Los actores malintencionados utilizan las redes sociales para hacer subir los precios de las acciones, influir en las elecciones, difundir información errónea y sembrar discordia. Para ello, las tácticas que emplean incluyen el uso de cuentas y actividades no auténticas. Los métodos actuales para detectar estos abusos se basan en firmas diseñadas específicamente para detectar comportamientos sospechosos. Sin embargo, la eficacia de estos métodos disminuye a medida que se desarrolla un comportamiento malicioso.

Para abordar este desafío, proponemos un lenguaje general para modelar el comportamiento de las cuentas de redes sociales . Las palabras en este idioma se denominan BLOC y están formadas por símbolos de diferentes alfabetos que representan las acciones y el contenido del usuario . El lenguaje es muy flexible y puede usarse para modelar una variedad de comportamientos en línea legítimos y cuestionables sin necesidad de realizar grandes ajustes.

Al utilizar BLOC para representar el comportamiento de las cuentas de Twitter, logramos un rendimiento comparable o mejor que los métodos de última generación para detectar robots sociales y coordinar comportamientos no auténticos .

1. Introducción

El uso generalizado de las redes sociales las convierte en objetivos principales para que los malos actores las exploten. El uso de robots sociales [18] para aumentar la popularidad de los candidatos políticos [41], influir en la opinión pública mediante la difusión de desinformación y teorías de conspiración [29, 24] y manipular los precios de las acciones mediante campañas coordinadas [14, 39] ha sido ampliamente reportado. . Las amenazas que plantean los actores maliciosos son de gran alcance y ponen en peligro la democracia [44, 54], la salud pública [47, 1, 40] y la economía [33]. En respuesta, los investigadores han desarrollado varias herramientas para detectar cuentas maliciosas no auténticas.

Sin embargo, estamos en medio de una carrera armamentista. A medida que las plataformas proporcionan nuevos métodos de detección y mecanismos de prevención, los actores maliciosos continúan desarrollando sus métodos para evadir la detección. Por ejemplo, consideremos la evolución de los robots sociales: en los primeros días, los robots de spam eran fáciles de identificar porque a menudo carecían de información de perfil significativa y/o mostraban un comportamiento ingenuo [57, 30]. En los últimos años, las cuentas bot se han vuelto más sofisticadas. Algunos muestran perfiles detallados robados de otros usuarios o generados por redes neuronales profundas [36]. Algunos imitan el comportamiento humano y crean vínculos sociales [9]. Otros emplean estrategias como coordinar comportamientos no auténticos. 1 Este comportamiento coordinado parece normal cuando se examina individualmente, pero se controla centralmente para lograr ciertos objetivos [39].

Esta carrera armamentista ha dado lugar a una serie de métodos de detección más sofisticados [9, 34, 39]. Una limitación importante de estos métodos es que se basan en funciones diseñadas específicamente para comportamientos maliciosos observados previamente [43]. Es posible que estas características no se generalicen bien a otros comportamientos sospechosos. Por ejemplo, los métodos destinados a detectar robots sociales complejos tienden a centrarse demasiado en el comportamiento coordinado y viceversa [55]. Los métodos existentes también serán menos útiles frente a nuevos actores maliciosos a menos que las características se ajusten en consecuencia.

Para abordar este desafío, proponemos el lenguaje de comportamiento para la clasificación en línea (BLOC), un lenguaje universal para representar el comportamiento de las cuentas de redes sociales. La palabra BLOC consta de símbolos de diferentes alfabetos que representan las acciones y el contenido de una cuenta. Por ejemplo, la Figura 1 muestra posibles expresiones para una serie de tweets de la cuenta oficial de Twitter de la Administración Nacional de Aeronáutica y del Espacio (NASA). El lenguaje BLOC es altamente escalable y puede representar una variedad de comportamientos legítimos y sospechosos sin necesidad de realizar muchos ajustes.

(Figura 1: Cadena BLOC para una secuencia de tres tweets (una respuesta, un tweet original y un retweet) de la cuenta @NASA. Usando el alfabeto de acciones, la secuencia se puede representar con tres palabras pTr separadas por puntos. Usando el El alfabeto de contenido se puede representar con estas tres palabras (Emt)(mmt)(mmmmmU t) entre paréntesis. Consulte la Sección 2.3 para obtener más detalles).

En este artículo, mostramos que a partir de tales representaciones surgen patrones de comportamiento significativos , lo que facilita las tareas relacionadas con la clasificación de cuentas de redes sociales . Para demostrar la efectividad de BLOC, lo evaluamos en robótica social y tareas coordinadas de detección de comportamiento, así como métodos previamente diseñados específicamente para estas dos tareas. Hasta donde sabemos, BLOC es la única representación existente que se ha aplicado a estas dos tareas. Aunque los métodos basados en BLOC utilizan muchas menos funciones que los métodos más modernos (lo que los hace más eficientes), producen un rendimiento mejor o comparable.

2. Trabajo relacionado

Podemos describir el comportamiento en línea no auténtico en al menos dos dimensiones: automatización y orquestación .

Las cuentas pueden ser automatizadas pero independientes, o coordinadas pero administradas estrechamente por humanos, o automatizadas y coordinadas, y todo lo demás. A continuación describimos las investigaciones destinadas a detectar comportamientos no auténticos en estas dimensiones . Tenga en cuenta que no todas las acciones automatizadas o coordinadas son necesariamente falsas o maliciosas. Por ejemplo, algunos robots autoproclamados son inofensivos o incluso útiles; algunos movimientos de base pueden utilizar la coordinación para promover movimientos sociales beneficiosos.

2.1 Automatización

La automatización de cuentas de redes sociales abarca desde el comportamiento humano en un extremo hasta el comportamiento similar a un robot en el otro. En el medio están los “robots” [8, 7] que alternan entre el comportamiento humano y el robótico.

Se han propuesto varios métodos de aprendizaje automático para identificar tipos específicos de comportamientos automatizados. Estos métodos suelen explotar una combinación de características como la estructura de la red social, las características del contenido/perfil y los patrones temporales [18].

Algunos investigadores se han centrado en las características del comportamiento humano en línea. Wood-Doughty y otros realizaron un estudio en un millón de cuentas para explorar cómo diferentes grupos demográficos utilizan Twitter [53]. La investigación se basa en el supuesto de que el comportamiento del usuario se ve afectado por indicadores como la personalización de la información, la información temporal, el uso compartido de la ubicación, la interacción del usuario y el dispositivo. He et al., proporcionaron un método para identificar cinco categorías de comportamiento en Twitter: comportamiento personal, comportamiento de difusión de información de noticias, comportamiento de publicidad y promoción, comportamiento automático/robot y otras actividades [25].

Los investigadores también estudiaron el comportamiento humano en otras plataformas de redes sociales. Maia y otros representan a los usuarios de YouTube como vectores de características compuestos de palabras como el número de cargas, vídeos vistos, canales visitados, fecha de ingreso al sistema, edad, etc. Luego agruparon a los usuarios en categorías preestablecidas, como miembros de pequeñas comunidades, productores de contenido y consumidores de contenido.

Benevenuto y otros estudiaron el comportamiento de la red analizando los datos del flujo de clics de más de 37.000 usuarios que visitaban cuatro redes sociales (Orkut, MySpace, Hi5 y LinkedIn) [3].

En el otro extremo del espectro de la automatización se encuentran los robots sociales [18]. Un tema común en la literatura es la creación de algoritmos para distinguir las cuentas de bots de las cuentas humanas [9], lo que requiere primero caracterizar las cuentas. La gran cantidad de información obtenida de las plataformas de redes sociales puede describir cuentas en muchas dimensiones diferentes. Dependiendo de los diferentes tipos de cuentas objetivo, los métodos existentes utilizan información de origen [56], números de cuenta [57, 12, 10], comportamientos [34], redes sociales [4] y características temporales [34].

Otro enfoque común es combinar características de cuenta de diferentes dimensiones en el mismo modelo [30, 15, 52, 22, 55, 43]. Por ejemplo, Botometer 2 es un sistema de aprendizaje automático supervisado disponible públicamente que extrae más de 1.000 características del mensaje, contenido, sentimiento, red social y actividad temporal de una cuenta de Twitter.

ADN digital (DDNA), propuesto por Cresci et al. [12, 10], es el método más similar a BLOC. DDNA codifica cada cuenta en un par de cadenas que representan acciones y contenido . Luego trata las cuentas con subcadenas comunes largas como bots . Si bien BLOC utiliza de manera similar secuencias de símbolos para codificar acciones y tipos de contenido, difiere significativamente de DDNA en la captura de pausas. BLOC puede dividir una cadena en palabras que representan secuencias de acciones o símbolos de contenido separados por pausas . Las palabras pueden capturar diferentes patrones de comportamiento, mientras que la ausencia de pausas largas puede revelar un comportamiento automático. Por lo tanto, las cuentas se pueden representar como vectores de palabras, lo que permite medidas de similitud más allá de la coincidencia de cadenas. Otra diferencia es que DDNA trunca las repeticiones. Por ejemplo, un solo carácter U representa una o más URL y BLOC puede capturar duplicados (como UUU) para enfatizar diferentes comportamientos. Esto puede ayudar a detectar comportamientos repetitivos, como largas secuencias de retweets, que son típicas de algunas cuentas no auténticas.

2.2 Coordinación

Con el tiempo, los robots sociales maliciosos se han vuelto cada vez más sofisticados, más efectivos y más difíciles de detectar. En algunos casos, investigar cuentas individuales no es suficiente. Un grupo de cuentas no auténticas puede ser coordinado por una sola entidad, ya sea que sus acciones estén controladas por humanos o sean automatizadas. Estos sofisticados engaños sólo pueden detectarse mediante observaciones a nivel de grupo [9]. Esto ha dado lugar a varios esfuerzos de investigación para detectar comportamientos de coordinación maliciosos.

Mientras que la detección de bots individuales tiene como objetivo separar cuentas humanas individuales y cuentas similares a bots, la detección coordinada implica agrupar cuentas sospechosamente similares en grupos [39]. La definición apropiada de una medida de similitud es subjetiva y varía según los estudios. Una opción común es centrarse en la dimensión temporal, comparando directamente series temporales de acciones de diferentes cuentas [6, 27] o utilizando modelos de procesos en un momento dado [45]. Otras medidas similares se centran en texto duplicado o parcialmente coincidente [2, 51] o retweets compartidos [37]. Algunos métodos se centran en componentes específicos del contenido, como enlaces incrustados, hashtags y medios [39, 28, 20, 21, 51]. La información del perfil de la cuenta también se puede utilizar para identificar cuentas similares [17]. Finalmente, las medidas de similitud se pueden agregar según diferentes criterios [31].

Estos métodos suelen extraer características de la cuenta dirigidas a patrones de comportamiento sospechosos específicos [39]. BLOC codifica información de comportamiento en características que pueden usarse para calcular similitudes sin predeterminar el comportamiento objetivo. Por lo tanto, los BLOC son versátiles y pueden usarse para describir una variedad de comportamientos. A continuación, presentaremos BLOC en profundidad.

3 lenguaje conductual para la clasificación en línea

Los componentes centrales de BLOC son una colección de dos letras: acción y contenido. Cada uno consta de un conjunto de símbolos que representan una actividad o característica. En conjunto, estos alfabetos codifican comportamientos que pueden usarse para construir modelos para una variedad de tareas.

BLOC tiene varios parámetros de idioma, como se muestra en la Tabla 1. Diferentes combinaciones de estos valores de parámetros corresponden a diferentes lenguajes y representaciones. A continuación analizamos estos parámetros en detalle e indicamos los valores recomendados basados en experimentos extensos. En las Secciones 4 y 5 aplicamos diferentes representaciones de BLOCS a diversas tareas.

3.1 alfabetos BLOQUE

Vamos a mostrar cómo generar una cadena BLOC extraída del alfabeto para una cuenta arbitraria de Twitter @Alice. Pero tenga en cuenta que BLOC es independiente de la plataforma.

3.1.1 Alfabeto de acción

El alfabeto de acciones consta de dos conjuntos de símbolos de acción y pausa. Un símbolo de acción representa una publicación de una cuenta y sus símbolos se resumen a continuación:

T: Publicar un mensaje P: Responder a un amigo p: Responder a alguien que no es amigo π: Responder a tu propia publicación R: Volver a publicar la publicación de un amigo r: Volver a compartir la publicación de un no amigo ρ: Volver a compartir tu propia publicación

Por ejemplo, la cadena T pπR significa que @Alice publicó un tweet, luego respondió a alguien que no era amigo, luego se respondió a sí misma y finalmente retuiteó a un amigo.

El símbolo de pausa indica una pausa entre acciones sucesivas. Las pausas proporcionan contexto adicional para las acciones. Por ejemplo, acciones con pausas muy cortas (por ejemplo, menos de un segundo) o pausas muy regulares pueden indicar automatización [19].

Primero, definimos Δ como el intervalo de tiempo entre dos acciones consecutivas. Dependiendo del parámetro p2, tenemos dos posibles alfabetos de pausa, definidos por funciones que asignan valores de Δ a símbolos. La función f1 se define de la siguiente manera

donde p1 es el umbral de separación de sesiones. Por tanto, una sesión se define como la secuencia máxima de acciones consecutivas con un tiempo de pausa inferior a p1. Las conversaciones son importantes porque proporcionan límites naturales para etiquetar las palabras del BLOQUE (consulte la Sección 3.2.2). Recomendamos utilizar valores de p1 de un minuto o menos en la Ecuación 1 .

Por ejemplo, etiquetemos la serie de operaciones de @Alice (T pπR) con f1 y p1 = 1 minuto. Supongamos que Alice hace una pausa de 2,5 minutos entre publicar su primer tweet y responder a alguien que no es amigo, luego espera 50 segundos antes de responder a su propio tweet y finalmente espera tres días antes de retuitear el tweet de su amiga. La cadena BLOC resultante es T.pπ.R, que representa tres sesiones, con sus límites marcados por puntos.

Un alfabeto de pausa alternativo asigna diferentes símbolos a pausas largas para una mejor granularidad. Descomponemos el tiempo en una escala logarítmica para representar varias pausas, como horas, días, semanas, y definimos f2 como:

Tomando el ejemplo anterior como ejemplo, bajo la condición de p1 = 1 minuto, la cadena de operación de @Alice que usa el símbolo de pausa f2 es .

3.1.2 Alfabetos de contenido

El alfabeto de contenido proporciona las características léxicas de una publicación, ya sea que contenga texto, enlaces, hashtags, etc. A diferencia del alfabeto de acciones, una sola publicación en las redes sociales puede contener múltiples símbolos de contenido de la siguiente lista:

t: Texto H: Etiqueta M: Mención de un amigo m: Mención de alguien que no es amigo q: Referencia a la publicación de otra persona φ: Referencia a la propia publicación E: Objeto multimedia (por ejemplo, imagen/vídeo) U: Enlace (URL)

Por ejemplo, supongamos que el primer tweet de @Alice contiene solo texto; su respuesta a una persona que no es su amiga contiene dos imágenes y un hashtag; su autorrespuesta se refiere a un amigo y contiene un enlace; y finalmente retuitea un tweet que involucra a una persona que no es su amiga. amigo. La cadena de contenido resultante depende del parámetro p3. Si no se utilizan sesiones, cada operación corresponde a una palabra de contenido separada: (t)(EEH)(UM)(m). Aquí se separa el contenido de las respuestas a no amigos (EEH) y las respuestas a uno mismo (UM), aunque forman parte de la misma conversación. A través de la conversación podemos obtener (t) (EEHU M ) (m). Tenga en cuenta que los paréntesis separan las palabras de contenido y que el orden de los símbolos de contenido dentro de las palabras es arbitrario y está determinado en la implementación.

3.2 BLOC models

Las cadenas BLOC se pueden utilizar para crear modelos matemáticos para tareas como la caracterización del comportamiento en línea, la detección de zombis y la detección de coordinación. Las posibles categorías de modelos incluyen cadenas de Markov y espacios vectoriales.

3.2.1 Modo de idioma

Una forma sencilla de modelar una cuenta BLOC es una cadena de Markov. Cada estado en el modelo representa un símbolo BLOC, y el enlace de transición del estado st al estado st+1 cuantifica la probabilidad P (st+1|st) de que el símbolo st+1 siga al símbolo st. Para cada cuenta, podemos realizar una variedad de operaciones aleatorias relacionadas con la cadena de Markov. Por ejemplo, podemos predecir la siguiente acción de una cuenta (como twittear, compartir) calculando o estimando la probabilidad de que una cuenta produzca una serie de acciones .

Por ejemplo, se puede entrenar un modelo de lenguaje más general utilizando técnicas de aprendizaje profundo [26] para generar secuencias de símbolos BLOC.

3.2.2 Modelos vectoriales

Podemos emplear métodos de aprendizaje profundo, como word2vec [35], para incrustar cadenas BLOC en representaciones vectoriales. Sin embargo, los espacios vectoriales abstractos no pueden beneficiarse de la interpretabilidad de la notación BLOC. Alternativamente, podemos obtener una representación vectorial etiquetando primero las cadenas BLOC como palabras y luego usando directamente estas palabras como dimensiones del espacio vectorial.

Dependiendo del parámetro p4 (Tabla 1), la tokenización se puede realizar utilizando uno de dos métodos: n-gram o pausa. El método n-gram genera tokens de tamaño fijo n deslizando una ventana de tamaño n sobre la cadena BLOC. En el caso de n = 2, generamos vocabulario bigramatical que contiene palabras con dos símbolos. Por ejemplo, dada la cadena de acción T pπ.r y la cadena de contenido BLOC (t)(EH)(U )(mm) (n = 2), obtendremos un conjunto de palabras {T p, pπ, π., .r, tE, EH, HU, U m, mm}.

El método de pausa utiliza pausas para dividir la cadena de acción BLOC en palabras de longitud variable. Además de servir como marcadores de límites de palabras, los símbolos de cesura también se incluyen en el vocabulario como palabras de un solo símbolo. Para las cadenas de contenido, las oraciones individuales marcan los límites de las palabras: todos los tokens en la misma oración forman una palabra. Los símbolos dentro de cada palabra se pueden ordenar alfabéticamente según el parámetro p5. Para ilustrar la notación de pausa sin ordenar, dada la misma cadena de operación BLOC T pπ.r y la cadena de contenido BLOC (t)(EH)(U )(mm), podemos obtener el conjunto de palabras { T pπ, ., r, t , EH, U, mm}.

La tokenización de pausa a menudo resulta en palabras largas, como las 13 palabras simbólicas πππππT T πππππ en la cuenta cyborg de la Figura 2. Las palabras largas ocurren cuando las pausas entre múltiples acciones consecutivas son más cortas que p1, lo que significa que las acciones se realizan en sucesión, lo que generalmente indica automatización. Por ejemplo, la diferencia entre rrrrr y rrrrrr a menudo no es importante, por lo que podemos truncar la palabra larga después de la restricción en lugar de representar las dos como palabras separadas en el vocabulario. Por ejemplo, configurar p6 = 4 truncará los caracteres repetidos cuatro o más veces. Las palabras rrrr, rrrrr y rrrrrr serán reemplazadas por rrrr+.

(Figura 2: Ilustración de cadenas de acción BLOC (p1 = 1 minuto) para cuentas de Twitter de humanos, cyborgs y bots, que muestra algunas diferencias de comportamiento entre estos individuos. Si se utilizan pausas para etiquetar cadenas, las cuentas humanas tienen las palabras más cortas (el promedio La longitud fue de 1,35, en comparación con 3,88 para las cuentas de bot y 4,0 para las cuentas de bot) y estuvo dominada por retweets y respuestas aisladas. Las cuentas de cyborg (hilos que creamos para publicar actualizaciones de noticias) exhibieron comportamiento humano (publicaciones huérfanas) y también exhibieron comportamiento de bot. (El hilo estalló). Las cuentas de bots retuitean principalmente.)

4 Poder discriminativo del BLOQUE

BLOC nos permite estudiar el comportamiento en diferentes niveles de granularidad. Podemos analizar diferentes categorías de cuentas, como cuentas humanas versus cuentas de bot. O podríamos analizar diferentes tipos de cuentas personales dentro de una categoría, como cuentas políticas versus cuentas académicas o bots de spam versus bots autodeclarantes. En esta sección, demostramos este enfoque de resolución múltiple describiendo el comportamiento de cuentas individuales y grupos de cuentas independientemente de si sus etiquetas de clase son conocidas o desconocidas.

4.1 Caracterización de individuos y grupos

La Figura 2 ilustra las diferencias de comportamiento entre tres cuentas: una cuenta humana que pertenece a un periodista; una cuenta cyborg donde las actualizaciones de noticias se publican manualmente o utilizando un script de software por uno de los autores; y una cuenta cyborg identificada por Mazza et al. [34 ] Cuentas de robots de spam. Estas cuentas están representadas por sus respectivas cadenas de acción BLOC. Observamos varias diferencias. Primero, cuando etiquetamos estas cadenas como palabras separadas por pausas, los humanos registraron las palabras más cortas, en su mayoría de un solo símbolo (como r, T, p). Esto refleja el hecho de que los humanos tienden a tomar descansos entre publicaciones. En segundo lugar, las subcadenas humanas en las cuentas de bots tienen un recuento de palabras más corto, seguidas de las subcadenas de bots creadas repentinamente. En tercer lugar, las cuentas de bot tienden a amplificar el contenido retuiteando (por ejemplo, rrrrrrrrrr) en lugar de crear contenido nuevo.

Cambiemos nuestro enfoque al grupo de cuentas de investigación. La Figura 3 muestra el análisis de componentes principales (PCA) de los vectores BLOC TF-IDF para un número igual de cuentas de robots y humanos en seis conjuntos de datos diferentes (consulte la Tabla 2). Observamos que las cuentas de bot y humanas en la columna izquierda de la figura expresan patrones de comportamiento más diferentes que las cuentas en la columna derecha.

(Figura 3: Proyección PCA 2D de los vectores de cuenta BLOC TF-IDF de seis conjuntos de datos (incluidos humanos y robots) (ver Tabla 2): (A) cresci-17, (B) botometer-feedback-19, (C) cresci- rtbust-19, (D) cresci-stock-18, (E) varol-17 y (F) gilani-17. De cada conjunto de datos, seleccionamos el mismo número de cuentas de robots (naranja) y humanos (color azul). use todas las cuentas en la categoría minoritaria y extraiga un número igual de cuentas de la categoría mayoritaria. Se muestra el diagrama de Venn que muestra las cinco palabras BLOQUE principales separadas por pausas para cuentas humanas y de bots).

(Conjuntos de datos anotados utilizados en nuestras evaluaciones de detección de bots. Para cada conjunto de datos, informamos la referencia que lo describe y la cantidad de cuentas que aún están activas en el momento de la evaluación actual ) .

Por lo tanto, las cuentas de la columna de la izquierda tienen menos palabras en común y son más fáciles de separar. Por ejemplo, tanto los bots como las cuentas humanas en la Figura 3A envían contenido de texto sin formato (t), pero las cuentas de bot usan con mayor frecuencia etiquetas (Ht). En la Figura 3C, los bots amplifican el contenido mediante retweets masivos (rrr, rrr+), lo cual es diferente a lo que hacen los humanos creando contenido original (T). En la Figura 3E, los bots comparten más enlaces externos (U), mientras que los humanos tienden a participar en conversaciones y comentarios (p, q).

En la Figura 3B, los robots y los humanos expresan características de comportamiento similares: ambos tipos de personas tienen las mismas cinco palabras clave. En la Figura 3D y la Figura F, los robots y los humanos comparten cuatro de las cinco palabras candentes. En las Figuras 3D y F, las cuentas de bot son más propensas a amplificar el contenido (rrr) y vincular a sitios web externos (U t), mientras que las cuentas humanas correspondientes son más propensas a participar en conversaciones (p). En general, la figura muestra que los humanos tienden a comportarse de manera consistente en diferentes conjuntos de datos, mientras que los bots se comportan de manera diferente según el propósito para el que fueron creados. Estos hallazgos son consistentes con análisis previos basados en características temporales [43]. La representación BLOC es muy poderosa y puede capturar diferencias significativas entre estos comportamientos.

4.2 Grupos de comportamiento

Cuando las etiquetas de clases de comportamiento no están disponibles, podemos caracterizar el comportamiento en línea sin supervisión, utilizando BLOC para agrupar cuentas en función de similitudes de comportamiento.

Analizamos los tweets recopilados entre el 4 de enero y el 30 de septiembre de 2021 por el proyecto CoVaxxy3, que estudia cómo la información errónea en línea afecta la vacunación COVID-19 [40]. El conjunto de datos [16] consta de más de 200 millones de tweets en inglés sobre COVID-19 y las vacunas, publicados por más de 17 millones de cuentas. Los tweets recopilados contienen 76 palabras clave y etiquetas, que cubren varios temas neutrales (como covid), provacunas (como getvaccinated), antivacunas (como mybodymychoice) y teorías de la conspiración (como greatreset).

Dada la gran cantidad de cuentas en el conjunto de datos y el costo cuadrático de las comparaciones por pares, nos centramos en las mil cuentas más activas cada mes . Definimos la actividad en función del número de días que una cuenta tuiteó ; para romper vínculos (especialmente entre cuentas activas todos los días), utilizamos el número total de tweets que una cuenta publicó durante el período de recopilación .

Utilizamos un enfoque de tres pasos basado en red para identificar grupos de cuentas con comportamientos muy similares. Primero, generamos vectores BLOC TF-IDF para cada cuenta, usando pausas para marcar palabras, sin ordenar símbolos y truncando palabras (p6 = 4). En segundo lugar, calculamos la similitud del coseno entre 1000 vectores. Construimos una red conectando solo nodos (cuentas) con una similitud de al menos 0,98 y eliminando nodos individuales. Este umbral garantiza que se preste atención a cuentas con una similitud sospechosamente alta. En tercer lugar, adoptamos el método de Lovaina para identificar comunidades [5]. Este procedimiento se aplica todos los meses (de enero a septiembre) para generar nueve redes de similitud de comportamiento que consisten en grupos de cuentas con alta similitud.

La Figura 4 muestra 24 de los 163 grupos identificados. En la figura, un punto representa un grupo ubicado en los ejes que representan su diversidad de comportamiento promedio y su puntaje de automatización promedio .

(Figura 4: Diversidad de comportamiento promedio versus automatización promedio para 24 comunidades de cuentas con comportamientos muy similares (ver texto). Cada comunidad está representada por un punto , coloreado según la clasificación manual (ver texto). Al visualizar la subred correspondiente a resaltar algunas comunidades seleccionadas, donde el tamaño del nodo y el color oscuro representan el grado y el número de tweets respectivamente)

Para una cuenta individual, medimos la diversidad de su comportamiento mediante la entropía de su cadena BLOC (antes de la tokenización). Estimamos el grado de automatización de una cuenta por la cantidad de veces que publica utilizando la API de Twitter. Los usuarios deben crear una aplicación para utilizar la API de Twitter, y los datos de Twitter incluyen un "agente de usuario" que identifica la aplicación. Algunos valores de agentes de usuario corresponden a aplicaciones nativas de Twitter (TweetDeck, Twitter para anunciantes, Twitter para anunciantes (heredado), Twitter para Android, Twitter para iPad, Twitter para iPhone, Twitter para Mac, Twitter Media Studio, Twitter Web App y Cliente web de Twitter).

Si bien en principio es posible escribir software para controlar aplicaciones nativas, suponemos que la gran mayoría de estas aplicaciones se operan manualmente. Nuevamente, asumimos que las aplicaciones no nativas indican el uso de la API de Twitter y, por lo tanto, lo más probable es que estén automatizadas, aunque algunas de ellas se pueden realizar manualmente. Las puntuaciones de entropía y automatización se promedian entre las cuentas de cada grupo. Los grupos de la Figura 4 se distinguen bien a lo largo del eje de automatización, lo que indica una fuerte distinción entre cuentas humanas y de bot.

Inspeccionamos manualmente los grupos en la Figura 4 para describir los comportamientos principales, resumidos en los siguientes grupos. Cada número de grupo tiene un sufijo que indica el mes en el que se observó. En la Figura 4, todos los grupos de cada grupo tienen el mismo color.

Componente conectado enorme (azul): el grupo del 3 de septiembre incluye cuentas con puntuaciones de automatización bajas y comportamientos diversos. Es probable que se trate de usuarios legítimos que en su mayoría retuitean y ocasionalmente tuitean, con pausas normales. Todos los meses aparecen componentes similares de gran tamaño.

Bots de suministro/citas de vacunas (naranja): el grupo del 12 de abril incluye 12 cuentas de bots autoidentificados que rastrean el suministro de vacunas y la disponibilidad de citas en ciudades de los EE. UU., como @DCVaxAlerts y @FindAVac Austin. Estas cuentas publicaron publicaciones como "¡Se detectaron nuevas citas disponibles! - Proveedor: CVS Pharmacy - Ciudad: Alamo Heights - Enlace de registro: www.cvs.com/immunizations/covid-19-vaccine..." El extenso artículo que crearon tuits principalmente constan de URL y texto. En general, estas cuentas publicaron la mayor cantidad de contenido. Asimismo, el grupo del 17 de enero incluyó dos robots de citas de vacunas (@kcvaccinewatch y @stlvaccinewatch) que crearon hilos de tweets. El grupo del 13 de julio incluye @CovidvaxDEL, un robot de estado de citas de vacunas en Nueva Delhi, India; y @ncovtrack, un robot que publica estadísticas de vacunas por país.

Cuentas que publican noticias (verde): los grupos del 14 de abril, 16 de enero, 20 de abril y 22 de febrero incluyen muchas cuentas que en su mayoría publican tweets cada hora con enlaces a sitios de noticias, como @canada4news y Algunas cuentas @HindustanTimes son propiedad de organizaciones de noticias internacionales como como @Independent y @guardian.

Contenido amplificado, probablemente cuentas zombies (púrpura): 4 de mayo, incluyendo un par de cuentas que no crearon contenido; retuitearon principalmente los mismos tweets. El 19 de mayo incluye un bot de Autoidentificación creado por el mismo desarrollador de Autoidentificación. Los robots @EdinburghWatch y Glasgow Watch retuitean contenido aleatorio de Glasgow y Edimburgo respectivamente.

- Intercambio de información errónea y cuentas de noticias locales (blanco): el grupo del 24 de febrero incluyó @USSANews, propiedad de ussanews.com, un sitio de desinformación según factcheck.org. La cuenta publicó un enlace titulado "31 razones por las que no me vacunaré". El mismo grupo también incluye @abc7newsbayarea, la cuenta de una organización de noticias legítima de Los Ángeles. Ambas cuentas publicaron en su mayoría múltiples tweets con imágenes, con pausas entre cada tweet de menos de una hora.

Bots de spam (rojo): los grupos del 10 de marzo, 11 de abril y 23 de agosto incluyen cuentas que publicaron contenido duplicado. Las cuentas del grupo del 10 de marzo reutilizaron 7 o 13 etiquetas para vincular a sus respectivos blogs. El 11 de abril, las cuentas del grupo publicaron información para solicitar a otros que siguieran una cuenta específica. Dos cuentas del grupo del 23 de agosto publicaron repetidamente el mismo mensaje a favor de la vacuna, 133 y 72 veces respectivamente. ,

- Bot coordinador (negro): Tres cuentas del grupo no crearon contenido el 21 de mayo; cada una retuiteó la misma cuenta 1.004 veces. En la primera semana de mayo de 2021, los primeros 44 caracteres de sus cadenas BLOC coinciden. Asimismo, las cuentas del grupo 15-5 no crearon contenido pero siempre retuitearon la misma colección de múltiples cuentas comerciales que promocionaban varios productos. El 18 de marzo incluyó un par de cuentas que se retuitearon 313 veces.

Varias cuentas de baja automatización con diferentes posturas sobre las vacunas (amarillo): finalmente, la Figura 4 también muestra grupos de cuentas a favor de la vacuna (grupos del 1 de mayo y 2 de enero), cuentas antivacunas (grupos del 1 de mayo y grupos del 6 de enero). - abril, 7 de marzo y 8 de mayo), o una combinación de ambos sentimientos (grupo septiembre - junio)

5 Evaluación

En esta sección, evaluamos el desempeño del modelo BLOC en la tarea de detección de bots y coordinación en Twitter. El código BLOC y el conjunto de datos utilizados en nuestros experimentos están disponibles [38].

5.1 Detección de robots

La tarea de detección de bots implica separar las cuentas que pueden ser operadas por usuarios humanos de las cuentas que pueden ser operadas mediante automatización. Esta es una tarea desafiante porque el comportamiento de los dos tipos de cuentas es heterogéneo y cambia con el tiempo.

5.1.1 Métodos

Los parámetros del lenguaje BLOC utilizados en la evaluación fueron los siguientes: p1 = 1 minuto, p2 = f2(Δ), p4 = bigrama (Tabla 1). Los demás parámetros no son aplicables a la tokenización de Bigram. Extrajimos dobletes de acción y contenido de BLOC para cada cuenta de Twitter anotada. Esto produce 197 dobletes. Estos bigramas se pueden utilizar como funciones en cualquier modelo de aprendizaje automático. Obtuvimos los vectores de características TF-IDF para cada cuenta y los usamos para entrenar un clasificador de bosque aleatorio.

Comparamos el rendimiento de BLOC con tres modelos de referencia: Botometer-V4 (la versión actual de Botometer en el momento de escribir este artículo) [43] y dos métodos basados en ADN, a saber, DDNA [12, 10] e influenciado por ADN [23]. . Se eligieron estos últimos porque tienen algunas similitudes con los BLOC.

Botometer-V4 utiliza 1161 funciones diferentes, que se pueden dividir en seis categorías, centrándose en diferentes características de la cuenta. Por ejemplo, las características del perfil se extraen del perfil del usuario, como la cantidad de amigos y seguidores. Las características temporales miden los patrones temporales de las publicaciones, como la frecuencia y el momento. En los sistemas implementados, se entrenan diferentes clasificadores de una colección en diferentes tipos de cuentas y luego se vota por estos clasificadores para llegar a una puntuación final del bot [43]. Aquí, para comparar las capacidades de representación de las características de BLOC y Botometer, en igualdad de condiciones, entrenamos un único clasificador de bosque aleatorio utilizando las mismas características utilizadas para entrenar Botometer-V4.

Digital DNA clasifica las cuentas como bots si comparten largas secuencias de símbolos que representan comportamiento y contenido. Cresci y otros [10] proporcionan su código Python [42] que encapsula la implementación en lenguaje C del algoritmo de subcadena común más larga (LCS). Modificamos el código para implementar el método descrito por los autores. Este método deriva la longitud máxima de subcadena común a partir de los datos de entrenamiento. Luego, esta longitud se utiliza para determinar el conjunto de cuentas en los datos de prueba que tienen la subcadena común más grande de la misma longitud. Estas cuentas se clasifican como bots. Finalmente, utilizamos validación cruzada para evaluar el clasificador.

El clasificador de bots influenciado por el ADN se basa en la teoría de que es más probable que las cuentas de bots sean similares entre sí que a las cuentas humanas. Este método utiliza una fórmula para calcular la distribución de probabilidad de una cadena determinada y utiliza divergencia KL simétrica para calcular la distancia entre las distribuciones de probabilidad asociadas con dos cadenas [58]. De esta forma, el método puede calcular la distancia entre las cadenas DDNA correspondientes a las dos cuentas [23]. Para implementar este método, dividimos las cuentas de zombies en el conjunto de datos de entrenamiento en 50 grupos, similar al método de Gilmary y otros [23]. Calculamos la distancia promedio de todos los pares de cuentas dentro del grupo. Luego, la distancia promedio máxima entre todos los grupos se utiliza como umbral de decisión: si la distancia entre dos cuentas cualesquiera en el conjunto de datos de prueba es menor o igual al umbral de decisión, entonces estas dos cuentas se clasificarán como bots.

5.1.2 Conjuntos de datos

Nuestro conjunto de datos de evaluación (Tabla 2) consta de 32.056 cuentas de Twitter etiquetadas como bots y 42.773 cuentas etiquetadas como humanos, seleccionadas del repositorio de bots4. Para eliminar el posible sesgo del análisis comparativo causado por el desequilibrio de clases, fusionamos todos los conjuntos de datos pero tomamos muestras aleatorias de 32056 cuentas de la clase mayoritaria (humana).

5.1.3 Resultados

Evaluamos BLOC, Botometer, tres variantes de ADN digital (tipo b3, contenido b3 y contenido b6) [10] y predijimos etiquetas robóticas y humanas afectadas por el ADN, todas las cuales están anotadas de manera idéntica en la Tabla 2 realizada con los datos. colocar. Calculamos la precisión, la recuperación y la F1 a partir de una validación cruzada quíntuple

Como se muestra en la Tabla 3, Botometer-V4 supera ligeramente a BLOC en la métrica F1. Sin embargo, BLOC utiliza muchas menos funciones. Influenciado por ADN tuvo un mejor desempeño que ADN digital, aunque marcó todas las cuentas como zombies.

(3: Precisión, recuperación y F1 de diferentes clasificadores de robots que utilizan validación cruzada quíntuple y número de características. Los mejores valores para cada métrica se muestran en negrita. Los clasificadores influenciados por el ADN produjeron una recuperación de 1,0 porque siempre predecir que todas las cuentas son bots)

5.2 Detección de coordinación

Muchos países utilizan las redes sociales para llevar a cabo operaciones de información dirigidas a sus propios ciudadanos, ciudadanos y organizaciones extranjeros, etc. Twitter define la acción de mensajes como una forma de abuso de la plataforma que es la amplificación o supresión artificial de información o comportamiento que manipula o interrumpe la experiencia del usuario.

Utilizamos el término "conductor" para referirnos a cuentas que participan en determinadas operaciones de información. Los conductores pueden emplear tácticas como spam, suplantación de identidad, ofuscación y/o dirigirse a personas o comunidades. Consideramos que todas estas conductas están coordinadas entre sí pero no las diferenciamos. Nuestra tarea es diferenciar a los conductores de las cuentas habituales (de control) que impulsan el mismo tema.

5.2.1 Métodos

La detección de coordinación se basa en el aprendizaje no supervisado, que identifica cuentas con comportamientos sospechosamente similares. Las palabras BLOQUE expresan características de comportamiento. Generamos el vector TF-IDF de acuerdo con el método descrito en la Sección 5.1.1 y luego calculamos la similitud entre las dos cuentas a través del valor del coseno entre los dos vectores.

Comparamos BLOC con tres métodos de referencia que hacen diferentes suposiciones sobre las características de comportamiento que pueden compartirse entre cuentas coordinadas [39]: secuencia de etiquetas (Hash), actividad (Activity) y reenvío conjunto (CoRT). El método de referencia de etiquetas identifica cuentas coordinadas al encontrar aquellas cuentas que utilizan principalmente la misma secuencia de etiquetas (por ejemplo, la misma etiqueta de 5 gramos). El método de actividad busca cuentas que publican tweets al mismo tiempo: las cuentas que twittean o retuitean con frecuencia dentro del mismo período de tiempo se consideran cuentas sospechosas.

Al igual que Pacheco y otros [39], consideramos cuentas que tuitean continuamente durante 30 minutos.

El método de co-retwitteo identifica cuentas coordinadoras al encontrar cuentas que principalmente retuitean los mismos tweets. Según la investigación de Pacheco et al.39, generamos el vector TF-IDF de etiqueta de 5 gramos, intervalo de actividad e ID de retuit. Todas las líneas de base utilizan el valor del coseno entre los vectores TF-IDF para calcular la similitud. También evaluamos un enfoque combinado. Para un par de cuentas, el método combinado toma el máximo de los cuatro valores de similitud de cosenos calculados por BLOC y las tres líneas de base.

Construimos un clasificador de k-vecino más cercano (KNN) usando k = 1..., 10 para comparar cinco métodos. Informamos el F1 máximo obtenido entre valores de k.

5.2.2 Conjuntos de datos

Twitter ha publicado más de 141 conjuntos de datos de operaciones de información [48]. Los conjuntos de datos incluyen tweets publicados por conductores en 21 países en diferentes períodos de tiempo de 2008 a 2021. Para garantizar una evaluación justa de nuestros clasificadores para detectar impulsores de manipulación de información, creamos un conjunto de datos de control que incluía tweets de cuentas que no participaron en manipulación de información pero que publicaron sobre los mismos temas al mismo tiempo. Para cada acción de información, extrajimos todas las etiquetas utilizadas por el conductor. Luego utilizamos estas etiquetas como condiciones de consulta para la búsqueda académica API6 de Twitter, que no tiene restricciones de fecha. Extrajimos cuentas que tuitearon en la misma fecha de la campaña, utilizando el mismo hashtag. Finalmente, extrajimos hasta 100 tweets publicados en las mismas fechas que las unidades y reconstruimos la línea de tiempo de cada cuenta. Como se muestra en la Tabla 4, creamos conjuntos de datos de control para 36 operaciones de información. Estos conjuntos de datos representan 18 países y todo el período de tiempo.

(Operaciones de información seleccionadas. Enumeramos la vida útil, la cantidad de semanas utilizadas para la evaluación (desde el inicio de la operación de información) y la cantidad de controladores y cuentas de control que estuvieron activas durante la semana de evaluación. Tenga en cuenta que la semana de evaluación es no necesariamente es continuo.)

Algunas operaciones de información duraron varios meses (como China 3 en el Cuadro 4), y otras duraron cinco años (como Irán 7 en el Cuadro 4). Por lo tanto, podemos realizar experimentos de detección con los conductores en diferentes períodos de tiempo (por ejemplo, el primer año, el año pasado, todos los años). Desde una perspectiva de mitigación de impacto, seguimos el principio de descubrir al conductor lo antes posible con la menor cantidad de información (tweets) posible. Creemos que la detección temprana de conductores es difícil porque puede que no haya suficientes tweets con señales coordinadas.

Siguiendo los principios anteriores, agregamos gradualmente dos semanas de datos a cada experimento hasta el final del primer año cuando se observaron al menos 10 conductores o hasta el final de la campaña, lo que ocurra primero. En otras palabras, la primera instancia de nuestro experimento se realizó con dos semanas de datos, la segunda instancia con cuatro semanas de datos, y así sucesivamente. Se utilizaron intervalos de evaluación crecientes para explorar cómo la precisión depende de la cantidad de datos acumulados. Para cada método de detección de coordinación, generamos vectores correspondientes a todos los conductores y cuentas de control activas dentro de cada operación de información e intervalo de evaluación. La Tabla 4 enumera todo el período de evaluación y la cantidad de cuentas de conductor y control en el conjunto de datos.

5.2.3 Resultados

La Figura 5 muestra los valores F1 de los clasificadores con mejor rendimiento en un subconjunto de operaciones de formación.

(Figura 5: Puntajes F1 para los mejores clasificadores que detectan impulsores de acción de información en el subconjunto activo con al menos 10 semanas de datos. El número de semanas que se muestra en el eje x representa el número de semanas que el impulsor estuvo activo (semanas de evaluación); Estas semanas no son necesariamente consecutivas. El gráfico está ordenado de mayor a menor puntaje F1 calculado utilizando el método combinado en la semana 10.)

El eje x de cada gráfico representa el número de semanas de evaluación y el eje y representa la puntuación F1 del mejor clasificador. Las operaciones de información se clasifican de mayor a menor según sus respectivas puntuaciones compuestas F1@Week 10 para reflejar la dificultad de detectar a sus conductores. La puntuación compuesta F1@Semana 10 para Operaciones de Información es la puntuación F1 (F1@Semana 10) calculada utilizando el método compuesto para 10 semanas de datos. La Tabla 5 enumera las puntuaciones de F1@Week 10 para todos los servicios de información.

(Tabla 5: Puntajes F1 para BLOC y clasificadores de referencia para detectar impulsores de acciones de información, calculados en base a las primeras 10 semanas de datos para cada campaña (F1@semana 10). Para campañas con menos de 10 semanas de datos, se incluirá todo el conjunto de datos. Las operaciones de información están ordenadas por la puntuación F1 de los métodos combinados (Combinado F1@Semana 10). El mejor método para cada actividad se muestra en negrita. Tenga en cuenta que cuando la señal de similitud utilizada por el clasificador no se puede utilizar en un determinado actividad El comportamiento del conductor se observa cuando F1 = 0. En China 1, no se observa ningún reenvío común entre ningún par de conductores.)

Según la Figura 5 y la Tabla 5, BLOC supera la línea de base en la mayoría de las actividades. Los impulsores de las operaciones de información de China (como China 4 y China 5) son los más fáciles de detectar; todos los métodos de detección de cosecuencia, excepto Hash, tienen puntuaciones F1 superiores a 0,9. El factor más difícil de detectar son las operaciones de información desde los Emiratos Árabes Unidos. También notamos en la Figura 5 que en algunas campañas (Venezuela 4, Venezuela 3 y Egipto, Emiratos Árabes Unidos) la precisión de los diferentes métodos mejora al aumentar los datos de entrenamiento. Esto sugiere que los conductores muestran múltiples señales de coordinación simultáneamente. Sin embargo, más datos no significa necesariamente una mayor precisión en la detección de conductores. En algunas campañas, no hubo una tendencia temporal clara y, en algunos casos (como Irán 4 e Irán 3), agregar más datos dificultó la detección. Esto sugiere que los conductores pueden cambiar su comportamiento para ser más difíciles de detectar.

La Figura 6 compara el rendimiento de BLOC y tres métodos de codetección de referencia. El eje x representa el F1 promedio y el eje y representa el número promedio de características en todos los clasificadores en todas las operaciones de información.

(Número promedio de características versus F1 promedio de BLOC y cuatro clasificadores de referencia para detectar impulsores de operaciones de información, estimados en base a datos de las primeras 10 semanas del ciclo de vida de cada operación de información).

Ambos valores se calculan con base en datos de las primeras 10 semanas de operaciones de información. En la tarea de detección de coordinación, el clasificador BLOC supera a todas las líneas de base, con un F1 promedio = 0,659 y el menor número de características (108). El clasificador combinado tiene un promedio similar F1 = 0,658 pero utiliza la mayor cantidad de características (5869).

6 Discusión

Para combatir las amenazas de gran alcance que plantean las operaciones de influencia de las redes sociales, los investigadores han desarrollado métodos dirigidos a tipos específicos de comportamiento malicioso. Sin embargo, la efectividad de algunas de estas técnicas, que se basan en gran medida en funcionalidades hechas a mano, es temporal, ya que los actores maliciosos mejoran continuamente sus tácticas para evadir la detección. En este artículo, proponemos BLOC, un lenguaje universal para representar los comportamientos de los usuarios de redes sociales independientemente de su categoría (por ejemplo, bot o humano) o intención (por ejemplo, benigna o maliciosa). Las palabras BLOC se asignan a características derivadas de forma no supervisada. Observamos que BLOC no hace que la ingeniería de características sea irrelevante; de hecho, podemos usar BLOC para diseñar características.

Aunque BLOC es independiente de la plataforma, demostramos su flexibilidad con dos aplicaciones del mundo real en Twitter. En la tarea de detección de robots, BLOC supera a los métodos de la competencia (Digital DNA y DNA Impact) y es comparable al método de última generación (Botometer-V4), pero con un número mucho menor de funciones. Esto sugiere que la acción BLOC y las apuestas alfa de contenido proporcionan señales útiles que pueden diferenciar entre cuentas automatizadas y manuales en una variedad de conjuntos de datos.

BLOC supera a los métodos de referencia en la tarea de detección de coordinación, cuyo objetivo es identificar los impulsores en las primeras etapas del ciclo de vida de las operaciones de información. Todos los clasificadores se desempeñaron de manera diferente en diferentes acciones de información, lo que destaca la heterogeneidad que impulsa el comportamiento. Esto es consistente con el informe de Twitter, que muestra que los conductores incluyen humanos, cuentas automatizadas, cuentas coordinadas, etc. [49, 50]. Por lo tanto, no sorprende que los impulsores de algunas operaciones de información sean más fáciles de detectar que los impulsores de otras.

Lectura de artículos: un lenguaje general para modelar el comportamiento de las cuentas de redes sociales

Resumen