Analiza wzorców zachowań (PoL) to gałąź wywiadu behawioralnego ustanawiająca normy bazowe zachowania celów i wykrywająca odchylenia od tych norm. W kontekście ISR „cel" może oznaczać osobę, pojazd, obiekt lub jednostkę — a „wzorzec" obejmuje dokąd podróżują, kiedy się komunikują, jak się poruszają i jakie działania prowadzą. Gdy wzorzec się zmienia, jest to sygnał wymagający zbadania.
Analiza PoL plasuje się na Poziomie 2 JDL — operuje na skorelowanych danych torów i raportach wywiadowczych, nie na surowych strumieniach sensorów. Jej wyjścia to alarmy anomalii i zaktualizowane profile celów. Wartością, którą dodaje w stosunku do prostej korelacji torów, jest wywiad temporalny: rozumienie nie tylko gdzie coś się znajduje, ale czy jego zachowanie dzisiaj jest spójne z zachowaniem przez poprzednie tygodnie.
Definiowanie zachowania bazowego dla celów ISR
Pierwszym krokiem w analizie PoL jest ustalenie, jak wygląda „normalność" dla danego celu. Dla pojazdu normą może być: parkowanie w siatce X między 21:00 a 07:00 codziennie, przejazd Trasą 5 na wschód ok. 08:30, przybycie do obiektu X o 09:00. Modelowanie linii bazowej wymaga wystarczającej historii obserwacji — minimum 7–14 dni spójnych danych dla większości wzorców behawioralnych.
Źródła danych do analizy wzorców zachowań
Przechwyty SIGINT dostarczają najbogatszych danych PoL dla celów aktywnych komunikacyjnie. Cel komunikujący się trzy razy dziennie z przewidywalnym harmonogramem, używający spójnych częstotliwości i parametrów szyfrowania, generuje wzorzec komunikacyjny możliwy do scharakteryzowania i monitorowania. Brak oczekiwanych komunikacji jest równie informacyjny jak obecność nieoczekiwanych.
Tory statków AIS są niezwykle przydatne do morskiej analizy PoL. Statki komercyjne podążają przewidywalnymi trasami między portami w spójnych ramach czasowych. Tankowiec odbiegający od swojej ustalonej trasy, zmniejszający prędkość w niezwykłym miejscu lub wyłączający transponder AIS, wykazuje zachowanie anomalne.
Wzorce urządzeń mobilnych wywodzone ze zbioru SIGINT — emisje identyfikatorów urządzeń z sieci komórkowych, zapytania sondujące Wi-Fi, reklamy Bluetooth — dostarczają wysokorozdzielczych danych PoL dla indywidualnych celów.
Implementacja techniczna: modelowanie linii bazowej i wykrywanie anomalii
Głównym zadaniem obliczeniowym jest utrzymanie probabilistycznego modelu zachowania celu i obliczanie ocen anomalii dla nowych obserwacji. Standardowe podejście używa linii bazowej z oknem przesuwnym. Dla atrybutów ciągłych (współrzędne lokalizacji, częstotliwość sygnału) powszechnie używany jest wielowymiarowy model Gaussowski. Ocena anomalii dla nowej obserwacji to odległość Mahalanobisa od średniej modelu.
Zarządzanie fałszywymi alarmami i przepływy pracy z analitykiem w pętli
Systemy PoL generują duże ilości alertów — wiele z nich nie ma istotności operacyjnej. Standardowe podejście to dwuetapowy przepływ pracy: zautomatyzowane punktowanie anomalii produkuje kolejkę kandydatów-alertów posortowanych według oceny anomalii, a analityk przegląda alerty o najwyższych ocenach.
Kluczowa obserwacja: Najbardziej przydatne alerty PoL to nie anomalie jednoźródłowe — lecz wieloźródłowe skorelowane anomalie. Odchylenie toru pojazdu w połączeniu z ciszą komunikacyjną i zmianą aktywności obiektu jest znacznie silniejszym wskaźnikiem celowej zmiany zachowania niż każde z nich oddzielnie.
Prywatność i ograniczenia prawne w operacjach koalicyjnych
Analiza PoL wobec populacji cywilnych rodzi znaczące ograniczenia prawne, szczególnie w operacjach koalicyjnych. Główne ograniczenia: minimalizacja danych, ograniczenie celu i terminy przechowywania. W kategoriach programistycznych wymagają one flag klasyfikacji i obsługi profili celów, automatycznych polityk usuwania i rejestrowania audytu wszystkich dostępów analityków do danych poszczególnych celów.