大数据描绘“独狼”踪迹

目前，西方国家的间谍情报工作已进入了“大数据”时代，即重视预警情报。所谓预警情报也叫征候情报，有一句名言叫“早一分钟是情报，迟一分钟是新闻，再晚一分钟是历史。”而预警情报恰恰是比传统情报还早一分钟的情报黄金。

以色列是最早在反恐中使用大数据技术的国家之一，这得益于以军的8200部门。8200是以军最精英的电子情报机构，专门从事电子侦察活动，也是以色列大数据技术的领军者。他们搜集网络信息、监听电话以及截获政府、组织甚至个人的电子邮件，经大数据技术处理用于反恐。

埃拉德·科策就是原8200的情报技术人员。他退伍后，利用在军队中掌握的大数据技术，帮助以色列一家公司开发了网络实时监控软件。这种软件可以利用数据地图和链接分析，实时监控“脸书”（Facebook）和推特（Twitter）等社交媒体动态，每分钟能看30万个帖子，谁发了帖、谁点了赞，找出最活跃的成员，追踪他们的地理位置，看他们去什么地方参与具体行动……不用黑客入侵，一切都是利用大数据在公开网络上获取和挖掘出信息。

特拉维夫大学的工业工程师阿维夫·格鲁伯认为，大数据挖掘可以被用来预测恐怖分子的位置。阿维夫领导的一个研究小组为此开发了一种基于位置的搜索运算方式，可以用来分析满天飞的数码数据。这种运算的工作方式像一个电脑化的福尔摩斯，它从电话记录、电子邮件和信用卡支付等提取信息，将这些信息简化成一套可变数。运算结果是一张可能性地图，用来预测某一个潜在恐怖分子未来的活动。

如何利用大数据为国家网络安全服务？一个形象的比喻就是“大海捞针”。随着人们的日常生活与互联网越来越密不可分，与人相关的很多信息也在互联网以及可上网的电脑、手机上留下了“印记”？通过各种各样的网络信息获取技术，例如根据通信语音识别或浏览器请求数据的语言识别，以及截获邮件的时间、地址、发件人，就能分析出不少有价值的“信息”。而大数据技术就是从海量的信息中，甄别出对国家网络安全有价值信息，然后加以分析和评估。通过这种全方位、大纵深信息的获取，对一定人群的相关信息进行聚合，进而形成大数据挖掘，实现网络空间态势感知和预警。

如果把2001年的“9·11”事件当作恐怖袭击的开始，那么这十五年以2011年为界限可以分为两种截然不同的形式。

2011年以前的恐怖袭击几乎和“9·11”事件一样，通过网络按照核心层的指令发动袭击。由于“斩首行动”摧毁了恐怖组织网络的核心层，反恐战争已经“胜利”。但是，“伊斯兰国”（IS）的诞生改变了世界恐怖袭击的模式，“独狼”式的袭击成为恐怖袭击特征。法国政府安全部门掌握着潜在的恐怖分子名单，据《费加罗报》2016年3月引用官方数据报道，单在法国，这一人数就有8250人。法国参议院4月的报告显示，在已知的前往叙利亚和伊拉克为“伊斯兰国”效力的3000多个欧洲恐怖分子中，至少有1430个是法国人，2016年法国有15000人左右被安全部门列为跟踪对象。

面对这一串的恐怖袭击事件，备受恐怖袭击煎熬的人们感到愤怒、悲伤、恐惧、不安，而更深的担忧莫过于自己是否会成为下一个牺牲品。能否找到有效的恐怖袭击预警方法，进而降低遭袭风险，是世界各国共同面临的一道难题。

2016年，美国宾汉姆顿大学专家团队研发出一个可用于预测恐怖袭击威胁的数学模型。该团队的研究人员把1970—2014年间全球发生的140多起恐怖袭击事件进行挖掘，汇集一个数据样本，通过对相关信息的对比分析设计了一套数据分析的算法。

在这个数据分析的算法中，研究人员利用大数据技术挖掘出了看似独立存在的袭击事件在行动时间、袭击对象、使用武器类型等行为特征上的内在联系。尽管每一次恐怖袭击方式有所不同，但其共同特征还是留下了蛛丝马迹，这就是恐怖分子在制订恐怖袭击计划时往往还会采用模仿“前辈”的做法，并从中汲取经验教训。这是恐怖分子群体难以摆脱的行为特征，这也为新模型预测的准确性提供了依据。

这一模型的建立，虽然还不能准确预测出下次恐怖袭击的具体时间和地点，但对大部分潜在的恐怖袭击事件要素都会有一个明晰的判定，准确率可达80％～90％。该数学模型的方法是根据一定时期内所有政治活动、人群聚集程度，按照时间轴破译恐怖袭击事件在时间、地点、规模、方式、目标等核心要素上的演变规律，并以此推测下次可能发生恐怖袭击的某些特征。

在“9·11”事件发生后的今天，恐怖袭击逐渐呈现个人化、分散化、高科技化等新特点，行动环节更少、范围更广、随机性更强，传统预警方法很难及时做出有效的应急反应，各国不得不更多地依靠信息化的手段和大数据技术来提升预警的准确性。

宾汉姆顿大学专家提出的未必精确的“画像”式预警方法，根据海量数据分析，经过反恐专家的研判，及时向民众发出什么时间最好不要出门，哪些地方尽量不要去，什么场合危险系数较高等预警提示，或许能够提升民众的防范意识，降低风险系数。

另外，美国迈阿密大学的物理学家尼尔·约翰逊也带领一个研究团队运用大数据创建一个数学模型。这个数学模型从混沌的亲恐怖主义网络中抽丝剥茧、条分缕析，以此发现恐怖活动的规律。

约翰逊博士和他的同事们从2014年到2015年8月每天搜索亲“伊斯兰国”组织帖子，并在欧洲境内相当于脸书的最大网站——俄罗斯VK社交网站挖掘提及“斩首”和“血洗”的文字。最后，他们设计出一个方程式尝试说明“伊斯兰国”组织网上同情者的活动规律，认为最终有助于预测即将发生的袭击。这些数据和信息已提供给其他研究人员和相关国家反恐部门使用。

约翰逊博士的研究团队中包括讲阿拉伯语、中文、法语、德语、俄语和西班牙语的国际秘密网络专家。他们分析VK社交网站上的活动是因为脸书网站会很快删除亲“伊斯兰国”组织的言论，而且VK社交网站的3.5亿形形色色的网民，其中包括许多车臣人，他们是“伊斯兰国”组织进行宣传的对象。研究报告称，所谓的“独狼”式同情者不会长期独自一人，他们通常会在短短几周内加入某个小团伙。所以，这项研究着重以在网上形成的“伊斯兰国”支持者为对象，共发现200个此类团伙，成员总数超过10万人。

研究报告指出，在有袭击发生的前夕，关于网上小团伙的信息可能会激增。这个推断来源于在研究人员所研究的那几个月时间里“伊斯兰国”组织实施的一起出人意料的重大袭击——科巴尼袭击事件，这个与土耳其接壤的叙利亚城镇在2014年9月遭到围攻。

据约翰逊博士称，在科巴尼受困前夕，亲“伊斯兰国”组织网上团伙的创建速度加快。他们把有关这些团伙的所有数据都放入研究团队的计算公式后，唯一的预测结果就是科巴尼袭击，说明在他们所研究的这段时间里该公式的预测与现实情况是相符的。