Аннотация результатов, полученных в 2021 году
Данное исследование направлено на изучение видов ботов социальных сетей а также способов их детектирования и характеризации. Для этого была разработана таксономия ботов и их характеристик в социальных сетях. Была приведена типизация на основе исследования рынка ботов и предложена систематизация рисков. Сформирован рейтинг угроз на основе оценок экспертов из рекламных агентств, специалистов кафедры PR факультета журналистики университета СПбГУ, специалистов-экспертов международного центра цифровой криминалистики при СПб ФИЦ РАН. Была разработана методика закупки ботов, которая позволяет получить ground-truth лейблы и извлечь некоторые характеристики ботов. Разработанная методика основана на создании фейкового сообщества, в которое в контролируемым исследователем условиях закупаются боты и исключаются реальные пользователи. С использование данной методики были собраны 70 размеченных наборов ботов. Была оценена способность человека распознать бота. Для этого была создана методика экспериментальной разметки качества ботов. Был реализован бот в Телеграме, где аннотаторы могли в удобной форме размечать аккаунты. Эксперименты показали, что для различных наборов ботов люди обладают различной способностью из распознавания, что можно выразить в виде качества ботов. Для того, чтобы иметь возможность характеризовать атаки в социальных сетях был разработан ряд характеристик ботов которые можно использовать как метрики атаки: -- experimental_quality – экспериментальное качество (включает в себя 6 различных метрик). Выражает способность человека распознать бота и рассчитывается на основе эксперимента. -- NZ – (non zero) доля не пустых / закрытых (закрытые, включает заблокированные социальной сетью) аккаунтов среди ботов. -- price – цена за бота в рублях. -- seller_type – тип продавца. Выражает стратегию управления ботов и включает 2 стратегии: магазин и биржа. -- speed – скорость бота. Выражает скорость атаки (в течении минуты, часа или суток). -- expert_quality – экспертное качество (LOW, MED, HIGH). Данные метрики легли в основу создания методов характеризации ботов, и в последующем этапе проекта лягут в основу идентификации характеристик атак. Были разработаны алгоритмы извлечения признаков ботов, которые включают в себя: -- Алгоритмы извлечения признаков для 2ух типов распределений: (1) численные; (2) временные. -- Алгоритмы извлечения признаков ботов из графовых структур, которые образуют аккаунты социальной сети. -- Алгоритмы извлечения признаков ботов из текстовых данных и изображений. В результате был сформирован список признаков, который будет использоваться для обнаружения ботов. Анализ информативности признаков показал, что наиболее полезными в задаче обнаружения ботов оказались признаки на основе графов и расширенных графов. Наименее информативными оказались признаки на основе профиля и распределений, что в целом сходится с эмпирическими наблюдениями, так как именно профиль и распределения боты чаще всего имитируют для обмана пользователей. Были предложены несколько подходов по обнаружению и характеризации ботов: -- Для задачи анализа отдельных аккаунтов разработаны методики: (1) обнаружения отдельных ботов с учителем и разметкой наборов и (2) без разметки. -- Для задачи обнаружения атак была разработана методика обнаружения группы ботов. -- Для задачи характеризации атаки (например, определения сложности атаки, уровня умений злоумышленника и т.д.) были разработаны методики определения цены, экспертного качества, экспериментального качества бота, скорости бота и типа магазина. Данные методики объединяются, интегральной методикой, которая позволяет (1) обнаружить ботов, (2) произвести валидацию того, что была совершена атака ботов, (3) определить характеристики ботов. Был разработан программный прототип обнаружения ботов, который включает в себя сбор данных, формирование общей структуры, маппинг, извлечение признаков и обучение. Для проведения экспериментов были собраны следующие наборы данных: -- Социальная сеть. Всего на основе 70 наборов ботов были собраны 22325 аккаунтов ботов, из которых 18444 аккаунтов являются уникальными. В том числе были собраны 100.000 случайных аккаунтов. Данный набор использовался для проведения экспериментов. -- Сайт СМИ. Были собраны данные по 6259 пользователям, которые оставляли комментарии с 1 января 2022 года по 1 мая 2022 года. Данный набор планируется расширить и использовать для проведения экспериментов на следующем этапе проекта. -- Мессенджер. Были собраны данные по 1277 белорусским чатам, информация о которых предоставлена проектом DzeChat. Всего данные чаты охватывают 420954 пользователя (8484432 сообщений) во временном периоде начиная с июня 2020 года. Данный набор не планируется расширять. Он будет использоваться для проведения экспериментов на следующем этапе проекта. На основе разработанного прототипа были проведены эксперименты по оценке эффективности предложенных решений. - Эксперимент индивидуального обнаружения с учителем показал, что методика индивидуального обнаружения имеет крайне высокие показатели эффективности. Влияние на детектирование ботов сильнее всего оказывает экспериментальное качество (корреляция ≈0.4), что говорит о том, что в целом, чем сложнее человеку распознать бота, тем сложнее и разработанному прототипу распознать бота. - Эксперимент индивидуального обнаружения без разметки показал, что методика индивидуального обнаружения на основе аномалий имеет крайне низкие показатели эффективности. - Эксперимент группового обнаружения показал, что что методика обнаружения группы ботов имеет крайне высокие показатели эффективности при использовании стандартной модели. При этом, использование модели на основе аномалий имеет крайне низкие показатели эффективности. - Эксперимент устойчивости к мутации показал, что предлагаемые решения достаточно устойчивы к мутации ботов. Это значит что собранные наборы данных достаточно репрезентативны чтобы обнаруживать ботов с качественно другими характеристиками, при условии что данные характеристики будут меняться со временем постепенно. - Эксперимент определения характеристик ботов показал, что разработанное средство может достаточно эффективно извлекать характеристики ботов. Были разработаны сценарии возможного применения, которые включают в себя сценарии: -- повышения информационной безопасности государства, общества и личности -- анализ и оценка рекламных кампаний в социальных сетях -- использование в госкорпорациях, коммерческих организациях и гражданским обществом для защиты репутации и целостности сетевых сообществ. -- совершенствование других продуктов защиты информации. -- использование в гуманитарных исследованиях посвященных социальным сетям. Разработанный прототип удалось протестировать на практике. В период введения QR кодов в связи с эпидемией COVID-19, в Международный Центр Цифровой Криминалистики обратилась коммерческая ритейловая компания с просьбой о расследовании волны негативных отзывов, связанных с политикой компании касательно противоэпидемических ограничений. В расследовании были выделены основные комментаторы, которые оставляли негативные отзывы. Необходимо было установить, являются ли данные аккаунты ботами или реальными пользователями. Результаты данного расследования помогли компании скорректировать свою политику и разработать более эффективную стратегию применения контрмер по сохранению репутации своего бренда. Были опубликованы 6 работ и получены 3 сертификата о государственной регистрации программ. В процессе исследования, участники проекта также принимали участие в популяризации его результатов. Так, о результатах проекта выпустили публикации более 20 СМИ, включая такие издания как “ТАСС-Наука”, “Интерфакс”, “Хабр”, “Канал Санкт-Петербург”, “Бумага” и др. Было принято участие в научно-просветительском фестивале Кампус - “Бумага” с лекцией об эволюции ботов в социальных сетях (видеозапись лекции доступна на странице проекта - https://vk.com/campus1703).

Аннотация результатов, полученных в 2022 году
Данное исследование направлено на изучение видов информационных атак в социальных сетях, в которых принимают участие боты, а также способов их детектирования и характеризации. В рамках исследования была разработана модель информационной атаки в социальной, которая содержит новые классы, атрибуты и отношения между ними, характеризующие информационные атаки в процессе распространения информации в медиа. Модель информационных атак является концептуальной и позволяет применять подходы машинного обучения для мониторинга и обнаружения вредоносного влияния в информационном пространстве социальных сетей. Модель содержит следующие элементы: (1) факт; (2) номинация; (3) событие; (4) медиа-фрейм; (5) медиа; (6) вектор информационной атаки; (7) пространство информационных атак. Модель информационных атак демонстрирует, как атака проходит через процесс медиатизации. На базе модели предложен подход к обнаружению и выбору признаков информационной атаки. Для проверки предложенных модели и подхода проведено тематическое исследование. Для разработки модели информационной атаки были проведены консультации с экспертами со стороны социо-гуманитарных наук. Была разработана классификация видов и характеристик информационных атак с применением ботов, а именно: Классификация информационных атак с учетом интересов организатора атаки: (1) Конфликт: a) вооруженный; б) экономический; в) репутационный. (2) Конкуренция: а) брендов; б) субъектов; в) корпораций. (3) Флуктуация: а) ошибка; б) заблуждение; в) привлечение внимания; г) отвлечение внимания (спиннер). Классификация действий характерных для информационных атак, реализуемых в интересах организатора: (1) Распространение информации: а) интерпретация факта; б) формирование сообщения; в) выбор медиа; г) публикация сообщения; д) репост сообщения; е) цитата сообщения. (2) Управление атакой в информационным пространстве: а) формирование задания; б) лайк; в) дизлайки; г) подписка; д) комментарии; е) просмотры. Классификация информационной атаки по интересам организатора и по типам ботов (технические боты, боевые боты, тролли, дезинформаторы и спамеры), классы информационных атак (конфликт, конкуренция, флуктуация) и вероятность реализации сценария информационной атаки с применением таких ботов в социальных сетях Были разработаны алгоритмы оптимизации сбора исходных данных для извлечения характеристик информационной атаки, а именно: – алгоритм случайного сбора и экстраполяции результатов, который позволяет оценить среднее количество и характеристики ботов в группе анализируемых аккаунтов (применяется при общей оценке картины зараженности ботами). Алгоритм случайного сбора основан на экстраполяции выводов о репрезентативной выборки на генеральную совокупность. – алгоритм ранжированного сбора и анализа результатов, который позволяет оценить количество и характеристики ботов по смещенной выборе, со смещением в сторону большей активности, большего охвата и других метрик влияния (степени информационного воздействия). Вместо того, чтобы анализировать все аккаунты, предлагается определить пользователей, которые оставили больший цифровой след (оставили больше всего сообщений, охватили большую аудиторию, получили больше других лайков и т. п.). В зависимости от сценария использования (мониторинг социальной сети в целом, целевой мониторинг) предполагается использовать тот или иной алгоритм. На предыдущем этапе проекта были выбраны характеристики ботов, которые можно использовать как метрики атаки. На основе разметки собранных наборов данных, включая разметки от 3-ех экспертов, проведенных экспериментов и собранных признаков были рассчитаны корреляции Спирмена между метриками ботов. Анализ показал, что: (1) Чем больше вероятность распознать бота - тем меньше цена, быстрее скорость бота, меньше экспертное качество, а сам бот вероятно покупался через магазин, а не биржу. Что в целом сходится с ожидаемыми характеристиками ботов низкого качества, а также то, что пустые аккаунты чаще блокируются соцсетью. (2) Наборы данных, в которых много пустых/заблокированных аккаунтов чаще приобретены в магазинах, а не на биржах, они обладают высокой скоростью, и хорошо распознаются людьми. (3) метрики price, speed, seller_type взаимно коррелируют, за исключением корреляции цены с типом продавца. (4) экспериментальное качество не имеет среднюю или сильную корреляцию по Чеддоку с какой-либо одной метрикой, полученной в ходе закупки ботов. В целом, можно сделать вывод, что на успешность атаки влияет сразу множество факторов, и для ее описания нужно использовать сразу несколько метрик. Данные метрики легли в основу создания методов характеризации ботов, а на данном этапе легли в основу идентификации характеристик атак. Исходя из данных метрик в настоящем исследовании было предложено рассчитывать характеристики информационной атаки: стоимость атаки; сложность атаки; скорость атаки; объем атаки; успешность атаки. Была разработана интегральная методика обнаружения ботов и извлечения характеристик включает в себя этапы сбора данных, обнаружения ботов и расчёта характеристик атаки, которые были разработаны на предыдущем и данном этапах проекта и включает: – Сбор данных. – Фильтрация по признакам модели атак. Исходя из цели анализа перед сбором данных аккаунта применяется фильтрация с использованием классификатора, которая позволит выделить элементы модели атак (номинацию, вид медиа, медиа фрейм, и т. п.) – Обнаружение ботов. Исходя из собранных данных аккаунты классифицируются с использованием методов обнаружения ботов – Расчёт метрик. Для аккаунтов, которые были определены как боты рассчитываются метрики ботов и атаки. Для проведения экспериментов был разработан программный прототип системы обнаружения и характеризации информационных атак ботов, которые может работать в двух режимах: – Мониторинг социальной сети в целом. – Мониторинг целевого сообщества в социальной сети. В рамках проекта с использованием систем сбора были также собраны наборы, которые в последствии использовались для обучения моделей и проведения экспериментов. С использованием собранных наборов данных были разработаны классификаторы, которые позволяют определить элементы модели атак: – Отношение к тематике X (бинарная классификация – относится/не относится). Модель, которая позволяет отфильтровать сообщения релевантные к тематике X. – Поддержка стороны (мульти-классификация – поддерживает сторону X, Y или невозможно установить). Также для анализа тональности использовалась модель DeepPavlov ruBertBaseCasedSentiment. Для оценки эффективности разработанных решений было проведено 3 эксперимента соответствующие режимам работы прототипа. Были разработаны предложения для возможного применения, которые включают в себя следующие сценарии: -- Система обнаружения и оценки характеристик информационных атак, реализуемых при использовании ботов в социальных сетях в интересах одной из сторон конфликта -- Система противодействия информационным атакам в условиях конфликта. -- Система мониторинга и анализа социальных медиа и СМИ, для повышения осведомленности бренда, субъекта или корпорации в процессе управления рекламными и репутационными компаниями. -- Система мониторинга и анализа социальных медиа и СМИ, для защиты пользователя от манипуляций и вовлечения в процесс информационной атаки в ходе дезинформации, распространения фейков, индуцированной активности и искусственной медиатизации. Также были опубликованы 10 работ, в том числе две публикации, входящие в 1-й квартиль базы цитирования Scopus, и получен 1 сертификат о государственной регистрации программ. В процессе исследования участники проекта также принимали участие в популяризации его результатов. Так, о результатах проекта выпустили публикации ряд СМИ.