadih el Hage, um influente
al Qaeda, testi fi cou que ele manteve utensílios terroristas, tais como documentos sensíveis, no Mercy Internacional de fi ce no
Quênia. Entre eles foram encontrados os cartões de visita de funcionários misericórdia. Além disso, recibos Mercy International
de 1998 divulgados “recebendo as armas da Somália” [40] .
Uma das organizações primeiros a ser nomeado como um financeira facilitador fi de terroristas e de ter seus bens
congelados foi o Al Rashid Trust, que tinha sido financiamento da Al Qaeda e do Taliban e está relacionado com o grupo
terrorista ligado à Al Qaeda Jaish Mohammed. O corpo de Daniel Pearl, um repórter do Wall Street Journal seqüestrado e
decapitado em 2002, foi encontrado na propriedade do empresário local, Saud Memon, um jihadista com laços com a
al-Rashid Trust. O Fundo Jihad Global, um site britânico vinculado com bin Laden, foi usado por Al Rashid e outros grupos
terroristas para levantar fundos e promover movimentos jihad mundial [37] .
Duas instituições de caridade, a Fundação Relief global (GRF) e a Fundação Internacional de Benevolência (BIF) dos Estados Unidos,
forneceu fundos para a Al Qaeda e outros grupos terroristas. GRF foi fundada em 1992 por pessoas que tinham sido associados com
o MAK durante a guerra do Afeganistão na década de 1980 [3] . GRF era uma instituição de caridade privada que forneceu ajuda aos
muçulmanos em todo o mundo, particularmente na Bósnia, Kashmir, Afeganistão, Líbano e Chechênia. Global Relief levantou mais de
US $ 5 milhões por ano [3] . Como observado por autoridades norte-americanas em 2001, “GRF é uma máquina de captação de
recursos altamente organizada, o que levanta milhões de dólares anualmente” [3] . A figura de destaque na organização “tem sido e
continua a ser um defensor da atividade extremista islâmico em todo o mundo” e “tem ligações passadas e presentes e associações
com uma grande variedade de extremistas muçulmanos internacionais”, incluindo a Al Qaeda e Bin Laden [3] . BIF foi uma organização
fi t nonpro fundada em 1992, que também forneceu ajuda aos muçulmanos em todo o mundo.
contas de BIF foram inicialmente congelado como uma investigação foi aberta em dezembro de 2001, e BIF foi mais tarde
designado por os EUA e das Nações Unidas em 2002. BIF tiveram de escritórios na Bósnia, Chechênia, Paquistão, China,
Inguchétia e Rússia [37] . Provas apreendidas por investigadores criminais bósnios durante uma incursão de BIF de de fi ce na
Bósnia documentado diretamente a associação de BIF com a Al Qaeda vai voltar para os primeiros anos. Entre esta evidência
foi a lista “Golden Chain” de doadores, além de correspondência entre bin Laden e o CEO da BIF, Enaam Arnaout. Arnaout
declarou que as doações foram destinados para a ajuda humanitária, mas em vez retido “de doadores, doadores potenciais, e
os governos federais e estaduais nos Estados Unidos que uma parte significativa das doações recebidas pela BIF com base
em declarações enganosas de BIF estava sendo usado para suporte fi ghters no exterior” [37] . BIF desviados $ 315.624 longe
de ajuda humanitária para financiar o terrorismo na Chechénia e Bósnia-Herzegovina [37] .
Estes são um punhado dos muitos exemplos de caridade associados com Al Qaeda. Muitas instituições de caridade ligadas ao terrorista
financiamento foram designados e desligar. Vários foram atingidos pela diminuição de financiamento como as suas operações têm sido
investigados. No entanto, em seu lugar surgiram muitas pequenas entidades em todo o mundo cuja actividade passa em grande medida
despercebido dada a sua pequena escala. Além disso, instituições de caridade encerrar em um país são muitas vezes reaberto sob um nome
diferente em outros lugares. Por exemplo, al Haramain, depois de ter sido designado em 2002 como frente da Al Qaeda na Bósnia e no
Sudão, abriu uma escola islâmica em Jacarta em 2003. Ele também foi reaberto na Bósnia duas vezes com um nome diferente [27] . A
Força-Tarefa de Ação Financeira (FATF) admitiu que instituições de caridade podem ser realocados tão rapidamente quanto dinheiro pode
ser ligado a partir de um lugar para outro [27] .
7.5.2 negócio legítimo
Grupos terroristas usam recursos provenientes empresas legítimas como uma fonte de fundos para as suas actividades. Este
método de angariação de fundos é particularmente difícil de detectar e prevenir que suas operações são legítimas e não
precisa de recorrer a lavagem de dinheiro. variedade awide de empresas no mundo todo, tais como a pesca, a agricultura,
bancos e produção de mel, foi ligado ao terrorismo.
empresas legítimas apoiam grupos terroristas muitas vezes existem em setores que não exigem formais cátions quali fi e onde o
capital start-up não é substancial, por exemplo, as células na Europa que executam pequenas empresas, tais como reparação de
automóveis e que prestam serviços de reparo em casa, contratou operários vindo áreas em conflito, como a Bósnia [41] .
Em 2001, várias empresas de produção de mel no Iêmen eram suspeitos e listada como tendo ligações com o terrorismo. Yemen
mel é considerado entre os melhores andmost caro em theworld. As lojas de mel muitas vezes vendem outras especialidades
iemenitas, como perfume, incenso e especiarias. O proprietário de dois destes empresas (Al Nur mel Prima Lojas Andal Hamati
doces Padarias), o Sr. Al Ahdal, também conhecido como Al Hamati, foi um dos primeiros ghters fi Árabes Unidos no Afeganistão e
na Bósnia. Ele foi preso na Arábia Saudita em 1998, por “planejamento de atividades terroristas”, e, em seguida,
140 Capítulo 7
deportados do país em 1999 [42] . O terceiro negócio do mel na lista do governo dos Estados Unidos foi al Shifa mel
Imprensa da Indústria e Comércio. Alegadamente, além de gerar renda para a Al Qaeda através da economia legítima, a
produção de mel também forneceu um método útil para o transporte de armas e fundos escondidos dentro de embarques
de mel. “O cheiro e consistência do mel faz com que seja fácil de esconder armas e drogas nos embarques. Inspetores
não quer inspecionar esse produto. É muito confuso,” [42] o referido um dos funcionários de fi. No entanto, duas dessas
empresas, Al Nur mel Prima Lojas e Al Shifa mel Imprensa da Indústria e do Comércio, foram retiradas da lista pela ONU
em 10 de julho de 2010 [43] .
Outro exemplo de uma empresa de fachada al Qaeda é Maram, uma empresa turca fundada num momento em que a Al Qaeda
estava se espalhando para a Europa. A empresa forneceu ambos agência de viagens, bem como de importação e serviços de
exportação. Ele era suspeito de ajudar membros da Al Qaeda que passam entre a Europa e no Afeganistão. A empresa
literalmente desapareceu quando um de seus diretores, Mamdouh Mahmud Salim, um suposto co-fundador da al Qaeda, foi
detido durante uma viagem à Alemanha e deportado para os EUA sob suspeita de terrorismo em 1998 [44] . Na década de 1990,
agentes da Al Qaeda costumava ir através da Turquia durante a passagem entre o Afeganistão, Sudão e Europa. Segundo as
autoridades alemãs, Muhammad Heidar Zammar, suspeito de ser agente da Al Qaeda, viajou através da Turquia 40 vezes
durante a passagem entre a Europa e no Afeganistão [44] .
Uma autoridade dos EUA suspeita Maram de fornecer al Qaeda com ajuda com transporte e aquisição de peças para a
construção de armas nucleares. De acordo com o contador que cuidou livros de Maram, a empresa não estava envolvido
em atividades comerciais legítimas, mas Salim países regularmente visitados conhecidos por terem mercados negros
para componentes de armas nucleares, como a Rússia, Romênia e Bulgária [44] .
Terroristas alavancagem empresas de fachada e contas offshore para esconder ativos e aqueles indivíduos ou
empresas que tenham financiado al Qaeda. Wadi al Aqiq, uma holding começou por Osama bin Laden, enquanto no
Sudão, foi uma das empresas de fachada. Outras empresas no Sudão foram importação e negócio de exportação Ladin
International Company, câmbio comerciante Taba Investimento, e empresa de construção Hijra Construção [38] . O
Governo sudanês encerrar essas empresas quando bin Laden deixou o Sudão em 1998 [3] .
Uma série de empresas de fachada foram estabelecidas no Sudeste Asiático por membros da Al Qaeda. Verde Medicina
Laboratorial foi fundada na Malásia em 1993. Seu diretor, Yazid Sufat, que recebeu sua educação bioquímica nos EUA,
foi recrutado pela Al Qaeda, enquanto no Paquistão. Sufat foi detido em sua chegada toMalaysia de seu treinamento al
Qaeda no Afeganistão em
2001. Sua firma foi ordenada pela al Qaeda para adquirir 21 toneladas de nitrato de amónio para uso em ataques em
Cingapura [21] . Konsojaya, que foi fundada em 1994, foi uma importação e Export Trading Company em óleo de mel e de
palma. A empresa tinha fortes ligações com Ramzi Yozef e plano Bojinka de Khalid Sheikh Mohammed como um
encobrimento da transferência de fundos e aquisição de ingredientes de explosivos [21] . Bermuda Trading Company foi
outro
empresa usada como fachada para a importação de ingredientes de fabricação de bombas. O suposto seqüestrador 20,
Zacarias Moussaoui, foi contratado pela Infocus Tecnologia e era para ser pago US $ 35.000 inicialmente e, em seguida, $
2000 cada mês para pagar a sua formação ight fl nos EUA [21] . Nas Filipinas, um número de empresas, corporações e
instituições de caridade foram fundadas por Jamal Khalifa, cunhado-in de Bin Laden. Entre estes estão Khalifa Negociação
Industries, ET Dizon viagem Pyramid Trading, Serviços de Recursos Humanos. e Daw al-Iman al-Shafee Inc [38] .
Al Qaeda use empresas legítimas e emprego para sustentar a si e suas atividades. Ele oferece-lhes cobrir e
meios de subsistência.
7.5.3 produtos do crime
Pós 9/11, problemas financeiros têm pressionado al Qaeda de encontrar financeira e apoio logístico a partir de recursos
não-tradicionais. grupos terroristas tornaram-se envolvido em atividade criminosa. O nexo entre criminosos e terroristas
internacionais está crescendo. Este é o subproduto de compartilhada financeira benefício. grupos terroristas e criminosos têm
muito em comum.
Como Rollins, Wyler, e nota Rossen, estes grupos se sobrepõem em várias formas: através da utilização das mesmas técnicas e
métodos; através da mudança de um tipo de grupo para o outro; e “através do serviço de aluguel atividades baseadas em
transações de curto prazo ou de longo prazo entre os grupos” [45] .
O terrorista crescente e nexo criminoso deixa os EUA aberta a um ataque terrorista devido a novas oportunidades de
financiamento e apoio criminosa mais forte.
utilização terrorista de actividades criminosas de financiamento das suas actividades varia de crime e de baixo nível de fraude
mesquinho ao envolvimento no crime organizado. Por exemplo, a célula que realizou o ataque Bali recebeu financiamento
parcial através do roubo a joalherias. Imam Samudra, um dos líderes da trama Bali, também foi envolvido em fraude de cartão
de crédito [21] .
Existe uma grande quantidade de evidências de que muitas células da Al Qaeda estão usando ativamente a fraude de cartão de crédito. Os
terroristas usam clonagem de cartões de crédito e clonagem. “Grupos terroristas e organizações criminosas usar clonagem de cartões de crédito e
desnatação para financiar-se”, diz Loretta Napoleoni, autor de
Jihad moderna: Traçando os Dólares Por trás das redes de terror. “A clonagem é feito principalmente através da Internet. Skimming
exige o uso do cartão de reais, por isso é feito em restaurantes e lojas “, diz ela. “É uma técnica muito popular e fácil” [46] . detalhes
do cartão de crédito são obtidos de lojas e restaurantes ou comprado no mercado negro e, em seguida, cartões falsos são
produzidos que são usados para roubar fundos de contas. Na Europa, a rede fi nanceira da Al Qaeda depende fortemente de fraude
de cartão de crédito. Uma célula argelino descoberto na Grã-Bretanha em 1997, arrecadou cerca de US $ 200.000 em 6 meses [15] .
Havia até mesmo campos especiais estabelecidas no Afeganistão para fornecer treinamento em fraude financeira, incluindo a
falsificação de cartão de crédito [15] . Em 2008, no Reino Unido, os detetives estavam investigando a fraude de cartão de crédito
sofisticada que poderia ter sido

142 Capítulo 7
ligado a extremistas no Paquistão. Pequenos dispositivos inseridos em leitores de cartão de crédito ‘Chip e PIN’ das lojas
estavam lendo e armazenamento de informações de cartão de crédito. Em seguida, a informação foi transmitida pela tecnologia
sem fio para Lahore, Paquistão. As informações roubadas foi usado para clonar os cartões e usá-los para roubar dinheiro de
contas de crédito e atuais e para pagar por itens como passagens aéreas na Internet [47] .
Interpol de funcionários fi note que grupos terroristas como a Al Qaeda são pro fi ting do tráfico de produtos falsificados, como
tênis falsificados da Nike, equipamentos de som, bolsas de grife e roupas e produtos que são comumente vendidos nas ruas
por toda a América ou através da Internet
[48] . Em 2001, bens pirateados ou falsificados no valor de quase US $ 2 bilhões ficaram con fi scated na Europa.
Estima-se que a contrafacção resultou na perda de US $ 200 e 250 bilhões comercialmente por ano nos EUA [48] .
Retornos gerados pela venda de bens e perdas falsas para empresas legítimas são signi fi cativa.
Devido ao aperto em seu financiamento, os grupos terroristas estão buscando meios mais amplos para o seu financiamento,
tanto nas práticas de negócios legítimos e em falsificação. John Newton, um Interpol de fi cer, disse: “os grupos
fundamentalistas radicais do Norte Africano na Europa, a Al Qaeda eo Hezbollah todos derivam renda de falsificação. Este
crime tem o potencial para se tornar a fonte preferida de financiamento para terroristas” [49] . Em 2002, falsos bens fromDubai
que supostamente foram enviados por membros da Al Qaeda foram interceptados na Grã-Bretanha. Na França, os membros da
fi st Grupo Sala de Pregação e Combate, um grupo associado com a Al Qaeda, foram detidos por suspeita de artigos de
vestuário falsificação [49] .
Células na Europa estão se tornando muito criativo em suas tentativas para arrecadar dinheiro. Por exemplo, três homens na
Alemanha foram envolvidos em fraude de seguros onde tentaram recolher $ 6,3 milhões do apólices de seguro de vida de nove
devido a uma morte falsa [10] . Em Espanha e na Suíça, operários estavam revendendo bens roubados no mercado negro. Dois dos
2005 homens-bomba Londres garantidos empréstimos, totalizando US $ 34.000, um dos quais estava em default [10] .
O contrabando de cigarros é uma forma altamente lucrativo para ganhar dinheiro para terroristas. O esquema é muito simples, mas difícil
de parar. Os contrabandistas comprar cigarros baratos em regiões onde imposto estadual é relativamente baixo, tais como Carolina do
Norte, e em seguida, viajar para vender cigarros a um preço superior, mesmo que eles não pagar os impostos mais elevados em estados
como Nova York. Os lucros são enormes e as penalidades são baixos.
Tradicionalmente, a liderança do núcleo da Al Qaeda se esquivou de envolvimento do crime organizado devido às suas fortes
convicções contra crimes particulares que violem Islam. A Comissão 11/9 afirmou que não pode ser provado que Osama bin
Laden pro fi ted de qualquer forma de tráfico de drogas. A organização está atualmente em itsweakest estado, whichwould ter sido
evitável se a Al Qaeda tinha sido envolvido no comércio altamente pró heroína mesa fi no Afeganistão [45] . No entanto, enquanto
os líderes da Al Qaeda não são abertamente associado com ações criminosas, seus liates af fi podem estar envolvidos em tais
atividades. Por exemplo, para a Al Qaeda no Magrebe Islâmico (AQIM),
seqüestrando civis e exigindo resgates é uma nova forma de gerar dinheiro. Em 2009, vários turistas europeus no Mali
foram libertados depois de ser seqüestrado por vários meses para resgates supostamente até US $ 5 milhões cada. No
entanto, um cidadão britânico foi assassinado após a recusa da Grã-Bretanha para liberar o radical islâmico Sheikk Abu
Qatada da prisão [50] .
Outra área de grande preocupação é o narcoterrorismo. Mais frequentemente células terroristas locais estão se tornando cada vez
mais envolvidos no tráfico de drogas. A célula que foi responsável pelos atentados de Madri 2004 usado conexões unicamente
criminosas para financiar uma operação terrorista. Poucos membros estavam envolvidos no tráfico de drogas antes que eles se
juntou a al Qaeda. Jamal Ahmidan, um dos principais 1990 haxixe e negociante de Ecstasy inWestern Europa, foi um dos cérebros
por trás da trama atentados Madrid. Ahmidan trocadas haxixe para dinamite com Jose Emilio Suarez Trashorras, um ex-mineiro [45] .
De 2003 a 2008, o número de grupos terroristas estrangeiros designados envolvidos no narcotrade aumentou de 14
para 18 de acordo com a Administração dos EUA Drug Enforcement [45] .
Em dezembro de 2009, três membros da AQMI foram presos em Gana após uma operação policial. Os três homens
acreditavam que estavam organizando um acordo com membros de guerrilhas marxistas das Farc da Colômbia para
contrabandear até 1000 quilos de cocaína. Eles garantido o trânsito das drogas através do território sob seu controle para o
pagamento de US $ 2000 por quilograma [50] . Estes “prisões são mais uma prova da ligação direta entre organizações
perigosos terroristas, incluindo a Al Qaeda, e fi cking internacional tráfego de drogas que alimenta suas atividades violentas”,
disse DEA Agindo Administrador Michele Leonhart [51] .
Embora a Comissão 9/11 informou que “não existe nenhuma evidência persuasiva. que a Al Qaeda tinha qualquer envolvimento
substancial com diamantes conflito” [3] , Outros especialistas, como Douglas Farah, autor de Sangue De Stones: The Secret Financial
Network of Terror, estão convencidos de que a Al Qaeda usado diamantes africanos para converter dinheiro em diamantes “em resposta
a um movimento pelos Estados Unidos em 1998 para congelar os bens da Al Qaeda após ataques a embaixadas americanas na África”
[52] . O Relatório Global Witness “Por uns Dólares a Mais: Como a Al Qaeda se mudou para um comércio de diamantes”, argumenta
que a Al Qaeda usado diamantes por várias razões: para levantar fundos, para esconder dinheiro alvo de sanções financeiras e de usar
diamantes como meio de transferência de riqueza.
7.6 Métodos de transferir e armazenar fundos
Al Qaeda usa vários mecanismos para mover e armazenar seus fundos. De acordo com o relatório do Grupo de Acção Financeira
(GAFI) sobre o Financiamento do Terrorismo [8] , Existem três principais métodos terroristas usam para mover seus fundos ou valor de
transferência. Eles são:
1. A utilização do sistema financeiro
2. O movimento físico de dinheiro

3. sistema de comércio internacional.
144 Capítulo 7
Além desses métodos, os terroristas abusar sistemas alternativos de remessas (ARS), instituições de caridade e empresas, e
contrabandear pedras e metais preciosos como uma tampa de mover fundos.
Antes de 9/11, a Al Qaeda se baseou no sistema financeiro para transferir fundos. É usado extensivamente bancos
comerciais, bancos de fachada, empresas de fachada, instituições de caridade e fi empresas de serviço financeiro
para movimentar dinheiro ao redor do mundo. Al Qaeda usou o sistema bancário internacional desde o início. Bin
Laden, assim como outros membros cadre superiores e facilitadores financeiros, tinha contas bancárias em todo o
mundo. Por um período de tempo, a Al Qaeda tem áreas com regulamentos financeiros frouxos e leis anti-lavagem
de dinheiro e INEF fi supervisão ciente bancário alvo. Ao longo dos anos, os centros bancários regionais no Oriente
Médio ter evitado de construção anti-dinheiro regimes de lavagem e supervisão do sistema bancário consistente com
os padrões internacionais. Por exemplo, os fundos para a tentativa de assassinato do presidente Mubarak passou
pelo Banco Comercial Nacional (BCN), o maior banco da Arábia Saudita. Ele transferiu milhões de dólares para
contas da Al Qaeda através de bancos correspondentes em Londres e Nova York [15] . O presidente BCN, Khalid bin
Mahfouz, negou que seu banco estava envolvido no financiamento de um grupo al Qaeda. Ele afirmou que ele não
poderia ter sido consciente de cada transferência bancária movendo através do banco, e que se ele sabia que essas
operações estavam ocorrendo, ele não teria permitido. Não havia nenhuma evidência descobriu que Mahfouz estava
pessoalmente envolvido em qualquer uma dessas transações. Ele também estava envolvido com o Banco de Crédito
e Comércio Internacional (BCCI), outro banco de infra-estrutura da Al Qaeda. BCCI era um grande banco
internacional, fundada em 1972 pelo paquistanês fi nancier Agha Hasan Abedi, com operações em 69 países. No
entanto, o banco sofreu signi fi cativas perdas de seus negócios no crédito, o comércio de moeda e depósitos. Khalid
bin Mahfouz era um acionista principal e diretor do Grupo BCCI. [53] . colapso esquema Ponzi mundial do BCCI
resultou em grandes perdas para os investidores. Embora Mahfouz negou todas as acusações, ele pagou um ne fi
de US $ 225 milhões de [53] .
BCCI estava envolvido em operações fraudulentas e foi um banco popular entre os lavadores de dinheiro, cartéis de
drogas, contrabandistas de armas, e organizações terroristas. Quando BCCI foi fechado, descobriu-se que bin Laden,
bem como outros terroristas detidos contas lá
[54] . Aparentemente, o banco também foi usado para canalizar fundos de vários doadores para os mujahedin no
Afeganistão.
Gunaratna escreve que a rede financeira da Al Qaeda foi derivado do BCCI [15] . Al Qaeda mantém uma rede com “feeder” e
contas operacionais para canalizar fundos para o usuário deste dinheiro. contas alimentadoras são configurados para
instituições de caridade legítimas ou empresas. As contas operacionais pertencem a agentes da Al Qaeda, cuja identidade é
escondido do público. As células têm acesso a essas contas para financiar suas operações. Transferências do alimentador para
contas operacionais são feitas através de várias outras contas bancárias para esconder o verdadeiro motivo da transferência [15] .
O sistema bancário islâmico presta serviços bancários legítimos para os muçulmanos e adere a sharia, ou lei islâmica, que
proíbe a ganhar dinheiro em empréstimos e cobrança de juros. Existem cinco maneiras em que os bancos islâmicos fornecem
dinheiro para os seus clientes: (1) mudahara, dinheiro fornecido a um investidor e perdas e ganhos são co-compartilhada; (2) quard
al-hasanah, um empréstimo interestfree; (3) musharaka, onde a instituição de crédito se torna um acionista; (4) murabaha,
quando um banco compra e vende ativos com um mark-up; (5) Ijara, um contrato de arrendamento, quando o banco compra
um objeto e aluga-lo para o cliente. Existem três tipos de contas usadas por instituições de crédito islâmicos: (1) contas
correntes de depósito sem juros vencidos; (2) limitado
murabaha depósitos onde os fundos podem ser usados pelo banco para os projectos de investimento; (3) limitado mudaraba depósitos
onde o banco juntamente com o cliente determinam o projecto de investimento e compartilham os retornos [55] . Embora o
sistema bancário islâmico tem vindo a crescer rapidamente, a regulação e supervisão do sistema bancário não está à altura
dos padrões internacionais. Muitos bancos islâmicos possuem um maior grau de autonomia e operar sob fiscalização regular e
controles. Além disso, a Al Qaeda e outros grupos terroristas islâmicos muitas vezes pode fi nd simpatizantes de dentro
bancário islâmico.
Após 9/11, rede fi nanceira da Al Qaeda tem sido largamente interrompido devido ao aumento das regulamentações no sistema
bancário. Como resultado, os terroristas adaptado usando táticas que lhes permitiram melhor esconder seus ativos e movê-los
de maneiras informais ou alternativos de transferência de fundos.
Terroristas são atraídos pelos sistemas de transferência alternativos (ARS), porque eles são convenientes, de confiança, e
disponíveis 24 horas, e geralmente não estão sujeitos a estrita supervisão regulamentar. Devido à rapidez e anonimato
destes sistemas, que são um dos métodos favoráveis de transferência de fundos usado por terroristas. A principal
característica do ARS é a capacidade de mover fundos sem movimento físico de moeda. A rede mais difundida para
transferências informais é hawala.
hawala apareceram muitos séculos antes que o sistema financeiro atual foi formado. A palavra vem originalmente da
língua árabe e significa transferência ou remessa. Existem outros sistemas similares conhecidas no Paquistão ( hundi),
Filipinas ( Padala), e Somália ( xawilaad).
hawala é uma maneira rápida e de baixo custo para transferir fundos, especialmente para aqueles que estão além de serviços
financeiros tradicionais. É um desafio para medir com precisão o valor dos fundos que passam por esses sistemas; no entanto,
as estimativas são de dezenas de bilhões de dólares. Por exemplo, estima-se que no Paquistão mais de US $ 7 bilhões
atravessa hawala canais de cada ano [56] .
hawala funciona de forma semelhante à Western Union ou MoneyGram. Figura 7.2 mostra como ele funciona. Em primeiro
lugar, uma pessoa em um país que deseja enviar dinheiro a um destinatário noutro contatos país hawaladar e dá-lhe
instruções. hawaladar, uma hawala operador, contactos uma contrapartida hawaladar no país receptor via telefone, e-mail,
etc., que por sua vez
146 Capítulo 7
Pessoa no
país A País B
destinatário no
PASSO 1
País B
ETAPA 3
PASSO 2
Hawaladar no Hawaladar no
país A
PASSO 4 :
Ajuste de contas
Figura 7.2:
Exemplo de hawala transação. Fonte: GAO relatório para Congresso Requerentes Financiamento do Terrorismo: agências norte-americanas devem avaliar
sistematicamente o uso de mecanismos de nanciamento alternativa fi dos terroristas, novembro de 2003 [68] .
distribui fundos para o destinatário pretendido. O destinatário tem de ser veri fi cou por algum tipo de código passado para
ele a partir do remetente. Com o tempo, as contas entre os dois hawaladars
pode tornar-se desequilibrado e deve ser resolvida. A liquidação pode assumir várias formas, tais como “pagamentos recíprocos
para os clientes, o movimento físico do dinheiro, transferência bancária ou cheque, manipulação factura, comerciais ou de
contrabando pedras ou metais preciosos, como ouro e diamantes” [57] .
Há inúmeros relatos de que os terroristas usaram hawala Proli fi camente. Os 1998 ataques às embaixadas americanas na
África foram financiados parcialmente por um paquistanês hawaladar [ 57] . Quando, após os ataques de 9/11, os Estados
Unidos começaram a Operação Liberdade Duradoura no Afeganistão, cooperativas a decisão Taliban e da Al Qaeda usado
hawala para transferir milhões de dólares ao Paquistão [58] . hawala pode ser abusado por ckers fi narco-tráfego e outros
criminosos. De acordo com uma fonte anônima associada a uma hawala o negócio, " hawala negociantes não se preocupam
com onde vem o dinheiro ou o que está sendo usado para .Eles única preocupar-se com o negócio” [59] .
Os terroristas têm vindo a utilizar instituições de caridade não só como fonte de financiamento, mas também como um método para mover fundos.
Terroristas abusam do fato de que as fundações e instituições de caridade usam frequentemente financeira
transações que pareçam legítimos. Por exemplo, o Global Relief Foundation relatado que 90% de doações foram
transferidos para o exterior, entre 1994 e 2000 [3] . Como discutido anteriormente, GRF tem sido associada ao e tem
prestado apoio e assistência à rede al Qaeda e outros grupos terroristas conhecidos. Outra caridade dos Estados Unidos,
Fundação Internacional de Benevolência, também transferiu doações no exterior para uso em terrorismo [3] .
organizações criminosas e grupos terroristas têm sido muito mau uso do sistema de comércio internacional para mover fundos. O
GAFI declarou que “o sistema de comércio internacional é claramente sujeita a uma ampla gama de riscos e vulnerabilidades que
podem ser exploradas por organizações criminosas e financiadores terroristas” [60] . De fi funcionários estimam que centenas de
bilhões de dólares são lavados através do comércio internacional [61] .
Os meios para lavagem de dinheiro através de canais comerciais variam muito em complexidade. Os métodos básicos de
abusar do sistema de comércio internacional incluem o “excesso e subfaturamento de bens e serviços, múltiplas facturas
de bens e serviços, sobreamadurecidas e undershipments de bens e serviços, e falsamente descrever produtos e
serviços” [61] .
esquemas mais complicados além de envolvimento de várias práticas comerciais fraudulentas também pode envolver
outras técnicas ilegais como o contrabando, corrupção, narcotráfico tráfico e evasão fiscal. Estas práticas ilegais pode
ser tão complicada e entrelaçada que é extremamente difícil do para aplicação eficaz da lei.
Um dos métodos mais básicos e os mais velhos do mau uso do sistema de comércio internacional é overand subfaturamento de
bens e serviços por parte dos importadores e exportadores. O valor transferências exportador para o importador por produto
subfaturamento, porque os bens são subvalorizadas e, assim, o exportador recebe menos e o importador é capaz de fazer um fi
pro t com a venda dos produtos no mercado para o seu valor mais elevado verdadeiro. Vice-versa, por supervalorizar a
mercadoria, o exportador receberá uma quantidade maior do que o valor real do importador, e assim lucrar com a diferença. Figura
7.3 mostra um estudo de caso ilustrando sobre- e sub-sistemas de facturação.
Neste exemplo, um terrorista ou criminal quer para lavar dinheiro para um país estrangeiro. navios Um exportador estrangeiro 1
milhão de widgets no valor de US $ 2 cada, mas as facturas um importador nacional para 1 milhão de widgets a um preço de US $ 1.
Portanto, o exportador lava $ 1.000.000 no exterior, como o importador paga US $ 1.000.000 e recebe a remessa no valor de $
2.000.000, que é então vendido no mercado interno [61] .
No exemplo oposto, quando um terrorista ou criminoso necessita para lavar dinheiro para o país, os navios exportador nacional 1
milhão de widgets no valor de US $ 2 cada, mas na factura afirma um preço de US $ 3 por widget. Neste caso, a empresa exportadora
recebe um pagamento extra de R $ 1.000.000, à medida que recebe um pagamento de $ 3.000.000 e navios bens no valor de apenas
US $ 2.000.000 [61] .
O uso de técnicas de sobre e sub-facturação só é possível quando há um acordo entre o exportador eo

importador, que muitas vezes são controlados pela mesma empresa.
148 Capítulo 7
Figura 7.3:
estudo de caso ilustrando esquemas de sobre e sub-facturação. Fonte: FATF, lavagem de dinheiro com base Trade,
junho 2006 [61] .
John Zdanowicz, professor de finanças da Universidade Internacional da Flórida, desenvolveu um programa estatístico chamado de
Pro fi Sistema ling Internacional Preço (IPPS) para controlar a lavagem de dinheiro através do comércio internacional. Ele analisou
governo dos EUA figuras de comércio fi, os preços médios calculados para a mercadoria, e identificou produtos anormalmente
preços.
“A análise IPPS avalia um preço comércio internacional e produz um 'índice de risco' que varia entre" 4' e ' º 4.' A negativa
[figura] indica o potencial de dinheiro que está sendo movido para fora dos Estados Unidos para um país estrangeiro. A
positivo [número] reflete o potencial de dinheiro que está sendo movida nos Estados Unidos a partir de um país
estrangeiro. A magnitude do índice reflete a probabilidade ou possibilidade de que um preço é sobrevalorizada ou
subvalorizada” [62] .
Em seu artigo “Lavagem de Dinheiro Trade baseada e Financiamento do Terrorismo”, detalha Zdanowicz como a facturação
fraudulenta é usado para transferir dinheiro entre fronteiras. Ao comparar os preços factura com preços médios mundiais,
Zdanowicz estima que US $ 192 bilhões, foi movido para fora dos EUA em 2005 através de importações desvalorizadas e
supervalorizado, e US $ 189 bilhões em 2006 [63] .
Como o controle do governo e supervisão sobre os bancos, instituições de caridade, e outras empresas do setor de serviços financeiros
tornou-se mais rigorosa, grupos terroristas achar isso mais difícil de levantar e movimentar fundos. Como resultado, os terroristas estão se
transformando de sistemas formais financeiras para o método mais básico e mais antiga de mover fundos e o movimento físico de dinheiro
em massa usando passadores de fundos. De acordo com Stuart Levey, subsecretário do Tesouro para terrorismo e inteligência financeira,
há “uma tendência de contrabando em massa de dinheiro e uso de passadores de fundos” [64] .
contrabando de dinheiro é generalizada no Oriente Médio, Sudeste da Ásia e África, assistido por segurança na fronteira ineficaz e
práticas frouxas de aplicação da lavagem de dinheiro. Ao contrário do Ocidente, muitas pessoas carregam dinheiro ea maioria das
transações são realizadas em dinheiro. Portanto,
tais economias baseadas no dinheiro com o sistema bancário eletrônico em estado embrionário, grandes movimentos de caixa
pode ser visto como normal e nem sempre levantar suspeitas das autoridades.
Para os terroristas, as principais vantagens deste método de mover os fundos são de que não existem fugas de
papel rastreáveis esquerda e nenhum terceiro, tais como banco de funcionários fi que podem suspeitar o propósito
ilícito da transferência envolvidos. Como o custo de ataques pode ser relativamente barato, dinheiro atravessaram
as fronteiras para fins terroristas está em níveis muito baixos, tornando-o difícil de detectar e parar. Mas também
pode ser um método fi ciente menos ef como existe a possibilidade de ser pego, e alguns correios podem ser
tentados a roubar o dinheiro. Além disso, é mais caro do que se deslocam dinheiro usando transferências
bancárias, pois envolve arranjo dos documentos de viagem. Al Qaeda auxilia na organização de viagens para o
courier, que passa sobre o pacote para um contato no aeroporto. [58] .
As tentativas das autoridades internacionais para impedir o contrabando de dinheiro não têm sido bem sucedidas, especialmente
em regiões onde transportar grandes somas de dinheiro é normal. É quase impossível parar o contrabando de dinheiro, uma vez
que é impossível para procurar todos que vem para o país. De acordo com uma autoridade da Indonésia “você poderia trazer um
recipiente de dinheiro no país sem ser notado” [21] . De acordo com relatórios de inteligência da Malásia e de Singapura, a Jemaah
Islamiya recebeu cerca de US $ 40.000 em 1997 e US $ 70.000 em 2000. Omar al-Faruq 4
testi fi cado de transferência de US $ 200.000 para a célula indonésio Jemaah Islamiya depois de 2000 [21] .
Um líder da rede Jemaah Islamiya na Malásia utilizado um mensageiro de caixa para transferir cerca de US $ 15.000 utilizada nos
atentados de Bali. Khalid Sheikh Mohammed utilizado um mensageiro paquistanês, Majid Khan, para entregar US $ 50.000 para
Hambali na Tailândia no início de 2003 [21] . O caso de Jamal al Fadl fornece um outro exemplo.
Em 1993, Jamal al Fadl, uma testemunha-chave nos atentados de 1998 ensaios da embaixada dos Estados Unidos e de Bin
Laden fi nanciamento de fi cer de 1991to 1996, revelou a sua missão do Sudão para Amã, na Jordânia com fundos para um grupo
associado com a Al Qaeda na Jordânia e nos territórios palestinos. Ele contrabandeados $ 100.000 em dinheiro, que estava
escondido entre as roupas em sua mala. Seu contato na Jordânia conheci e permitiu-lhe passar pela alfândega. “Ele falou com
uma das pessoas aduaneiros e eles não verificar o meu saco,” al Fadl revelou [65] .
organizações terroristas também mover seus ativos na forma de pedras e metais preciosos, como diamantes e ouro, porque
eles são altamente valiosos, conversível, fácil de esconder, e como com contrabando de dinheiro deste método também não
deixa um rastro de papel.
Embora uma ligação entre a Al Qaeda e o comércio de diamantes é uma questão controversa, de funcionários fi do Tribunal
Especial da ONU para a Serra Leoa, representantes da Global Witness, mídia e outros
4 Omar al-Faruq era um cidadão iraquiano criado no Kuwait, e um membro da Al Qaeda. Ele era um elo de ligação
entre a Al Qaeda eo terrorismo islâmico no Extremo Oriente, particularmente Jemaah Islamiya [71] .
150 Capítulo 7
especialistas têm apontado evidências de que a Al Qaeda estava envolvida no comércio de diamantes Oeste Africano. De
acordo com Douglas Farah, um repórter do Washington Post e autor de Sangue Das Pedras, al Qaeda estava interessado em
pro fi ting de pedras preciosas na África Ocidental, África Oriental, e na Europa quase desde o seu início. África Ocidental é
atraente para grupos terroristas como a Al Qaeda, porque em países como “Libéria, Serra Leoa e outros países da região, os
governos são fracos, corruptos e exercer pouco controle sobre grande parte do território nacional. Alguns estados, como a
Libéria sob Charles Taylor, eram de fato funcionando empresas criminosas” [66] .
compras de diamantes da Al Qaeda na África Ocidental pegou no final de 2000 e durou até pouco antes de 9/11. membros
da Al Qaeda estavam pagando acima do valor de mercado, porque seu objetivo era transferir fundos para as pedras e não
para ganhar dinheiro. Farah afirma que a Al Qaeda supostamente acumulou US $ 20 milhões de diamantes antes de 9/11
para mover os fundos para fora do sistema bancário e em mercadorias mais indetectáveis [67] .
Ouro apresenta uma outra oportunidade para movimentação e armazenagem de fundos. Um ex Tesouro sênior de fi cial, Patrick Jost,
observou: “Não pode haver dúvida de que a Al Qaeda tem colocado uma grande parte dos seus activos em ouro. Este metal é
realmente o melhor meio de transferência de fundos secretos. Jewelers no Oriente Médio e agir subcontinente indiano como
banqueiros virtuais e devido à sua natureza secreta e arcaico, este comércio é particularmente difícil do que rastrear e no fi ltrate” [67] .
O ouro é uma mercadoria favorita de grupos como a Al Qaeda usado para armazenar e movimentar fundos. Uma
grande quantidade de dinheiro depositado na conta bancária pode levantar fl vermelhas AGS e ser rastreado por
sistemas automatizados e monitorados pelas autoridades. O ouro pode ser derretido, fundido, e dividido em pedaços
menores, tornando mais difícil para rastrear o valor original. Ouro guardado em uma caixa de depósito não tem uma
trilha de auditoria no sistema bancário e pode passar despercebida. O ouro é uma mercadoria “near cash” e é usado por
terroristas não apenas para armazenar e movimentar fundos, mas também como um meio de pagamento. O ouro é uma
commodity no mercado internacional e que pode ser convertido em qualquer moeda. Enquanto o valor do ouro pode fl
uctuate ao longo do tempo, o ouro é considerado um hedge tradicional contra a inflação. Além disso,
Referências
[1] Transcrição do presidente George W. Bush, endereço antes de uma sessão conjunta do Congresso dos Estados Unidos
resposta aos ataques terroristas de 11 de setembro Disponível em: < http://www.presidency.ucsb.edu/ws/index. php? pid ¼ 64731 #
axzz1WRxfaFna >, 20 de setembro de 2001.
[2] Transcrição do presidente George W. Bush, Observações sobre Estados Unidos sanções financeiras contra os terroristas e
seus apoiantes e um intercâmbio com repórteres. Disponível em: < http://www.presidency.ucsb.edu/ws/index. php? pid ¼ 64040 #
axzz1WRxfaFna >, 24 de setembro de 2001.
[3] Comissão Nacional de ataques terroristas contra os Estados Unidos, monografia sobre Financiamento ao Terrorismo,
Government Printing Of fi ce, Washington, DC, 2004. Disponível em: < http://www.9-11commission.gov/staff_ declarações /
911_TerrFin_Monograph.pdf> .
[4] Coleção de Tratados das Nações Unidas. < http://treaties.un.org/Pages/ViewDetails.aspx?src ¼ IND & mtdsg_no ¼ XVIII-
11 & capítulo ¼ 18 & lang ¼ en >.
[5] O texto da Convenção Internacional para a Supressão do Financiamento do Terrorismo está disponível em: < http: //
treaties.un.org/Pages/DB.aspx?path ¼ DB / estudos / page2_en.xml & Menu ¼ MTDSG >.
[6] Government Accountability Estados Unidos Of fi ce. testemunho “Terrorist financiamento” perante a Comissão dos
Serviços Financeiros, Subcomissão de Supervisão e Investigações, Câmara dos Deputados. Disponível em:
< http://www.gao.gov/new.items/d0619.pdf >, 06 de abril de 2006.
[7] LK Donohue, Anti-terrorista financiar no Reino Unido e Estados Unidos. Disponível em: < http: // alunos.
law.umich.edu/mjil/article-pdfs/v27n2-donohue.pdf >.
[8] Financiamento do Terrorismo: Relatório de um Grupo de Trabalho Independente. Disponível em: < http:. //www.fatf-ga fi org / dataoecd /
28/43 / 40285899.pdf >, Fevereiro de 2009.

[9] Financiamento do Terrorismo, Relatório de um grupo de trabalho independente patrocinada pelo Conselho de Relações Exteriores,
Conselho de Relações Exteriores, New York, de Outubro de 2002. Disponível em: < http://www.cfr.org/publication/5080/ terrorist_ fi
nancing.html? breadcrumb ¼% 2Fpublication% 2Fpublication_list% 3Fgroupby% 3D3% 26type% 3Dtask_force_report% 26% fi ltro 3D2002 >.
[10] C. Whitlock, Al-Qaeda mestres terrorismo no barato, Washington Post Serviço Exterior. Disponível em:
< http://www.washingtonpost.com/wp-dyn/content/article/2008/08/23/AR2008082301962.html >, Agosto
24, 2008.
[11] M. Rice-Oxley, Por terror financiamento é tão difícil de rastrear. Disponível em: < http://www.csmonitor.com/
2006/0308 / p04s01-woeu.html >.
[12] Conselho de Relações Exteriores, Pro fi le: Osama bin Laden. Disponível em: <http://www.cfr.org/publication/9951/
pro fi le.html>.
[13] L. Beyer, o homem mais procurado do mundo. Disponível em: < http://www.time.com/time/magazine/article/
0,9171,1000871,00.html >.
[14] A Jihad Fixation, citado em R. Gunaratna, Dentro al Qaeda: Rede Global de Terror. [15] R. Gunaratna, Dentro al Qaeda: Rede Global de
Terror, Columbia University Press, 2002. [16] AK Cronin, organizações terroristas estrangeiras, Relatório CRS para o Congresso. Disponível em:
< www.fas.org/irp/crs/
RL32223.pdf >, 6 de fevereiro de 2004.
[17] T. Koker, CL Yordan, Micro financiamento terrorismo: um estudo em estratégia de financiamento al Qaeda. Disponível em: < http: //
papers.ssrn.com/sol3/papers.cfm?abstract_id ¼ 1287241 >.
[18] Comissão Nacional sobre os Ataques Terroristas nos Estados Unidos, Visão geral do inimigo, Declaração Pessoal
Não. 15. Disponível em: < http://www.9-11commission.gov/staff_statements/staff_statement_15.pdf >.
[19] Declaração Frente Islâmica Mundial, Jihad contra Judeus e Cruzados. Disponível em: < http://www.fas.org/irp/
mundo / para / docs / 980223-fatwa.htm >, 23 de fevereiro de 1998.
[20] DL Watson, A ameaça terrorista confrontar os Estados Unidos, depoimento ao Congresso antes do Senado
Escolha Comissão de Inteligência, Federal Bureau of Investigation. Disponível em: < http://www.fbi.gov/news/ testemunho / the-terrorista
ameaça-confrontar a-united-estados >, Frebruary 6 de 2002.
[21] Z. Abuza, o financiamento do terrorismo no Sudeste Asiático: A rede financeira da Al-Qaeda e Jemaah Islamiyah,
Contemp. Sudeste da Ásia 23 (2) (2003) 169 e 199.
[22] P. Bergen, Holy War, Inc .: Dentro do mundo secreto de Osama bin Laden, Simon & Schuster, New York, 2002. [23] BBC News Hambali, da
Ásia Bin Laden. Disponível em: < http://news.bbc.co.uk/2/hi/asia-paci fi c / 2346225.
stm >, Quarta-feira, 6 de setembro, 2006.
[24] A Casa Permanente Select Committee on Intelligence e do Senado Comitê Seleto de Inteligência,
Relatório do inquérito conjunto sobre os ataques terroristas de 11 de setembro de 2001. Disponível em: < http: // notícias. fi
ndlaw.com/usatoday/docs/911rpt/part2.pdf >, 24 de julho de 2003. Citado em Dissertação: “Terror Financiamento: Uma Análise e Simulação para
Afetando infra-estrutura financeira da Al Qaeda”, de Steve Kiser Pardee RAND Graduate School.
[25] S. Schmidt, D. Farrah, novos líderes da Al-Qaeda: Seis militantes de fileiras para preencher vazio, Washington Post.
Disponível em: < http://www.washingtonpost.com/ac2/wp-dyn/A32695-2002Oct28?language ¼ impressora >, 29 de outubro de 2002.
152 Capítulo 7
[26] J. Arca Preto, Al-Qaida: A ameaça para os Estados Unidos e seus aliados, testemunho perante a comissão da Câmara
em Relações Internacionais. Disponível em: < http://commdocs.house.gov/committees/intlrel/hfa92869.000/hfa 92869_0.htm >, 01 de abril de
2004.
[27] L. Napoleoni, Terrorismo financiamento na Europa, in: Giraldo, Trinkunas, financiamento do terrorismo e do Estado (Eds.)
Response, Stanford University Press, Stanford, CA.
[28] N. Passas, Terrorismo financiamento: Mecanismos e dilemas de política, em: Giraldo, Trinkunas (Eds.), Terrorist
Financiamento e Estado Response, Stanford University Press, Stanford, CA. [29] K. Wassef, Recessão difícil para Al Qaeda, também?
Disponível em: < http://www.cbsnews.com/8301-503543_162-
5076823-503543.html >, 10 de junho de 2009.
[30] G. Corera, Al-Qaeda 'enfrenta crise de financiamento', BBC News. Disponível em: < http://news.bbc.co.uk/2/hi/8303978.
stm >, 13 de outubro de 2009.
[31] W. Maclean, problemas de Al-Qaeda dinheiro, Reuters, 15 de junho de 2009.
[32] R. Lee, Terrorist financiamento: A resposta dos EUA e internacionais, Congressional Research Service. Disponível em:
< www.law.umaryland.edu/marshall/./RL31658_12062002.pdf >, 6 de dezembro de 2002.
[33] MA Levitt, Audição sobre “O papel das instituições de caridade e ONGs no financiamento de atividades terroristas”, Subcomitê
do Comércio Internacional e Finanças. Disponível em: < http://banking.senate.gov/02_08hrg/080102/levitt.htm >.
[34] Fox News, Al Qaeda documentos de financiamento transformar-se na Bósnia raid. Disponível em: < http://www.foxnews.com/
história / 0,2933,78937,00.html >, 19 fev 2003.
[35] SA Levey, perda de moneyman um grande golpe para al-Qaeda. Disponível em: < http://www.washingtonpost.com/wp-
dyn / content / article / 2010/06/04 / AR2010060404271.html >, 06 de junho de 2010.
[36] CM Blanchard, AB Prados, Arábia Saudita: questões Terrorist de financiamento, Relatório CRS para o Congresso. acessível
em: < www.fas.org/sgp/crs/terror/RL32499.pdf >, 08 de dezembro de 2004.
[37] Departamento do Tesouro, Informações adicionais de fundo sobre instituições de caridade designada ao abrigo executivo
encomendar 13224. Disponível em: < http://www.treasury.gov/resource-center/terrorist-illicit- financiar / Pages /
protegendo-charities_execorder_13224-p.aspx # w >.
[38] V. Comras, Al Qaeda fi nanças e financiamento para af fi liated grupos, Insights Estratégico IV (1) (2005). Disponível em:
< http://www.apgml.org/frameworks/docs/7/Al%20Qaeda%20Financing_%20V%20Comras_Jan05.pdf >.
[39] Julgamento Transcrições dos Estados Unidos da América v Osama bin Laden et al, Dia 8. Disponível em:.. < http: //
cryptome.org/usa-v-ubl-08.htm >, 21 de fevereiro de 2001.
[40] M. Epstein, B. Schmidt, operação de desligamento de suporte de sistema, National Review, Online. Disponível em: < http: //
www.investigativeproject.org/170/operation-support-system-shutdown >, 04 de setembro de 2003.
[41] DM Lormel, padrões de financiamento associados à Al Qaeda e redes terroristas globais, Federal Bureau of
Investigação. Disponível em: < http://www.fbi.gov/news/testimony/
financiamento-patterns-associado-com-alqaeda-and-global-terroristas-redes >, 12 de fevereiro de 2002.
[42] J. Miller, J. Gerth, A nação desafiou: Al Qaeda; comércio Mel disse para fornecer fundos e cobrir a bin
Laden, New York Times. Disponível em: < http://www.nytimes.com/2001/10/11/world/nation-challenged-alqaeda-honey-trade-said-provide-funds-cover-bin-laden.htm
¼ & spon ¼ & pagewanted ¼ impressão >, Outubro
11 de 2001.
[43] Conselho de Segurança, Al-Qaida e aos Talibãs aprova eliminação de duas entradas
lista consolidada. Disponível em: < http://www.un.org/News/Press/docs//2010/sc9977.doc.htm >.
[44] D. Frantz, Ameaça e respostas: bancas de Qaeda; empresas de fachada disse para manter os terroristas de financiamento, New
York Times. Disponível em: < http://www.nytimes.com/2002/09/19/world/threats-responses-qaeda-s-bankrollsfront-companies-said-keep- fi
nancing.html? seg ¼ & spon ¼ & pagewanted ¼ impressão >, 19 de setembro de 2002.
[45] J. Rollins, L. Sun Wyler, o terrorismo internacional eo crime transnacional: As ameaças de segurança, a política dos EUA, e
considerações para o Congresso, Congressional Research Service. Disponível em: < www.fas.org/sgp/crs/terror/ R41004.pdf >, 18 de março, de
2010.
[46] JM Simon, a conexão cartão-terrorismo de crédito: Como os terroristas usam cartões para as necessidades diárias e para financiar
operações (2008). Disponível em: < http://www.creditcards.com/credit-card-news/credit-cards-terrorism-1282. php >.
[47] D. Leppard, erros fraudadores transmitir detalhes do cartão de crédito para o Paquistão, Sunday Times. Disponível em: < http: //
www.timesonline.co.uk/tol/news/uk/crime/article4926400.ece >, 12 de outubro, 2008.
[48] Fox News, de fi funcionários: Produtos falsificados fundo de terrorismo. Disponível em: < http://www.foxnews.com/story/
0,2933,92094,00.html >, 16 de julho de 2003.
[49] J. Ungoed-Thomas, falsificações Designer 'estão a financiar Al-Qaeda'. Disponível em: < http://www.timesonline.co.uk/tol/
news / uk / article432410.ece >, 20 de March, 2005.
[50] P. Sherwell, Cocaína, sequestro e o aperto de caixa Al-Qaeda. Disponível em: < http://www.telegraph.co.uk/
news / worldnews / africaandindianocean / mali / 7386278 / Cocaína-seqüestro-and-a-Al-Qaeda-cash-squeeze. html >, 6 de março de 2010.
[51] Comunicado de Imprensa, Três Al Qaeda associados preso por porte de drogas e terrorismo, US Drug Enforcement
Administração Press. Disponível em: < http://www.justice.gov/dea/pubs/pressrel/pr121809.html >, 18 de dezembro de 2009.
[52] D. Farah, ativos Terror escondidos em farra gem-compra, Washington Post. Disponível em: < http: //www9.georgetown.
edu / faculdade / irvinem / CCT510 / Fontes / WashingtonPost-Africans_Al-Qaeda_Diamonds-12-29-02.html >.
[53] R. Ehrenfeld, O fanfarrão Arábia pára aqui. Disponível em: < http://www.acdemocracy.org/viewarticle.cfm?
identidade ¼ 202 >.
[54] A. Dodds Frank, M. Perez-Rivas, fi nanceira mundial de Bin Laden chegar detalhada, CNN. Disponível em: < http: //
archives.cnn.com/2001/US/09/26/inv.drug.money/index.html >, 26 de setembro de 2001.
[55] SM Aubrey, a nova dimensão da International terrorismo, VDF Hochschulverlag AG, 2004. [56] Departamento da Fazenda, Hawala e
sistemas de transferência alternativos dos EUA. Disponível em: < http: // www.
treasury.gov/resource-center/terrorist-illicit- financiar / Pages / Hawala-and-Alternatives.aspx >.
[57] S. Kiser, Financiamento terror: Uma análise e simulação para afetar a infra-estrutura fi nanceira da Al Qaeda,
Dissertação, Pardee RAND Graduate School. Disponível em: < http://www.rand.org/pubs/rgs_dissertations/ RGSD185.html >.
[58] D. Farah, estrada de Al Qaeda pavimentadas com ouro, Washington Post Serviço Exterior. Disponível em: < http: // www.
library.cornell.edu/colldev/mideast/qdagold.htm >, 17 de fevereiro de 2002.
[59] M. Ganguly, um sistema bancário construído para terrorismo. Disponível em: < http://www.time.com/time/world/article/
0,8599,178227,00.html >, Sexta - feira, 5 de outubro, 2001.
branqueamento de capitais [60] FATF, com base Comércio. Disponível em: < http: // www. fi ncen.gov/news_room/rp/ fi les / fatf_
typologies.pdf >, Junho de 2006.

[61] Estados Unidos Departamento de Estado Bureau for International Entorpecentes e Repressão Legal Affairs, Money
lavagem e financeiras crimes, Controle Internacional de Narcóticos Strategy Report (Volume II). Disponível em:
< http://www.state.gov/p/inl/rls/nrcrpt/2009/vol2/116537.htm >, 27 de fevereiro, de 2009.
[62] Internacional Trade Alert, Inc. Disponível em: < http://www.internationaltradealert.com/products.asp >. [63] JS Zdanowicz, Trade baseado
lavagem de dinheiro e financiamento do terrorismo, Ph.D. Dissertação. Disponível em:
< http:. // ciber fi u.edu/workingpaperseries.php >, Outubro de 2009.
[64] J.Diamond, mudanças de financiamento Terror tocash, USAToday.Available em: < http://www.usatoday.com/news/washington/
2006-06-18-terror-cash_x.htm >, 18 de June, 2006.
[65] J. Willman, Trail of dólares terroristas que abrange o mundo. Disponível em: < http://specials.ft.com/
attackonterrorism / FT3RNR3XMUC.html >, 29 de novembro de 2001.
[66] Testemunho de Douglas Farah, respostas terroristas a melhoria das defesas US financeiros, antes da Casa
Subcomissão de Supervisão e Investigações, Comissão de Serviços Financeiros. Disponível em: < http: // fi
nancialservices.house.gov/media/pdf/021605df.pdf >, 16 de fevereiro, 2005.
[67] Global Witness, Por alguns dólares a mais: Como Al Qaeda mudaram para o comércio de diamantes. Disponível em: < http: //
www.globalpolicy.org/security/issues/diamond/2003/Liberia-GW.pdf >, Abril de 2003.
[68] Verbatim Transcrição of Review Estatuto de Combatente, Tribunal de audição por ISN 10024. Disponível em: < www.
defense.gov/news/transcript_isn10024.pdf >.
[69] T. Joscelyn, Com a morte de Mustafa Abu Yazid: A carreira do terrorista topo dissipa alguns mitos sobre a nossa
inimigos, Weekly Standard. Disponível em: < http://www.weeklystandard.com/blogs/death-mustafa-abuyazid >, 01 de junho de 2010.
154 Capítulo 7
[70] BBC News, Pro fi le: Omar al-Faruq (2006). Disponível em: < http://news.bbc.co.uk/2/hi/middle_east/5379604.
stm >.
[71] GAO Relatório para o Congresso Requerentes, terrorista financiamento: agências norte-americanas devem avaliar sistematicamente
utilização dos terroristas de mecanismos alternativos de financiamento. Disponível em: < http://www.gao.gov/new.items/d04163. pdf >, Novembro de 2003.
CAPÍTULO 8
Estudo sobre Covert Redes de terroristas

Com base na relação interactivo
Hipótese
Duoyong Sun, Wenju Li, Xiaopeng Liu
Faculdade de Sistema de Informação e Gestão, Universidade Nacional de Tecnologia de Defesa, PR China
Capítulo Esboço
8.2 Obras relevantes 157
8.3 inicial da rede 158 Construção
8.3.1 Relacionamento de Rede Construção de membros da organização terrorista e terrorista Participação Incident 158
8.3.2 Rede de Construção de membros da organização terrorista e terrorista Organização Afiliação 159
8.3.3 Cessão e interactivo relação de rede construção entre organização terrorista Membros 159
8.3.4 Coadjuvante relação de rede construção entre Organizações Terroristas 162

8.3.5 Construção de Initial Multi-elemento de rede 162
8.4 Rede de refinamento baseada na interação Relação Hipótese 164

8.4.1 Construção de possíveis Rede de Relacionamento dos membros de uma organização terrorista baseada na participação mútua de
Relacionamento 164
8.4.2 Potencial falta de dados 166
Entidade e relacionamento casos omissos 166
relações espúrias 167
8.4.3 Interacção Relação hipótese 168
Entidade hipótese faltando baseado em associação ação 168 relação Tripartite hipótese
com base no evento 169 espúrias hipótese de relacionamento com base nas diferenças de
associação 170
8.4.4 Melhoria da Nomeação e Interação relação de rede dos membros de uma organização terrorista 170
Refinamento 8,5 Rede de Relacionamento e Final de Rede de Relacionamento de organizações terroristas e incidentes 171
8.5.1 possível relação de rede Construção e perfeição de organizações terroristas e incidentes terroristas 171
8.5.2 final Multi-elemento do modelo de rede 174

http://dx.doi.org/10.1016/B978-0-12-404702-0.00008-2 155
156 Capítulo 8
8.6 Análise e Verificação 174

8.6.1 Características da Rede de Análise 174
8.6.2 Avaliação das figuras principais 175
8.6.3 Importante Organização 177 Avaliação
8.6.4 Resultado Verificação 177
8.7 Conclusões 178

Agradecimentos 179
Referências 179
8.1 Introdução
Os eventos de 9/11 fizeram o terrorismo tornou o inimigo comum das pessoas internacionalmente. agora
golpeando contra e enfrentar o terrorismo são questões globais. medidas importantes foram tomadas por muitos
países no que se refere combate ao terrorismo, incluindo a compreensão das organizações terroristas,
desmantelar as organizações terroristas, e fazer os preparativos de emergência. Atualmente, com o
desenvolvimento da tecnologia da informação e briga da comunidade internacional contra o terrorismo, grandes
mudanças têm ocorrido na estrutura das organizações terroristas ea estrutura piramidal tradicional foi substituído
por uma estrutura de rede, que se tornou a característica mais importante do terrorista contemporânea
organizações [1] . organizações terroristas podem ser considerados como redes de relacionamento formados com
base em especificações crenças fi cos. Segundo a teoria da rede social, qualquer ação de atores não é isolado,
mas correlacionados. A relação laços entre eles são canais de transmissão de informações e recursos, e a
estrutura de relação da rede decide as suas oportunidades de ação e resultados. Tornou-se uma forma importante
para entender e quebrar redes de organizações terroristas através da análise de características da rede de
organizações terroristas através da construção de um modelo de rede social dos membros da organização
terrorista. Por causa da ocultação e dispersibilidade das atividades de organização terrorista, o método de
modelagem de rede social tradicional é difícil de pôr em prática. Portanto, é uma tarefa muito importante para
desenvolver novos meios de pesquisa,
Informação pública contém registros telefônicos, registros de trilha tribunal, registros de transações bancárias, o tráfego fi c
registros de violação, registros de embarque, registros comerciais, registros de texto, registros de e-mail, registros fórum Internet,
registos de vídeo, registros de eventos envolvidos, registros relação interativa, registros interrelationship, e assim em. Em princípio,
qualquer traço que reflete as atividades dos membros da organização terrorista pode ser tomado como base para a construção de
um modelo de rede social. No entanto, devemos também ver que os membros da organização terrorista normalmente vivem em
uma maneira secreta e eles raramente contactar entre si no tempo normal por razões de segurança pessoal e ataque fugir.
Portanto, vê-se que a rede de organização terrorista

Estudo sobre Covert Redes de terroristas baseada no relacionamento interactivo Hipótese 157
membros tem inteiramente diferentes características de relacionamento dos de redes de relacionamento interpessoal
gerais. Devido à natureza secreta da rede terrorista, a organização terrorista pode esconder a informação de forma
positiva, então um modelo de rede social estabelecida com base na informação de dados pública pode omitir algumas
relações importantes, eo resultado pode, portanto, afastar-se da situação real. Assim, resolver os problemas de falta de
dados é a questão inevitável na construção de redes sociais de organizações terroristas.
Este capítulo leva informações de texto de dois grupos de membros da organização terrorista publicados pelo Ministério da
Segurança Pública da República Popular da China em Dezembro de 2003 1 e outubro de 2008 2 como fontes de dados 3 . O
modelo de rede social dos membros da organização terrorista é estabelecido por extrair os registros envolvidos eventos,
registros de relacionamento interativos e liations fi af de organizações de pessoal no domínio público. O modelo tem como
objetivo adquirir informações em falta sobre as pessoas e relacionamentos, e detectar problemas espúrias de triagem
relação possivelmente encontradas na construção do modelo de rede, e para conduzir relacionamento dedução através da
introdução de uma hipótese relação interativa, aperfeiçoar a rede e verificar a racionalidade pela pesquisa empírica.
O capítulo está disposta como se segue. Seção 8.2 principalmente introduz a pesquisa e literatura relevante. Seção 8,3
apresenta os métodos de construção inicial da rede de organizações terroristas com base liations fi af. Seção 8.4 destina-se
a fi nd a deficiências nos dados, descobre a base, propõe uma hipótese para a frente relação interactiva, e
melhora a rede inicial. Seção 8,5 re as redes de relacionamento organização e incidentes terroristas define e
estabelece as redes de relacionamento fi nal. Seção 8,6 realiza os cálculos de rede relevantes, análise
experimental, e resultar veri fi cações. Seção 8,7 considera as conclusões e perspectivas futuras.
8.2 Obras Relevantes
Antes dos eventos de 9/11, muitos estudiosos tentaram usar métodos de análise de redes sociais para pesquisar as redes
dissimuladas de organizações terroristas. Em 1981, Bonnie Erickson propôs que as associações eficazes em uma
sociedade secreta dependia da confiança entre eles [2] . Por exemplo, se receber o treinamento juntos, vivendo juntos,
sendo amigos íntimos em um dormitório, ou relações de sangue pode diretamente influenciar a confiabilidade das
relações de rede. Em 1991, Malcolm Sparrow estudou os problemas existentes em redes de crime [3] ,
ou seja, uma rede secreta inevitavelmente introduzir imperfeições dos dados do nó e de relacionamento, indefinição de
limites de rede, ea variabilidade dinâmica. Em 1993, Baker e Faulkner descobriram que redes de organizações
terroristas e outras redes secretas eram diferentes do
1 http://news.sina.com.cn/c/2003-12-29/12582490000.shtm
2 http://news.ifeng.com/photo/news/200810/1021_1397_839722.shtml . 2008-10
3 http://www.chinanews.com.cn/gn/news/2008/10-21/1419010.shtml . 2008-10
158 Capítulo 8
redes interpessoais normais, e que seus membros raramente se contactaram, que constituiu conexões fracas em
modelos [4] . conexões fortes pode ser a experiência de receber formação ou aprendizagem em conjunto há vários
anos. Eles sugeriram explorar os dados de relacionamento da rede terrorista usando arquivo de fi les, como evidência
de processos judiciais e informações fornecidas por várias testemunhas. Após 9/11, este campo atraído muita atenção
e gradualmente tornou-se um foco de pesquisa. Valdis E. Krebs construído uma organização rede de relacionamento
membro do terrorista de 9/11 usando registros telefônicos [5] . Aparna Basu construída uma estrutura de rede social de
organizações terroristas de acordo com registros de incidentes terroristas lançados por 61 organizações terroristas na
Índia entre 2001 e 2003 [6] . Richard Rothenberg estabeleceu uma estrutura de rede “Al-Qaeda”, segundo jornais e
registros de informações de estações de rádio [7] . Kathleen Carley clari fi cou o potencial aplicação da análise e
modelagem método de rede social com base no uso de agentes inteligentes em quebrar as organizações terroristas [8] .
Dados faltando informação pública é um problema comum na construção de modelos de redes secretas. Dombroski e
colegas prestaram muita atenção ao fenômeno dados em falta na construção de modelos de redes sociais, e estudou
a construção de um modelo de rede secreta sob a condição de informação em falta [9] . Jose' A. Rodriguez assinalou
que “as ligações incompletas fazer os membros da organização terrorista capaz de manter o relacionamento mais
importante na grande rede, proporcionando um apoio substancial e excitação espiritual para eles” [10] . Sageman
afirmou a importância da fraca contato relacionamento em redes de organizações terroristas [1] . Jonathan Kennedy
pesquisou os fracos problemas de relacionamento dos terroristas, e considerou que sua importância era maior do que
saber relacionamentos fortes [11] . Esta pesquisa estabeleceu as bases para o refinamento de hipóteses e rede de re fi
considerado neste capítulo.
8.3 Initial construção da rede
A rede inicial envolve principalmente a construção de figuras e incidente rede de relacionamento, a construção de
figuras e rede de relacionamento da organização e da rede de relações entre figuras e entre organizações relevantes
para os membros da organização terrorista, com a finalidade de fornecer a base para encontrando os desaparecidos
dados.
8.3.1 Relacionamento de Rede Construção de membros da organização terrorista e Participação

incidente terrorista
Analisando as fontes de dados, descobrimos que 42 membros da organização terrorista e 28 incidentes terroristas estavam
envolvidos, classificando os dados obtidos. Nós contaram os membros da organização terrorista como A01 e A42,
numeradas incidentes terroristas como E01 e E28, e definido dos elementos da matriz Z eu j consoante membros participaram
nos incidentes ou não.
Tabela 8.1: Matrix relacionamento dos membros da organização terroristas e incidentes terroristas
E01 E02 E03 E04 E05 E06 E07 E08 E09. E28
A01 1 0 0 0 0 0 0 0 0 . 0
A02 0 1 0 0 0 0 0 0 0 . 0
A03 0 0 1 0 0 0 0 0 0 . 0
A04 0 0 1 0 0 0 0 0 0 . 0
A05 0 0 1 0 0 0 0 0 0 . 0
A06 0 0 1 1 0 1 0 0 0 . 0
A07 0 0 0 1 0 0 0 0 0 . 0
A08 0 0 0 0 1 0 0 0 0 . 0
A09 0 0 0 0 1 0 0 0 0 . 0
. . . . . . . . . . . .
A42 0 0 0 0 0 0 0 0 0 . 0
Z eu j ¼ 1 indicou que membro Eu participou de incidente j, e Z eu j ¼ 0 indicaram que membro Eu

não participou no incidente j. Com base nesta definição, a matriz de relação de participação incidente de membros da
organização terrorista foi estabelecido como mostrado na tabela 8.1 . Vejo
Figura 8.1 para a topologia da rede correspondente.
8.3.2 Rede de Construção de membros da organização terrorista e terrorista Organização

filiação
No texto dados obtidos, oito organizações terroristas estão envolvidos, numeradas do G01 e G08. Nós definidos o
elemento matriz Z eu j consoante os membros foram af fi liated a uma organização ou não. Z eu j ¼ 1 indicou que
membro Eu foi af fi liated a organização j, e Z eu j ¼ 0 indicaram que membro Eu não foi af fi liated a organização j.
Com base nesta definição, a matriz de parentesco dos membros da organização terrorista e organização af fi liations
foi estabelecido como mostrado na Tabela 8.2 . Vejo Figura 8.2 para a topologia da rede correspondente.
8.3.3 Cessão e interactivo relação de rede construção entre os membros da organização

terrorista
A relação de atribuição entre os membros da organização terrorista foi largamente determinada pela especí fi cos
termos de informações de texto pública, como expedição, recrutamento, comando e instigação. O elemento de
matriz Z eu j foi definida de acordo com se os membros foram envolvidos na relação atribuição ou não. Z eu j ¼ 1
indicou que membro Eu recebeu uma atribuição de membro j, e Z eu j ¼ 0 indicaram que membro Eu não receber
uma atribuição de membro j. A relação atribuição era unidirecional. Além da relação de atribuição unidirecional,
uma relação interativa bidirecional também existia entre os membros da organização terrorista. A relação
interactiva entre
160 Capítulo 8
A37 A20 A21
A38
A42
A39 E17
A41 A40 A19
A12
A36
A33
A01 E28 E13
B05
E27 E16
A17
A05
A35 B01 E25
B04 A07
E10 A32 B03 A04
A34 E12
E11
A03 A31 A18
A08 A10 A05
A15
B05
A13 B08
A09 E20
A24 E25 A28

B09
E15 E21 E22
B07
A25 A29
A15
E14
E23 A23 A22
A11 A14
E24
A27
E19 A25 A02

E18 B02
A30
Figura 8.1:
rede de relacionamento dos membros da organização terrorista e incidentes terroristas.
membros da organização terrorista foi determinada principalmente por termos como decidir por meio de consulta,
discussão e chegar a um consenso, e foi indicada como Z eu j ¼ Z ji ¼ 1 na matriz, como se mostra na tabela 8.3 . Vejo Figura
8.3 para a topologia da rede correspondente.
Tabela 8.2: Matrix Relação dos deputados organização terrorista e organizações terroristas
G01 G02 G03 G04 G05 G06 G07 G08
A01 0 1 0 0 0 0 0 0
A02 1 0 0 0 0 0 0 0
A03 0 1 0 0 0 0 0 0
A04 0 0 0 0 0 0 0 0
A05 0 0 0 0 0 0 0 0
A06 0 1 0 0 0 0 0 0
A07 0 1 0 0 0 0 0 0
A08 1 0 0 0 0 0 0 0
A09 1 0 0 0 0 0 0 0
. . . . . . . . .
A42 0 0 0 0 0 0 0 0
A04
A05 G03
A12
A11
A13 A33
G04
A14 G05
A15 A36
A16 G02 A01 A19 A03

A37
A39
A20
A18
A21
A31
A32 A07
A06
A34
A35
A38
A40
A30
A26
A41 A28
A09
A42
A25 A23
G06
G07 G01
A27
G08
A02 A22 A08 A17 A24 A29 A10
Figura 8.2:
rede de relacionamento dos membros da organização terrorista e organizações terroristas.
A atribuição e registros relação interativa na informação pública é, na verdade, as informações sobre as relações
interativas entre terroristas em incidentes divulgados pela departamentos pertinentes do estado baseadas em fatos. A
rede de relacionamento dos membros da organização terrorista estabelecidos pela acima é explícito e confiável, e seus
defeitos pode haver problemas de indivíduo eficiência fi de e as relações que faltam.
Tabela 8.3: Gráfico do relacionamento dos membros da organização terrorista
A01 A02 A03 A04 A05 A06 A07 A08 A09. A42
A01 0 0 0 0 0 0 0 0 0 . 0
A02 0 0 0 0 0 0 0 0 0 . 0
A03 0 0 0 1 1 0 0 0 0 . 0
A04 0 0 0 0 0 0 0 0 0 . 0
A05 0 0 0 0 0 0 0 0 0 . 0
A06 0 0 0 0 0 0 0 0 0 . 0
A07 0 0 0 0 0 1 0 0 0 . 0
A08 0 0 0 0 0 0 0 0 0 . 0
A09 0 0 0 0 0 0 0 1 0 . 0
. . . . . . . . . . . .
A42 0 0 0 0 0 0 0 0 0 . 0
162 Capítulo 8
A02 A28
A29 A25 A40
A41
A39 A36
A22
A42
A24 A23 A30 A27 A38
A32
A26
A37 A17
A05
A03
A10
A04
A09
A08
A12 A20
A11 A34
A35
A21
A01
A33 A06
A15
A18
A31
A13
A07 A19 A16
A14
Figura 8.3:
rede de relacionamento dos membros da organização terrorista.
8.3.4 Apoiar a relação de rede construção entre organizações terroristas
Os dados de texto descreveu as relações entre as organizações terroristas em detalhe, e a matriz de relação de
apoio entre as organizações terroristas foi construído à luz da conexão e apoio entre organizações terroristas, e as
interações entre os líderes da organização terrorista. O elemento Z eu j ¼ 1 na matriz indicaram que as
organizações Eu e j
teve este relacionamento de apoio, e Z eu j ¼ 0 indicou que as organizações Eu e j não têm esta relação de apoio,
como mostrado na Tabela 8.4 . Vejo Figura 8.4 para a topologia da rede correspondente.
8.3.5 Construção de Initial Multi-elemento de rede
De acordo com as matrizes relação acima, o modelo de rede de relacionamento social, multi-elemento dos membros da
organização terrorista foi estabelecida utilizando ferramentas ORA desenvolvidos pelo Dr. Kathleen M. Carley de CASOS na
Escola de Ciência da Computação da Universidade Carnegie Mellon, como mostrado na Figura 8.5 . Na figura, os pontos
redondos representam 42 membros da organização terrorista, os pontos losango representam 28 incidentes terroristas, e os
pontos quadrados representam oito organizações terroristas. As relações entre os pontos são
Tabela 8.4: Matrix Relação de Organizações Terroristas
G01 G02 G03 G04 G05 G06 G07 G08
G01 0 1 1 1 1 0 0 0
G02 1 0 1 1 1 1 1 0
G03 1 1 0 1 0 0 0 1
G04 1 1 1 0 0 0 0 0
G05 1 1 0 0 0 0 0 0
G06 0 1 0 0 0 0 0 0
G07 0 1 0 0 0 0 0 0
G08 0 0 1 0 0 0 0 0
G05
G01 G04
G02 G03
G08
G07
G06
Figura 8.4:
rede de relacionamento das organizações terroristas.
representado pelas linhas a cheio. As setas apontam para os líderes, incidentes e organizações, e refletem os
liations fi af entre os membros da organização terrorista, incidentes terroristas e organizações terroristas. As setas
bidirecionais indicam as relações interativas entre os membros da organização terrorista, e as relações de apoio
entre as organizações terroristas.
Comparado com As Figuras 8.1 e 8.3 , Ele pode ser visto que alguns membros da organização terrorista são conectados
por alguns incidentes terroristas ou organizações terroristas, como a A03 e A06 conectados por E03. Se todos os
incidentes e organizações terroristas são removidos da rede multielementar de membros da organização terrorista, a
rede de membros da organização terrorista é como mostrado na Figura 8.3 . A estrutura da rede mudou significativamente
e grupos mais isoladas ocorrer. Este fenômeno é provavelmente devido às relações dos membros da organização
terrorista parciais sendo escondidos em vários liations fi af.
164 Capítulo 8
A04 E12 E13
A05
E16 E26 E26

E04 E04 E26
A03 E04
A06
A06 A06
A19
A19 A19 A33 A33
A31 A33
E06 A07A31
A31
A20 A07
A20 A07
A20 A18 A18 A18
E17
E17 E03
E17
A21
A21
A21 G06 G06
A12 G07 G06
G07 G07
G02
G02 G02
A39
A39 A39
G08 E03 E03 A36
A36 A36
E09
A34 A01A01
A01 A34 A34
A35 A35 A35 G04
G04
G03 G03 G03
E07
A16 E07
E27 E07
G01 G01 A14
E01 G05 A10G05
A10 A10 A13 A14
E01 E01 E05 E10
E10 A14
E05 E05 A08 E10 A38 A38
A08 A08 E11
E11
E11
E15 A32
A09 A40 A38 A15
E15
G01 A57
E15 A17
A40 A40 E08
A11
E28
A11 E28
E28 A41 A41
A11 A02 A42
A42
A42
E02 A41
A30 A30
E02 A30 A28 A28 A26
A28 A29 A25 A26 A26
E02 A25 A27 A27
A25 A24 A27
A23
A29 A29 A24 A24
A23 A23 E23 E23
E23
A22
E19
E21 E20
E22 E21 E24 E25
E22 E22
E14
E18
Figura 8.5:
Multi-elemento de rede de membros da organização terrorista.
8.4 Rede de refinamento baseada na interação Relação Hipótese
A fim de compensar dados potencialmente perdidos e para melhorar a rede, esta seção primeiro constrói uma
possível rede de relacionamento dos membros de uma organização terrorista com base na matriz de eventos
mutuamente participaram; em segundo lugar, fi nds os dados potencialmente faltando comparando as atribuições
decorrentes da possível rede de relacionamento e informação ao público com a rede relação interação; em terceiro
lugar, a hipótese relação interacção é proposto, de acordo com as características da relação membro em
actividades terroristas; finalmente, a rede inicial dos membros da organização terrorista é melhorada de acordo com
a hipótese.
8.4.1 Construção de possíveis Rede de Relacionamento de membros de uma organização terrorista com base
em Mutual Participação do relacionamento
Supõe-se que há m terroristas, que participam separadamente em n incidentes terroristas. A matriz de participação do
evento é definida como PT; portanto PT é a relação matriz de m subordinado n ranking, entre os quais:
Se o Eu th terrorista participou no Evento k

PT ik ¼ f 1
0 Se o Eu th terrorista não participou no Evento k
Nesta fórmula, Eu ¼ 1, 2,., m; k ¼ 1, 2,., n.
Na teoria das redes sociais, a rede de relacionamento interpessoal entre os membros pode ser estabelecida de
acordo com o fato de que muitas pessoas participar de algumas atividades muitas vezes. Por exemplo, para as
muitas pessoas que participam nas atividades do clube muitas vezes, pode-se considerar que existe uma certa
relação entre eles. No entanto, os incidentes geralmente terroristas estão planejados meticulosamente. Os
membros envolvidos são seleccionados de forma rigorosa. Geralmente, os membersmay comunicar secretamente
antes da ação, a fim de coordenar a acção; embora uma única conexão entre os membros existir, as
informações-chave aqui é saber este relacionamento com antecedência. Assim, pode-se estabelecer o possível
relacionamento interpessoal rede (PRO) em conformidade com a matriz de relações subordinado do evento.
Assim, em conformidade com a matriz de participação PT, podemos obter o modelo de matriz de adjacência
PRÓ, incluindo as possíveis relações; PRÓ é um milímetros matriz de classificação. Nesta situação,
PRÓ ¼ PT $ PT 0, e nesta fórmula matriz PT 0 é a transposição da matriz participação

PT. Obviamente, se os atores Eu e j participaram conjuntamente em Evento k, pt ip ¼ pt jp ¼ 1, onde p ¼
1, 2,., k; PRÓ eu j ¼ k, com k ¼ 1, 2,., n.
Certamente, de acordo com as situações de indivíduos que participam dos eventos, podemos obter a matriz de relação ATCK
do evento da mesma forma, ou seja, ATCK ¼ PT 0 $ PT.
De acordo com a matriz de relação de subordinação entre os membros da organização terrorista e os incidentes
terroristas em tabela 8.1 e o método de cálculo acima, a matriz de parentesco dos membros da organização
terrorista baseada na participação conjunta no incidente terrorista é mostrado na Tabela 8.5 .
A matriz de relações acima é uma matriz simétrica. Os elementos na matriz representam o número de incidentes
terroristas em que os membros da organização terrorista participam conjuntamente. Por exemplo, o valor na
terceira linha e a coluna quinto fi é 1, o que significa que A03 e A05 em conjunto participar em um incidente
terrorista. Introduzir o conteúdo de Tabela 8.5 em software UCINET nos permite obter um diagrama de rede de
relacionamento possível dos membros da organização terrorista baseado na relação participação mútua, como
mostrado na Figura 8.6 . Na figura, os pontos representam 42 membros da organização terrorista; as linhas entre
os pontos representam as possíveis inter-relações entre os membros da organização terrorista. Quatro pontos
isolados na figura indicam que eles não participar conjuntamente em quaisquer incidentes terroristas com outros
membros da organização terrorista.
166 Capítulo 8
Tabela 8.5: Matrix relacionamento dos membros de uma organização terrorista baseada na participação
A01 A02 A03 A04 A05 A06 A07 A08 A09. A42
A01 1 0 0 0 0 0 0 0 0 . 0
A02 0 1 0 0 0 0 0 0 0 . 0
A03 0 0 1 1 1 1 0 0 0 . 0
A04 0 0 1 1 1 1 0 0 0 . 0
A05 0 0 1 1 1 1 0 0 0 . 0
A06 0 0 1 1 1 7 1 0 0 . 0
A07 0 0 0 0 0 1 1 0 0 . 0
A08 0 0 0 0 0 0 0 2 1 . 0
A09 0 0 0 0 0 0 0 1 1 . 0
. . . . . . . . . . . .
A42 0 0 0 0 0 0 0 0 0 . 0
8.4.2 Os dados em falta Potencial
Em comparação com a relação em Figura 8.3 , A relação entre os membros da organização terrorista em Figura 8.6 é
alterado significativamente, e algumas novas relações aparecem; Enquanto isso, alguns relacionamentos antigos não
existem mais. As razões para estas situações são as seguintes. Em primeiro lugar, os membros parciais da organização
terrorista participar conjuntamente em um incidente terrorista, mas a informação pública não inclui informações sobre as
relações entre estes membros da organização terrorista, o que resulta nas relações crescentes. Em segundo lugar,
alguns membros da organização terrorista não participar conjuntamente em um evento terrorista, mas eles estão
inter-relacionados, que constitui relações ausentes. Para as relações recém-aumento, alguns surgem das possíveis
dados em falta na informação pública, enquanto outros podem ser relações espúrias.
Entidade e casos de relacionamento faltando
falta de dados comum inclui dois tipos: entidade desaparecidos e relacionamento faltando. Entidade faltando
principalmente significa que há uma fi gura, evento ou organização faltando. Relação faltando principalmente se refere à
relação entre as entidades sendo ausente; isto é, uma relação entre pessoas ou entre as pessoas e o evento está
faltando.
comparando As Figuras 8.3 e 8.6 , A entidade ausentes e relacionamento desaparecidas casos, obviamente, existem em Figura
8.3 . O caso faltando entidade refere-se aos membros da organização terrorista que participam do incidente terrorista com uma
relação clara, mas onde há dados de relacionamento estão incluídas na informação pública. Por exemplo, no evento terrorista
E03, os membros A03, A04, A05 e A06 participar conjuntamente neste evento; No entanto, de acordo com informações
públicas, os membros destas duas organizações terroristas não têm contato. O caso faltando relacionamento é onde os
membros não estão diretamente relacionados uns aos outros, mas eles são
A02
A30
A37 A27 A26 A16
A38 A23
A24
A42 A28 A22
A13
A15
A29 A25
A14
A41 A40 A36 A21
A39
A01 A20
A12
A31
A34 A10 A17
A32 A33 A07
A35
A06
A03 A05 A18 A19 A04
A09 A08
A11
Figura 8.6:
diagrama de relações possível rede dos membros de uma organização terrorista com base no mútuo
relações de participação.
ligada através do co-líder ou as pessoas que estão sendo conduzidas. Por exemplo, se A06, A18 e A19 participar conjuntamente no
evento E16, A18 e A19 são guiados pelo A06, então A18 e A19 estão ligados através A06; no entanto, A18 e A19 não entrar em
contacto directo através de informações públicas, assim que seu relacionamento está perdido. entidade possível falta e de
relacionamento faltando casos são mostrados na tabela 8.6 .
relações espúrias
Um relacionamento espúrio é aquele em que uma possível rede relação entre membros existe com base na correlação de
eventos. Uma vez que estes dois membros participar em conjunto na mesma forma, uma relação de associação é formada. No
entanto, devido às diferenças regionais e de tempo, na verdade, essa relação não existe. Os potenciais relações espúrias em Figura
8.6 estão listados em
tabela 8.6 . Há seis relações espúrias no total, entre os quais quatro são potencialmente relações espúrias que aparecem na
mesma cadeia de comando. Por exemplo, A23 e A28 estabelecida uma relação directa em Figura 8.3 , Porque ambos
participaram conjuntamente em caso E21. No entanto, a análise da informação pública revela que, no caso E21, A29 foi para
um país do Oriente Médio para desenvolver o novo A28 membro, que foi organizado pela A23. Neste momento, A23 estava
em um país do Sul da Ásia. A diferença regional, faz com que a possibilidade de uma relação directa
168 Capítulo 8
Tabela 8.6: Alterações relacionamento entre os membros de uma organização terrorista
equipe 1 equipe 2
novas ligações pessoa desaparecida A17 A01, A34, A35

A06 A03, A04, A05
A17 A36, A39, A40
elo perdido A08 A10
A10 A33
A18 A19
A20 A21
ligações falsas A22 A28
A23 A28
A23 A27
A23 A26
A24 A26
A27 A26
ligações desapareceram A17 A23, A24, A26
A10 A12
relação entre A23 e A28 muito improvável. As relações possíveis espúrios são mostrados na tabela 8.6 .
8.4.3 Interação Relacionamento Hipótese
Nesta seção, propomos três tipos de hipóteses de inferência. Eles são a hipótese faltando entidade com base em
associação ação, a relação hipótese tripartite com base no evento, ea relação hipótese espúrio com base nas
diferenças de associação. Estas hipóteses podem ajudar-nos a fi entidades nd desaparecidas, relações ausentes
e falsas relações e estabelecer as bases para a melhoria das redes sociais iniciais.
Entidade faltando hipótese baseada na associação ação
A maioria dos incidentes terroristas são cuidadosamente planejado. A implementação de ações terroristas requer
uma estreita comunicação e cooperação entre os membros. Assim, com base em relações de associação ação no
incidente terrorista, podemos propor a hipótese faltando entidade. Ou seja, a rede de relacionamento nomeado e
interativa entre os membros é baseada em informações públicas. Por dois indivíduos ou grupos de acção que
participam no mesmo incidente terrorista e têm tarefas claras, se não entrar em contacto directo e não têm uma
relação indireta, podemos supor que pelo menos um intermediário AE existe entre estes dois indivíduos ou ação
grupos e atua como um intermediário, que se encarrega de comunicação e coordenação, como mostrado na Tabela
8.7 .
Tomando evento E01 como um exemplo, A17, A01, A34 e A35 participar neste evento. No entanto, a informação
pública não inclui quaisquer descrições de uma relação entre a A17, A01,
Tabela 8.7: Entidade Hipótese em falta
Evento equipe 1 equipe 2 Intermediário
E01 A17 A01, A34, A35 AE01

E03 A06 A03, A04, A05 AE03
E28 A17 A36, A39, A40 AE28
A34 e A35. Portanto, podemos supor que o intermediário AE01 existe e é responsável pelos contatos entre eles.
hipótese relação tripartida com base no evento
A relação tripartida surge da análise e investigação sobre a relação entre três pontos da rede. É composto por
uma relação de dois partidos que pesquisa a relação de um par de pontos da rede.
A relação entre duas partes inclui dois tipos de rede não-dirigido, que estão relacionados e não relacionados, e
três tipos na rede, que são dirigidos a relação de duas vias, uma relação de forma única, e nenhuma relação. Da
mesma forma, a relação tripartite inclui muitos tipos de relacionamentos em redes sem direção e dirigidos.
Cartwright e Harary
[12] Acreditamos que a estrutura social complexa é composta de estruturas simples. Em particular, eles são
compostos por vários grupos relação tripartida que se sobrepõem. A estrutura threeparty simples é a base para
uma estrutura social maior. Portanto, é signi fi cativa para pesquisar a relação tripartite para analisar a estrutura da
rede e da relação entre os pontos.
A relação hipótese tripartido significa o pressuposto e raciocínio de uma relação entre os três pontos em falta
numa rede com base em matemática e probabilidade. Dentro
1954, Anatol Rapoport, um psicólogo matemático russo, propôs a fraca hipótese laços [10] . A hipótese de laços
fracos significa que se UMA tem uma certa relação com B
e C separadamente, existe uma relação entre B e C. Em 1973, Granovetter [13] , Um sociólogo americano, dividiu as
relações entre as pessoas em laços fortes, laços fracos, e não relacionados, de acordo com o tempo de contato,
intensidade emocional, familiaridade e situação de ajudar uns aos outros. Ele também propôs uma relação hipótese
tripartite com base em especulações sobre relações interpessoais: isto é, se UMA e B tem um laço forte, e B e C
também têm um laço forte, em seguida, pode existir uma relação entre UMA e C.
Com base nas características das redes de relacionamento membro de uma organização terrorista, propomos a relação
tripartite com base em incidentes terroristas. Para três pessoas A, B, e C participando conjuntamente no mesmo incidente
terrorista, ao mesmo tempo no mesmo lugar, se B e C estão relacionados porque UMA foi o co-líder ou as pessoas que estão
sendo conduzidos,
170 Capítulo 8
Tabela 8.8: Interação do relacionamento hipótese
Evento Participante Non-Link Pessoas Fazer a ligação Hipótese
E05 A08, A09, A10 A08, A10 A08, A10

E10, E11 A10, A17, A33 A10, A33 A10, A33
E16 A06, A18, A19 A18, A19 A18, A19
E17 A12, A20, A21 A20, A21 A20, A21
pode existir uma relação entre B e C. Com base nessa hipótese, obtemos um novo relacionamento complementar,
como mostrado na tabela 8.8 .
Dentro tabela 8.8 , Para os diferentes eventos, A09, A17, A06 e A12 agir como co-líder ou intermediário no
incidente terrorista. No entanto, os restantes dois membros da organização terrorista não estão relacionados uns
aos outros em informação pública. Aqui, nós supor que existe uma interação entre os restantes dois membros da
organização terrorista.
hipótese relação espúria com base em diferenças de associação
No possível rede de relacionamento dos membros com base em um evento de associação, um relacionamento de associação
é formada, porque ambos participam conjuntamente no mesmo evento. Mas essa relação não existe realmente por causa das
diferenças regionais e temporais. Para esta circunstância, propomos a relação espúria hipótese: ou seja, por três membros de
uma organização terrorista na mesma cadeia de comando, UMA, B, e C, E se UMA e C estão em ambas as extremidades da
cadeia de comando em separado, e regional e existe diferença de tempo, a possibilidade de uma relação directa entre UMA e C
é muito improvável.
Por exemplo, para a A24 e A26, bem como A27 e A26, porque A24, A26, A27 e participar em conjunto em E23,
ambos estabelecer a relação directa mostrado na Figura 8.6 . No entanto, o método de participar de E23 é muito
diferente. A26 é instigado pela A22 para participar de E23, enquanto A27 ativamente contatos A22 e A24 e requer
a participação em E23 depois A22 encontrando e A24 premeditando e planejamento E23 através de um vídeo em
rede. Portanto, de acordo com os diferentes métodos de A26 e A27 que participam em E23, pode-se supor que a
relação entre A24 e A26 é uma relação espúria, bem como a de A27 e A26.
8.4.4 Melhoria da Nomeação e Interação relação de rede dos membros de uma organização
terrorista
Com base da entidade caso de associação ação e a relação tripartite hipótese do evento faltando, nós podemos re
fi ne a nomeação e interação da rede dos membros da organização terrorista em Figura 8.3 , como mostrado em Figura
8.7 . Na figura, o
Figura 8.7:
Melhoria da cessão e rede de relacionamento interação.
relação entre os membros da organização terrorista com a entidade que falta é definida como o intermediário
assumido, e as relações entre os membros da organização terrorista com a relação que falta é definida como a
relação de interação. Como mostrado na figura, A03, A04, A05 e A06 ponto em AE03 pela seta, o que significa
que eles são os membros de AE03, A08 e A10 estão ligados por uma seta de duas vias, que mostra as
interacções entre elas . Enquanto isso, na base da entidade hipótese de associação ação, a relação tripartite do
evento, e a relação espúria das diferenças de associação faltando, podemos melhorar a rede de relacionamento ( Figura
8.6 ) Com base no evento, se livrar da relação espúria através do aumento das entidades e falta de
relacionamentos, e finalmente obter uma atribuição e interação rede de relacionamento consistente.
8.5 Relacionamento de Rede refinamento e Final de Rede de Relacionamento de organizações

terroristas e incidentes
Nesta seção, nós primeiro construção de uma possível rede de relacionamento entre organizações terroristas e
incidentes terroristas. Em seguida, comparamos a possível rede de relacionamento com a rede social inicial e obter o
multi-elemento de rede social terrorista nal fi por re fi ning da rede social inicial de acordo com a possível rede de
relacionamento.
8.5.1 possível relação de rede Construção e perfeição de organizações terroristas e

incidentes terroristas
Como membros da organização terrorista e instigadores de incidentes terroristas, os membros da organização terrorista conectar
organizações terroristas com incidentes terroristas indiretamente. o
172 Capítulo 8
Tabela 8.9: Matriz relação entre as organizações terroristas e incidentes terroristas
E01 E02 E03 E04 E05 E06 E07 E08 E09. E28
G01 1 1 0 0 3 0 0 0 0 . 1
G02 1 0 2 3 0 1 0 0 0 . 0
G03 0 0 0 0 0 1 0 0 0 . 0
G04 0 0 0 0 0 1 0 0 0 . 0
G05 0 0 0 0 0 0 0 0 0 . 0
G06 0 0 0 0 0 0 0 0 0 . 0
G07 0 0 0 0 0 0 0 0 0 . 0
G08 0 0 0 0 0 0 0 0 0 . 0
organizações terroristas prestar um apoio substancial e espiritual para os membros da organização terrorista para
implementar atividades terroristas. Até certo ponto, a existência de organizações terroristas pode ser considerado como a
fonte da ocorrência de incidentes terroristas. Ao analisar os liations fi AF entre membros terroristas organização e
incidentes terroristas, bem como entre as organizações terroristas, uma possível relação entre organizações terroristas e
incidentes terroristas pode ser estabelecida, que desempenha um papel importante na compreensão das atividades de
organizações terroristas.
A matriz de parentesco entre os membros da organização terrorista e incidentes terroristas, bem como entre as
organizações terroristas, é mostrado na As Tabelas 8.1 e 8.2 . A multiplicação de matrizes estes dois dá a matriz possível
relação entre organizações terroristas e incidentes terroristas, como mostrado na tabela 8.9 .
As relações que possam existir entre as organizações terroristas e incidentes terroristas, com base desta matriz, são mostrados
na Figura 8.8 . Na figura, os pontos redondos representam oito organizações terroristas, os pontos quadrados representam 28
incidentes terroristas, e as setas apontam para incidentes terroristas por organizações terroristas.
Figura 8.8 é uma ilustração detalhada das possíveis relações entre organizações terroristas e incidentes
terroristas. No entanto, na análise, Figura 8.8 foi encontrado para conter três relações espúrias óbvias, envolvendo
E01 e G01, E01 e G02, e E02 e G01. Os incidentes E01 e E02 aconteceu em 1991 e 1996, respectivamente,
enquanto que G01 e G02 foram estabelecidos em 1997 e 1996, respectivamente. Devido às diferenças de tempo
de incidente e o tempo as organizações foram estabelecidas, poderíamos supor que não houve relação direta
entre E01 e G01, E01 e G02, ou E02 e G01. Outros incidentes aconteceu após o estabelecimento de cada
organização terrorista, que foram feitas por terroristas membros da organização fi af liated com cada organização
terrorista. A rede de relacionamento entre organizações terroristas e incidentes terroristas após refinamento é
mostrado na
Figura 8.9 .
G05
G06
G07
G08
E07
E08 E19
E12 E16 E13 E26
E09 E15
G02 E04
E25
E28
E24 E01
E03
E21
E22 E27
G01
E18 E06
E14
E20 E23
G04
E02 E11 G03
E05 E10
E17
Figura 8.8:
Inicial possível figura relacionamento fi entre organizações terroristas e incidentes terroristas.
G05
E16
G06
G07
G08 E26
E01
E02
E07
E24 E03 E13
E08 E23
E25 G02
E09
E19 E12 E04

E21
E22
E27
G01 E05
E14
G04
G03
E15 E11 E05 E10 E20 E28
E18
E17
Figura 8.9:
rede de relacionamento refinamento entre organizações terroristas e incidentes terroristas.
174 Capítulo 8
E22 A28
E22 A28
E22 A28
A29
E21 A29
E21 A29
E21
E02
A27 E25
E25 A27
E25
A27
E14 E14A25
A25 E14A25 A30
A30
A22
E23
A23 E24 E19 A02

A26 A24 A24E20
E20E20 A23
A26 A24
A26
A41
A41 A41 E18
A42 A42
A42
G01
E28 E15
E10 G01
A11
A17 E11 A08
E11 E11 A32 G01
A32 A32 A37 E05 A08 E07 E09
A37 A37 G05 A09 E05 E05
A09 A09
A10
G05
E01 E01 G05 A16

E01
AE01 A14 A14
AE01 A13 A13 A14
AE01 A13
AE28
E27 G03
G04 G03 G07
A34 G04 G04
A01
A35 A15
A39 A15 A15
A40 A39 G08 G02 G02G02
A12 A12 A12
E06
E08 E08
E08
A39
A36 E26
G07
A36 A36 E06
G06 G06 A33 A33

E13 E13 A33
A03 A03 E13
A03
E17 E17 A51 G06
E04
A38
E12 E12 E17 E03
E12 E16
E04
A06 A06 A06 A04
A20 A07 A07A51
A07A51
AE03
A21 A18
A19 A05
A Figura 8.10:
Multi-elemento de rede fi gura da organização terrorista após refinamento.
Modelo 8.5.2 final Multi-elemento de rede
Usando a análise acima, podemos obter um modelo de rede multi-elemento relativamente completa dos membros da
organização terrorista, mostrado na A Figura 8.10 . Esta rede fornece uma representação completa das relações
multi-elemento entre os membros da organização, incidentes terroristas e organizações terroristas. Além disso, através
desta rede, podemos não só fi nd os autores de incidentes terroristas e as organizações terroristas por trás deles, mas
também achar os designados, relações interativas entre os membros da organização terrorista, bem como as relações
de apoio na organização.
8.6 Análise e Verificação
Nesta seção, primeiro analisar algumas características comuns de redes sociais terroristas. Em seguida, avaliar as
organizações e as pessoas dentro deles para achar as entidades-chave. Finalmente, verificar a eficácia do modelo.
Análise 8.6.1 de rede Características
Com base na teoria das redes sociais, neste índices de capítulo, como escala, densidade, diâmetro e grau nó
(grau de associação), são selecionados para analisar o geral
Tabela 8.10: Egocentrality de rede de Cálculo resultados da rede terrorista
Tamanho Laços Pares Densidade Média Distância Diâmetro Fora Deg em Deg
A01 3.00 4.00 6,00 66,67 3.000 2.000

A02 0.00 0.00 0.00 0.00 0.00 0.00 0.000 0.000
A03 3.00 2,00 6,00 33,33 3.000 0.000
A04 2,00 1,00 2,00 50,00 1.000 1.000
A05 2,00 1,00 2,00 50,00 1.000 1.000
. . . . . . . . .
A42 2,00 0.00 2,00 0.00 0.000 2.000
AE01 4.00 6,00 12,00 50,00 0.000 4.000
AE03 4.00 2,00 12,00 16,67 0.000 4.000
AE28 4.00 4.00 12,00 33,33 0.000 4.000
características das redes terroristas; os resultados das características básicas para a rede terrorista acima a partir de cálculos
usando o software UCINET são mostrados na Tabela 8.10 .
Os resultados do programa de cálculo que, a partir da perspectiva de escala, 11 pessoas tinham uma relação
direta com mais de quatro pessoas entre os membros da rede de terroristas, e a maioria dos membros só tinha um
relacionamento com um ou dois outros membros. Isso explica a distensibilidade e invisibilidade da relação de
rede. Do ponto de vista da densidade, existem dois membros relacionais de alta densidade, 16 forma-densidade
membros relacionais, com a maioria dos membros estar na rede relacional ligação de baixa densidade, com uma
densidade global de rede de 0,0389. A rede mostra a natureza quadrilha local e a baixa densidade da correlação
total. Do ponto de vista da dimensão, o caminho relacional dos terroristas é bastante curto. Além disso, do ponto
de vista do grau de nó, o clique-in média e grau out é 1.711,
8.6.2 Avaliação das figuras principais
Refere-se aos membros da rede de terroristas que ocupam posições importantes e são capazes de influenciando
e controlando o fluxo de informações e recursos. Alguns deles são ou os chefes de comando da organização ou
os papéis especiais na organização; Assim, a ausência desses membros podem afectar seriamente o
funcionamento da organização terrorista. Para analisar essas pessoas, análise de redes sociais geralmente usa
centralidade e outros métodos para realizar posicionamento. Os índices de avaliação que são geralmente
utilizadas são como se segue. A centralidade grau mede o grau ativa dos atores relacionados com os aspectos de
comunicação interativa, a centralidade proximidade mede a distância com os outros, e a centralidade betweenness
mede The Go-Betweens.
176 Capítulo 8
Tabela 8.11: Núcleo Figura Medição e Estimativa
Índice Grau fora em Degree betweenness Centrality
Numérico Numérico Numérico

Seqüência Valor Pessoal Valor Pessoal Valor Pessoal
1 11,364 A17 13,636 A17 8.192 A17

2 9,091 A10 13,636 A06 7,875 A10
3 6,818 A24 11,364 A10 5,285 A12
4 6,818 A36 11,364 A22 3.647 A06
5 6,818 A03 11,364 A23 2.907 A23
6 6,818 A01 9,091 A12 0,687 A29
7 6,818 A40 9,091 AE01 0,608 A24
8 6,818 A13 9,091 AE03 0,529 A08
9 6,818 A35 9,091 AE08 0,317 A13
10 6,818 A34 6,818 A36 0,211 A36
A Figura 8.11:
medição do índice de núcleo e estimativa para os membros da organização terrorista.
considerado como a referência; Assim, vamos omiti-lo. Os resultados de outros índices de centralidade de ambos os cálculos
utilizando software UCINET e tratamento são mostrados na regulador tabela 8.11
(Apenas a parte superior 10 listados) e A Figura 8.11 .
Parece que, a partir da avaliação, as principais figuras na rede membro são A17, A10, A06, A23, A12, etc.
Tabela 8.12: Medição Importância e Estimativa da Organização Terrorista
Escala organização Capacidade da Destruição Centralidade da Organização
Escala Orgs No. de Pessoas Escala Orgs Destruição Escala orgs centralidade
1 G01 14 1 G01 15 1 G02 0,8571

2 G02 10 2 G02 8 2 G01 0,5714
3 G04 2 3 G04 3 3 G03 0,5714
4 G03 1 4 G03 2 4 G04 0,4286
5 G05 1 5 G05 0 5 G05 0,2857
6 G06 0 6 G06 0 6 G06 0,1429
7 G07 0 7 G07 0 7 G07 0,1429
8 G08 0 8 G08 0 8 G08 0,1429
8.6.3 Avaliação Importante Organização
Da mesma forma, também podemos medir e estimar a importância da organização terrorista. Aqui, usamos o número
de membros da organização terrorista para representar sua escala, o número de incidentes terroristas perpetrados
pela organização para representar a destruição da organização, ea centralidade betweenness para representar a
centralidade da organização. Os resultados medidos e estimados são apresentados na Tabela 8.12 e A Figura 8.12 .
8.6.4 Resultado Veri fi cação
Os resultados da avaliação dos desaparecidos figuras e de rede principais figuras são encontradas de acordo com o
pressuposto ea dedução por meio de con fi rmação em conformidade com os fatos. Os papéis intermediários AE01, AE03 e
AE08 e as relações que faltam existem nas deduções
A Figura 8.12:
medição do índice importante e estimativa para a organização terrorista.
178 Capítulo 8
e suposições. Assim, durante o caso ausente indivíduo, E03 significa Caso Transporte secretar o Guns' em 1998, e pela
veri fi cação da informação posterior, em que o incidente, várias pessoas têm desempenhado o papel de AE03 e tem
sido responsável pelos contactos, tanto em casa e no exterior. Além disso, durante o caso relação faltando, tendo
incidente (Processo Braços Fabricação Privada em 1998) E05 como um exemplo, A09 foi apreendido pelo órgão de
segurança pública, e durante os procedimentos do julgamento, A09 confessou que ele foi designado pela A08 e A10
para transportar atividades terroristas; no entanto, em informação pública disponível, não houve menção da relação
entre A08 e A10.
Os resultados da avaliação para as principais figuras de acordo com os fatos; por exemplo, A17 organizado e estabeleceu
o “Turquistão Oriental Movimento Islâmico”, e ele era o presidente desta organização. Além disso, ele tinha algumas
ligações com a Al-Qaeda. A A23 terrorista tomou o lugar da A17, depois A17 foi morto a tiros. Em 2005, A23 tornou-se um
membro de uma organização líder da Al-Qaeda “Ijtima'al-Shurra”, e A10 terrorista tornou-se vice-presidente do
“Turquistão Oriental Movimento Islâmico”, etc.
8.7 Conclusões
Muita pesquisa anterior sobre modelos de redes de membros da organização terrorista assumiu o ponto de vista das
relações de interação entre terroristas membros da organização disponíveis em informação pública. No entanto, devido
à falta de problemas de dados, pode contribuir para o resultado da análise de desviar a situação do mundo real. Assim,
neste capítulo, para obviar o problema de dados perdidos no invisível construção modelo de rede de membros da
organização terrorista, um tipo de método de construção terrorista foi proposto com base na combinação de registros de
relações interactivas e deduções e premissas. Em primeiro lugar, a rede relação inicial dos membros é estabelecida de
acordo com a relação interativa em informação pública disponível. Em segundo lugar, uma possível rede de relação dos
membros é estabelecida usando a relação de incidência. Com base nessas redes de relações, identificamos o fenômeno
dados em falta por comparação das duas redes. Nós, então, propor a assunção relação interativa como uma
característica de atividades teóricas e, assim, melhorar a rede inicial. Finalmente, a sua eficácia é comprovada através
de pesquisa empírica. O método de construção da rede de terroristas com base na combinação dos registros relação
interativa e deduções e premissas é encontrado para ser um método eficaz para re fi ne construção modelo de rede
social para grupos terroristas.
É alsoworth apontando que este capítulo também estudou o método de construção da rede de membros da
organização terrorista com base na hipótese de relação interativa, e que a fonte destes dados é informação pública
interativa. Com a availabitity atual de uma enorme quantidade de informação, há muitos problemas que precisam de
soluções. Por exemplo, pode haver uma grande quantidade de informações falsas na rede relacional estabelecida
com base
informações de inteligência de código aberto da rede e, por isso, como é que podemos realizar os dados em falta e análise
espúria? Outro exemplo, referente a membros da organização terrorista em um incidente terrorista particular, é como
realizar relação dedução por análise dos papéis, conhecimento, recursos, habilidades e outros fatores de membros da
organização terrorista? Portanto, no futuro, ainda é preciso introduzir vários novos meios de análise, tais como a
combinação da suposição interactivo relação, a probabilidade de transição, e de inferência estatística. A combinação de
mineração de dados e aprendizagem de máquina também deve ser uma direção potencial de desenvolvimento no futuro.
Agradecimentos
Esta investigação é apoiada pela National Natural Science Foundation da China sob Grant No. 70973138.
Referências
[1] M. Sageman, Compreender Terror Networks, University of Pennsylvania Press, Filadélfia, 2004. [2] BH Erickson, sociedades secretas e
estrutura social, J. Soe. Forças 60 (1) (1981) 188 e 210. [3] M. Sparrow, A aplicação da análise de rede para a inteligência penal: avaliação das
perspectivas,
J. Soe. Netw. 13 (3) (1991) 251 e 274.
[4] WE Baker, RR Faulkner, A organização social da conspiração: redes ilegais no pesado elétrica
indústria de equipamentos, J. Am. Sociol. Rev. 58 (6) (1993) 837 e 860.
[5] VE Krebs, redes de mapeamento de células terroristas, J. Connect. 24 (3) (2002) 43 e 52. [6] A. Basu, Análise de redes sociais de
organizações terroristas na Índia. a Associação Norte-Americana para
Computacional Ciências Sociais e Organizacional (NAACSOS) Conference 2005, Notre Dame, IN, 26 de junho e 28, 2005.
[7] R. Rothenberg, De todo pano: Fazendo-se a rede terrorista, J. Connect. 24 (3) (2001) 36 e 42. [8] KM Carley, estimando vulnerabilidades em
grandes redes secretas usando dados de níveis múltiplos, Proceedings of the
2004 Simpósio Internacional de Comando e Controle Research and Technology, 2004. [9] KM Carley, M. Dombroski, M. Tsvetovat, J.
Reminga, N. Kamneva, desestabilizando redes secretas dinâmicos,
Proceedings of the 8th Comando Internacional e Pesquisa Controle e Simpósio de Tecnologia de Viena, VA de 2003.
[10] JA Rodriguez, a rede terrorista 11 março: Na sua fraqueza reside a sua força, Departamento de Sociologia
e Análise de Organizações. Working Paper EPP-LEA: 03, Barcelona (em espanhol), 2005. [11] J. Kennedy, G. Weimann, a força de
fracos laços terroristas, Terror. Polit. Viol. 23 (2) (2011) 201 e 212. [12] D. Cartwright, F. Harary, equilíbrio estrutural: Uma generalização de
teoria de Heider, J. Psychol. Rev. 63 (5)
(1956) 277 e 293.
[13] MS GRANOVETTER, A força de laços fracos, Am. J. Sociol. 78 (6) (1973) 1360 e 1380.
CAPÍTULO 9
Incorporando dados e metodologias para

Descoberta de Conhecimento para Crime
Fatih Ozgul
Counter-Terrorism Department, turcos Polícia Nacional, Ankara, Turquia
Capítulo Esboço
9.2 Os passos envolvidos na investigação criminal 182
9.3 Fontes de Dados para o crime Data Mining e Investigação 183

9.3.1 Offender Demografia Informações 183
9.3.2 Criminal Background Information 184
9.3.3 Anterior Investigation Arquivos 184
9.3.4 A polícia prende Grava 184
9.3.5 fotografias 184
9.3.6 arquivos de vídeo 184
9.3.7 Contas bancárias e de cartão de crédito Demonstrações 185
9.3.8 Registros Call Detail (CDR) e Registros de e-mail 185

9.3.9 viagens e vôos Itinerários 185
9.3.10 resultados abrem Inteligência Fonte 185
9.3.11 ligar para o serviço de Registros 185
9.3.12 Hotel e Hospital Records 186

9.3.13 Polícia e Serviço de Inteligência Relatórios 186
9.4 Os quatro tipos de Knowledge Discovery 186

9.4.1 Predição 186
9.4.2 Clustering 188
9.4.3 Conexões Compreendendo 189
9.4.4 Compreendendo o Mundo dos Outros 190
9,5 Knowledge Discovery Metodologias de Crime de Dados 192

9.5.1 TORRADO-DM 192 Metodologia
9.5.2 CIA Intelligence Metodologia 193
9.5.3 Van der Hulst Metodologia 194
9.5.4 acionável Mining and Predictive Analysis (AMPA) Metodologia 194
9.6 Metodologias Aplicadas à descoberta de conhecimento Tipos 196

9.7 Conclusão 197 197
Referências

http://dx.doi.org/10.1016/B978-0-12-404702-0.00009-4 181
182 Capítulo 9
9.1 Introdução
Descoberta de conhecimento é o processo de extrair conhecimento útil a partir de dados [1] . Aplicação de inteligência
criminal que é extraído a partir de dados crime é usado de várias maneiras para investigação de crimes individuais, bem
como as redes criminosas [2,3] . Skillicorn
[4] afirma que a descoberta de conhecimento pode ocorrer de duas maneiras diferentes. Na aplicação da lei tradicional do papel da descoberta de
conhecimento é retrospectiva: quando um crime foi cometido, uma investigação reúne dados de uma forma orientada para as necessidades, e ambos os
seres humanos e ferramentas potencialmente algorítmicos análise destes dados, procurando por padrões que possam dar uma indicação de os autores.
Ele também afirma que, cada vez mais, descoberta de conhecimento também é usado de forma prospectiva para tentar impedir que algo ruim acontecer,
como nos esforços de combate ao terrorismo e projetos de prevenção ao crime. De muitas maneiras descoberta de conhecimento e investigação do
crime são semelhantes. O objetivo da descoberta de conhecimento é extrair conhecimento útil, que o objectivo da investigação do crime é resolver e
lançar luz sobre aspectos desconhecidos do que realmente aconteceu. Para focalizar o uso de descoberta de conhecimento em investigação do crime,
inicialmente precisa olhar mais para as etapas envolvidas na investigação do crime. Em seguida, as fontes de dados utilizadas para a investigação do
crime são considerados. Ao usar essas fontes de dados, quatro tipos de descoberta de conhecimento são produzidos. Estes tipos de descoberta de
quatro conhecimento são aplicadas ao tipo mais adequado de investigações criminais e as metodologias mais adequadas, uma vez que cada
investigação do crime se concentra em diferentes tipos de achados e descoberta de conhecimento. A questão é que tipo de investigação criminal
funciona melhor com o qual metodologia e descoberta de conhecimento usando o tipo de dados. Ao usar essas fontes de dados, quatro tipos de
descoberta de conhecimento são produzidos. Estes tipos de descoberta de quatro conhecimento são aplicadas ao tipo mais adequado de investigações
criminais e as metodologias mais adequadas, uma vez que cada investigação do crime se concentra em diferentes tipos de achados e descoberta de
conhecimento. A questão é que tipo de investigação criminal funciona melhor com o qual metodologia e descoberta de conhecimento usando o tipo de
dados. Ao usar essas fontes de dados, quatro tipos de descoberta de conhecimento são produzidos. Estes tipos de descoberta de quatro conhecimento
são aplicadas ao tipo mais adequado de investigações criminais e as metodologias mais adequadas, uma vez que cada investigação do crime se
concentra em diferentes tipos de achados e descoberta de conhecimento. A questão é que tipo de investigação criminal funciona melhor com o qual metodologia e descoberta de con
9.2 Passos envolvidos no crime Investigação
McCue [5] afirma que as etapas em uma investigação de crime são semelhantes aos de mineração de dados de criminalidade e
descoberta de conhecimento. dados de criminalidade são utilizadas para extrair saída operacionalmente acionável para resolver crimes
ou explicar a criminalidade. Ela também aponta que a metodologia polícia para investigação também implementa técnicas de raciocínio
baseado em casos. Cada caso individual ensina investigadores sobre o tipo de eventos e modo de operação de crime. De acordo com
McCue, todas as fontes de dados utilizadas pela polícia também pode ser usado como fonte para a mineração de dados criminais. O
processo de investigação do crime, portanto, pode ser organizado nas seguintes cinco passos:
• Coleta de dados sobre o crime. Quando um crime ocorre, patrulha de RCEs fi e detetives geralmente trabalham no local
para coletar e registrar informações crime em vários documentos. coleta de informações inclui também a informação que
os detetives adquirir de vítimas, testemunhas e suspeitos durante o processo de investigação.
Incorporando dados e metodologias para Descoberta de Conhecimento para Crime 183
• Processamento e armazenamento de dados de criminalidade e documentos. Os documentos são então recolhidos e gerido por uma
unidade especial dentro do departamento de polícia e parte da informação registrada é celebrado um ou mais sistemas baseados
em computador.
• Pesquisar, recuperar e recolher informações adicionais. Ao investigar um caso, mais informações sobre os suspeitos e
crimes é necessária e é recuperada a partir de vários recursos de dados e bancos de dados. Por exemplo, depois de um
oficial de polícia ou um detetive é atribuído a um caso, ele ou ela procura as informações necessárias, ou pode pedir um
analista de crime para obter ajuda para procurar tais informações. Existem muitas fontes possíveis para a coleta de
informações, incluindo a obtenção de registros de diversas instituições, como outros departamentos de polícia;
numerosas empresas de serviços públicos na água, gás e eletricidade; empresas de telefonia; e várias cidades, estado e
agências do governo federal.
• Análise de informações para fi nd pistas. A fim de fi evidências nd mais completa para carregar um criminoso ou para fi nd
pistas para uma investigação, crime sofisticado e lógica analisa precisa ser conduzida de modo a fi nd ligações entre
criminosos e / ou entre os crimes. Tais análises incluem análise de padrão crime, análise de dados, etc. Um analista de
crime deve digitar e imprimir um relatório após a fase de análise. O relatório é entregue ao solicitante por cópia impressa, e
não por e-mail. Embora analistas criminais são encorajados a entrar nas descobertas em um banco de dados para
compartilhar com os outros, eles normalmente não fazem isso porque eles estão muito ocupados.
• Usando informações para processar os criminosos. Detectives usar as informações coletadas na cena do crime, os suspeitos,
vítimas e testemunhas do crime, e relatórios de análise de crime para gerar documentos formais, a fim de processar os
criminosos. Além disso, os detetives também precisa realizar muitas tarefas intensivas de dados, tais como completar relatórios
complementares, solicitando relatórios de laboratório por técnicos crime de laboratório, e obter as transcrições de todas as
entrevistas de transcritores. Além disso, nesta fase, muitas vezes envolve a colaboração de investigadores de várias unidades
departamentais, procurador do condado de escritórios e quadras de combinar todas as informações em um fi completa le que
se torna a base para a acusação. É benéfico para os profissionais de mineração de dados para saber as di fi culdades de
mineração de dados crime de acordo com o processo de investigação.
9.3 Fontes de Dados para o crime Data Mining e Investigação
A fim de determinar o tipo certo de descoberta de conhecimento e investigação bem sucedida, é essencial para identificar as
fontes de dados disponíveis. A polícia geralmente usam as seguintes fontes de dados durante uma investigação.
9.3.1 Offender Demografia Informações
Isto inclui nome, sobrenome, data de nascimento, local de nascimento, número de segurança social, etc. Esses registros são geralmente
armazenados em bancos de dados eletrônicos, mas isso não significa que a polícia pode
184 Capítulo 9
acessá-lo facilmente. Às vezes a polícia está autorizada a ver os registros das pessoas semelhantes, pois é muito bene fi cial para
ter uma idéia sobre um possível suspeito. Por exemplo, as pessoas geralmente usam a mesma senha para cartões de crédito,
e-mails, números de pinos, etc. A polícia pode recolher provas se eles acham que eles estão no caminho certo para manchar a
pista. demografia agressor informação vem em formato relacional ou texto.
9.3.2 Criminal Background Information
É importante saber se uma pessoa já tiver sido envolvido em crimes, possivelmente em conjunto com outros
criminosos. Este conhecimento co-ofender pode ser essencial para a polícia para detectar membros de redes
criminosas. Criminal informação de fundo vem em formato relacional ou texto.
9.3.3 Anterior processos de inquérito
Depois de identificar um suspeito anteriormente condenado, a polícia pedir inquérito anterior fi les de suspeitos
pretendidos. inquérito anterior fi les vêm em texto, foto, vídeo, CCTV (circuito fechado de televisão) video fi les, de contas
bancárias e de cartão de crédito declarações, telefone e e-mail de envio e receber registros, fl itinerários ight e de viagem,
relatórios forenses, testemunha e vítima declarações, ligue para o serviço fi les, advogado e declarações criminais e
confissões. inquérito anterior fi les vêm em formato de texto.
9.3.4 Registros Polícia prende
Após a verificações e consultas patrulha geral, ou devido a pedidos de consultas de atendimento, polícia de suspeitos fi ciais de prisão
temporária e mantê-los sob custódia da polícia. Na maioria das vezes, essas pessoas são liberados sem convicção e os registros são
destruídos dentro de 4 e 5 anos. Esses registros são principalmente em formato relacional ou formato de texto. A polícia pode usar esta
informação registro de prisão para identificar relacionamentos importantes.
9.3.5 fotografias
Fotografias como fontes de dados incluem imagens tiradas por fotógrafos profissionais durante observações ou e a maior parte do
tempo e fotos ou imagens amadoras capturado de vídeo fi les. Imagens do circuito interno deve ser editado, a fim de usá-lo como
prova. Geralmente, fotos estão disponíveis em vários formatos de imagem digital.
9.3.6 arquivos de vídeo
Como fotos, vídeo fi les são tomadas por profissionais ou amadores. Os vídeos são armazenados em diversos meios de comunicação,
tais como CDs, DVDs, ou em VHS antiquada ou cassetes beta. Som fi les de
vigilância física ou técnica são tratados como arquivos de vídeo. Transcrições destes fi les estão parcialmente disponíveis.
9.3.7 contas bancárias e cartão de crédito declarações
contas bancárias e declarações de cartão de crédito estão disponíveis em formato digital ou papel. De uma perspectiva da polícia,
seria benéfico para achar correspondência suspeitas transações entre contas bancárias dos suspeitos e cartões de crédito.
Normalmente, a polícia fazer uso de software especializado, como i2 Notebook Analyst [6] , Para visualizar transacções suspeitas
ao longo de milhares de registros.
9.3.8 Registros Call Detail (CDR) e Registros de e-mail
registros de detalhes de chamadas (CDRs) e registros de e-mail contêm informações sobre “quem ligou para quem” e “quem enviou
um e-mail a quem”, respectivamente. Além disso, eles podem conter mensagens de e-mail com ou sem anexos, corpos de
mensagens SMS, ou som fi les de telefonemas dos suspeitos. Como contas bancárias, chamada de telefone e registros de e-mail
remetente / destinatário (por exemplo, “Para:”, “Cc:” ou “Cco:”) são essenciais e valiosa para os investigadores quando combinados e
visualizados.
9.3.9 viagens e vôos Itinerários
Viagem e ight fl itinerários são dadas por empresas de viagens, companhias de seguros, ou directamente a partir de passaporte ou
gravar visto bases de dados de instituições estatais. Esses registros vêm em formato relacional ou texto.
9.3.10 resultados abrem Inteligência Fonte
Open source descobertas inteligência fi são fornecidos a partir da Web, como o dos motores de busca (por exemplo 123people),
registros de pagamento de utilidade, as informações recolhidas a partir de sites de redes sociais (por exemplo, Facebook, LinkedIn,
MySpace), comentários de suspeitos escritos em fóruns na web e em e populares Sites -commerce como em contas Amazon ou
eBay e listas de desejos. Esta informação está disponível em vários formatos digitais.
9.3.11 Chamada de registros de serviço
Chamada para registros de serviço são registros sobre chamadas para a polícia, pedindo serviço. Eles podem conter informações e
comentários pessoais sobre pessoas e eventos. Chamada de serviços são geralmente em formato de texto.
186 Capítulo 9
9.3.12 Hotel e Hospital Records
Desde que as pessoas ficar em hotéis para férias e em hospitais para tratamento médico, seu contato e informações
permanecendo são inseridos em diários de bordo. Estes são importantes para comprovar álibis e possíveis reuniões. Eles vêm
em formato tabular e texto.
9.3.13 A polícia e os Relatórios de serviço de inteligência
Os relatórios da polícia contêm informações sobre o crime e os suspeitos. Principalmente eles são escritos no papel por funcionários da polícia.
relatórios de inteligência semelhantes são fornecidos pelos serviços de inteligência e ambos os relatórios vêm principalmente em formato de texto.
As fontes de dados que são usados tanto para investigação do crime e para a descoberta de conhecimento são mostrados na Tabela 9.1 ,
Juntamente com a descoberta de conhecimento e melhores práticas que eles são usados para. De acordo com McCue [5] , Esses
algoritmos de descoberta de conhecimento podem ser classificados em dois grupos gerais: modelos de indução regra (ou seja, árvores de
decisão) e sem supervisão aprender técnicas (ie agrupamento). O que pode ser encontrado usando essas fontes de dados é explicado na
seção seguinte.
9.4 Os quatro tipos de Descoberta de Conhecimento
Como apontado em Tabela 9.1 , Existem várias práticas para descoberta de conhecimento. Os dados para descoberta de
conhecimento vêm principalmente em forma de texto, e às vezes de uma forma relacional mais estruturada. A forma relacional é
preferível porque é mais fácil de manipular dados relacionais em conjuntos. Mas os dados que vêm em forma de texto também
são usados em técnicas text-mining. fontes combinadas de dados incluem página web, imagem, córrego, e vários dados de sinal.
Várias técnicas de engenharia do conhecimento são possíveis, mas o objectivo fi nal de descoberta de conhecimento é a entrega
de saída operacionalmente accionável [5] . Skillicorn [4] descoberta de conhecimento classi fi es em quatro tipos: previsão,
clustering, entendendo conexões, e compreender o mundo interno dos outros.
9.4.1 Predição
Previsão é o primeiro tipo de fi de descoberta de conhecimento para a mineração de dados criminais. Skillicorn [4]
explica predição como decidir o resultado ou o significado de uma situação particular através da recolha e observando suas
propriedades. No domínio do crime, a predição é realizada crime ou retrospectivamente ou prospectivamente. previsão
crime retrospectiva é feita a fim de resolver crimes e detectar criminosos após o crime é cometido. Isso também pode ser
feito através da minimização do grupo-alvo de possíveis criminosos. previsão crime prospectivo é feito a fim de prever uma
ameaça emergente ou prevenir a criminalidade que não tenha sido detectado antes.
Tabela 9.1: Fontes de dados para os quatro tipos de Descoberta de Conhecimento
Fontes de Dados para Descoberta de Conhecimento Tipo usado em KD Melhores práticas
1 demografia offender Predição previsão Criminal

em formação Predição membro da rede Crime
predição
Clustering predição rede crime
2 antecedentes criminais Compreender as conexões Visualizando co-ofensor
em formação e mundo dos outros redes
Predição crime sem solução
predição
Clustering detecção rede crime
3 inquérito anterior fi les Clustering Espacial, temporal, modo de operação agrupamento
de
crimes semelhantes
Predição crime sem solução

predição
4 registros de prisão da polícia Compreender as conexões Visualizando co-ofensor
e mundo dos outros redes
Predição membro da rede Crime
predição
5 fotografias Compreender as conexões crimes visualizar e
e mundo dos outros criminosos
6 Vídeo fi les Compreender as conexões crimes visualizar e
7 contas bancárias e de cartão de crédito Compreender as conexões crimes visualizar e
afirmações e mundo dos outros criminosos
8 registros de detalhes de chamadas (CDRs) Clustering detecção rede crime
predição
Compreender as conexões visualizando relações
e mundo dos outros entre criminosos
9 registros de e-mail Compreender as conexões visualizando relações
predição
10 Viagens e itinerários ight fl Compreender as conexões Visualizando as atividades de

11 Inteligência de fonte aberta Compreender as conexões Visualizando as atividades de
achados e mundo dos outros criminosos

12 Chamada para registros de serviço Compreender as conexões Visualizando co-ofensor
e mundo dos outros redes
13 Hotel e hospitalares registros Compreender as conexões visualizando relações
14 A polícia e os serviços de inteligência Clustering detecção rede crime
relatórios Predição crime sem solução
predição
Compreender as conexões visualizando relações
188 Capítulo 9
Figura 9.1:
As fontes de dados para o tipo de “previsão” de descoberta de conhecimento.
Um exemplo de previsão retrospectiva é a previsão de um crime sem solução, enquanto que a previsão de um novo membro de
uma rede criminosa é um exemplo de previsão prospectiva. Melhores fontes de dados para previsão crime são inquérito anterior fi
les, demografia agressor, informações de fundo de um criminoso e registros de prisão da polícia, a maioria dos quais estão em
formato de texto e, portanto, adequados para a mineração de texto. As fontes de dados de previsão são mostrados na Figura 9.1 .
9.4.2 Clustering
Clustering é o segundo tipo de descoberta de conhecimento para a mineração de dados criminais. Clustering significa colocar
informações em grupos de objetos ou situações cujos membros se assemelham entre si e são utilmente diferente dos membros de
outros grupos [7] . Ganhar conhecimento desses agregados permite aos investigadores para decidir de forma eficaz como lidar com
um novo e imprevisto situação. técnicas de agrupamento são usados para descobrir padrões naturais ou relacionamentos nos dados
quando a associação de grupo ou categoria não foi previamente identificado. Por exemplo, os crimes semelhantes, em que os
autores se assemelhar a um conhecido per fi l podem ser detectados e agrupados. Um tipo especial de agrupamento é a detecção
outlier, o que significa que uma pessoa, objeto ou caso tal como evidência de que não tenha sido atribuída a um cluster,
comportando de maneira diferente do que os outros. Detectar valores atípicos ajuda os investigadores a concentrar-se na
extraordinária
Figura 9.2:
As fontes de dados para o tipo de “clusters” de descoberta de conhecimento.
pessoas, casos ou objetos no conjunto de dados global, questionando, assim, o que deu errado com esses valores discrepantes. Esta
abordagem pode ajudar a fi nd denunciantes, os membros descontentes da quadrilha, eo pedaço de provas, a fim de detectar a pista.
discrepantes semelhantes em diferentes clusters pode ser sinalização de novos clusters inexploradas de criminosos ou crimes. As
fontes de dados para agrupamento são mostrados na Figura 9.2 .
9.4.3 Conexões Compreensão
Compreender conexões significa entender como objetos, processos, e, especialmente, as pessoas estão conectadas. No
domínio crime, o que inclui o conhecimento sobre quem é amigo de quem, reconhecendo a colaboração entre criminosos. Os
analistas usam ferramentas de visualização de dados para achar tais conexões. Vários algoritmos de análise de redes sociais e
software de visualização estão disponíveis para o uso da comunidade da aplicação da lei. As fontes de dados para conexões
de compreensão são mostrados na Figura 9.3 .
190 Capítulo 9
Figura 9.3:
As fontes de dados para o “conexões compreensão” tipo de descoberta de conhecimento.
9.4.4 Compreendendo o Mundo dos Outros
Compreender o mundo interno de outros nos permite supor que as outras pessoas podem pensar ou sentir. No domínio
crime, o que inclui a análise quadro, análise de sentimentos, e aprender o estado mental de um criminoso como revelado
por seu / sua escrita e conversação [4] . análise do quadro é sobre as intenções de uma pessoa alvo, seus / suas idéias e
argumentos, e como eles pensam sobre o seu mundo e suas atividades. Por exemplo, muitos terroristas acreditam que seus
crimes têm objetivos religiosos ou eles se consideram fi ghters liberdade. análise de sentimentos visa aprender sobre
opiniões e atitudes em relação a outras pessoas, grupos, objetos ou ideologias. Por exemplo, uma rede de crime organizado
pode chamar seus membros “irmãos e irmãs” e sua organização uma “mob”. A identificação dessas palavras na sua fala e
escrita pode ajudar os investigadores a ganhar um pro fi le dessas pessoas. Aprender sobre o estado mental de um
criminoso é uma outra técnica. Por exemplo, negociações conduzidas por profissionais com seqüestradores são baseadas
em suposições sobre o estado mental de criminosos. Talvez o criminoso pode ser deprimido ou eufórico durante as
conversas. Outra forma de entender o mundo dos outros, incluindo terroristas e redes de crime organizado, pode ser
adquirida por conexão, cooperação e intercâmbio de conhecimentos, habilidades e ferramentas. Isso também pode ser
encontrado como
Figura 9.4:
As fontes de dados para o tipo de “compreender o mundo dos outros” de descoberta de conhecimento.
essas redes criminosas semelhantes alvo são, comparando as respectivas modo de operação, aposentados antigos membros
qualificados recrutados por novas redes, usando linhas semelhantes de abastecimento, etc. Muitos algoritmos de pontuação ou
modelos de árvore de decisão foram desenvolvidas e estão sendo usados pela comunidade da aplicação da lei. Para compreender o
mundo dos outros, técnicas de mineração de texto e de mineração de conteúdo web têm sido desenvolvidos e essas tecnologias são
oferecidos à aplicação da lei e comunidades de inteligência. As fontes de dados para a compreensão do mundo dos outros são
mostrados na Figura 9.4 .
Estes quatro tipos de descoberta de conhecimento pode ser aplicado a casos criminais, os criminosos individuais, e redes de crime,
como mostrado na Tabela 9.2 . Elas podem ser aplicadas a casos individuais de crime como predição de crimes não resolvidos, para
comparar os crimes semelhantes e diferentes, para detectar uma série inter-relacionada de crimes, e para detectar atributos comuns de
crimes. Eles podem ser aplicados a casos de crime para prever o próximo ataque de um criminoso em série, para detectar semelhante
criminosos se comportam, para detectar ligações de amizade de criminosos, e para detectar relações entre criminosos.
192 Capítulo 9
Tabela 9.2: Os quatro tipos de descoberta de conhecimento em processos criminais
Conexões Compreendendo o
Predição Clustering Compreensão Mundo dos Outros
Crime Previsão de crimes Encontrar crimes Detectando Detectar atributos

não resolvidos semelhantes e diferentes inter-relacionados e uma comuns de crimes
série de crimes
Criminoso Predição de ataque Detectar criminosos Detectando laços de Detectando

seguinte de uma série semelhante comportando amizade de relações de
Criminoso criminosos criminosos
redes criminosas Previsão de um Detectar cliques e análise posicional de Detectando semelhança de
membro ausente subgrupos em uma rede rede criminosa grupos, encontrando redes
em um criminoso criminosa membros emergentes
rede
9,5 Knowledge Discovery Metodologias de Crime de dados
Depois de considerar o disponível fontes de dados e formas de descoberta de conhecimento, nós agora olhar para
metodologias que estão disponíveis na literatura atual. Há quatro metodologias conhecidas. CRISP-DM [8] metodologia
(CRISP-DM: Processo padrão Cross-Indústria de Mineração de Dados), como SEMMA [9] metodologia (SEMMA: Amostra,
Explorar, Modificar, Modelo, Avaliar), refere-se ao processo mais geral de extracção de dados. metodologia de inteligência CIA
refere-se ao ciclo de vida de conversão de dados em inteligência, que também é uma metodologia bem conhecida. Van der
metodologia de Hulst [10] é especi camente fi desenvolvido para redes criminosas, incluindo medidas específicas para
identificação e análise de redes criminosas. Por último, mas não menos importante, AMPA (acionável Mining and Predictive
Analytics) metodologia foi desenvolvida byMcCue [5] para dar uma melhor compreensão da mineração de dados crime. Eles
são brevemente y introduzido na secção seguinte, e como aplicar o tipo de descoberta de conhecimento de que a metodologia
é descrita abaixo.
Metodologia 9.5.1 TORRADO-DM
Vários anos atrás, representantes de uma vasta série de indústrias se reuniram para definir as melhores práticas ou
metodologia padrão para a mineração de dados. O resultado disso foi o Processo CrossIndustry padrão para Data Mining
(CRISP-DM). TORRADO-MS consiste de seis passos [8] :
1. Conhecimento do negócio. Na fase de entendimento do negócio, o analista determina o

objetivos da tarefa.
2. compreensão dos dados. Nesta fase, os dados são recolhidos e o analista se torna familiar
com ele, considerando forma, conteúdo e estrutura.
3. Preparação de dados. Depois dos dados foram analisados e caracterizados durante o

dados compreensivos passo, eles são então preparados para a mineração subseqüente. A fase de preparação de
dados inclui a limpeza de dados, gravação, selecção e produção de dados de treino e de teste. Além disso, os
conjuntos de dados ou elementos podem ser fundidos ou agregados neste passo.
4. Modelagem. Nesta fase do projeto, específico de modelagem algoritmos são selecionados e prazo
em dados. A selecção de algoritmos c fi cações empregues no processo de extracção de dados baseia-se na natureza
da pergunta e saídas desejado.
5. Avaliação. Na fase de avaliação, os modelos criados são revistos para determinar sua
precisão, bem como a sua capacidade para cumprir as metas e objetivos. Esta fase revela se o modelo é
adequada e correcta à pergunta colocada.
6. Desdobramento, desenvolvimento. Esta fase inclui a disseminação da informação.
9.5.2 CIA Intelligence Metodologia
A Agência Central de Inteligência (CIA) dos EUA desenvolveu uma metodologia para o processamento de inteligência que
também é usado para dados de criminalidade mineração. É dividido em seis etapas [11] :
1. Necessidades. prioridades de informação de inteligência são determinados durante as necessidades ou exigências
Estágio.
2. Coleção. A metodologia CIA fi cações es quatro tipos básicos de coleta de dados: (a)
Sinais de inteligência que inclui informações obtidas a partir de sinais interceptados. Subdisciplinas dentro
desta categoria incluem inteligência de comunicações e inteligência eletrônica. (B) A aparência inteligência
inclui informação obtida através de satélite, antena, e métodos de recolha no solo. (C) Human-fonte de
inteligência inclui informações recolhidas a partir de fontes humanas. Esta disciplina coleção foi dividida ainda
mais para atividades clandestinas, bem como os esforços de cobrança ostensiva, Debrie fi ng, e de fi contactos
oficiais. (D) informações Open-source inclui informações disponíveis publicamente e podem incluir, mas não
está limitado a, jornais, rádio, televisão e Internet.
3. Tratamento e exploração. A fase de processamento e exploração inclui a sepa-

ração, preparação e transformação dos dados para um formato que pode ser analisado.
4. Análise e produção. Nesta fase, os dados em bruto e a informação são convertidas em
produtos de inteligência. Estes estudos de inteligência acabados também pode incluir a integração de múltiplas fontes de
informação, o que proporciona uma maior profundidade de análise e insight.
5. Divulgação. Divulgação significa a distribuição de produtos de inteligência para o
comunidade de inteligência.
6. Comentários. A etapa de feedback garante a natureza contínua e iterativa de inteligência

metodologia.
194 Capítulo 9
9.5.3 Van der Hulst Metodologia
Van der metodologia de Hulst [10] é projetado especi camente fi para análise de redes criminosas. É composto de três
etapas principais:
1. Preparação de dados. Esta etapa inclui o acesso aos dados de rede e definindo a rede
fronteiras, ou seja, definindo um significativo categoria social do grupo alvo (por exemplo, quais os actores, laços, ou eventos são
incluídos ou excluídos da análise). questões de investigação são formuladas e as análises necessárias rotinas identificadas.
Além disso, os pressupostos são formulados antes da codificação (por exemplo, que os laços são considerados amigos?).
Finalmente, um sistema de codificação é desenvolvido, considerando atributos dos atores, atividades e liations fi af, que
garantem a confiabilidade dos dados e mudam com o tempo.
2. Processamento de dados. Neste pormenorizadas acerca de como os laços sociais de atores é recolhida. este
muitas vezes requer a manipulação de grandes conjuntos de dados demoradas relacionadas com o grupo-alvo. Em seguida, os
atributos, atividades e liations fi af associados com os atores são identificados e um banco de dados de atributos individuais (por
exemplo, sexo, idade, habilidades e antecedentes criminais) é construído. matrizes de adjacência de laços entre atores (por exemplo,
tarefas, logística e recursos) e uma matriz de incidência de liations fi af que associam atores para eventos (por exemplo, locais) são
criados. Finalmente, nomes de actores são classificados (por exemplo, por ordem alfabética) e os dados globais são apertados e
limpos.
3. análise de dados e relatórios. Esta etapa considera que rotinas são medidas robustas
para analisar os dados e lidar com dados ausentes. rotinas de análise são realizados e os resultados devidamente
armazenados em um banco de dados. Finalmente, os resultados são interpretados e relatados.
9.5.4 acionável Mining and Predictive Analysis (AMPA) Metodologia
Para atender aos requisitos e desafios para o pré-processamento e saída de dados operacionalmente relevante, uma
nova metodologia foi desenvolvida pela McCue [5] : Análise Preditiva e Crime Data Mining. Sua metodologia inclui oito
passos:
1. Pergunta ou desafio. Para que problema você está à procura de uma resposta? Nesta etapa,
procedimentos e relatórios atuais são revisados para compreender a natureza da questão. É imperativo que colaboram
directamente com o receptor antecipado ou pelo utilizador final do produto, especialmente os pessoal operacional.
2. A recolha de dados e de fusão. Usando várias fontes de dados é bene fi cial na concepção
modelos para questões particulares. Dependendo da natureza da questão, os dados necessários são colocados no
mesmo formato, como relacional ou texto.
3. processamento operacionalmente relevante. Este processo requer recodificação e seleção de variáveis.
pré-processamento de dados e de preparação tornar-se, tanto quanto 80% do processo de extracção de dados [5,7] .
Tabela 9.3: Comparação de Disponíveis Metodologias Data-Mining Criminal
Metodologia CIA Van der Metodologia de AMPA

CRISP-DM Metodologia Hulst Metodologia
conhecimento necessidades Preparação de dados Pergunta ou desafio

do negócio
compreensão de dados Coleção Preparação de dados A recolha de dados e de fusão
Preparação de dados Tratamento e Preparação de dados processamento operacionalmente relevante
exploração recodificação
Preparação de dados Tratamento e Preparação de dados seleção de variáveis

exploração
Modelagem Análise e produção Processamento de dados Identificação, caracterização,
e modelagem
Avaliação disseminação análise de dados e segurança pública especi fi avaliação c
relatando
Desdobramento, desenvolvimento Comentários análise de dados e saída operacionalmente acionável
relatando
4. Recodificação. Esta fase compreende a transformação e limpeza de dados. Além disso, o

usuário se familiariza com os dados e ganha uma idéia aproximada de seus padrões.
5. seleção de variáveis. Esta etapa requer signi fi cativa especialização em domínios de criminalidade existentes
e garante a utilidade de variáveis. Algumas variáveis só podem ser produzir ruído ao longo dos melhores resultados
obtidos pelos modelos.
6. Identificação, caracterização, modelagem. Nesta etapa descritiva e heurísticas de
dados disponíveis são aplicadas para identificar, caracterizar, e modelar os dados.
7. segurança pública especi fi avaliação c. Nesta fase, os modelos criados são revistos a fim
decidir se responder à questão levantada na etapa inicial.
8. saída operacionalmente acionável. A saída é preparado para os utilizadores finais para satisfazer as suas
expectativa para saída operacional.
Com base nestas definições e explicações de fi, metodologias de extracção de dados de crime estão resumidos na tabela
9.3 . Como pode ser visto, estas metodologias incluem etapas que são a mesma coisa, para fazer o mesmo trabalho.
TORRADO-DM aplica seis passos, CIA aplica seis passos, e Van der Hulst aplica-se apenas três etapas, enquanto se
aplica AMPA oito passos. O CRISP-DM e metodologias da CIA são muito semelhantes e que abordar o problema de
uma forma mais geral, não especi fi c de dados sobre o crime. Uma vez que é mais detalhado e focado, AMPA acaba
por ser melhor do que os métodos anteriores. A metodologia AMPA também difere dos outros em sua especialidade
para domínios de segurança pública e de segurança, especi fi segurança cs, bem como a inclusão de processamento
relevante operacionalmente acionável e de saída [5] . metodologia Van der Hulst, por outro lado, é mais forte do que os
outros quando se trabalha em redes criminosas [10] , Porque se especializou em problemas de detecção de rede e
análise criminal.
196 Capítulo 9
9.6 Metodologias aplicar aos tipos de descoberta de conhecimento
Agora que temos investigado as metodologias e uso de fontes de dados para os quatro tipos de tarefas de descoberta de
conhecimento disponíveis, podemos olhar mais para como podemos decidir qual metodologia é mais adequada para que tipo de
descoberta de conhecimento. Tal como indicado na Mesa
9.4 , As metodologias mais gerais tais como TORRADO-DM e CIA são mais adequados para tarefas de previsão e de agrupamento,
porque as tarefas, tais como a previsão de crimes não resolvidos, a previsão do passo seguinte de um criminoso em série,
encontrando crimes e criminosos semelhantes requer mais dados do que o outras tarefas; o CRISP-DM e metodologias da CIA
requerem menos preparação de dados e menos tempo de avaliação fi c especi-segurança pública e etapas. Por exemplo, muito
offthe-shelf software de mineração de dados, tais como SAS Enterprise Miner [9] e SPSS Clementine [8]
facilmente prepara dados para mineração, e eles não requerem o feedback especialistas do domínio; eles preferem usar métricas de avaliação
computadorizados.
tarefas de descoberta de conhecimento para a compreensão de conexões e compreender o mundo interno dos outros são mais propícios
às metodologias Hulst e AMPA Van der, porque essas tarefas exigem uma quantidade considerável de tempo para a preparação de
dados, fi avaliação c específica para a segurança pública, e as ferramentas detalhadas de visualização, como bases de dados, gráficos e
diagramas. Por exemplo, a metodologia Van der Hulst é particularmente adequado para analisar as redes criminosas, com mais ênfase
na preparação e processamento de dados. Ele também oferece para criar um banco de dados para avaliar os resultados, consultando
assim e traçando resultados usando várias abordagens. Da mesma forma, a metodologia AMPA também está focada na preparação de
dados com relevância em termos operacionais
Tabela 9.4: metodologias aplicadas para os quatro tipos de Descoberta de Conhecimento
CRISP-DM CIA Van der Hulst AMPA
Predição
Mais adequado para Mais adequado para Menos adequados para Menos adequados para
tarefas de previsão tarefas de previsão tarefas de predição tarefas de predição
Clustering
Mais adequado para tarefas Mais adequado para tarefas Menos adequados para Menos adequados para
de clustering de clustering tarefas de agrupamento tarefas de agrupamento
Conexões Compreensão
Menos adequado para a Menos adequado para a Mais metodologia metodologia mais adequada
compreensão tarefas de compreensão tarefas de adequada para redes para redes criminosas
conexão conexão criminosas
Compreendendo o Mundo dos Outros
Menos adequado para a Menos adequado para a Mais adequado para a Mais adequado para a
compreensão de mundo de compreensão de mundo de compreensão mundial compreensão de mundo de
outras tarefas outras tarefas de outras tarefas outras tarefas

processamento e direcionamento de saída operacionalmente acionável com avaliação pública fi c especi-segurança. A

metodologia AMPA garante que os profissionais de segurança pública pode se envolver em preparação de dados e avaliação dos
resultados, o que é desejável para a rede criminosa identi fi cação e compreender o mundo de tarefas criminosos.
Em geral, o TORRADO-DM e metodologias da CIA são adequados para grandes conjuntos de dados com mais tarefas analíticas
preditivos, e Van der Hulst e AMPAmethodologies são mais propícios para pequenos conjuntos de dados que exigem mais
preparação, fi avaliação c determinada, e visualização detalhada.
9.7 Conclusão
Nós consideramos as etapas envolvidas em uma investigação criminal e sua semelhança com passos de
mineração de dados criminais. As fontes de dados para a investigação e mineração de dados também foram
explicados em detalhe. Quatro tipos de descoberta de conhecimento e suas aplicações na utilização de dados de
criminalidade são discutidos e quais os tipos de descoberta de conhecimento a ser utilizado para casos criminais,
pessoas e redes criminosas têm sido discutidas. Com base nestes conhecimentos as tarefas de descoberta, as
metodologias disponíveis têm sido estudados quanto ao qual metodologias são adequadas para as quais os tipos
de tarefas de descoberta de conhecimento. tarefas de previsão e de agrupamento são adequados para CRISP-DM
e metodologias de inteligência da CIA,
Referências
[1] H. Chen, W. Chung, JJ Xu, G. Wang, Y. Qin, M. Chau, crime mineração de dados: Uma estrutura geral e alguns
exemplos, computador, IEEE Comput. Soc. 37 (4) (2004) 50 e 56.
[2] C. Morselli, dentro redes criminosas, Springer Science Business Media LLC, New York, 2009. [3] MK Sparrow, A aplicação da análise de
rede para a inteligência penal: avaliação das perspectivas,
Soc. Netw. 13 (3) (1991) 251 e 274.
[4] D. Skillicorn, Descoberta de Conhecimento de Contraterrorismo e Aplicação da Lei, Taylor & Francis Grupo,
Boca Raton, FL EUA de 2009.
[5] C. McCue, Data Mining e Análise Preditiva: recolha de informações e análise de crime, Elsevier,
Butterworth-Heinemann, Oxford de 2007.
[6] i2, Caderno Analista i2, i2 Ltd., Cambrige, Reino Unido, 2011.
[7] M. Kantardzic, Data Mining: Conceitos, Modelos, Métodos, e Algoritmos, Wiley-IEEE Press, 2002. [8] P. Chapman, J. Clinton, R. Kerber, T.
Khabaza, T. Reinartz, C . Shearer, R. Wirth, batata frita DM-1,0-a-passo
passo guia de mineração de dados, o Relatório Técnico, O CRISP-DM Consortium, Agosto de 2000. Disponível em < http: //
www.crisp-dm.org/CRISPWP-0800.pdf >.
[9] DL Olson, D. Delen, Técnicas Avançadas de mineração de dados, Springer, Berlim, 2008. [10] RC van der Hulst, Introdução à análise de redes
sociais (SNA) como ferramenta de investigação, Trends órgão.
Crim. 12 (2) (2009) 101 e 121.
[11] RM Clark, Análise de Inteligência: Uma Abordagem alvo Centric, CQ Press, Washington, DC, 2007.
Sistemas Inteligentes de Segurança
Informatics
Christopher Yang
Wenji Mao
Xiaolong Zheng
Hui Wang
AMSTERDAM • BOSTON • HEIDELBERG • LONDRES

NEW YORK • OXFORD • PARIS • SAN DIEGO SAN FRANCISCO •
CINGAPURA • SYDNEY • TÓQUIO
Academic Press é uma marca do grupo Elsevier

Academic Press é um selo da Elsevier
O Boulevard, Langford Lane, Kidlington, Oxford OX5 1GB, UK 225 Wyman Street,
Waltham, MA 02451, EUA
Primeira edição de 2013
Nenhuma parte desta publicação pode ser reproduzida, armazenada num sistema de recuperação ou transmitido em qualquer forma ou por qualquer meio
electrónico, mecânico, de gravação ou de outra forma, sem a prévia por escrito do editor
Permissões podem ser procurado diretamente do Departamento de Ciência e Tecnologia Direitos da Elsevier em Oxford, UK: telefone (+44) (0) 1865 843830; fax (+44)
(0) 1865 853333; o email: permissions@elsevier.com . Alternativamente, você pode enviar sua solicitação on-line visitando o site Elsevier em http://elsevier.com/locate/permissions
, E selecionando permissão obtenção de usar material de Elsevier
Aviso prévio
Nenhuma responsabilidade é assumida pela editora por qualquer ferimento e / ou danos a pessoas ou bens, por uma questão de responsabilidade de produtos, negligência ou
de outra forma, ou de qualquer uso ou operação de quaisquer métodos, produtos, instruções ou idéias contidas no material aqui. Devido aos avanços rápidos nas ciências
médicas, em particular, independente de catiões veri fi de diagnóstico e doses de droga deve ser feita
Catalogação Biblioteca Britânica, em dados de publicação

Um registro de catálogo para este livro está disponível na Biblioteca Britânica
Biblioteca do Congresso de Dados de Catalogação na Publicação
Um registro de catálogo para este livro é availabe da Biblioteca do Congresso
ISBN e 13: 978-0-12-404702-0
Para obter informações sobre todas as publicações Academic Press, visite nosso Web
site em books.elsevier.com
Impresso e encadernado nos EUA
13 14 15 16 17 10 9 8 7 6 5 4 3 2 1
Prefácio
A série de conferências Inteligência e Segurança Informática, que inclui a Conferência IEEE Internacional sobre
Inteligência e Segurança Informática (IEEE ISI), a Inteligência Europeu e Conferência Informática Segurança (EISIC),
eo fi Paci c Asia Workshop sobre Inteligência e Segurança Informática (PAISI), começou cerca de uma década atrás.
Desde então, ele reuniu muitos pesquisadores acadêmicos, especialistas em aplicação da lei e de inteligência, e
consultores de tecnologia da informação e especialistas para discutir suas pesquisas e práticas. Os tópicos ISI incluem
gerenciamento de dados, dados e mineração de texto para aplicações ISI, informática terrorismo, fraude e detecção
intenção, terrorista e análise de redes sociais criminal, saúde pública e bio-segurança, análise de crime, protecção
infra-estrutura cibernética, a segurança de infra-estrutura de transporte, estudos de política e avaliação e garantia da
informação, entre outros. Neste livro, nós cobrimos o trabalho de pesquisa mais ativa nos últimos anos.
O número de leitores pretendido deste livro inclui praticantes (i) públicas e privadas na área nacional / internacional e
Segurança Interna, (ii) consultores e empreiteiros envolvidos em relacionamentos contínuos com federal, estadual, local e
agências internacionais em projectos relacionados com a nacional segurança, (iii) os estudantes de pós-graduação em
Ciências da informação, política pública, Ciência da Computação, Information Assurance e terrorismo, e (iv) os pesquisadores
envolvidos em informática de segurança, segurança interna, política de informação, gestão do conhecimento, da
administração pública e contraterrorismo.
Esperamos que os leitores acharão o livro valioso e útil em seu estudo ou trabalho. Esperamos também que o livro vai contribuir
para a comunidade ISI. Pesquisadores e profissionais nesta comunidade vai continuar a crescer e compartilhar descobertas de
pesquisa científica para contribuir para a segurança nacional em todo o mundo.
Christopher C. Yang
Drexel University
Wenji Mao
Academia Chinesa de Ciências
Xiaolong Zheng
Academia Chinesa de Ciências
Hui Wang
Universidade Nacional de Tecnologia de Defesa
ix
Série de Sistemas Inteligentes
Editor chefe
Fei Yue Wang: Academia Chinesa de Ciências informações

de contato: feiyue@ieee.org
Os membros do Conselho Editorial
Jim Hendler: Rensselaer Polytechnic Institute
William T Scherer: Universidade de Virginia
Hsinchun Chen: Universidade do Arizona
Kathleen Carley: Universidade Carnegie Mellon
Ruwei Dai: Academia Chinesa de Ciências
Youxian Sun: Universidade de Zhejiang
Chelsea (Chip) C Branco: Georgia tech
Petros Ioannou: Universidade do Sul da California
Frank Lewis: Universidade do Texas em Arlington
Bruno Sicilianos: Universita` degli Studi di Napoli Federico II
Wendy Hall: Universidade de Southampton

Índice
Nota: números de página com “ f ”Denotam figuras; “ t ”tabelas.
11/09 Relatório da Comissão, 107 e 108 transferência de fundos, 143 e 150 Banco de Crédito e Comércio
N- tolerância de vazamento de privacidade, importância de corte de, Internacional (BCCI), 144
56 125 e 126 negócio legítimo, 139 e 141 Benevolência Internacional fundações
estrutura organizacional,
UMA ção (BIF), 138 e 139
Abstract Estado Machines (ASM), 132 e 134, 133f Bermuda Trading Company,
87, 100 carteira, 135 Al Rashid 140 e 141 Laden, Osama,
Decisão Motor cações especí fi, Trust, 138 Algoritmos 128 bin Mahfouz, Khalid, 144
101 e 103 bipartido modelo gráfico de dados,
gerenciamento de decisões, 102F Nai Ve Bayes (NB), 35 e 36, 40
avaliação, gestão objetivo 103f, gestão risco identi fi cação, SCADA, 30, 48
101f plano, 102F domínios do sistema, 77 e 82 RLS, 32, 35 e 36 busca booleana, 10 Border Gateway
101F Abu Sayyaf Group, 137 e 138 geração ataque sintética, Protocol (BGP)
redes sociais Acadêmicos, 52 encaminhamento, 46 e 48
acionável mineração e preditiva 37 e 40, 41f Percorrer, 7 e 8
aprendizagem de transferência, 32 e 37 sistemas Dark Web Portal Vídeo, 17 e 19, 18f, 19f,
de transferência alternativos 20f
análise (AMPA) metodologia, 194 e (ARS), 145 modelos
195 Actions, 89 Anonymization, 53, 8 ArabicAnalyzer e 9 C
árvores de ataque, sistemas SCADA, linguagem de programação C, registros de detalhes
ataques adversários ativos, 55 de 90 chamadas (CDRs), como
Add-palavra (AW) de ataque, 40 70 e 71 dados de criminalidade, 185 Chamada para
Ahmidan, Jamal, 143 Atributos registros de serviços, como o crime
Al Fundação Haramain Islamic identidade pessoal, 108, 110, 112, dados, 185 Caixa contrabando,
(IBID), 137 Al Nur mel 115 o comportamento social, 115 e 148 e 149 medidas de centralidade, 51 e 52
Prima Lojas, 116 relação social, 116 e 117 para a metodologia de inteligência CIA,
139 e 140 generalização subgráfico,
Al Qaeda, história e desenvolvimento, 193 O contrabando de
128 e 132 60t cigarros, 142 planejamento Clássica,
Al Qaeda no Magrebe Islâmico utilizado na resolução de identidade, 86
(AQMI), 142 e 143 Al Qaeda 110 Veja também técnica de planejamento

terrorista financiamento planeamento automatizado, 86, 88, 91 automatizado Clustering, 188 e 189, 189f
caridade, 135 e 139 rendimentos Azam, Abdullah, 128 e 129 metodologias aplicadas a,
criminosos, 141 e 143 descrição, 126 e
128, 135 doações e 139 fi rede B 196 e 197 Co-autoria /
financeira, 128 e 132 Contas bancárias declarações, como crime co-citação
dados, 185 redes, 52
199
200 Index
agrupamento colectivo, 118 e 119 interacção relação hipó- relacionamento faltando casos,
pseudo-código, 118f resolução esis, 168 e 170 rede relação 166 e 167 viagens e itinerários ight
identidade colectiva interactiva, fl, 185 vídeo fi les, 184 e 185 investigação
abordagem, 113 e 119 análise de 159 e 161 Crime, 182 e 183
complexidade, 119 atributos de identidade e análise de características da rede,
similaridade 174 e 175 possível rede de informações adicionais, os dados 183
medidas, 115 e atribui 117 relacionamento, crime
identidade pessoal, com base na relação de participação recolha, processamento e
115 mútua, 164 e 165 dados em falta armazenamento 182, 182, 183 fontes e 186
atribui o comportamento social, potenciais, 166 e 168, 167F análise de informações, 183 usando
115 e 116 informações para
atributos relação social, rede relação refinamento,
116 e 117 171 e 174, 173f Ministério Público, 183 Penal
estratégias correspondentes, 117 e 119 resultado veri fi cação, 177 e 178 de informação de fundo,
agrupamento colectivo, 118 e 119 suporte da rede relação, 184 resolução de identidade
comparação aos pares, 117 fecho 162, 163f Penal,
transitória, 117 e 118 problema membros da organização terrorista Vejo resolução Criminal identidade /
formulação, 114, 114f e participação incidente redes sociais terroristas,
Veja também mecanismo de terrorista, 158 e 159, 161F estado mental 52 de Criminal,
comunicação resolução identidade, aprendendo
sistemas de segurança e protecção membros da organização terrorista aproximadamente, 190 e 191
marinhos, 96 e 97 Análise de complexidade, 119 e terrorista organização filiação, metodologia CRISP-DM,
condicional modelo de campo aleatório fi cartão de crédito 159 192 e 193 dados
interjurisdicional
(CRF), 112 e 113 matriz fraude, 141 e 142 demonstrações, como os dados integração, 111 Criptografia, 53, 57 e 58
Confusão, 40 Os dados contextuais, de crime, 185 de dados de crime, 158, 182 e 183 dados virtuais, 46 e 47 do Cyber defesa, Vejo defesa
108, cibernética
112 e 113 contas bancárias e de cartão de crédito
Veja também contextos sociais de declarações, registros de detalhes de 185
planejamento contínuo, 88, 98 e 99 chamadas (CDRs) e D

ambiente CoreASM, 100 contrafacção, registros de e-mail, 185 chamadas Fóruns escuros no Leste
141 e 142 redes secretas, 157 e 158 para registros de serviço, 185 coleção de, 182 Afeganistão: Como influenciar o
de antecedentes criminais informa- público (estudo de caso) Haqqani, 10 e 11
nomeação e interação Dark Web, 2
rede relação, 170 e 171, ção, 184 casos entidade desaparecidas,
171F 166 e 167 hotéis e hospitalares registros, 186 Fórum Portal (DWFP), 3 e 12
atribuição de rede de relacionamento, conhecimento methodol- descoberta estudos de caso, 10 e 12 dados
159 e 161, 162F de identi fi cação e
avaliação das principais figuras, ogies para, 191f, 192 e 195, 195T recolha, 3 e 4 projeto do sistema
175 e 176 de, 5F versão 1.0, 4 e 7, 10, 11f
fi rede multi-elemento nal demografia agressor informa- versão 2.0, sete e 8, 10, 11f, versão
modelo, 174, 174f fi nal rede de ção, 183 e 184 open source 2.5, 8 e 10, T9, 10F, 11F Vídeo
relacionamento de inteligência fi nd- Portal, 13 e 25
organizações terroristas e Ings, 185 fotografias, 184
incidentes, 160f, 171 e 174 policiais e serviço de inteligência
Pesquisa Autor função, 21f “browse
importante organização ava- relatórios, 186 registros policiais de pelo autor”,
ção, 177 prisão, 184 anterior investigação fi les, 184 20f “navegar pelo vídeo” função,
rede multi-elemento inicial, processamento e armazenamento, 183
162 e 163, 164f 20f

índice 201
aquisição de dados, dados de Redução de redundância, 110, 112 e 113 de negação Financiamento do terrorismo, 126
preparação 15, 15 e 16, home page 16t de serviço (DoS), 45 e 48, 47F comércio de Al Qaeda terrorista fi nanciamento,
de, 18f log-in, 17f diamantes, Al Qaeda, de Vejo Al Qaeda terrorista

financiamento Flagging, de vídeos, 13 e 14
número de vídeos postados para envolvimento em 149 e 150 métodos fóruns, mídias sociais, 3 e 12 análise, 197
especi fi c coleção de vídeos, 19f baseados distância, para iden- práticas comerciais fraudulentas Frame,
resolução tity, 111 e 113 147 Funções, de Dark Web Vídeo
sistema de portal, 16 e 25 pesquisa distribuído de negação de -serviço
rápida, 21F screenshots de (DDoS), por razões políticas, 45 e
amostra 48, 47f Portal, 16 e controle de 25 acessos,
vídeos, 13f planejamento distribuído, 90 e 91 17, navegação 17f, 17 e 19, 18f, 19f, 20f
tempo à procura período de especi fi c tradução multilingue, 22, 23f,
vídeos, 22f E
informação estatística de vídeo alerta precoce, defesa cibernética,
coleção, 18f projeto do sistema, 14, 40 e estudo de 48 caso, 24f pós-pesquisa fi ltragem, 20
14f busca tópica em títulos de vídeo 45 e 48, 47f método, 42 e 45 buscas, 19, 21F, 22F, 23F análise de
preliminares, 41 e 42 Borda redes sociais, 22 e 25, 24f, 25f, 26f
e descrições, aquisição perturbação, 53 e 54 Borda
23F Dados intermedialidade, 61 EKEMAS,
em Dark Web Fórum Portal, 5 de Dark 91
Portal Web Video, 15 G
Veja também dados crime; Dados registros de e-mail, como dados de criminalidade, 185 informação generalizada, na vida social
coleta de Entidade Analytic Solutions (EAS), análise de redes e de
coleta de dados 111 mineração, 61 e 62 rede social
em Dark Web Fórum Portal, Entidade hipótese faltando com base em generalizada
3 e 4, 7 associação ação, 168 e 169 múltipla integração, modelos
Veja também dados crime; Dados resolução Entidade, 110 ET Dizon viagem probabilísticos
aquisição Pyramid Trading, integração de, 63 e 64 para
Dados identi fi cação, em Dark Web SNAM, 62 e 64, 63f
Fórum Portal, 3 e 4 Dados 140 e 141 Fundo Global Jihad, 138 Global Relief
modi fi cação, preparação 53 Avaliação Foundation (GRF),
Dados na protecção e segurança marítima 135, 138 e 139, 146 e 147, 89
em Dark Web Fórum Portal, 5 de sistemas, 95 e 96 ASM especi Objectivos
Dark Portal Web Video, fi cação, métricas 103F, 121 e 122, gestão, na segurança marítima
15 e 16, 16t 121t e sistemas de segurança, 92 e 94 ASM
publicação de dados, 52 e 53 ferramentas de delineamento experimental, coletivo especi fi cação, o comércio de ouro 101f, o
visualização de dados, 189 Data selo, 3 resolução de identidade, 120 e 121, envolvimento da al Qaeda
121t, 122F
Daw al-Iman al-Shafee Inc, redes de identi fi cação de peritos, sensores em, 150 Golog, 90 API do
140 e 141 externos 52, 96 Google Translation, 5 e 6, 9 verde
Motor de decisão para a segurança marítima Laboratory Medicine,
e segurança, Vejo segurança marítima F
e segurança, mecanismo de decisão para o escala de tempo rápido, 38 diagnóstico de 140 e 141
Sistema de Apoio à Decisão (DSS), falhas, de fi nida, 78 Filtros, pró-ativa, 31 e 40
H
Decisões preliminares, 31 e 32 geração Hamati doces Padarias,
90, 89 ataque sintético 139 e 140
gestão, na segurança marítima algoritmo, 37 e 40, 41f hawala transação, 126, 145 e 146, meta
e sistemas de segurança, 95 ASM algoritmo de aprendizagem de transferência, análise hierárquica 146F, 92 e 94
especi fi cação, 102F 32 e 37
202 Index
Redes de tarefas hierárquicas tripartido hipótese relacionamento compreender as conexões, 189,

(HAS), 89 e 90 com base no evento, 169 e 170 190f compreender o mundo
estrutura híbrida, 97, 98F, 104 Hijra sensores internos, 96 convenções de
Construção, 140 Hit realce, 8 internacionais para o outros, 190 e 191, 191f
metodologia Van der Hulst,
Hotel e registros hospitalares, como crime Supressão do Financiamento do 194 ers fi classi baseada no
dados, 186 Terrorismo, 125 e 126 Internacional conhecimento, 31 Konsojaya, 140 e 141
sistema dinâmico híbrido (HDS), Orga- Islamic Relief
30
nização (Iiro), 137 e 138 eu
Eu Internacional Price Pro fi ling Sistema Ladin International Company,
i2 Notebook Analyst, 185 IBM DB2 (IPSS), 148 relações inter-objeto, 140 ers fi classi-base de aprendizagem, 31 e 40
Identity Resolution, 112 e 113 rede relacionamento interpessoal, Nível de particionamento, em termos sociais
111
resolução de identidade, 107 e 124 165 análise de rede e de mineração sistemas,
abordagem colectiva, 113 e 119 métricas de ISI (Inter Services Intelligence), 75, conjunto de dados 76f Ling-Spam, o
avaliação, 122, 110 as técnicas existentes e 112 Paquistão, 128 e 129 bancário desempenho de
delineamento experimental, 120 e 121 atributos islâmico, 145 instituições de caridade Algoritmo SDL em, 40
de identidade utilizado em, 110 Resultados e islâmicas, 137 Lucene, 8 e 10, 25 e 26
discussão, 122F, 123 de geração de dados
sintética, J M
Jaish Mohammed, 138 Java, 90 aprendizado de máquina se aproxima, por
119 e 120 Jemaah Islamiyah, 137 e 138 JUNG, resolução de identidade,
técnicas ativado por sociais 5e6 111 e 112 MADGS, 91 Maktab al
contextos, 112 e 113 Khidmat (MAK),
teorias, 109 e 110 I-GLOBE, 91
Impacto conjunto, 77 K 128 e 129 Manpower Services,
K- anonimato, 53, 59 140 e 141 Maram, 140 segurança e
spidering Incremental, 7, indexação 7F, de K- conectividade, 61 KDD Cup 99 conjunto de dados, o segurança marinha,
fóruns, 8 e 9 IndexSearcher, 9 Infocus desempenho
Tecnologia, 140 e 141 INFORM Lab, 87, 90 e Algoritmo de TL em, 35 e 37 Decisão Engine for, 85 e 106
91, 94 e 95, 103 Palavras-chave,, 15, 15t Khalifa, Mohammed aplicação, 103 planeamento
Jamal relacionados terrorista, automatizado, 86, 88 conceptual, 91 e 99,
137 e 138 Khalifa 93f tecnologias emergentes, quadro
integração de informações, para fins sociais Negociação Industries, HTN 99 híbrida, 97,
análise de rede e 140 e 141 descoberta de
mineração, 54 e 64 Conhecimento, 182
a partilha de informação, rede social metodologia AMPA, 194 e 195 robustez plano 98f, 98 e 99,
análise e mineração, 59 e 60 metodologia de inteligência CIA, 91 requisitos e 92 e sistema de
193 Tipo de agrupamento, 188 e 189, arquitectura
Interações em fóruns, 189f e crime dados, Vejo dados sobre o crime
visualização de, 4 Interacções em casos criminais, metodologia 192T design, 92 e 97
hipótese relação, CRISP-DM, representação formal,
168 e 170 100 e 103 elementos de planejamento
entidade hipótese faltando base 192 e 193 metodologias fundamentais,
em associação ação, 168 e 169 aplicadas a, 89 Hierarchical Task

196 e 197 de tipo de predição, 186 e 188, Networks,
espúria hipótese relacionamento 188f de papel, 182 fontes de dados, 187t 89 e 90 OODA loop, 87 e 88,
com base em diferenças de 88F pesquisa relacionada, 90 e 91
associação, 170
índice 203
estratégias de correspondência, na identidade detecção outlier, 188 e 189 perturbação de para SNAM, 54 e 64 de dados de redes
resolução, 117 e 119 agrupamento saída, 53 sobre e sub-facturação de bens sociais, 53 e 54 Proactive defesa cibernética,
colectivo, 118 e 119 comparação aos pares, 29 e 50
117 fecho transitória, 117 e 118 detecção e serviços, 147 alerta precoce, 40 e 48 filtros a 31, e 40
Meme, 44 e 45 Socorro Agência Internacional métodos Probabilísticos, para identidade
de Misericórdia, P
comparação par a par, de análise resolução, 111 e 113
138 117, 5 modelos Probabilísticos, 61 e 62
passagem de mensagens, na segurança marítima ataques adversários passivos, 55 Path integração, de múltipla
e sistemas de segurança, 96 e 97, planejador, 97 identidade pessoal, 109 redes sociais generalizadas,
3 Mensagens 63 e 64 modelo relacional
atributos, 108, 110, 112, 115, a partir de probabilística
informações militares apoio opera- fotografias de dados de crime, fusão 184 Plano, (PRM), 112 e 113 análise de risco
ções (MISO), relação social 12 99 Plano de robustez, em segurança marítima probabilístico, social
multi-elemento sistemas de análise de rede e de
rede, 162 e 163 natureza e sistemas de segurança, 98 e 99 mineração, 70 e 71 Prolog, 90
Multilingual de fóruns, 4 Planeamento, 86 Pseudo-código
tradução em Dark Web Video
Portal, 22, 23f, 24f elementos fundamentais, 89 Planos, de agrupamento colectivo, 118f de geração
89 de dados sintéticos, operações psicológicas
N gestão, na segurança marítima 120F, 12 A informação pública, 156 e 157
Nai Ve o algoritmo de Bayes (NB), e sistemas de segurança, 94 e 95
35 e 36, 40 ASM especi fi cação, 102F serviço extracção de dados a partir de, 158
Narcoterrorismo, 143 de polícia e inteligência

National Commercial Bank (NCB), Q
144 relatórios, como dados de criminalidade, 186 Análise da consulta, 8 e 9
Comissão Nacional sobre Terrorismo politicamente motivada distribuídos restrição de consulta, 53
Ataques contra os Estados negação de -serviço, 45 e 48, 47f

Unidos, 131 R
Naval Postgraduate School (NPS), relacionamento interpessoal possível Registro de ligação, 110 e 112 mínimos
10 e Ataques de 11 de Bairro, Vejo Passiva rede, 165 rede de quadrados regularizado (RLS)
relacionamento Possível aprendendo algoritmo, 32, 35 e 36 Os
estrutura adversário construção, 171 e 172 Post / dados relacionais, privacidade preservação
comunidade ataques de rede, entropia comunidade (PCE),

42 e 43, 43f 44 e 45, 48 ção, 52 e 53 redes de
N-vizinhança, 60 e 61 Nodes Poster, 3 relacionamento, 156
lançamentos, 3 da organização terrorista
generalizada, a conectividade de, 61 Pós-pesquisa fi ltragem, Web escuro membros e participação incidente
perturbação, 53 e 54 Portal de vídeo, 20 Prediction, terrorista, 158 e 159 Replanning, 86, 90, 98 e
de crime, 186 e 188, 188f 99 Responder rede, 22, 24, 24f predição
O metodologias aplicadas a, crime retrospectiva,
demografia agressor informa-
ção, 183 e 184 Of fi ce do 196 e 197 Análise Preditiva e 186 e 188 Risco, na análise de redes
Coordenador para crime sociais e
Contraterrorismo, 107 e 108 OODA loop, Data Mining, 194 e 195 Anterior sistemas de mineração de
87 e 88, 88F, 96 e 97 Open source descobertas investigação fi les, 184 Privacidade identificação e gestão,
inteligência científica, vazamento, 55 69 e 84 impacto, 77 e 82 abordagens
185 tolerância de, 55 e preservação 56 de baseadas em regra, por identidade
Operação Liberdade Duradoura no privacidade, 52 e 54
Afeganistão, 133 dados de relacionais, 52 e 53 resolução, 111

204 Index
S construção de rede inicial, falhas de propagação, 80, 80f impacto

158 e 163 rede refinamento risco e identi fi cação
sadaqah, 135
baseado em algoritmos, 77 e 82, 80f, 81f
Sala fi Grupo st para a Pregação e
interacção relação hipótese, 164 e 171 estrutura de, 72 e 73 Support Vector
Combate, 142 SAS Enterprise Miner,
obras relevantes, 157 e 158 Análise de Machine (SVM), 16 de ataque geração
196 Arábia Alto Comissariado para a Ajuda ao
redes sociais e mineração sintética
algoritmo, 37 e 40, 41f
Bósnia, 138
(SNAM), 51 e 52 privacidade avaliação, 40 de geração de
Escalonamento, 94 e 95, 98 e 99
preservação para, 54 e 64 dados sintética,
Searching, 7 e 8
integração de redes sociais, 119 e 120 pseudo-código de dados,
Escuro Portal Web Video, 19,
estrutura de, 58 e 64 pesquisa 120F sintéticos de aprendizagem (SDL),
21f, 22f, 23f
problema de definição,
eficiência, 8
54 e 58 dados de redes sociais, 39, 48
Pesquisa single-fórum, 6,
privacidade Projeto de sistema
6f
preservação de, 52 e 53 de Dark Web Fórum Portal, 5f do Dark
ranking de busca, 8
visualização, 52 As relações sociais de Portal Web Video, 14,
multipartidário computação segura
rede social 14f em segurança marítima
(SMC), 57 e análise
atributos, 116 e 117 papel na resolução
58 sentimento, 197
de identidade, sistemas, 92 e 97 A funcionalidade do
Shifa mel Imprensa da Indústria e
112 e 113 sistema, em Dark Web
Comércio, 139 e 140 medidas
aranhas, 3, 5, 7 Fórum Portal, 5 e 6
de similaridade, 51 e pesquisa de 52
incremental, 7, 7f SPSS Clementina,
fórum único, 6, evidências Situação 6f,
196 relacionamento espúria, 167 e 168 T
95 e 96 escala de tempo lenta, 38
Taba Investimento, 140
SnowballAnalyzer, 8 e atributos 9
com base nas diferenças de associação, s- tolerância de vazamento de privacidade,
Comportamento social,
170 56 e 57 palavras-chave relacionados com
din híbrido estocástica o terrorismo, 15,

115 e 116
sistema (S-HDS), 37 e 38 15T Threads, 3 data e hora, 3 Tópico
contextos sociais, resolução de identidade
estrutura de gabarito, 38f subgráfico agrupamento, 15 e 16 Transferência de
técnicas activado por, 112 e 113
generalização, 60 e 62 aprendizagem (TL) algoritmo,
dados Sociais, 46 e 47 A identidade
atributos para, conectividade 60t de
social, 109 e 110
generalizada
nós, 61 estrutura de, 62F 32 e 37, 33f
atributos, 108, 110
informação generalizada, avaliação, 35 e 37 com os dados rotulados
mídias sociais
limitados, 35,
fóruns, Vejo fóruns,
modelo probabilístico, 61 e 62 36f sem instâncias
vídeos de mídia social, Vejo Vídeos,
Subplanners, 97 de controlo de Controlo e marcados,
rede social mídia social
dados 36 e 37, 37f
arquitetura de sistemas encerramento Transitivo, 117 e 118 Viagens e
acadêmico, 52 de fi
(SCADA) de aquisição, 72F itinerários ight FL, como
nida, 51
fundo, 70 e 71 modelo para dados de criminalidade, 185 relação
integração, estrutura para,
dï¿½rafo, 71 e coluna de Tripartite hipótese,
58 e 64, 58f
destilação 82 169 e 170 relacionamento Duas
Veja também análise de redes sociais
partido hipótese,
(SNA)
análise de redes sociais (SNA), 4,
conceptualização como gráfico, 169
74f
156 e 157 redes secretas, Vejo
nível de particionamento, 75, 76f você
Tampa
redes
esquemática, cenário de diagnóstico 73f software UCINET, 165 conexões a
Dark Web Portal Vídeo, 22 e 25, 24f, 25f,

culpa, 81 e 82, 81f compreensão, 189,
26f 190f
índice 205
metodologias aplicadas a, V Guerra ao Terror, 134 laços fracos

196 e 197 hipótese, 169
metodologia Van der Hulst, 194 vídeos
Compreender o mundo dos outros,
190 e 191, 191f Y
mídias sociais, 13 e 25 dados de
metodologias aplicadas a, YouTube, 13 e 14
criminalidade como, 184 e 185 Visualization,
196 e 197
rede social, 52
Reino Unido Home Of fi ce, Z
109 W al Zawahiri, Ayman, 129
Nações Unidas, luta contra o terrorismo zakat, 135 A tolerância zero de vazamento
Wadi al Aqiq, 140 WAFA Charitable
Task Force privacidade,
Foundation,
implementação, 2 56
137 ai WAFA
Universidade do Arizona, Arti fi cial
Humanitária
Inteligência (AI) Lab, 2
Organização, 137

Intelligent Systems For Security Informatics

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Intelligent Systems For Security Informatics

Uploaded by

Copyright:

Available Formats

CAPÍTULO 1

Revelando o mundo escondido do Web Dark:

Hsinchun Chen * , Dorothy Denning y , Nancy Roberts y , Catherine A. Larson * ,

1.3 O Portal de Vídeo 13

Sistemas inteligentes de segurança informática.

1.4 Conclusão e Direções Futuras 25 Agradecimentos

1.2 O Web Fórum Dark Portal

1.2.1 Dados Identi fi cação e Cobrança

trabalho do sentimento e afetar a análise e o estudo de processos de radicalização ao longo do tempo.

1.2.2 Evolução do Dark Web Forum Portal

múltiplas fontes de dados fórum?

fórum automática da não-Inglês (por exemplo árabe) para Inglês?

O projeto inicial do sistema continha três módulos:

HTML puro e armazenados localmente em um banco de dados.

sua utilidade e facilidade de uso.

A versão 2.0 foi desenvolvido com vários objetivos em mente:

correspondem aos termos de pesquisa de entrada.

Inglês Alqimmah, Ansar1, Gawaher, IslamicAwakening, IslamicNetwork, Myiwc,

1.2.3 Resumo das três versões

1.2.4 Estudos de Caso usando o Dark Web Forum Portal

estudo de caso II. operações psicológicas

1.3 O Portal de Vídeo

fornecidos pelos sites.

1.3.1 System Design

Tabela 1.2: Exemplos de terroristas-chave relacionadas

palavra chave Tradução Coleção

Jihad islâmica e Termos usados ​por extremistas

Hamas e Termos usados ​por extremistas

USBAT Al Ansar e Termos usados ​por extremistas

Mujahideen Termos usados ​por extremistas

preparação explosiva Armas termos técnicos

enciclopédia Armas termos técnicos

1.3.2 Aquisição de Dados

em Inglês e 55, em árabe). tabela 1.2 dá vários exemplos de cada conjunto.

1.3.3 Preparação de dados

alimentados no er classificadas; aqueles considerados irrelevantes, foram removidas da base de dados.

extremistas e armas termos técnicos.

dados de vídeo escuro.

1.3.4 Portal Sistema

Tabela 1.3: Número de vídeos Collected

Número de Collected Número de classificadas Número de Número de Número de

Nome da colecção vídeos vídeos Autores comentários commentors

Termos usados ​por 90.725 11.355 4743 420446 172146

Tabela 1.4: Exemplos de escuras vídeos

5nK93eIltHc “Minha espada” jihadista hino

39UbzotlaJQ Atentado em Kirkuk, no Iraque

8XG5GInbYzw ataque suicida do Taliban

As funções do portal podem ser divididas em várias categorias principais:

extremistas e Termos Arma Técnicas) e procure-o através de quatro pontos de entrada:

• Navegar por Autores: lista os autores e os números de vídeos e comentários postados.

• Pesquisa rápida (em títulos de vídeo e descrições)

análise de redes sociais

Utilizador (site de compartilhamento de vídeo) / Utilizador (Forum)

Descrição do Vídeo / Tópico Iniciado Texto Comentário / Tópico

1.4 Conclusão e Direções Futuras

ltragem e como uma fonte de inteligência adicional para

Inf. Sei. Technol. 61 (5) (2010) 891 e 906.

Proactive Defesa Cibernética

2.4 Considerações Finais 48

esforços no desenvolvimento proativo métodos de ciberdefesa, em que futuro

Sistemas inteligentes de segurança informática.

2.2 Filtros proativas

Jihad islâmica e Termos usados por extremistas

Hamas e Termos usados por extremistas

USBAT Al Ansar e Termos usados por extremistas

Mujahideen Termos usados por extremistas

Termos usados por 90.725 11.355 4743 420446 172146

“características contínuas” foram usados para aprender as ers fi classi.