Модель трафика укажет на террориста
Анализируя модель трафика сообщений электронной почты, новая технология позволит определить сетевые сообщества и выявить их лидеров. Как утверждают разработчики, таким образом можно найти главарей террористических группировок или криминальных сообществ даже в том случае, если их переписка зашифрована или если в письмах они обсуждают только лишь погоду. "Если ЦРУ или другая спецслужба сможет перехватить электронные сообщения потенциальных членов криминального сообщества, новая технология позволит выявить возможных его лидеров", - говорит Джошуа Тайлер (Joshua Tyler), сотрудник лаборатории Hewlett-Packard в г. Пало-Альто, Калифорния. В самом крайнем случае, ее применение позволит определить приоритетные направления в ведении расследований.Г-н Тайлер, а также его коллеги Деннис Уилкинсон (Dennis Wilkinson) и Бернардо Хуберман (Bernardo Huberman) занимались исследованием характерных структур электронной переписки, а также сетевых сообществ. Они попытались выделить устойчивые группы, анализируя журналы регистрации, в которых содержались данные о почти 200 тыс. электронных писем, отправленных 485 сотрудниками лаборатории Hewlett-Packard за пару месяцев. При этом формировались связи между абонентами, отправившими друг другу больше 30 писем. В результате было выявлено 1110 связей между 367 абонентами. Чтобы выявить среди них устойчивые группы, был применен алгоритм, позволяющий определить связи, установленные между различными группами. Исследуя последовательно связь за связью, этот алгоритм последовательно разделяет всех абонентов сети на отдельные сообщества, члены которых, в основном, обмениваются электронными посланиями друг с другом.
Для проверки работоспособности алгоритма процедура была повторена пятьдесят раз - каждый раз с различной начальной связью, рассматриваемой алгоритмом. В подавляющем большинстве случаев структура выявленных сообществ не менялась. В конечном итоге отдельные абоненты были исключены из состава групп, если алгоритм не смог установить их принадлежности к ним как минимум в четырех случаях из пятидесяти.
Итоги работы оказались следующими. В лаборатории численностью 485 человек обнаружено 66 отдельных "виртуальных" сообществ. При сравнении результатов исследования со штатной структурой лаборатории обнаружилось, что 49 из них состоят из сотрудников одних и тех же отделов. В большинстве остальных случаев члены сообществ трудились в рамках одного и того же проекта.
В следующем эксперименте ученые попытались выявить лидеров сообществ, используя для этого стандартный алгоритм, позволяющий расположить связи наименее "спутанным" образом. Он позволяет расположить структуру сообществ в виде кластеров таким образом, что в их центральных областях окажутся члены, обладающие наиболее широким и разнообразным кругом контактов - они, как правило, и оказываются лидерами. Выяснилось, что наблюдается тенденция, согласно которой руководители, включая директора, чаще оказываются в центральной части кластера.
Что касается применения данной методики в следственной практике, то с помощью анализа трафика электронных сообщений можно установить, не является ли подозреваемый членом более крупного сообщества. Методика позволяет использовать для анализа не только электронную почту, но и телефонные звонки.
В будущем применение методики, по мнению г-на Тайлера, может вызвать ряд вопросов относительно того, в какой степени она нарушает неприкосновенность частной жизни пользователей электронной почты. Правда, на сегодняшний день технология еще далека от повсеместного внедрения.
Источник: по материалам журнала New Scientist.
Учебные курсы по теме:
Построение комплексной системы защиты корпоративных информационных и телекоммуникационных сетей (21–23 апреля). |
Система анализа содержимого электронной почты MAILsweeper for SMTP (21-22 мая). |
Конкурентная разведка на основе интернет-технологий. Базовый курс (21-22 апреля). |