吳曉尉，王晨耀

（1.中國人民警察大學 河北廊坊 065000；2.上海公安學院 上海 200137）

關(guān)鍵字：重要設(shè)施；可疑行為；風險事件；智能預警

21世紀，國際恐怖主義滲透加劇，國內(nèi)暴恐活動呈現(xiàn)出從邊疆向內(nèi)地轉(zhuǎn)移的態(tài)勢，社會矛盾日益突出，國內(nèi)重要設(shè)施發(fā)生不法活動、暴恐襲擊的可能性依然存在。各種不法分子和非法組織為達成一定目的、擴大政治影響，往往會把重要設(shè)施作為襲擊或制造事端的首選。據(jù)GTD 數(shù)據(jù)集數(shù)據(jù)顯示，2008 年以來全球發(fā)生暴恐事件106，099 起，其中有12，388 起發(fā)生在大使館/領(lǐng)事館、國際組織、政府大樓/設(shè)施、警察大樓、監(jiān)獄、軍營/基地/總部、軍事檢察站、機場、港口等重要機構(gòu)、場所、設(shè)施等，占恐怖活動總數(shù)的11.68%。2011 年恐怖活動進入快速上升期，2014 年達到高峰時期，2016 年以后進入平穩(wěn)發(fā)生期，但活動仍舊頻繁，活動數(shù)量居高不下（見表1），針對重要設(shè)施的安全威脅持久存在。

不法分子襲擊重要設(shè)施前，大多會到現(xiàn)場勘察地形，移動通信、互聯(lián)網(wǎng)成為聯(lián)系同伙、信息查詢、購買作案工具的重要手段。綜合利用各種社會感知數(shù)據(jù)、公安業(yè)務(wù)等數(shù)據(jù)信息，針對重要設(shè)施潛在威脅進行分析，及時發(fā)現(xiàn)作案苗頭并進行實時化、智能化預警和預控，是信息化時代確保重要設(shè)施安全的有效途徑。

一、研究現(xiàn)狀

預警是指危險或事故發(fā)生前預先發(fā)出警告的過程，其內(nèi)涵是對事件發(fā)展趨勢的預測。大數(shù)據(jù)技術(shù)的核心就是從大量已有數(shù)據(jù)中發(fā)現(xiàn)事物發(fā)展的規(guī)律、模式，利用大數(shù)據(jù)技術(shù)用于預警是必然發(fā)展趨勢。傳統(tǒng)的預警系統(tǒng)能夠發(fā)現(xiàn)并識別出人的身份并進行報警，其預警過程同人過去發(fā)生的行為聯(lián)系不夠緊密，不能體現(xiàn)事件的發(fā)展變化過程。

表1 重要場所、機構(gòu)、設(shè)施恐襲事件數(shù)量

隨著大數(shù)據(jù)、知識圖譜、人工智能等技術(shù)的飛速發(fā)展，智能化預警模式受到更多關(guān)注，如明略科技公司的多維感知管控平臺可從頻繁程度、聚集程度、異常程度等方面進行數(shù)據(jù)挖掘計算，進而預測團伙異常行為。國內(nèi)很多學者進行了基于大數(shù)據(jù)的異常行為、預警方面研究。如陳剛等人［1］從動態(tài)異常行為信息、管控信息、現(xiàn)實異常行為信息三類信息中挖掘可疑，構(gòu)建積分預警模型，以異常行為基礎(chǔ)進行預警系統(tǒng)構(gòu)建。金吉等人［2］提出公安積分預警系統(tǒng)的設(shè)計思路及預警流程；吳紹忠［3］研究了重點人員積分預警模型；國內(nèi)預警系統(tǒng)研究多集中在人員、行為的預警，在事件預警方面研究較少。本文在人員、行為預警基礎(chǔ)上，提出了事件預警模型，并設(shè)計了具有實時預警功能的智能預警系統(tǒng)。

隨著計算機運算量、存儲容量、處理速度等性能的大幅提升，海量數(shù)據(jù)處理、關(guān)聯(lián)分析、知識挖掘、智能搜索等數(shù)據(jù)分析能力愈加出色。各種前端數(shù)據(jù)處理設(shè)備、智能芯片嵌入到傳感器、攝像頭中，為實時獲取數(shù)據(jù)并進行快速處理提供技術(shù)支持，使得實時獲取行動軌跡、行為等信息成為可能?？萍嫉难该桶l(fā)展為實現(xiàn)重要設(shè)施潛在風險的實時、智能預警提供強有力的技術(shù)支撐。

二、系統(tǒng)需求分析

重要設(shè)施安全，一方面指重要設(shè)施建筑實體的安全，一方面指重要設(shè)施代表的機構(gòu)、單位的政治、社會安全。重要設(shè)施作為重點防護對象，其政治敏感性強，受到影響后對社會影響大、后果嚴重，容易成為某特殊集團、組織進行攻擊、破壞的目標。重要設(shè)施安全預警應(yīng)通過對可疑行為、人員、物品等可疑對象的監(jiān)測、監(jiān)控，預先判斷暴恐襲擊、重大群體性事件、重大輿情等事件發(fā)生的可能及其演變過程，并制定預警防控措施。

本文研究的重要設(shè)施安全風險事件主要指社會安全事件，包括暴恐襲擊、群體性事件、輿情事件、其它治安及犯罪事件、網(wǎng)絡(luò)及信息安全等事件（見表2）。對重要設(shè)施的安全威脅進行分析、辨識，是有針對性進行預警的前提。

表2 重要設(shè)施安全風險事件

三、系統(tǒng)目標、功能及組成

（一）系統(tǒng)目標

重要設(shè)施智能預警系統(tǒng)在整合各種社會感知、公安管控大數(shù)據(jù)基礎(chǔ)上，通過多源異構(gòu)信息融合、視頻結(jié)構(gòu)化、數(shù)據(jù)挖掘等技術(shù)進行清洗、補全、整合、分析，綜合運用預警指標體系、預警模型開展智能預警分析，分別對可疑人員、物品進行積分預警，實現(xiàn)基于人員、行為、事件間關(guān)聯(lián)關(guān)系挖掘的風險行為、事件預警。

（二）系統(tǒng)功能

重要設(shè)施安全預警始于發(fā)現(xiàn)可疑，大數(shù)據(jù)環(huán)境下的智能預警分析主要提供三種發(fā)現(xiàn)可疑的方式。第一，通過對大數(shù)據(jù)的聚類、關(guān)聯(lián)分析等技術(shù)在社會行為及關(guān)系網(wǎng)絡(luò)中發(fā)現(xiàn)可疑；第二，通過情報分析發(fā)現(xiàn)可疑；第三，通過基于視頻的模式識別發(fā)現(xiàn)可疑。

針對重要設(shè)施安全預警的特殊性，發(fā)現(xiàn)可疑的范圍可分為重要設(shè)施周邊防控區(qū)、防控區(qū)以外及網(wǎng)絡(luò)空間。當可疑對象出現(xiàn)在防控區(qū)域時，危險行為、風險事件發(fā)生的概率增加，且需要快速預警并及時做出響應(yīng)，才能有效進行防控。防控區(qū)以外區(qū)域及網(wǎng)絡(luò)空間，風險事件還處于籌劃和準備過程中，其發(fā)展趨勢還需進一步觀察。因此，系統(tǒng)應(yīng)具有如下功能：

1.防控區(qū)以外及網(wǎng)絡(luò)空間預警。集成公安積分預警、反恐情報等平臺信息，匯聚海量的人流、物流、信息流、資金流數(shù)據(jù)，刻畫可疑人員、物品的時空軌跡，分析行為關(guān)系網(wǎng)絡(luò)，根據(jù)預警模型分析潛在異常。

2.重要設(shè)施防控區(qū)前端預警。重要設(shè)施防控區(qū)內(nèi)發(fā)現(xiàn)可疑的方式有兩種，一是人員可疑，二是行為可疑。通過防控區(qū)內(nèi)視頻監(jiān)控等技術(shù)手段，識別異常行為、異常人員，并結(jié)合防控區(qū)以外及網(wǎng)絡(luò)空間信息進行研判，確定預警級別，實現(xiàn)前端預警。

3.預警發(fā)布及布控。按照預警等級，向相關(guān)業(yè)務(wù)單位發(fā)送預警信息，提交對某可疑人員進行管控的申請，提供警力、裝備的布控方案，啟動預警模式后提供應(yīng)急處置預案。

（三）系統(tǒng)組成

系統(tǒng)由前端預警平臺、綜合信息研判平臺組成。前端預警平臺結(jié)合視頻監(jiān)控、身份識別等技術(shù)對本地異常進行快速識別。綜合信息研判平臺對接社會治安預警、國家反恐情報平臺，以前端預警信息為線索，進一步開展綜合預警信息分析及研判。

四、系統(tǒng)設(shè)計

建立異常行為預警模型，從海量數(shù)據(jù)中實時、自動發(fā)現(xiàn)可疑行為、可疑事件，判斷潛在風險，是智能化預警技術(shù)要解決的關(guān)鍵問題。

（一）技術(shù)架構(gòu)

系統(tǒng)分為感知層、數(shù)據(jù)層、預警分析層和應(yīng)用層。感知層整合已有社會治安防控、反恐情報信息、政府管理信息、網(wǎng)絡(luò)空間信息等數(shù)據(jù)，完善預警信息感知體系，在數(shù)據(jù)清洗、整合、標注、數(shù)據(jù)補全后構(gòu)建重要設(shè)施可疑人員全息檔案。數(shù)據(jù)層根據(jù)預警模型的需求，分別向不同數(shù)據(jù)源發(fā)送數(shù)據(jù)請求，將數(shù)據(jù)聯(lián)網(wǎng)匯聚到數(shù)據(jù)層，并構(gòu)建專業(yè)知識圖譜。預警分析層建立行為特征計算引擎，構(gòu)建預警模型，并對其分析結(jié)果進行合理解釋。應(yīng)用層建立積分計算引擎，進行積分管理，通過預警模型、知識圖譜等，分析可疑行為特征，并及時預警。系統(tǒng)采用分布式處理機制加數(shù)據(jù)流監(jiān)聽管理，當監(jiān)聽到新數(shù)據(jù)流入時，根據(jù)預警模型判斷是否達到預警等級，利用積分引擎更新預警積分。

（二）預警模型構(gòu)建

1.可疑人員實時預警模型。在重要設(shè)施及防控區(qū)（見表3）出現(xiàn)的吸毒人員、精神病重癥患者、有犯罪記錄人員等群體，作案嫌疑較大，可直接啟動實時預警模式，對其持續(xù)監(jiān)控或監(jiān)測發(fā)現(xiàn)可疑行為后升級預警級別并進行地面管控。在防控區(qū)以外區(qū)域及網(wǎng)絡(luò)空間（見表3），通過社交網(wǎng)絡(luò)數(shù)據(jù)和社會感知數(shù)據(jù)分析發(fā)現(xiàn)的可疑人員、可疑行為所涉及人員，如果其行為和重要設(shè)施關(guān)聯(lián)度高，按照預警積分指標體系動態(tài)更新可疑人員的預警積分。當某人預警積分超過預定閾值后，發(fā)布預警信息。

表3 基于不同場景的重要設(shè)施安全預警模型

2.可疑物品實時預警模型。槍支、炸藥、汽油、汽車、卡車、暴恐組織的旗幟標語、管制刀具、手機等都是重要設(shè)施風險事件中可能涉及到的協(xié)助作案物品，及時關(guān)注可疑物品的交易信息、運輸軌跡，對分析可疑行為和風險事件具有重要意義。據(jù)針對重要機構(gòu)、場所、設(shè)施的暴恐活動的襲擊類型數(shù)據(jù)統(tǒng)計分析，使用爆炸物、槍支作為武器的數(shù)量分別為12380、6457 起，各占總數(shù)的54.42%和28.38%。轟炸/爆炸類、武裝攻擊類襲擊分別達到11634、6603起，各占總數(shù)的51.13%和29.02%。由此可見，爆炸物品、槍支的管控是預警工作的重要環(huán)節(jié)。

槍支、炸藥等管制物品出現(xiàn)丟失被盜情況時，應(yīng)能夠第一時間對其預警并設(shè)定標簽為可疑物品，并持續(xù)關(guān)注其行蹤。及時關(guān)注二手車交易信息，購買者身份可疑時則將其定為可疑物品。在作案實施過程中車、手機等的使用都會留下痕跡，將信息感知網(wǎng)絡(luò)中獲得被盜搶車輛、套牌車輛、手機等信息可標為可疑物品，增加其預警積分，并及時采取管控措施。

3.可疑行為實時預警模型。異常行為信息是以語言、文字、圖像等為載體，對嫌疑人的活動軌跡、行為習慣、作案過程、作案痕跡等與犯罪行為密切相關(guān)的信息進行的實體化反映［1］。異常行為種類多、形式多樣，實時智能預警模型應(yīng)該能夠從數(shù)據(jù)中自動學習得到判斷某種行為或某一組行為是異常行為的具體規(guī)則，以彌補專家判斷的不足；能夠針對重要設(shè)施所在地的不同生成個性化模型，以體現(xiàn)不同地域、不同形式的預警區(qū)別；能夠?qū)ψ詣訉W習出的規(guī)則進行合理化解釋，讓用戶更容易接受學習的結(jié)果；能夠?qū)崟r獲得新信息，并隨著新信息的增加，同步預測行為及事態(tài)的變化。

目前基于大數(shù)據(jù)、人工智能的關(guān)聯(lián)分析、聚類分析技術(shù)可用于建立智能預警模型。第一，建立行為關(guān)聯(lián)模型。通過（實體，關(guān)系，實體）、（實體，屬性，屬性值）等三元組構(gòu)建行為關(guān)系知識庫，其中關(guān)系表示具體行為，如網(wǎng)購、打電話、網(wǎng)絡(luò)聊天等。構(gòu)建基于知識圖譜的行為關(guān)系知識庫，可在數(shù)據(jù)源中利用語義抽取的方式抽取實體、行為關(guān)系、屬性信息構(gòu)成知識圖譜，并在知識圖譜、事理圖譜基礎(chǔ)上構(gòu)建由社會行為關(guān)系網(wǎng)絡(luò)、活動軌跡時空數(shù)據(jù)網(wǎng)絡(luò)在內(nèi)的行為關(guān)系知識庫。將人員社會信息、購物消費行為、論壇發(fā)帖行為、在某地出行等多種行為進行特征化處理，并設(shè)定可疑行為標簽。比如某時間段實體間行為頻率超過一定閾值，說明二者間關(guān)系密切，如果其中一人身份特殊，則伙同他人活動的概率增高。在識別單個可疑行為的基礎(chǔ)上，還可以對一定時域范圍內(nèi)若干單個可疑行為進行關(guān)聯(lián)分析，實現(xiàn)下一步行為預測。第二，異常行為聚類分析。在建立行為關(guān)聯(lián)模型后，可利用機器學習、深度學習、知識圖譜、數(shù)據(jù)挖掘等技術(shù)對大量數(shù)據(jù)進行分析，挖掘、發(fā)現(xiàn)異常行為，并對諸如某超高住宅用電等稀疏行為進行分析。

4.風險事件預警模型。風險事件由事件籌劃、準備、實施階段出現(xiàn)的一系列可疑行為組成，大量案例表明，包括暴恐襲擊在內(nèi)的不法活動在準備階段就呈現(xiàn)出顯著的活動特點?？梢罁?jù)系列異常行為去預測風險事件，通過對具有不同標簽的異常行為進行關(guān)聯(lián)或分組，結(jié)合機器學習、事例圖譜等技術(shù)方法，判斷風險事件發(fā)生的概率，進而實現(xiàn)對風險事件的預警。下面以暴恐襲擊為例介紹風險事件預警模型的建立。

倫敦都市警察對暴恐襲擊進行分析并總結(jié)其特征和模式：第一，經(jīng)常短期租賃房屋。第二，行動之前進行計劃和準備。比如有些人非同尋常地關(guān)注當?shù)刂匾呢斦驼畽C構(gòu)、購物中心等重要地點的安全保衛(wèi)情況。第三，盜竊或購買大型運載車輛、貨車、集裝箱，拖車等。第四，通過各種手段獲得大額現(xiàn)金。

在借鑒國外經(jīng)驗基礎(chǔ)上結(jié)合中國案例特點，構(gòu)建基于可疑行為的風險事件預警模型?？梢尚袨榭杀憩F(xiàn)在以下幾方面：第一，異常車輛（車從哪里來，到哪里去）；第二，異常人員及活動軌跡（出租房、旅店）；第三，異常行為（在擬肇事地點反復勘察等）；第四，異常物品（旗幟、砍刀、鐵棍、炸藥、汽油）；第五，異常信息（通信、網(wǎng)絡(luò)瀏覽痕跡等）；第六，資金的支持（帳號交易信息）。通過對可疑行為進行關(guān)聯(lián)分析，形成恐怖襲擊等風險事件預警模型，并結(jié)合大數(shù)據(jù)技術(shù)可自動預測可能發(fā)生的事件。

五、系統(tǒng)關(guān)鍵技術(shù)及應(yīng)用注意事項

（一）系統(tǒng)實現(xiàn)關(guān)鍵技術(shù)

基于預警模型的并行化預警分析是實現(xiàn)智能實時預警系統(tǒng)的技術(shù)基礎(chǔ)，復雜事件處理并行化技術(shù)在實時處理方面具有優(yōu)勢，是系統(tǒng)實現(xiàn)的關(guān)鍵之一。利用人工智能深度學習技術(shù)訓練模型，從行為關(guān)系實體數(shù)據(jù)中提取特征并進行分類、預測，是目前求解復雜問題較為有效的方法。利用信息融合技術(shù)將人員、物品位置、行蹤、自身特點等多源異構(gòu)信息相融合，實現(xiàn)對安全態(tài)勢的評估及異常行為的預測?；谝曨l的異常行為識別是圖形圖像領(lǐng)域的難點、熱點問題，該技術(shù)的成熟度直接關(guān)系到異常行為識別的準確度。

（二）系統(tǒng)應(yīng)用注意事項

基于大數(shù)據(jù)智能實時預警的核心是對各種社會感知數(shù)據(jù)的利用，數(shù)據(jù)權(quán)限、個人隱私等信息安全、數(shù)據(jù)質(zhì)量等問題對于模型的準確性起著決定性作用［4］。同時，是否擁有對可疑對象進行管控的權(quán)限問題也直接影響系統(tǒng)建設(shè)和運行。

針對以上問題，提出以下建議。第一，成立重要設(shè)施預警指揮小組。能夠快速實現(xiàn)對可疑人員信息快速查詢，具有數(shù)據(jù)使用和申請管控的權(quán)限。第二，建立預警應(yīng)急處置聯(lián)動機制。在具有犯罪傾向時能夠快速指揮人員進行干預和管控。第三，建立、健全預警法制法規(guī)，為預警分析、處置提供依據(jù)。通過制定相關(guān)法律法規(guī)，明確相關(guān)部門和單位提交、使用數(shù)據(jù)的權(quán)利、義務(wù)，使得預警更具有合法性、規(guī)范性。

六、結(jié)語

本文重點提出了基于重要設(shè)施防控區(qū)域、重要設(shè)施外圍區(qū)域及網(wǎng)絡(luò)空間二種場景的智能實時預警系統(tǒng)構(gòu)想，運用大數(shù)據(jù)、人工智能、視頻模式識別等技術(shù)，識別可疑對象，構(gòu)建可疑人員、可疑物品、可疑事件、風險事件等預警模型，探討系統(tǒng)建設(shè)目標、功能及組成，指出系統(tǒng)技術(shù)架構(gòu)、關(guān)鍵技術(shù)，并說明系統(tǒng)建設(shè)注意事項。