基于大数据的重要设施智能预警系统研究

2021-01-19吴晓尉王晨耀

四川警察学院学报 2020年6期

吴晓尉，王晨耀

（1.中国人民警察大学河北廊坊 065000；2.上海公安学院上海 200137）

关键字：重要设施；可疑行为；风险事件；智能预警

21世纪，国际恐怖主义渗透加剧，国内暴恐活动呈现出从边疆向内地转移的态势，社会矛盾日益突出，国内重要设施发生不法活动、暴恐袭击的可能性依然存在。各种不法分子和非法组织为达成一定目的、扩大政治影响，往往会把重要设施作为袭击或制造事端的首选。据GTD 数据集数据显示，2008 年以来全球发生暴恐事件106，099 起，其中有12，388 起发生在大使馆/领事馆、国际组织、政府大楼/设施、警察大楼、监狱、军营/基地/总部、军事检察站、机场、港口等重要机构、场所、设施等，占恐怖活动总数的11.68%。2011 年恐怖活动进入快速上升期，2014 年达到高峰时期，2016 年以后进入平稳发生期，但活动仍旧频繁，活动数量居高不下（见表1），针对重要设施的安全威胁持久存在。

不法分子袭击重要设施前，大多会到现场勘察地形，移动通信、互联网成为联系同伙、信息查询、购买作案工具的重要手段。综合利用各种社会感知数据、公安业务等数据信息，针对重要设施潜在威胁进行分析，及时发现作案苗头并进行实时化、智能化预警和预控，是信息化时代确保重要设施安全的有效途径。

一、研究现状

预警是指危险或事故发生前预先发出警告的过程，其内涵是对事件发展趋势的预测。大数据技术的核心就是从大量已有数据中发现事物发展的规律、模式，利用大数据技术用于预警是必然发展趋势。传统的预警系统能够发现并识别出人的身份并进行报警，其预警过程同人过去发生的行为联系不够紧密，不能体现事件的发展变化过程。

表1 重要场所、机构、设施恐袭事件数量

随着大数据、知识图谱、人工智能等技术的飞速发展，智能化预警模式受到更多关注，如明略科技公司的多维感知管控平台可从频繁程度、聚集程度、异常程度等方面进行数据挖掘计算，进而预测团伙异常行为。国内很多学者进行了基于大数据的异常行为、预警方面研究。如陈刚等人［1］从动态异常行为信息、管控信息、现实异常行为信息三类信息中挖掘可疑，构建积分预警模型，以异常行为基础进行预警系统构建。金吉等人［2］提出公安积分预警系统的设计思路及预警流程；吴绍忠［3］研究了重点人员积分预警模型；国内预警系统研究多集中在人员、行为的预警，在事件预警方面研究较少。本文在人员、行为预警基础上，提出了事件预警模型，并设计了具有实时预警功能的智能预警系统。

随着计算机运算量、存储容量、处理速度等性能的大幅提升，海量数据处理、关联分析、知识挖掘、智能搜索等数据分析能力愈加出色。各种前端数据处理设备、智能芯片嵌入到传感器、摄像头中，为实时获取数据并进行快速处理提供技术支持，使得实时获取行动轨迹、行为等信息成为可能。科技的迅猛发展为实现重要设施潜在风险的实时、智能预警提供强有力的技术支撑。

二、系统需求分析

重要设施安全，一方面指重要设施建筑实体的安全，一方面指重要设施代表的机构、单位的政治、社会安全。重要设施作为重点防护对象，其政治敏感性强，受到影响后对社会影响大、后果严重，容易成为某特殊集团、组织进行攻击、破坏的目标。重要设施安全预警应通过对可疑行为、人员、物品等可疑对象的监测、监控，预先判断暴恐袭击、重大群体性事件、重大舆情等事件发生的可能及其演变过程，并制定预警防控措施。

本文研究的重要设施安全风险事件主要指社会安全事件，包括暴恐袭击、群体性事件、舆情事件、其它治安及犯罪事件、网络及信息安全等事件（见表2）。对重要设施的安全威胁进行分析、辨识，是有针对性进行预警的前提。

表2 重要设施安全风险事件

三、系统目标、功能及组成

（一）系统目标

重要设施智能预警系统在整合各种社会感知、公安管控大数据基础上，通过多源异构信息融合、视频结构化、数据挖掘等技术进行清洗、补全、整合、分析，综合运用预警指标体系、预警模型开展智能预警分析，分别对可疑人员、物品进行积分预警，实现基于人员、行为、事件间关联关系挖掘的风险行为、事件预警。

（二）系统功能

重要设施安全预警始于发现可疑，大数据环境下的智能预警分析主要提供三种发现可疑的方式。第一，通过对大数据的聚类、关联分析等技术在社会行为及关系网络中发现可疑；第二，通过情报分析发现可疑；第三，通过基于视频的模式识别发现可疑。

针对重要设施安全预警的特殊性，发现可疑的范围可分为重要设施周边防控区、防控区以外及网络空间。当可疑对象出现在防控区域时，危险行为、风险事件发生的概率增加，且需要快速预警并及时做出响应，才能有效进行防控。防控区以外区域及网络空间，风险事件还处于筹划和准备过程中，其发展趋势还需进一步观察。因此，系统应具有如下功能：

1.防控区以外及网络空间预警。集成公安积分预警、反恐情报等平台信息，汇聚海量的人流、物流、信息流、资金流数据，刻画可疑人员、物品的时空轨迹，分析行为关系网络，根据预警模型分析潜在异常。

2.重要设施防控区前端预警。重要设施防控区内发现可疑的方式有两种，一是人员可疑，二是行为可疑。通过防控区内视频监控等技术手段，识别异常行为、异常人员，并结合防控区以外及网络空间信息进行研判，确定预警级别，实现前端预警。

3.预警发布及布控。按照预警等级，向相关业务单位发送预警信息，提交对某可疑人员进行管控的申请，提供警力、装备的布控方案，启动预警模式后提供应急处置预案。

（三）系统组成

系统由前端预警平台、综合信息研判平台组成。前端预警平台结合视频监控、身份识别等技术对本地异常进行快速识别。综合信息研判平台对接社会治安预警、国家反恐情报平台，以前端预警信息为线索，进一步开展综合预警信息分析及研判。

四、系统设计

建立异常行为预警模型，从海量数据中实时、自动发现可疑行为、可疑事件，判断潜在风险，是智能化预警技术要解决的关键问题。

（一）技术架构

系统分为感知层、数据层、预警分析层和应用层。感知层整合已有社会治安防控、反恐情报信息、政府管理信息、网络空间信息等数据，完善预警信息感知体系，在数据清洗、整合、标注、数据补全后构建重要设施可疑人员全息档案。数据层根据预警模型的需求，分别向不同数据源发送数据请求，将数据联网汇聚到数据层，并构建专业知识图谱。预警分析层建立行为特征计算引擎，构建预警模型，并对其分析结果进行合理解释。应用层建立积分计算引擎，进行积分管理，通过预警模型、知识图谱等，分析可疑行为特征，并及时预警。系统采用分布式处理机制加数据流监听管理，当监听到新数据流入时，根据预警模型判断是否达到预警等级，利用积分引擎更新预警积分。

（二）预警模型构建

1.可疑人员实时预警模型。在重要设施及防控区（见表3）出现的吸毒人员、精神病重症患者、有犯罪记录人员等群体，作案嫌疑较大，可直接启动实时预警模式，对其持续监控或监测发现可疑行为后升级预警级别并进行地面管控。在防控区以外区域及网络空间（见表3），通过社交网络数据和社会感知数据分析发现的可疑人员、可疑行为所涉及人员，如果其行为和重要设施关联度高，按照预警积分指标体系动态更新可疑人员的预警积分。当某人预警积分超过预定阈值后，发布预警信息。

表3 基于不同场景的重要设施安全预警模型

2.可疑物品实时预警模型。枪支、炸药、汽油、汽车、卡车、暴恐组织的旗帜标语、管制刀具、手机等都是重要设施风险事件中可能涉及到的协助作案物品，及时关注可疑物品的交易信息、运输轨迹，对分析可疑行为和风险事件具有重要意义。据针对重要机构、场所、设施的暴恐活动的袭击类型数据统计分析，使用爆炸物、枪支作为武器的数量分别为12380、6457 起，各占总数的54.42%和28.38%。轰炸/爆炸类、武装攻击类袭击分别达到11634、6603起，各占总数的51.13%和29.02%。由此可见，爆炸物品、枪支的管控是预警工作的重要环节。

枪支、炸药等管制物品出现丢失被盗情况时，应能够第一时间对其预警并设定标签为可疑物品，并持续关注其行踪。及时关注二手车交易信息，购买者身份可疑时则将其定为可疑物品。在作案实施过程中车、手机等的使用都会留下痕迹，将信息感知网络中获得被盗抢车辆、套牌车辆、手机等信息可标为可疑物品，增加其预警积分，并及时采取管控措施。

3.可疑行为实时预警模型。异常行为信息是以语言、文字、图像等为载体，对嫌疑人的活动轨迹、行为习惯、作案过程、作案痕迹等与犯罪行为密切相关的信息进行的实体化反映［1］。异常行为种类多、形式多样，实时智能预警模型应该能够从数据中自动学习得到判断某种行为或某一组行为是异常行为的具体规则，以弥补专家判断的不足；能够针对重要设施所在地的不同生成个性化模型，以体现不同地域、不同形式的预警区别；能够对自动学习出的规则进行合理化解释，让用户更容易接受学习的结果；能够实时获得新信息，并随着新信息的增加，同步预测行为及事态的变化。

目前基于大数据、人工智能的关联分析、聚类分析技术可用于建立智能预警模型。第一，建立行为关联模型。通过（实体，关系，实体）、（实体，属性，属性值）等三元组构建行为关系知识库，其中关系表示具体行为，如网购、打电话、网络聊天等。构建基于知识图谱的行为关系知识库，可在数据源中利用语义抽取的方式抽取实体、行为关系、属性信息构成知识图谱，并在知识图谱、事理图谱基础上构建由社会行为关系网络、活动轨迹时空数据网络在内的行为关系知识库。将人员社会信息、购物消费行为、论坛发帖行为、在某地出行等多种行为进行特征化处理，并设定可疑行为标签。比如某时间段实体间行为频率超过一定阈值，说明二者间关系密切，如果其中一人身份特殊，则伙同他人活动的概率增高。在识别单个可疑行为的基础上，还可以对一定时域范围内若干单个可疑行为进行关联分析，实现下一步行为预测。第二，异常行为聚类分析。在建立行为关联模型后，可利用机器学习、深度学习、知识图谱、数据挖掘等技术对大量数据进行分析，挖掘、发现异常行为，并对诸如某超高住宅用电等稀疏行为进行分析。

4.风险事件预警模型。风险事件由事件筹划、准备、实施阶段出现的一系列可疑行为组成，大量案例表明，包括暴恐袭击在内的不法活动在准备阶段就呈现出显著的活动特点。可依据系列异常行为去预测风险事件，通过对具有不同标签的异常行为进行关联或分组，结合机器学习、事例图谱等技术方法，判断风险事件发生的概率，进而实现对风险事件的预警。下面以暴恐袭击为例介绍风险事件预警模型的建立。

伦敦都市警察对暴恐袭击进行分析并总结其特征和模式：第一，经常短期租赁房屋。第二，行动之前进行计划和准备。比如有些人非同寻常地关注当地重要的财政和政府机构、购物中心等重要地点的安全保卫情况。第三，盗窃或购买大型运载车辆、货车、集装箱，拖车等。第四，通过各种手段获得大额现金。

在借鉴国外经验基础上结合中国案例特点，构建基于可疑行为的风险事件预警模型。可疑行为可表现在以下几方面：第一，异常车辆（车从哪里来，到哪里去）；第二，异常人员及活动轨迹（出租房、旅店）；第三，异常行为（在拟肇事地点反复勘察等）；第四，异常物品（旗帜、砍刀、铁棍、炸药、汽油）；第五，异常信息（通信、网络浏览痕迹等）；第六，资金的支持（帐号交易信息）。通过对可疑行为进行关联分析，形成恐怖袭击等风险事件预警模型，并结合大数据技术可自动预测可能发生的事件。

五、系统关键技术及应用注意事项

（一）系统实现关键技术

基于预警模型的并行化预警分析是实现智能实时预警系统的技术基础，复杂事件处理并行化技术在实时处理方面具有优势，是系统实现的关键之一。利用人工智能深度学习技术训练模型，从行为关系实体数据中提取特征并进行分类、预测，是目前求解复杂问题较为有效的方法。利用信息融合技术将人员、物品位置、行踪、自身特点等多源异构信息相融合，实现对安全态势的评估及异常行为的预测。基于视频的异常行为识别是图形图像领域的难点、热点问题，该技术的成熟度直接关系到异常行为识别的准确度。

（二）系统应用注意事项

基于大数据智能实时预警的核心是对各种社会感知数据的利用，数据权限、个人隐私等信息安全、数据质量等问题对于模型的准确性起着决定性作用［4］。同时，是否拥有对可疑对象进行管控的权限问题也直接影响系统建设和运行。

针对以上问题，提出以下建议。第一，成立重要设施预警指挥小组。能够快速实现对可疑人员信息快速查询，具有数据使用和申请管控的权限。第二，建立预警应急处置联动机制。在具有犯罪倾向时能够快速指挥人员进行干预和管控。第三，建立、健全预警法制法规，为预警分析、处置提供依据。通过制定相关法律法规，明确相关部门和单位提交、使用数据的权利、义务，使得预警更具有合法性、规范性。