基于大數據的重要設施智能預警系統研究

吳曉尉，王晨耀

（1.中國人民警察大學 河北廊坊 065000；2.上海公安學院 上海 200137）

關鍵字：重要設施；可疑行為；風險事件；智能預警

21世紀，國際恐怖主義滲透加劇，國內暴恐活動呈現出從邊疆向內地轉移的態勢，社會矛盾日益突出，國內重要設施發生不法活動、暴恐襲擊的可能性依然存在。各種不法分子和非法組織為達成一定目的、擴大政治影響，往往會把重要設施作為襲擊或制造事端的首選。據GTD 數據集數據顯示，2008 年以來全球發生暴恐事件106，099 起，其中有12，388 起發生在大使館/領事館、國際組織、政府大樓/設施、警察大樓、監獄、軍營/基地/總部、軍事檢察站、機場、港口等重要機構、場所、設施等，占恐怖活動總數的11.68%。2011 年恐怖活動進入快速上升期，2014 年達到高峰時期，2016 年以后進入平穩發生期，但活動仍舊頻繁，活動數量居高不下（見表1），針對重要設施的安全威脅持久存在。

不法分子襲擊重要設施前，大多會到現場勘察地形，移動通信、互聯網成為聯系同伙、信息查詢、購買作案工具的重要手段。綜合利用各種社會感知數據、公安業務等數據信息，針對重要設施潛在威脅進行分析，及時發現作案苗頭并進行實時化、智能化預警和預控，是信息化時代確保重要設施安全的有效途徑。

一、研究現狀

預警是指危險或事故發生前預先發出警告的過程，其內涵是對事件發展趨勢的預測。大數據技術的核心就是從大量已有數據中發現事物發展的規律、模式，利用大數據技術用于預警是必然發展趨勢。傳統的預警系統能夠發現并識別出人的身份并進行報警，其預警過程同人過去發生的行為聯系不夠緊密，不能體現事件的發展變化過程。

表1 重要場所、機構、設施恐襲事件數量

隨著大數據、知識圖譜、人工智能等技術的飛速發展，智能化預警模式受到更多關注，如明略科技公司的多維感知管控平臺可從頻繁程度、聚集程度、異常程度等方面進行數據挖掘計算，進而預測團伙異常行為。國內很多學者進行了基于大數據的異常行為、預警方面研究。如陳剛等人［1］從動態異常行為信息、管控信息、現實異常行為信息三類信息中挖掘可疑，構建積分預警模型，以異常行為基礎進行預警系統構建。金吉等人［2］提出公安積分預警系統的設計思路及預警流程；吳紹忠［3］研究了重點人員積分預警模型；國內預警系統研究多集中在人員、行為的預警，在事件預警方面研究較少。本文在人員、行為預警基礎上，提出了事件預警模型，并設計了具有實時預警功能的智能預警系統。

隨著計算機運算量、存儲容量、處理速度等性能的大幅提升，海量數據處理、關聯分析、知識挖掘、智能搜索等數據分析能力愈加出色。各種前端數據處理設備、智能芯片嵌入到傳感器、攝像頭中，為實時獲取數據并進行快速處理提供技術支持，使得實時獲取行動軌跡、行為等信息成為可能。科技的迅猛發展為實現重要設施潛在風險的實時、智能預警提供強有力的技術支撐。

二、系統需求分析

重要設施安全，一方面指重要設施建筑實體的安全，一方面指重要設施代表的機構、單位的政治、社會安全。重要設施作為重點防護對象，其政治敏感性強，受到影響后對社會影響大、后果嚴重，容易成為某特殊集團、組織進行攻擊、破壞的目標。重要設施安全預警應通過對可疑行為、人員、物品等可疑對象的監測、監控，預先判斷暴恐襲擊、重大群體性事件、重大輿情等事件發生的可能及其演變過程，并制定預警防控措施。

本文研究的重要設施安全風險事件主要指社會安全事件，包括暴恐襲擊、群體性事件、輿情事件、其它治安及犯罪事件、網絡及信息安全等事件（見表2）。對重要設施的安全威脅進行分析、辨識，是有針對性進行預警的前提。

表2 重要設施安全風險事件

三、系統目標、功能及組成

（一）系統目標

重要設施智能預警系統在整合各種社會感知、公安管控大數據基礎上，通過多源異構信息融合、視頻結構化、數據挖掘等技術進行清洗、補全、整合、分析，綜合運用預警指標體系、預警模型開展智能預警分析，分別對可疑人員、物品進行積分預警，實現基于人員、行為、事件間關聯關系挖掘的風險行為、事件預警。

（二）系統功能

重要設施安全預警始于發現可疑，大數據環境下的智能預警分析主要提供三種發現可疑的方式。第一，通過對大數據的聚類、關聯分析等技術在社會行為及關系網絡中發現可疑；第二，通過情報分析發現可疑；第三，通過基于視頻的模式識別發現可疑。

針對重要設施安全預警的特殊性，發現可疑的范圍可分為重要設施周邊防控區、防控區以外及網絡空間。當可疑對象出現在防控區域時，危險行為、風險事件發生的概率增加，且需要快速預警并及時做出響應，才能有效進行防控。防控區以外區域及網絡空間，風險事件還處于籌劃和準備過程中，其發展趨勢還需進一步觀察。因此，系統應具有如下功能：

1.防控區以外及網絡空間預警。集成公安積分預警、反恐情報等平臺信息，匯聚海量的人流、物流、信息流、資金流數據，刻畫可疑人員、物品的時空軌跡，分析行為關系網絡，根據預警模型分析潛在異常。

2.重要設施防控區前端預警。重要設施防控區內發現可疑的方式有兩種，一是人員可疑，二是行為可疑。通過防控區內視頻監控等技術手段，識別異常行為、異常人員，并結合防控區以外及網絡空間信息進行研判，確定預警級別，實現前端預警。

3.預警發布及布控。按照預警等級，向相關業務單位發送預警信息，提交對某可疑人員進行管控的申請，提供警力、裝備的布控方案，啟動預警模式后提供應急處置預案。

（三）系統組成

系統由前端預警平臺、綜合信息研判平臺組成。前端預警平臺結合視頻監控、身份識別等技術對本地異常進行快速識別。綜合信息研判平臺對接社會治安預警、國家反恐情報平臺，以前端預警信息為線索，進一步開展綜合預警信息分析及研判。

四、系統設計

建立異常行為預警模型，從海量數據中實時、自動發現可疑行為、可疑事件，判斷潛在風險，是智能化預警技術要解決的關鍵問題。

（一）技術架構

系統分為感知層、數據層、預警分析層和應用層。感知層整合已有社會治安防控、反恐情報信息、政府管理信息、網絡空間信息等數據，完善預警信息感知體系，在數據清洗、整合、標注、數據補全后構建重要設施可疑人員全息檔案。數據層根據預警模型的需求，分別向不同數據源發送數據請求，將數據聯網匯聚到數據層，并構建專業知識圖譜。預警分析層建立行為特征計算引擎，構建預警模型，并對其分析結果進行合理解釋。應用層建立積分計算引擎，進行積分管理，通過預警模型、知識圖譜等，分析可疑行為特征，并及時預警。系統采用分布式處理機制加數據流監聽管理，當監聽到新數據流入時，根據預警模型判斷是否達到預警等級，利用積分引擎更新預警積分。

（二）預警模型構建

1.可疑人員實時預警模型。在重要設施及防控區（見表3）出現的吸毒人員、精神病重癥患者、有犯罪記錄人員等群體，作案嫌疑較大，可直接啟動實時預警模式，對其持續監控或監測發現可疑行為后升級預警級別并進行地面管控。在防控區以外區域及網絡空間（見表3），通過社交網絡數據和社會感知數據分析發現的可疑人員、可疑行為所涉及人員，如果其行為和重要設施關聯度高，按照預警積分指標體系動態更新可疑人員的預警積分。當某人預警積分超過預定閾值后，發布預警信息。

表3 基于不同場景的重要設施安全預警模型

2.可疑物品實時預警模型。槍支、炸藥、汽油、汽車、卡車、暴恐組織的旗幟標語、管制刀具、手機等都是重要設施風險事件中可能涉及到的協助作案物品，及時關注可疑物品的交易信息、運輸軌跡，對分析可疑行為和風險事件具有重要意義。據針對重要機構、場所、設施的暴恐活動的襲擊類型數據統計分析，使用爆炸物、槍支作為武器的數量分別為12380、6457 起，各占總數的54.42%和28.38%。轟炸/爆炸類、武裝攻擊類襲擊分別達到11634、6603起，各占總數的51.13%和29.02%。由此可見，爆炸物品、槍支的管控是預警工作的重要環節。

槍支、炸藥等管制物品出現丟失被盜情況時，應能夠第一時間對其預警并設定標簽為可疑物品，并持續關注其行蹤。及時關注二手車交易信息，購買者身份可疑時則將其定為可疑物品。在作案實施過程中車、手機等的使用都會留下痕跡，將信息感知網絡中獲得被盜搶車輛、套牌車輛、手機等信息可標為可疑物品，增加其預警積分，并及時采取管控措施。

3.可疑行為實時預警模型。異常行為信息是以語言、文字、圖像等為載體，對嫌疑人的活動軌跡、行為習慣、作案過程、作案痕跡等與犯罪行為密切相關的信息進行的實體化反映［1］。異常行為種類多、形式多樣，實時智能預警模型應該能夠從數據中自動學習得到判斷某種行為或某一組行為是異常行為的具體規則，以彌補專家判斷的不足；能夠針對重要設施所在地的不同生成個性化模型，以體現不同地域、不同形式的預警區別；能夠對自動學習出的規則進行合理化解釋，讓用戶更容易接受學習的結果；能夠實時獲得新信息，并隨著新信息的增加，同步預測行為及事態的變化。

目前基于大數據、人工智能的關聯分析、聚類分析技術可用于建立智能預警模型。第一，建立行為關聯模型。通過（實體，關系，實體）、（實體，屬性，屬性值）等三元組構建行為關系知識庫，其中關系表示具體行為，如網購、打電話、網絡聊天等。構建基于知識圖譜的行為關系知識庫，可在數據源中利用語義抽取的方式抽取實體、行為關系、屬性信息構成知識圖譜，并在知識圖譜、事理圖譜基礎上構建由社會行為關系網絡、活動軌跡時空數據網絡在內的行為關系知識庫。將人員社會信息、購物消費行為、論壇發帖行為、在某地出行等多種行為進行特征化處理，并設定可疑行為標簽。比如某時間段實體間行為頻率超過一定閾值，說明二者間關系密切，如果其中一人身份特殊，則伙同他人活動的概率增高。在識別單個可疑行為的基礎上，還可以對一定時域范圍內若干單個可疑行為進行關聯分析，實現下一步行為預測。第二，異常行為聚類分析。在建立行為關聯模型后，可利用機器學習、深度學習、知識圖譜、數據挖掘等技術對大量數據進行分析，挖掘、發現異常行為，并對諸如某超高住宅用電等稀疏行為進行分析。

4.風險事件預警模型。風險事件由事件籌劃、準備、實施階段出現的一系列可疑行為組成，大量案例表明，包括暴恐襲擊在內的不法活動在準備階段就呈現出顯著的活動特點。可依據系列異常行為去預測風險事件，通過對具有不同標簽的異常行為進行關聯或分組，結合機器學習、事例圖譜等技術方法，判斷風險事件發生的概率，進而實現對風險事件的預警。下面以暴恐襲擊為例介紹風險事件預警模型的建立。

倫敦都市警察對暴恐襲擊進行分析并總結其特征和模式：第一，經常短期租賃房屋。第二，行動之前進行計劃和準備。比如有些人非同尋常地關注當地重要的財政和政府機構、購物中心等重要地點的安全保衛情況。第三，盜竊或購買大型運載車輛、貨車、集裝箱，拖車等。第四，通過各種手段獲得大額現金。

在借鑒國外經驗基礎上結合中國案例特點，構建基于可疑行為的風險事件預警模型。可疑行為可表現在以下幾方面：第一，異常車輛（車從哪里來，到哪里去）；第二，異常人員及活動軌跡（出租房、旅店）；第三，異常行為（在擬肇事地點反復勘察等）；第四，異常物品（旗幟、砍刀、鐵棍、炸藥、汽油）；第五，異常信息（通信、網絡瀏覽痕跡等）；第六，資金的支持（帳號交易信息）。通過對可疑行為進行關聯分析，形成恐怖襲擊等風險事件預警模型，并結合大數據技術可自動預測可能發生的事件。

五、系統關鍵技術及應用注意事項

（一）系統實現關鍵技術

基于預警模型的并行化預警分析是實現智能實時預警系統的技術基礎，復雜事件處理并行化技術在實時處理方面具有優勢，是系統實現的關鍵之一。利用人工智能深度學習技術訓練模型，從行為關系實體數據中提取特征并進行分類、預測，是目前求解復雜問題較為有效的方法。利用信息融合技術將人員、物品位置、行蹤、自身特點等多源異構信息相融合，實現對安全態勢的評估及異常行為的預測。基于視頻的異常行為識別是圖形圖像領域的難點、熱點問題，該技術的成熟度直接關系到異常行為識別的準確度。

（二）系統應用注意事項

基于大數據智能實時預警的核心是對各種社會感知數據的利用，數據權限、個人隱私等信息安全、數據質量等問題對于模型的準確性起著決定性作用［4］。同時，是否擁有對可疑對象進行管控的權限問題也直接影響系統建設和運行。

針對以上問題，提出以下建議。第一，成立重要設施預警指揮小組。能夠快速實現對可疑人員信息快速查詢，具有數據使用和申請管控的權限。第二，建立預警應急處置聯動機制。在具有犯罪傾向時能夠快速指揮人員進行干預和管控。第三，建立、健全預警法制法規，為預警分析、處置提供依據。通過制定相關法律法規，明確相關部門和單位提交、使用數據的權利、義務，使得預警更具有合法性、規范性。

六、結語

本文重點提出了基于重要設施防控區域、重要設施外圍區域及網絡空間二種場景的智能實時預警系統構想，運用大數據、人工智能、視頻模式識別等技術，識別可疑對象，構建可疑人員、可疑物品、可疑事件、風險事件等預警模型，探討系統建設目標、功能及組成，指出系統技術架構、關鍵技術，并說明系統建設注意事項。