Об инструменте для информационной войны
автор Нежданов Игорь
В настоящее время самые разные специалисты испытывают необходимость в сервисе, позволяющем решать ряд задач в сфере работы с информацией. Но увы — такого сервиса пока нет. Есть достаточно много разных решений, которые в той или иной мере облегчают жизнь. Но полноценного решения нет.
- архива для поиска;
- регулярного дайджеста новых материалов по теме;
- графиков, диаграмм изменения ситуации;
- углубленного анализа конкретных ситуаций.
Углубленный анализ ситуации позволяет посредством исследования атрибутов сообщений (дата-время, автор, источник, дата-время регистрации автора, количество комментариев, количество «друзей» у автора и т.п..) сделать предположения о:
- начале информационного воздействия («волны»);
- «волна» естественная или искусственно создана;
- вероятной подготовке к информационной войне;
- кто первоисточник, а значит и «зачинщик»;
- какие силы задействованы в воздействии, а значит и какие ресурсы понадобятся для нейтрализации;
- и т.п..
Такой анализ, в большинстве случаев, можно и нужно автоматизировать или как минимум автоматизировать сбор и структурирование информации для его проведения, что:
- многократно облегчит работу аналитика (сократит время реагирования);
- даст возможность аналитику обосновывать свои выводы конкретными выкладками (ускорит принятие решения).
Другими словами позволит быстрее и дешевле узнать о начале воздействия и продумать стратегию ответных действий (то, что сейчас агентства продают за приличные деньги).
Стоит упомянуть в этой связи СайтСпутник. Программа, кроме значительных возможностей как метапоисковика, позволяет быстро наладить сбор информации с неограниченного количества источников в интернете и осуществить их рубрикацию по весьма сложным, а по тому гибким, правилам. Использование рубрикатора решает проблему наблюдения за соцсетями и позволяет своевременно выявлять интересующие тенденции. В общем на базе СайтСпутника вполне можно организовать работу по мониторингу интернета. Но в этом случае есть свои ограничения. Это доступ к официальной информации.
А уж углубленного анализа ситуации по данным из внешних источников нет ни у кого.
Своевременное выявление появления негатива.
Наблюдение за изменениями предпочтений потребителей.
Выявление рекомендаций по улучшению продукта.
Сравнение своего продукта с конкурентным продуктом.
Выявление сильных и слабых сторон конкурентного продукта и его сервиса.
Своевременное выявление появления негатива.
Наблюдение за предпочтениями электората.
Своевременное выявление появления негатива.
Наблюдение за изменениями предпочтений потребителей.
Выявление сообществ противоправного толка.
Выявление вероятных правонарушителей.
Сбор информации о преступлениях.
Мониторинг диссидентских настроений в коллективе.
Выявление противоправного поведения сотрудников, могущего нанести репутационный ущерб компании.
Наблюдение за изменением мнения об объекте.
Выявление подготовки информационной войны.
Выявление начала информационной войны.
- что это? – естественное развитие ситуации или ситуация кем то искусственно создана?
- с чего началось? Или кто начал? – определить первоисточник распространяемой информации.
- понять какие силы задействованы если ситуация искусственная.
А помимо этого было бы не плохо заранее понимать что что то готовиться, вовремя обнаруживать начало активных действий и т.п.. Но в отличии от точных наук здесь придется оперировать вероятностями – такими формулировками как «скорее всего», «вероятно» и т.п.. Это связано с тем, что исследованию подвергается человеческая деятельность, которая частенько бывает не логичной.
2 Это резкое увеличение количества негативных сообщений об объекте. Определяется по соотношению «сколько сегодня негатива» к «сколько было вчера». Здесь уже нужно вводить определение негатива.
3 Изменение соотношения «негатив – всё остальное». Каждый день (проход) вычисляется соотношение «негатив – всё остальное» и как только соотношение «сколько сегодня» к «сколько было вчера» превышает установленный порог – информирование
4 Увеличение ссылок на негативный материал. Здесь более сложное решение – нужно из всех новых сообщений выбрать ссылки, пройти по ним определить относится ли материал к объекту интереса и несет ли негатив. Работает автоматом только на текстовых материалах (есть упоминание объекта и есть негативный посыл (словарь или иное)) и на библиотеке ссылок материалов. Библиотека негативных ссылок это набор ссылок на материал, который признан негативным по отношению к объекту. Такое «признание» осуществляется автоматом (присутствие объекта и негативной характеристики) и в ручную (оператор вносит адрес в список). Сама библиотека соответственно формируется также двумя способами — автоматом и в ручную.
Если публикаций много, то здесь важно соотношение количества публикаций по разгоняемой теме к количеству публикаций вообще у аккаунта. Если это соотношение около 0,5 (то есть половина публикаций по разгоняемой теме) то вероятнее всего аккаунт используется для «разгона» информации, а значит ситуация искусственная.
Если комментарии есть, то важно понять относятся ли они к разгоняемой теме. Это можно определить по ключевым словам (описание объекта) и по ссылкам (на сайты из библиотеки негатива или на свой пост).
Если же друзья есть, то нужно понять что это за друзья. Если это такие же только что созданные аккаунты с публикациями в основном по разгоняемой теме – скорее всего это бот.
Характеристики (признаки)
-один или родственный IP,
-не естественный ник (набор цифр и/или букв),
-одинаковый или похожий ник,
-ник содержащий ключевые слова (из описания объекта).
-аккаунт содержащий ключевые слова в нике (из описания объекта),
-аккаунт содержащий ключевые слова в тегах, в подписи, в «интересах», со ссылками на негатив из библиотеки негатива, с фрэндами, содержащими у себя ключевые слова в названии, описании.
1 «Вброс» нужной темы в обсуждение и наблюдение реакции – появление тем (обсуждений) с ключевыми словами (из описания объекта), или возрождение старой темы по нашей проблематике, или возрождение старой темы «о чем то», но уже с контентом по нашей проблеме;
2 Резкое увеличение обращений к пользователям через «личку» по опасным темам (работает если есть админский «вход»);
Определяется по соотношению количества дублей одной информации, содержащей ключевые слова (из описания объекта) «сколько сегодня» к «сколько вчера». «Порог срабатывания» нужно делать настраиваемым.
Алгоритм следующий. Нашли несколько одинаковых текстов – ищем такие же. Найденные проверяем на наличие ссылок. Идем по ссылкам и проверяем на похожесть. Если материал тот же – включаем его в список обрабатываемых. Повторяем процедуру пока не перестанут появляться новые дубли.
В настоящее время самые разные специалисты испытывают необходимость в сервисе, позволяющем решать ряд задач в сфере работы с информацией. Но увы — такого сервиса пока нет. Есть достаточно много разных решений, которые в той или иной мере облегчают жизнь. Но полноценного решения нет.
Что это
Как должно работать
Это регулярный сбор информации из блогосферы, социальных сетей,
форумов и т.п.. площадок размещаемой там информации. Ее накопление,
хранение и предоставление пользователю в виде:- архива для поиска;
- регулярного дайджеста новых материалов по теме;
- графиков, диаграмм изменения ситуации;
- углубленного анализа конкретных ситуаций.
Углубленный анализ ситуации позволяет посредством исследования атрибутов сообщений (дата-время, автор, источник, дата-время регистрации автора, количество комментариев, количество «друзей» у автора и т.п..) сделать предположения о:
- начале информационного воздействия («волны»);
- «волна» естественная или искусственно создана;
- вероятной подготовке к информационной войне;
- кто первоисточник, а значит и «зачинщик»;
- какие силы задействованы в воздействии, а значит и какие ресурсы понадобятся для нейтрализации;
- и т.п..
Такой анализ, в большинстве случаев, можно и нужно автоматизировать или как минимум автоматизировать сбор и структурирование информации для его проведения, что:
- многократно облегчит работу аналитика (сократит время реагирования);
- даст возможность аналитику обосновывать свои выводы конкретными выкладками (ускорит принятие решения).
Другими словами позволит быстрее и дешевле узнать о начале воздействия и продумать стратегию ответных действий (то, что сейчас агентства продают за приличные деньги).
Недостатки имеющихся решений и возможности
У имеющихся решений есть либо только СМИ, либо только интернет
(соцсети). А комплексного решения нет. Исключение – Интегрум и
Медиалогия. Но у Медиалогии нет массива информации об юридических лицах,
а у Интегрума он есть. Но у Интегрума очень мало задействованы соцсети.
В то же время интеграция «СМИ+Соцсети+Официальная информация» станет
уникальным продуктом, позволяющим «в одном окне» (по нажатию одной
кнопки» решать весь комплекс задач как по защите от информационных атак,
так и по планированию таких воздействий и их расследованию. А также по
наблюдению за интересующей ситуацией.Стоит упомянуть в этой связи СайтСпутник. Программа, кроме значительных возможностей как метапоисковика, позволяет быстро наладить сбор информации с неограниченного количества источников в интернете и осуществить их рубрикацию по весьма сложным, а по тому гибким, правилам. Использование рубрикатора решает проблему наблюдения за соцсетями и позволяет своевременно выявлять интересующие тенденции. В общем на базе СайтСпутника вполне можно организовать работу по мониторингу интернета. Но в этом случае есть свои ограничения. Это доступ к официальной информации.
А уж углубленного анализа ситуации по данным из внешних источников нет ни у кого.
Как можно использовать и кому пригодиться
Вопрос «кому это надо?» дает возможность оценить круг заинтересованных в решении, а значит и доходность проекта.
PR-щики
Контроль репутации компании в соцсетях.Своевременное выявление появления негатива.
Наблюдение за изменениями предпочтений потребителей.
Маркетологи
Выявление отношения к бренду (человеку, компании, продукту, ситуации).Выявление рекомендаций по улучшению продукта.
Сравнение своего продукта с конкурентным продуктом.
Выявление сильных и слабых сторон конкурентного продукта и его сервиса.
Политтехнологи
Контроль репутации своего объекта и его оппонентов.Своевременное выявление появления негатива.
Наблюдение за предпочтениями электората.
SMM-щики
Контроль репутации компании в соцсетях.Своевременное выявление появления негатива.
Наблюдение за изменениями предпочтений потребителей.
Силовики
Выявление противоправного контента.Выявление сообществ противоправного толка.
Выявление вероятных правонарушителей.
Сбор информации о преступлениях.
СБ-шники
Выявление фактов утечки конфиденциальной информации.Мониторинг диссидентских настроений в коллективе.
Выявление противоправного поведения сотрудников, могущего нанести репутационный ущерб компании.
КР-щики
Сбор информации об объекте из высказываний людей.Наблюдение за изменением мнения об объекте.
Выявление подготовки информационной войны.
Выявление начала информационной войны.
Технология углубленного анализа
Для понимания ЧТО нужно от системы помимо мониторинга и рубрикации необходимо поставить себя на место пользователя такого сервиса. А такому пользователю, помимо своевременного выявления факта аномального изменения информационного поля, необходимо ответить на несколько вопросов:- что это? – естественное развитие ситуации или ситуация кем то искусственно создана?
- с чего началось? Или кто начал? – определить первоисточник распространяемой информации.
- понять какие силы задействованы если ситуация искусственная.
А помимо этого было бы не плохо заранее понимать что что то готовиться, вовремя обнаруживать начало активных действий и т.п.. Но в отличии от точных наук здесь придется оперировать вероятностями – такими формулировками как «скорее всего», «вероятно» и т.п.. Это связано с тем, что исследованию подвергается человеческая деятельность, которая частенько бывает не логичной.
Выявление начала информационного воздействия («волны»)
1 Это резкое увеличение количества сообщений об объекте. Определяется
по соотношению «сколько сегодня» к «сколько вчера», причем учитываются и
сообщения и комментарии. «Порог срабатывания» в этом и следующих
вариантах нужно делать настраиваемым.2 Это резкое увеличение количества негативных сообщений об объекте. Определяется по соотношению «сколько сегодня негатива» к «сколько было вчера». Здесь уже нужно вводить определение негатива.
3 Изменение соотношения «негатив – всё остальное». Каждый день (проход) вычисляется соотношение «негатив – всё остальное» и как только соотношение «сколько сегодня» к «сколько было вчера» превышает установленный порог – информирование
4 Увеличение ссылок на негативный материал. Здесь более сложное решение – нужно из всех новых сообщений выбрать ссылки, пройти по ним определить относится ли материал к объекту интереса и несет ли негатив. Работает автоматом только на текстовых материалах (есть упоминание объекта и есть негативный посыл (словарь или иное)) и на библиотеке ссылок материалов. Библиотека негативных ссылок это набор ссылок на материал, который признан негативным по отношению к объекту. Такое «признание» осуществляется автоматом (присутствие объекта и негативной характеристики) и в ручную (оператор вносит адрес в список). Сама библиотека соответственно формируется также двумя способами — автоматом и в ручную.
Определение «волна» естественная или искусственно создана
Понимание искусственности происхождения информационной волны можно
строить по ее жизненному циклу (наработки Ашманова) и по атрибутам
персонажей, которые распространяют эту информацию.Жизненный цикл
Что касается жизненного цикла, то для интересной (важной) информации свойственен резкий рост интереса (цитируемости) и более плавный спад интереса (цитируемости). Тогда как искусственное создание интереса характеризуется наличием периода примерно одинакового интереса к информации (ее цитирования).Атрибуты персонажей
Атрибуты персонажей, задействованных в распространении информации это дата создания аккаунта (например блога), количество публикаций, количество комментариев что автор блога оставил, количество «друзей», количество читающих блог и т.п..Дата создания аккаунта
Чем эта дата ближе к дате начала разгона информации, тем выше вероятность, что аккаунт создан именно под эту задачу. Если в распространении информации (ее разгоне) принимают участие в основном аккаунты только что созданные, то скорее всего видимость интереса к теме создается искусственно.Количество публикаций
Количество публикаций само по себе малоинформативно если их больше одной. Если одна и она посвящена «разгоняемой» теме – высока вероятность искусственности ситуации.Если публикаций много, то здесь важно соотношение количества публикаций по разгоняемой теме к количеству публикаций вообще у аккаунта. Если это соотношение около 0,5 (то есть половина публикаций по разгоняемой теме) то вероятнее всего аккаунт используется для «разгона» информации, а значит ситуация искусственная.
Количество комментов
Количество комментариев, которые оставил владелец аккаунта указывают на его интерес к другим темам. Если таких комментариев нет, то скорее всего аккаунт создан для продвижения информации, а не для общения.Если комментарии есть, то важно понять относятся ли они к разгоняемой теме. Это можно определить по ключевым словам (описание объекта) и по ссылкам (на сайты из библиотеки негатива или на свой пост).
Количество друзей
Само количество показательно только когда оно равно нулю – это значит, что аккаунт скорее всего создан НЕ для общения, а для разгона информации.Если же друзья есть, то нужно понять что это за друзья. Если это такие же только что созданные аккаунты с публикациями в основном по разгоняемой теме – скорее всего это бот.
Количество читателей блога
Если читателей нет – видимо блог схемотехнический (созданный под техническую задачу).
Выявление вероятной подготовки к информационной войне
По созданию плацдармов
Это выявление создание «плацдармов» (аккакунтов, групп, «авторитетных источников» и т.п..) с определенными характеристиками больше, чем «естественный шум». Порог срабатывания также должен быть настраиваемым.Характеристики (признаки)
Появление «плацдарма» на тематическом форуме
Одномоментная регистрация большого количества новых пользователей на подконтрольном форуме или группе форумов, со сходными данными:-один или родственный IP,
-не естественный ник (набор цифр и/или букв),
-одинаковый или похожий ник,
-ник содержащий ключевые слова (из описания объекта).
Появление плацдарма в соцсети
Появление сообществ, содержащих в названии, в описании или в метаданных ключевые слова (из описания объекта).Появление аккаунтов специализированных (в блогах, в соцсетях),
Появление новых аккаунтов или изменение старых:-аккаунт содержащий ключевые слова в нике (из описания объекта),
-аккаунт содержащий ключевые слова в тегах, в подписи, в «интересах», со ссылками на негатив из библиотеки негатива, с фрэндами, содержащими у себя ключевые слова в названии, описании.
Появление домена или доменов, содержащие в своём имени тематические слова
Это слова из описания объекта и/или похожие слова. Данные нужно брать от регистраторов доменов.По прощупыванию настроений
Это «прощупывание» настроений на форумах, в соцсетях (в сообществах).1 «Вброс» нужной темы в обсуждение и наблюдение реакции – появление тем (обсуждений) с ключевыми словами (из описания объекта), или возрождение старой темы по нашей проблематике, или возрождение старой темы «о чем то», но уже с контентом по нашей проблеме;
2 Резкое увеличение обращений к пользователям через «личку» по опасным темам (работает если есть админский «вход»);
По созданию заготовок
Создание «заготовок» для распространения – создание странички с соответствующим содержанием (большое количество ключевых слов – из описания объекта), но без ее продвижения (без распространения ссылок на нее).По посеву
«Посев» — активное распространение однотипной информации, так или иначе имеющей отношение к проблеме.Определяется по соотношению количества дублей одной информации, содержащей ключевые слова (из описания объекта) «сколько сегодня» к «сколько вчера». «Порог срабатывания» нужно делать настраиваемым.
Определение кто первоисточник, а значит и «зачинщик»
Это структурирование дублей одного негатива по дате публикации и
выявление того, кто опубликовал первый. Но при таком выстраивании нужно
еще и проходить по ссылкам, которые даются в найденных публикациях и
если ссылка ведет на такой же материал, то включать его в обработку.Алгоритм следующий. Нашли несколько одинаковых текстов – ищем такие же. Найденные проверяем на наличие ссылок. Идем по ссылкам и проверяем на похожесть. Если материал тот же – включаем его в список обрабатываемых. Повторяем процедуру пока не перестанут появляться новые дубли.
Понимание какие силы задействованы в воздействии, а значит и какие ресурсы понадобятся для нейтрализации
Собираем все дубли материала, с которого началась «волна» (как в
определении первоисточника)). Выбираем из профилей «авторов» публикации
данные о друзьях, о читателях, комменты, ссылки. Составляем список
«друзей» (это список облака блогов задействованного в атаке).