Аналіз патернів поведінки (PoL) — це напрям поведінкової розвідки, що встановлює базові норми поведінки для цілей і виявляє відхилення від цих норм. В контексті ISR «ціль» може означати особу, транспортний засіб, об'єкт або підрозділ — а «патерн» охоплює куди вони рухаються, коли спілкуються, як переміщуються та яку діяльність здійснюють. Коли патерн змінюється, це сигнал, що заслуговує на дослідження.

Аналіз PoL розташовується на Рівні 2 JDL — він оперує скорельованими даними треків та розвідувальними звітами, а не сирими потоками датчиків. Його результати — сигнали про аномалії та оновлені профілі цілей, а не нові треки. Цінність, яку він додає порівняно з простою кореляцією треків, — темпоральна розвідка: розуміння не лише де щось знаходиться, але і чи відповідає його поведінка сьогодні поведінці протягом попередніх тижнів.

Визначення базової поведінки для ISR-цілей

Першим і найбільш концептуально важливим кроком в аналізі PoL є встановлення того, як виглядає «нормальне» для даної цілі. Для транспортного засобу нормальним може бути: паркується в координатах X між 21:00 та 07:00 щодня, рухається маршрутом 5 на схід приблизно о 08:30, прибуває до об'єкта X о 09:00. Для вузла зв'язку нормальним може бути: передає на частотах F1 та F2 під час ранкових та вечірніх вікон з постійною модуляцією та обсягом трафіку.

Моделювання базової лінії потребує достатньої історії спостережень — мінімум 7–14 днів послідовних даних для більшості поведінкових патернів. Базова лінія зазвичай представляється як ймовірнісна модель: для кожного атрибуту (місцезнаходження в момент T, частота зв'язку, швидкість руху) підтримується статистичний розподіл.

Джерела даних для аналізу патернів поведінки

Перехоплення SIGINT надають найбагатші дані PoL для активних у зв'язку цілей. Ціль, що зв'язується тричі на день із передбачуваним розкладом, використовуючи постійні частоти та параметри шифрування, генерує патерн зв'язку, який може бути охарактеризований та моніторений. Відсутність очікуваних комунікацій є такою ж інформативною, як і наявність неочікуваних.

Треки суден AIS надзвичайно корисні для морського аналізу PoL. Комерційні судна слідують передбачуваними маршрутами між портами з постійними часовими рамками. Танкер, що відхиляється від свого встановленого маршруту, зменшує швидкість у незвичному місці або вимикає транспондер AIS, проявляє аномальну поведінку.

Геомічені комунікації — повідомлення та публікації з вбудованими метаданими місцезнаходження — надають дані PoL для цілей, що діють у відкритому або сірому домені. Патерни мобільних пристроїв, отримані зі збору SIGINT — випромінювання ідентифікаторів пристроїв з мобільних мереж, Wi-Fi-зондові запити, реклами Bluetooth — надають PoL-дані з високою роздільною здатністю для окремих цілей.

Технічна реалізація: моделювання базової лінії та виявлення аномалій

Основним обчислювальним завданням є підтримка ймовірнісної моделі поведінки цілі та обчислення оцінок аномалій для нових спостережень. Стандартний підхід використовує базову лінію зі ковзним вікном: модель навчається на найновіших N днях спостережень, де старші дані мають менший ваговий коефіцієнт. Це дозволяє моделі адаптуватися до законних змін у поведінці, при цьому виявляючи раптові відхилення.

Для безперервних атрибутів (координати місцезнаходження, частота сигналу) зазвичай використовується багатовимірна гауссова модель. Оцінка аномалії для нового спостереження — це відстань Махаланобіса від середнього значення моделі. Для часових рядів (часовий розклад зв'язку, вікна активності) аналіз Фур'є виявляє періодичні компоненти в базовій лінії.

Управління хибними позитивами та робочі процеси з аналітиком у петлі

Системи PoL генерують великі обсяги сигналів тривоги, багато з яких не є оперативно значущими. Без ад'юдикації аналітика ці сигнали захаращували б розвідувальний робочий процес.

Стандартний підхід — двоетапний робочий процес: автоматизована оцінка аномалій генерує чергу кандидатів-сигналів, відсортованих за оцінкою аномалії. Аналітик розглядає найвищі оцінки та позначає їх як «оперативно значущі», «пояснені» або «хибний позитив». Рішення аналітиків повертаються у модель.

Ключовий висновок: Найбільш корисні сигнали PoL — це не одноджерельні аномалії, а багатоджерельні скорельовані аномалії. Відхилення треку транспортного засобу поодинці має багато невинних пояснень. Відхилення треку транспортного засобу, одночасно скорельоване з мовчанням у зв'язку та зміною активності на об'єкті, є набагато сильнішим індикатором навмисної зміни поведінки.

Конфіденційність та правові обмеження в коаліційних операціях

Аналіз PoL відносно цивільного населення породжує значні правові обмеження, особливо в коаліційних операціях, де різні нації-учасниці мають різні правові рамки. Основні обмеження: мінімізація даних, обмеження мети та терміни зберігання. В програмних термінах ці обмеження вимагають прапорів класифікації та обробки профілів цілей, автоматизованих політик видалення та журналювання аудиту.