論文リンク: https://arxiv.org/pdf/2211.00639v1.pdf
目次
まとめ
悪意のある者はソーシャル メディアを利用して株価を吊り上げ、選挙に影響を与え、誤った情報を広め、不和を引き起こします。これを行うために、彼らが採用する戦術には、不正なアカウントやアクティビティを使用することが含まれます。こうした不正行為を検出する現在の方法は、不審な動作をターゲットにするために特別に設計されたシグネチャに依存しています。ただし、悪意のある動作が進行するにつれて、これらの方法の有効性は低下します。
この課題に対処するために、ソーシャル メディア アカウントの動作をモデル化するための一般的な言語を提案します。この言語の単語は BLOC と呼ばれ、ユーザーのアクションとコンテンツを表すさまざまなアルファベットの記号で構成されています。この言語は柔軟性が高く、大規模な微調整を行わずに、さまざまな合法的および疑わしいオンライン動作をモデル化するために使用できます。
Twitter アカウントの動作を表す BLOC を使用することで、ソーシャル ボットの 検出と不正な動作の調整において、最先端の方法と同等以上のパフォーマンスを実現します。
1 はじめに
ソーシャル メディアの普及により、ソーシャル メディアは悪者にとって悪用の主な標的となっています。政治候補者の人気を高める [41]、偽情報や陰謀論を広めることで世論に影響を与える [29、24]、そして協調的なキャンペーンを通じて株価を操作する [14、39] ためのソーシャル ボット [18] の使用が広く行われている。 。悪意のある者によってもたらされる脅威は広範囲に及び、民主主義 [44、54]、公衆衛生 [47、1、40]、経済 [33] を危険にさらしています。これに応えて、研究者たちは悪意のある不正なアカウントを検出するためのさまざまなツールを開発しました。
しかし、私たちは軍拡競争の真っ只中にいます。プラットフォームが新しい検出方法と防止メカニズムを提供するにつれて、悪意のある攻撃者は検出を回避する方法を開発し続けています。たとえば、ソーシャル ボットの進化を考えてみましょう。初期のスパム ボットは、多くの場合、意味のあるプロフィール情報が欠如していたり、素朴な動作を示したりするため、簡単に識別できました [57, 30]。近年、ボットアカウントはより洗練されています。他のユーザーから盗まれたか、ディープ ニューラル ネットワークによって生成された詳細なプロファイルを表示するものもあります [36]。人間の行動を模倣して社会的な絆を生み出すものもいます[9]。不正な行動を調整するなどの戦略を採用する人もいます。1 この協調的な動作は、個別に検査すると正常に見えますが、特定の目標を達成するために中央で制御されています [39]。
この軍拡競争により、より洗練された一連の検出方法が誕生しました [9、34、39]。これらの方法の重要な制限は、以前に観察された悪意のある動作のために特別に作成された機能に依存していることです [43]。これらの特性は、他の疑わしい動作にはうまく一般化できない場合があります。たとえば、複雑なソーシャル ロボットの検出を目的とした方法は、協調動作に過度に焦点を当てる傾向があり、その逆も同様です [55]。また、既存の手法は、特性がそれに応じて調整されない限り、新たな悪意のある攻撃者に直面した場合には役に立たなくなります。
この課題に対処するために、私たちはソーシャル メディア アカウントの動作を表すための世界共通言語であるオンライン分類のための動作言語 (BLOC) を提案します。BLOC という言葉は、アカウントのアクションとコンテンツを表すさまざまなアルファベットの記号で構成されています。たとえば、図 1 は、米国航空宇宙局 (NASA) の公式 Twitter アカウントの一連のツイートで考えられる表現を示しています。BLOC 言語は拡張性が高く、大規模な微調整を行わなくても、さまざまな正当な動作や疑わしい動作を表現できます。
(図 1: @NASA アカウントからの 3 つのツイート (返信、元のツイート、リツイート) のシーケンスの BLOC 文字列。アクション アルファベットを使用すると、シーケンスはドットで区切られた 3 つの単語 pTr で表すことができます。内容のアルファベットは、括弧内の 3 つの単語 (Emt)(mmt)(mmmmmU t) で表すことができます。詳細については、セクション 2.3 を参照してください。)
この論文では、そのような表現から意味のある行動パターンが現れ、ソーシャル メディア アカウントの分類に関連するタスクが容易になることを示します。BLOC の有効性を実証するために、ソーシャル ロボティクスと協調行動検出タスク、およびこれら 2 つのタスク専用に以前に設計された方法で BLOC を評価します。私たちの知る限り、BLOC はこれら 2 つのタスクに適用された唯一の既存の表現です。BLOC ベースのメソッドは、最先端のメソッドよりもはるかに少ない機能を使用しますが (そのため効率が高くなります)、より優れた、または同等のパフォーマンスが得られます。
2 関連作品
不正なオンライン動作は、少なくとも 2 つの側面 (自動化とオーケストレーション)に沿って説明できます。
アカウントは自動化されているが独立している場合、または調整されているが人間によって厳密に管理されている場合、または自動化と調整の両方、およびその中間のすべてを行うことができます。以下に、これらの側面に沿った不正な動作を検出することを目的とした研究の概要を示します。すべての自動化されたアクションまたは調整されたアクションが、必ずしも本物ではない、または悪意のあるものであるとは限らないことに注意してください。たとえば、一部の自己宣言ロボットは無害であるか、有用ですらありますが、一部の草の根運動は、有益な社会運動を促進するために調整を使用する場合があります。
2.1 自動化
ソーシャル メディア アカウントの自動化は、一方の人間の動作から他方のボットのような動作まで多岐にわたります。その中間には、人間とロボットの動作を繰り返す「ロボット」[8、7]があります。
特定のタイプの自動化された動作を識別するために、さまざまな機械学習方法が提案されています。これらの方法は通常、ソーシャル ネットワーク構造、コンテンツ/プロフィールの特性、時間的パターンなどの特徴の組み合わせを利用します [18]。
研究者の中には、人間のオンライン行動の特徴に焦点を当てている人もいます。Wood-Doughty らは、さまざまな人口統計グループが Twitter をどのように使用しているかを調査するために、100 万のアカウントを対象に調査を実施しました [53]。この調査は、ユーザーの行動が情報のパーソナライゼーション、一時的な情報、位置情報の共有、ユーザーのインタラクション、デバイスなどの指標によって影響を受けるという仮定に基づいています。彼らは、Twitter 上での行動の 5 つのカテゴリ (個人の行動、ニュース情報の拡散行動、広告と宣伝の行動、自動/ロボットの行動、その他の活動) を識別する方法を提供しました [25]。
研究者らは他のソーシャルメディアプラットフォームでの人間の行動も研究した。Maia らは、YouTube ユーザーを、アップロード数、視聴したビデオ、アクセスしたチャンネル、システム参加日、年齢などの単語で構成される特徴ベクトルとして表しています [32]。次に、ユーザーを小規模コミュニティ メンバー、コンテンツ制作者、コンテンツ消費者などの事前設定されたカテゴリに分類しました。
Benevenuto らは、4 つのソーシャル ネットワーク (Orkut、MySpace、Hi5、LinkedIn) にアクセスする 37,000 人以上のユーザーからのクリックストリーム データを分析することで、ネットワークの動作を研究しました [3]。
自動化の対極にあるのはソーシャル ロボットです [18]。文献における一般的なテーマは、ボット アカウントと人間のアカウントを区別するアルゴリズムを構築することです [9]。これには、まずアカウントの特徴付けが必要です。ソーシャル メディア プラットフォームから得られる豊富な情報により、さまざまな側面に沿ってアカウントを説明できます。ターゲットアカウントのさまざまな種類に応じて、既存の方法ではソース情報 [56]、アカウント番号 [57、12、10]、行動 [34]、ソーシャルネットワーク [4]、および時間的特徴 [34] が使用されます。
もう 1 つの一般的なアプローチは、同じモデル内で異なる次元のアカウント特徴を結合することです [30、15、52、22、55、43]。たとえば、Botometer 2 は、Twitter アカウントのメッセージ、コンテンツ、センチメント、ソーシャル ネットワーク、一時的なアクティビティから 1,000 を超える特徴を抽出する、公的に利用可能な教師あり機械学習システムです。
Cresci らによって提案されたデジタル DNA (DDNA)。[12, 10] は、BLOC に最も似た方法です。DDNA は、各アカウントをアクションとコンテンツを表す文字列のペアにエンコードします。次に、長い共通部分文字列を持つアカウントをボットとして扱います。BLOC も同様にシンボルのシーケンスを使用してアクションとコンテンツ タイプをエンコードしますが、ポーズのキャプチャにおいて DDNA とは大きく異なります。BLOC は、文字列を、ポーズで区切られた一連のアクションまたはコンテンツ記号を表す単語に分割できます。言葉はさまざまな行動パターンを捉えることができますが、長い休止がないことで自動的な行動が明らかになる場合もあります。したがって、アカウントは単語ベクトルとして表すことができ、文字列の一致を超えた類似性の測定が可能になります。もう 1 つの違いは、DDNA がリピートを切り詰めることです。たとえば、単一の U 文字は 1 つ以上の URL を表し、BLOC は重複 (UUU など) をキャプチャして、異なる動作を強調できます。これは、一部の不正なアカウントによく見られる、長時間にわたるリツイートなどの反復的な動作を検出するのに役立ちます。
2.2 調整
時間が経つにつれて、悪意のあるソーシャル ボットはますます洗練され、より効果的になり、検出が困難になってきました。場合によっては、個々のアカウントを調査するだけでは十分ではありません。不正なアカウントのグループは、そのアクションが人間によって制御されているか自動化されているかに関係なく、単一のエンティティによって調整される可能性があります。これらの巧妙な欺瞞は、グループレベルの観察を通じてのみ検出できます [9]。これにより、悪意のある調整動作を検出するためのいくつかの研究活動が行われてきました。
個々のボットの検出は、個々の人間のアカウントとボットのようなアカウントを分離することを目的としていますが、協調的な検出には、疑わしい類似アカウントをグループにクラスタリングすることが含まれます[39]。類似性尺度の適切な定義は主観的なものであり、研究によって異なります。一般的なオプションは、時間的次元に焦点を当て、さまざまなアカウントのアクション時系列を直接比較するか [6、27]、またはポイントインタイム プロセス モデリング [45] を使用することです。他の同様の措置は、重複または部分的に一致するテキスト [2, 51] または共有リツイート [37] に焦点を当てています。一部の方法は、埋め込みリンク、ハッシュタグ、メディアなどのコンテンツの特定のコンポーネントに焦点を当てています [39、28、20、21、51]。アカウントのプロフィール情報は、同様のアカウントを識別するためにも使用できます [17]。最後に、類似性の尺度はさまざまな基準に従って集計できます [31]。
これらの方法は通常、特定の不審な行動パターンを対象としたアカウントの特徴を抽出します [39]。BLOC は、行動情報を特徴にエンコードし、対象の行動を事前に決定せずに類似性を計算するために使用できます。したがって、BLOC は多用途であり、さまざまな動作を記述するために使用できます。次に、BLOC について詳しく紹介します。
3 オンライン分類のための行動言語
BLOC のコア コンポーネントは、アクションとコンテンツという 2 つの文字の集合です。それぞれは、アクティビティまたは特性を表す一連のシンボルで構成されます。これらのアルファベットは集合的に、さまざまなタスクのモデルを構築するために使用できる動作をエンコードします。
BLOC には、表 1 に示すように、いくつかの言語パラメータがあります。これらのパラメーター値のさまざまな組み合わせは、さまざまな言語と表現に対応します。以下では、これらのパラメーターについて詳しく説明し、広範な実験に基づいた推奨値を示します。セクション 4 と 5 では、さまざまな BLOC 表現をさまざまなタスクに適用します。
3.1 BLOC アルファベット
任意の Twitter アカウント @Alice のアルファベットから抽出された BLOC 文字列を生成する方法を示します。ただし、BLOC はプラットフォームに依存しないことに注意してください。
3.1.1 アクションのアルファベット
アクション アルファベットは、アクションとポーズの 2 つのセットの記号で構成されます。アクション シンボルはアカウントからの投稿を表し、そのシンボルの概要は次のとおりです。
T: メッセージを投稿 P: 友達に返信 p: 友達以外に返信 π: 自分の投稿に返信 R: 友達の投稿を再投稿 r: 友達以外の投稿を再共有 ρ: 自分の投稿を再共有
たとえば、文字列 T pπR は、@Alice がツイートを投稿し、次に友人以外に返信し、次に自分自身に返信し、最後に友人をリツイートしたことを意味します。
一時停止記号は、連続するアクション間の一時停止を示します。一時停止により、アクションに追加のコンテキストが提供されます。たとえば、非常に短い一時停止 (1 秒未満など) または非常に定期的な一時停止のあるアクションは、自動化を示している可能性があります [19]。
まず、Δ を 2 つの連続するアクション間の時間間隔として定義します。パラメータ p2 に応じて、Δ 値をシンボルにマッピングする関数によって定義される 2 つの可能なポーズ アルファベットがあります。関数 f1 は次のように定義されます。
ここで、p1 はセッション分離しきい値です。したがって、セッションは、p1 より短い休止時間を持つ連続アクションの最大シーケンスとして定義されます。会話は、BLOC 単語にラベルを付けるための自然な単語境界を提供するため、重要です(セクション 3.2.2 を参照)。式 1 では1 分以下の p1 値を使用することをお勧めします。
たとえば、@Alice の一連の操作 (T pπR) に f1 および p1 = 1 分というラベルを付けてみましょう。アリスが最初のツイートを投稿してから友人以外に返信するまでに 2.5 分間一時停止し、その後、50 秒待ってから自分のツイートに返信し、最後に 3 日待ってから友人のツイートをリツイートするとします。結果の BLOC 文字列は T.pπ.R で、境界がドットでマークされた 3 つのセッションを表します。
代替の一時停止アルファベットでは、粒度を高めるために、長い一時停止にさまざまな記号が割り当てられます。時間を対数スケールに分解して、時間、日、週などのさまざまな一時停止を表し、f2 を次のように定義します。
上記の例を例にとると、p1 = 1 分の条件では、f2 ポーズ記号を使用した @Alice の操作文字列は となります
。
3.1.2 コンテンツのアルファベット
コンテンツのアルファベットは、テキスト、リンク、ハッシュタグなどが含まれているかどうかなど、投稿の語彙的特徴を提供します。アクション アルファベットとは異なり、1 つのソーシャル メディア投稿には、次のリストにある複数のコンテンツ シンボルを含めることができます。
t: テキスト H: タグ M: 友人のメンション m: 友人以外のメンション q: 他人の投稿への参照 φ: 自分の投稿への参照 E: メディア オブジェクト (例: 画像/ビデオ) U: リンク (URL)
たとえば、@Alice の最初のツイートにはテキストのみが含まれ、友人以外への返信には 2 つの画像とハッシュタグが含まれ、彼女の自己返信には友人への言及とリンクが含まれ、最後に、@Alice が投稿したツイートをリツイートしたとします。友人。結果のコンテンツ文字列は、p3 パラメータによって異なります。セッションが使用されない場合、各操作は別のコンテンツ ワード (t)(EEH)(UM)(m) に対応します。ここでは、友達以外への返信 (EEH) と自分への返信 (UM) の内容は、同じ会話の一部ではありますが、分離されています。会話を通じて、(t) (EEHU M ) (m) を得ることができます。括弧は内容単語を区切っており、単語内の内容シンボルの順序は任意であり、実装時に決定されることに注意してください。
3.2 ブロックモデル
BLOC 文字列を使用して、オンラインの行動特性評価、ゾンビ検出、調整検出などのタスクの数学的モデルを構築できます。可能なモデル カテゴリには、マルコフ連鎖とベクトル空間が含まれます。
3.2.1 言語モード
BLOC 口座をモデル化する簡単な方法はマルコフ連鎖です。モデル内の各状態は BLOC シンボルを表し、状態 st から状態 st+1 への遷移リンクは、シンボル st+1 がシンボル st に続く確率 P (st+1|st) を定量化します。アカウントごとに、マルコフ連鎖に関連するさまざまなランダム操作を実行できます。たとえば、
を計算することでアカウントの次のアクション (ツイート、共有など) を予測したり、アカウントが一連のアクションを生成する可能性を推定したりできます
。
たとえば、より一般的な言語モデルは、深層学習技術 [26] を使用してトレーニングし、BLOC シンボル シーケンスを生成できます。
3.2.2 ベクトルモデル
word2vec [35] などの深層学習手法を使用して、BLOC 文字列をベクトル表現に埋め込むことができます。ただし、抽象ベクトル空間では BLOC 表記の解釈可能性の恩恵を受けることができません。あるいは、最初に BLOC 文字列を単語としてラベル付けし、次にこれらの単語をベクトル空間次元として直接使用することによって、ベクトル表現を取得することもできます。
パラメータ p4 (表 1) に応じて、n-gram またはポーズの 2 つの方法のいずれかを使用してトークン化を実行できます。n-gram メソッドは、BLOC 文字列上で n サイズのウィンドウをスライドさせることによって、固定サイズ n のトークンを生成します。n = 2 の場合、2 つの記号を持つ単語を含む二文法語彙が生成されます。たとえば、アクション文字列 T pπ.r と BLOC コンテンツ文字列 (t)(EH)(U )(mm) (n = 2) を指定すると、単語のセット {T p, pπ, π., .r、tE、EH、HU、Um、mm}。
一時停止メソッドは一時停止を使用して、BLOC アクション文字列を可変長のワードに分割します。カエスラ記号は、単語の境界マーカーとして機能するだけでなく、単一記号の単語としても語彙に含まれます。コンテンツ文字列の場合、個々の文が単語の境界をマークします。同じ文内のすべてのトークンが単語を形成します。各単語内の記号は、パラメータ p5 に従ってアルファベット順に並べ替えることができます。ソートなしの一時停止表記を説明するには、同じ BLOC 操作文字列 T pπ.r と BLOC 内容文字列 (t)(EH)(U )(mm) を指定すると、単語セット { T pπ, ., r, t を取得できます。 、EH、U、mm}。
トークン化を一時停止すると、多くの場合、図 2 のサイボーグ アカウントの 13 個のトークン ワード πππππT T πππππ のように長い単語が生成されます。ロングワードは、複数の連続するアクション間の休止時間が p1 より短い場合に発生します。これは、アクションが連続して実行されることを意味し、通常は自動化を示します。たとえば、rrrrrr と rrrrrr の違いは重要ではないことが多いため、語彙内で 2 つを別々の単語として表す代わりに、制限の後の長い単語を切り捨てることができます。たとえば、p6 = 4 に設定すると、4 回以上繰り返される文字が切り捨てられます。rrrr、rrrrrr、rrrrrr という単語はすべて rrrr+ に置き換えられます。
(図 2: 人間、サイボーグ、およびボットの Twitter アカウントの BLOC アクション文字列 (p1 = 1 分) の図。これらの個人間のいくつかの行動の違いを示しています。文字列のラベル付けに一時停止が使用されている場合、人間のアカウントの単語が最も短くなります ( 平均長さは 1.35、ボット アカウントの 3.88、ボット アカウントの 4.0 と比較して)、孤立したリツイートと返信が大半を占めていました。サイボーグ アカウント (ニュース更新を投稿する目的で作成したスレッド) は、人間の行動 (孤立した投稿) と、ボットの動作(スレッドバースト)を示します。ボットアカウントは主にリツイートです。)
4 BLOCの識別力
BLOC を使用すると、さまざまな粒度レベルで動作を研究できます。人間のアカウントとボットのアカウントなど、アカウントのさまざまなカテゴリを確認できます。あるいは、政治アカウントと学術アカウント、スパム ボットと自己申告ボットなど、1 つのカテゴリ内のさまざまな種類の個人アカウントに注目することもできます。このセクションでは、クラス ラベルが既知であるか未知であるかに関係なく、個々のアカウントとアカウント グループの動作を説明することにより、この多重解決アプローチを実証します。
4.1 個人とグループの特徴付け
図 2 は、3 つのアカウント間の動作の違いを示しています: レポーターに属する人間のアカウント、ニュース更新が手動または著者の 1 人によってソフトウェア スクリプトを使用して投稿されるサイボーグ アカウント、および Mazza らによって特定されたサイボーグ アカウント [34] ] スパムボットアカウント。これらのアカウントは、それぞれの BLOC アクション文字列によって表されます。いくつかの違いが観察されました。まず、これらの文字列をポーズで区切られた単語としてラベル付けしたとき、人間は最も短い、ほとんど単一記号の単語 (r、T、p など) を記録しました。これは人間が投稿の間に休憩を取る傾向があるという事実を反映しています。次に、ボット アカウント内の人間の部分文字列は単語数が短く、次に突然作成されたボットの部分文字列が続きます。第三に、ボット アカウントは、新しいコンテンツを作成するのではなく、リツイート (rrrrrrrrrr など) によってコンテンツを拡大する傾向があります。
リサーチアカウントグループに焦点を移しましょう。図 3 は、6 つの異なるデータセットにおける同数のボットと人間のアカウントに対する BLOC TF-IDF ベクトルの主成分分析 (PCA) を示しています (表 2 を参照)。図の左列のボットと人間のアカウントは、右列のアカウントよりも異なる行動パターンを表していることがわかります。
(図 3: 6 つのデータセット (人間とロボットを含む) からのアカウント BLOC TF-IDF ベクトルの 2D PCA 投影 (表 2 を参照): (A) cresci-17、(B) botometer-フィードバック-19、( C) cresci- rtbust-19、(D) cresci-stock-18、(E) varol-17、(F) gilani-17。各データセットから、同じ数のロボット (オレンジ色) と人間 (青色) のアカウントを選択します。少数派カテゴリのすべてのアカウントを使用し、多数派カテゴリから同数のアカウントを抽出します。ボットと人間のアカウントのポーズで区切られた上位 5 つの BLOC 単語を示すベン図を示します。)
(ボット検出の評価で使用される注釈付きのデータセット。各データセットについて、それを説明する参照と現在の評価の時点でまだアクティブなアカウントの数を報告します)
したがって、左側の列のアカウントには共通する単語が少なく、分離しやすくなります。たとえば、図 3A のボットと人間のアカウントはどちらもプレーン テキスト コンテンツ (t) をプッシュしますが、ボット アカウントはタグ (Ht) を使用することが多くなります。図 3C では、ボットが大量のリツイート (rrr、rrr+) によってコンテンツを増幅させます。これは人間がオリジナル コンテンツ (T) を作成するのとは異なります。図 3E では、ボットはより多くの外部リンク (U) を共有しますが、人間は会話やコメントに参加する傾向があります (p、q)。
図 3B では、ロボットと人間は同様の行動特性を示しています。どちらのタイプの人間も同じ 5 つのキーワードを持っています。図 3D と図 F では、ロボットと人間が 5 つのホットワードのうち 4 つを共有しています。図 3D と F では、ボット アカウントはコンテンツを拡大し (rrr)、外部 Web サイトにリンクする可能性が高くなります (U t)。一方、対応する人間のアカウントは会話に参加する可能性が高くなります (p)。全体として、この図は、人間は異なるデータセット間で一貫して動作する傾向があるのに対し、ボットは作成された目的に応じて異なる動作をすることを示しています。これらの発見は、時間的特徴に基づく以前の分析と一致しています [43]。BLOC 表現は非常に強力で、これらの動作間の大きな違いを捕捉できます。
4.2 行動クラスター
行動クラスのラベルが利用できない場合は、BLOC を使用して行動の類似性に基づいてアカウントをクラスター化し、教師なしの方法でオンライン行動を特徴付けることができます。
私たちは、オンラインの誤った情報が新型コロナウイルス感染症ワクチン接種にどのような影響を与えるかを研究する CoVaxxy プロジェクト 3 によって、2021 年 1 月 4 日から 9 月 30 日までに収集されたツイートを分析しました [40]。データセット [16] は、1,700 万以上のアカウントによって投稿された、新型コロナウイルス感染症 (COVID-19) とワクチンに関する 2 億件以上の英語のツイートで構成されています。収集されたツイートには 76 個のキーワードとタグが含まれており、中立 (新型コロナウイルスなど)、ワクチン推進 (ワクチン接種など)、ワクチン反対 (mybodymychoice など)、陰謀論 (greatreset など) のさまざまなトピックが含まれています。
データセット内の多数のアカウントとペアごとの比較の二次コストを考慮して、毎月最もアクティブな 1,000 のアカウントに焦点を当てます。アカウントがツイートした日数に基づいてアクティビティを定義しました。(特に毎日アクティブなアカウント間で) 関係を解消するために、収集期間中にアカウントが投稿したツイートの総数を使用しました。
私たちは 3 段階のネットワークベースのアプローチを使用して、非常に類似した動作を持つアカウントのクラスターを特定しました。まず、単語をマークするために一時停止を使用し、記号を並べ替えず、単語を切り捨てて、アカウントごとに BLOC TF-IDF ベクトルを生成します (p6 = 4)。次に、1,000 個のベクトル間のコサイン類似度を計算しました。類似度0.98以上のノード(アカウント)のみを接続し、個々のノードを削除してネットワークを構築しました。このしきい値により、類似性が疑わしいアカウントに確実に注意が払われます。第三に、ルーヴァン法を採用してコミュニティを特定します [5]。この手順を毎月 (1 月から 9 月まで) 適用して、類似性の高いアカウントのクラスターで構成される 9 つの行動類似性ネットワークを生成します。
図 4 は、163 の特定されたグループのうちの 24 を示しています。この図では、点は、平均的な行動の多様性と平均的な自動化スコアを表す軸上に位置するクラスターを表しています。
(図 4: 動作が非常に類似している 24 のアカウントのコミュニティの平均的な動作の多様性と平均的な自動化 (本文を参照)。各コミュニティは、手動分類に従って色付けされた点で表されます (本文を参照) 。対応するサブネットを視覚化することで、選択したコミュニティを強調表示します。ノード サイズと濃い色はそれぞれツイートの程度と数を表します)
個々のアカウントについて、その動作の多様性をその BLOC 文字列 (トークン化前) のエントロピーによって測定します。Twitter API を使用した投稿の回数によってアカウントの自動化の度合いを推定します。ユーザーは Twitter API を使用するアプリケーションを作成する必要があり、Twitter データにはアプリケーションを識別する「ユーザー エージェント」が含まれます。一部のユーザー エージェント値は、Twitter ネイティブ アプリケーション (TweetDeck、Twitter for Advertisers、Twitter for Advertisers (レガシー)、Twitter for Android、Twitter for iPad、Twitter for iPhone、Twitter for Mac、Twitter Media Studio、Twitter Web App、およびTwitter Web クライアント)。
ネイティブ アプリケーションを制御するソフトウェアを作成することは原理的には可能ですが、これらのアプリケーションの大部分は手動で操作されると想定しています。繰り返しになりますが、非ネイティブ アプリケーションは Twitter API の使用を示しているため、自動化されている可能性が最も高いと想定していますが、一部は手動で実行できます。エントロピーと自動化のスコアは、各グループのアカウント全体で平均されます。図 4 のクラスターは自動化軸に沿って明確に区別されており、人間のアカウントとボットのアカウントが明確に区別されていることを示しています。
図 4 のクラスターを手動で検査して、主な動作を説明し、次のグループにまとめました。各クラスター番号には、それが観測された月を示す接尾辞が付いています。図 4 では、各グループのすべてのクラスターが同じ色になっています。
巨大な接続コンポーネント (青):クラスター 3-9 には、自動化スコアが低く、動作が多様なアカウントが含まれています。これらはおそらく正規のユーザーで、主にリツイートし、通常の休止期間を挟んで時折ツイートするものです。同様の大きなコンポーネントが毎月登場します。
ワクチン供給/予約ボット (オレンジ): 4 月 12 日のグループには、@DCVaxAlerts や @FindAVac Austin など、全米の都市でのワクチン供給と予約の空き状況を追跡する 12 の自己識別ボット アカウントが含まれています。これらのアカウントは、「新しい予約可能な予約が検出されました! - プロバイダー: CVS Pharmacy - City: Alamo Heights - 登録リンク: www.cvs.com/immunizations/ covid-19-vaccine...」などの投稿を投稿しました。 URLとテキストで構成されます。全体として、これらのアカウントが最も多くのコンテンツを投稿しました。同様に、1 月 17 日のグループには、ツイート スレッドを作成した 2 つのワクチン予約ボット (@kcvaccinewatch と @stlvacinewatch) が含まれていました。7 月 13 日のグループには、インドのニューデリーのワクチン予約状況ボットである @CovidvaxDEL と、国ごとのワクチン統計を公開するボットである @ncovtrack が含まれています。
ニュースを投稿するアカウント (緑色): 4 月 14 日、1 月 16 日、4 月 20 日、および 2 月 22 日のグループには、主に @canada4news などのニュース サイトにリンクする時間ごとのツイートを投稿する多くのアカウントが含まれます。一部の @HindustanTimes アカウントは、次のような国際報道機関によって所有されています。 @Independent および @guardian として。
増幅されたコンテンツ、おそらくゾンビ アカウント (紫): 5 月 4 日、コンテンツを作成していない 2 つのアカウントが含まれており、ほぼ同じツイートをリツイートしていました。5 月 19 日には、同じ Self-Identification 開発者によって作成された Self-Identification ボットが含まれています。ボット @EdinburghWatch と Glasgow Watch は、それぞれグラスゴーとエディンバラからのランダムなコンテンツをリツイートします。
- 誤った情報の共有とローカル ニュース アカウント (白): 2 月 24 日のクラスターには、factcheck.org によると、誤った情報サイトである ussanews.com が所有する @USSANews が含まれていました。このアカウントは「ワクチン接種を受けられない31の理由」というタイトルのリンクを投稿した。同じクラスターには、ロサンゼルスの正規の報道機関のアカウントである @abc7newsbayarea も含まれています。どちらのアカウントも主に画像付きの複数のツイートを投稿しており、各ツイートの間隔は 1 時間未満でした。
スパム ボット (赤): 3 月 10 日、4 月 11 日、および 8 月 23 日のグループには、重複したコンテンツを投稿したアカウントが含まれています。3 月 10 日グループのアカウントは、それぞれのブログにリンクするために 7 個または 13 個のタグを再利用しました。4月11日、グループ内のアカウントが特定のアカウントのフォローを他人に勧誘する情報を投稿した。8月23日のグループの2つのアカウントは、同じワクチン推進メッセージをそれぞれ133回と72回繰り返し投稿した。、
- 調整ボット (黒): グループ内の 3 つのアカウントは 5 月 21 日にコンテンツを作成せず、それぞれ同じアカウントを 1,004 回リツイートしました。2021 年 5 月の第 1 週では、BLOC 文字列の最初の 44 文字が一致します。同様に、グループ 15-5 のアカウントはコンテンツを作成しませんでしたが、さまざまな製品を宣伝する複数の商用アカウントの同じコレクションを常にリツイートしていました。3 月 18 日には、互いに 313 回リツイートしたペアのアカウントが含まれていました。
ワクチンに対するさまざまなスタンスを持つさまざまな低自動化アカウント (黄色): 最後に、図 4 には、ワクチン推進アカウントのクラスター (5 月 1 日と 1 月 2 日のクラスター)、反ワクチンアカウント (5 月 1 日のクラスターと 1 月 6 日のクラスター) も示されています。 - 4 月、3 月 7 日、5 月 8 日)、または両方の感情の組み合わせ(クラスター 9 月から 6 月)
5 評価
このセクションでは、Twitter 上のボットと連携検出のタスクにおける BLOC モデルのパフォーマンスを評価します。私たちの実験で使用された BLOC コードとデータセットは入手可能です [38]。
5.1 ロボットの検出
ボット検出のタスクには、人間のユーザーによって操作される可能性のあるアカウントと、自動化によって操作される可能性のあるアカウントを分離することが含まれます。2 種類のアカウントの動作は異質であり、時間の経過とともに変化するため、これは困難な作業です。
5.1.1 メソッド
評価に使用した BLOC 言語パラメータは次のとおりです: p1 = 1 分、p2 = f2(Δ)、p4 = bigram (表 1)。他のパラメータはバイグラムトークン化には適用されません。注釈付きの各 Twitter アカウントの BLOC アクションとコンテンツのダブレットを抽出しました。これにより、197 個のダブレットが得られます。これらのバイグラムは、あらゆる機械学習モデルの特徴として使用できます。各アカウントの TF-IDF 特徴ベクトルを取得し、それらを使用してランダム フォレスト分類器をトレーニングしました。
私たちは、BLOC のパフォーマンスを 3 つのベンチマーク モデルと比較しました。Botometer-V4 (執筆時点での Botometer の現行バージョン) [43]、および 2 つの DNA ベースの手法、つまり DDNA [12、10] と DNA の影響を受けた手法 [23] です。 。後者が選択されたのは、BLOC といくつかの類似点があるためです。
Botometer-V4 は 1,161 の異なる機能を使用しており、さまざまなアカウントの特性に焦点を当てて 6 つのカテゴリに分類できます。たとえば、友人やフォロワーの数などのプロフィール特徴がユーザー プロフィールから抽出されます。時間的特徴は、投稿の頻度やタイミングなどの時間的パターンを測定します。導入されたシステムでは、コレクション内のさまざまな分類子がさまざまな種類のアカウントでトレーニングされ、これらの分類子が投票されて最終的なボット スコアが決定されます [43]。ここでは、BLOC と Botometer の特徴の表現能力を比較するために、他の条件が等しい場合に、Botometer-V4 のトレーニングに使用したのと同じ特徴を使用して単一のランダム フォレスト分類器をトレーニングしました。
Digital DNA は、動作やコンテンツを表す長いシンボルのシーケンスを共有するアカウントをボットとして分類します。Cresci et al. [10] は、Longest Common Substring (LCS) アルゴリズムの C 言語実装をカプセル化する Python コード [42] を提供しています。著者が説明したメソッドを実装するためにコードを変更しました。このメソッドは、トレーニング データから最大共通部分文字列長を導出します。次に、この長さを使用して、同じ長さの最大の共通部分文字列を持つテスト データ内のアカウントのセットを決定します。これらのアカウントはボットとして分類されます。最後に、相互検証を使用して分類子を評価します。
DNA の影響を受けたボット分類器は、ボット アカウントは人間のアカウントよりも相互に類似する可能性が高いという理論に基づいています。この方法では、式を利用して特定の文字列の確率分布を計算し、対称 KL 発散を使用して 2 つの文字列に関連付けられた確率分布間の距離を計算します [58]。このようにして、この方法では 2 つのアカウントに対応する DDNA 文字列間の距離を計算できます [23]。この方法を実装するには、Gilmary et al. [23] の方法と同様に、トレーニング データ セット内のゾンビ アカウントを 50 のグループに分割します。グループ内のすべてのアカウントのペアの平均距離を計算しました。次に、すべてのグループ間の最大平均距離が判定しきい値として使用されます。テスト データ セット内の任意の 2 つのアカウント間の距離が判定しきい値以下の場合、これら 2 つのアカウントはボットとして分類されます。
5.1.2 データセット
私たちの評価データセット (表 2) は、ボット リポジトリ 4 から選択された、ボットとしてラベル付けされた 32,056 個の Twitter アカウントと人間としてラベル付けされた 42,773 個のアカウントで構成されています。クラスの不均衡によって引き起こされる可能性のある比較分析バイアスを排除するために、すべてのデータセットを統合しましたが、多数派クラス (人間) から 32056 アカウントをランダムにサンプリングしました。
5.1.3 結果
BLOC、ボトメーター、デジタル DNA の 3 つのバリアント (b3 タイプ、b3 コンテンツ、および b6 コンテンツ) [10] を評価し、DNA の影響を受けるロボットと人間のタグを予測することによって評価しました。これらはすべて、データに対して実行された表 2 で同じ注釈が付けられています。セット。5 分割相互検証から適合率、再現率、F1 を計算しました。
表 3 に示すように、Botometer-V4 は F1 メトリクスで BLOC をわずかに上回っています。ただし、BLOC が使用する機能は大幅に少なくなります。DNA の影響を受けたものは、すべてのアカウントをゾンビとしてマークしましたが、デジタル DNA よりも優れたパフォーマンスを示しました。
(3: 5 分割相互検証と特徴の数を使用した、さまざまなロボット分類器の精度、再現率、および F1。各メトリックの最良の値が太字で示されています。DNA の影響を受けた分類器は、常に 1.0 の再現率を生成しました。すべてのアカウントがボットであると予測します)
5.2 座標検出
多くの国がソーシャルメディアを利用して、自国民、外国国民、団体などを対象とした情報工作を行っています。Twitter では、メッセージ アクションを、ユーザー エクスペリエンスを操作または混乱させる情報や行動の人為的な増幅または抑制であるプラットフォーム悪用の一形態として定義しています。
当社では、特定の情報操作に関与するアカウントを指すために「ドライバー」という用語を使用します。ドライバーは、スパム送信、なりすまし、難読化、および/または個人やコミュニティを標的にするなどの戦術を使用する場合があります。私たちはこれらすべての行動が相互に調整されていると考えていますが、それらを区別しません。私たちのタスクは、同じトピックをプッシュする通常の (コントロール) アカウントとドライバーを区別することです。
5.2.1 メソッド
連携検出は教師なし学習に基づいており、疑わしい同様の動作を持つアカウントを識別します。BLOC ワードは行動特性を表します。セクション 5.1.1 で説明した方法に従って TF-IDF ベクトルを生成し、2 つのベクトル間のコサイン値を通じて 2 つのアカウント間の類似性を計算します。
我々はBLOCを、調整されたアカウント間で共有される可能性のある行動特性について異なる仮定を行う3つのベースライン手法[39]、すなわちタグシーケンス(ハッシュ)、アクティビティ(アクティビティ)、および共同転送(CoRT)と比較しました。タグベースライン方法は、主に同じタグシーケンス (同じタグ 5 グラムなど) を使用するアカウントを見つけることによって、調整されたアカウントを識別します。このアクティビティ メソッドは、同時にツイートを公開するアカウントを検索します。同じ時間枠内で頻繁にツイートまたはリツイートするアカウントは、疑わしいアカウントとみなされます。
Pacheco et al. [39] と同様に、30 分以内に連続ツイートするアカウントを考慮します。
共同リツイート手法では、主に同じツイートをリツイートするアカウントを見つけることで、調整アカウントを特定します。Pacheco らの研究 [39] に従って、ラベル 5 グラム、アクティビティ間隔、およびリツイート ID の TF-IDF ベクトルを生成しました。すべてのベースラインは、TF-IDF ベクトル間のコサイン値を使用して類似度を計算します。また、組み合わせたアプローチも評価しました。アカウントのペアの場合、結合方法では、BLOC によって計算された 4 つのコサイン類似度値と 3 つのベースラインの最大値が取得されます。
k = 1 ... , 10 を使用して k 最近傍 (KNN) 分類器を構築し、5 つの方法を比較しました。k の値全体で得られた最大 F1 を報告します。
5.2.2 データセット
Twitter は 141 を超える情報操作データセットをリリースしました [48]。データセットには、21 か国のドライバーが 2008 年から 2021 年までのさまざまな時期に投稿したツイートが含まれています。情報操作の要因を検出するための分類器の公正な評価を確保するために、情報操作には関与していないが、同じトピックに同時に投稿したアカウントからのツイートを含む制御データセットを構築しました。各情報アクションについて、ドライバーによって使用されるすべてのタグを抽出しました。次に、これらのタグを、日付制限のない Twitter の学術検索 API6 のクエリ条件として使用しました。ドライブと同じ日に同じハッシュタグを使用してツイートしたアカウントを抽出しました。最後に、ドライブと同じ日に公開された最大 100 件のツイートを抽出し、各アカウントのタイムラインを再構築しました。表 4 に示すように、36 の情報操作に対する制御データ セットを作成しました。これらのデータセットは 18 か国および全期間を表しています。
(選択された情報操作。有効期間、(情報操作の開始以来) 評価に使用された週数、および評価週中にアクティブだったドライバーとコントロール アカウントの数がリストされます。評価週は 2 週間であることに注意してください。必ずしも連続しているとは限りません。)
情報操作の中には、数か月にわたって行われたものもあれば (表 4 の中国 3 など)、5 年間続いたものもあります (表 4 のイラン 7 など)。したがって、さまざまな期間(最初の年、昨年、すべての年など)のドライバーに対して検出実験を行うことができます。影響軽減の観点から、当社はできるだけ少ない情報 (ツイート) でドライバーをできるだけ早く発見するという原則に従います。調整されたシグナルを含むツイートが十分に存在しない可能性があるため、ドライバーの早期発見は困難であると考えられます。
上記の原則に従って、少なくとも 10 人のドライバーが観察された最初の年の終わり、またはキャンペーンの終了のいずれか早い方まで、各実験に 2 週間のデータを段階的に追加しました。言い換えれば、実験の最初のインスタンスは 2 週間のデータに対して実行され、2 番目のインスタンスは 4 週間のデータに対して実行され、以下同様となります。精度が蓄積されたデータの量にどのように依存するかを調査するために、評価間隔を長くしました。各調整検出方法について、すべてのドライバーに対応するベクトルを生成し、各情報操作および評価間隔内でアクティブなアカウントを制御します。表 4 に、評価期間全体と、データセット内のドライバーおよびコントロール アカウントの数を示します。
5.2.3 結果
図 5 は、形成操作のサブセットで最もパフォーマンスの高い分類器の F1 値を示しています。
(図 5: 少なくとも 10 週間のデータを持つアクティブなサブセット内の情報アクション ドライバーを検出する最良の分類器の F1 スコア。X 軸に表示される週数は、ドライバーがアクティブだった週数 (評価週) を表します。これらの週は必ずしも連続しているわけではありません。グラフは、第 10 週の結合方法を使用して計算された F1 スコアの最高値から最低値の順に並べられています。)
各プロットの X 軸は評価の週数を表し、Y 軸は最良の分類子の F1 スコアを表します。情報操作は、ドライバーの検出の難しさを反映するために、それぞれの F1@Week 10 の複合スコアによって高から低までランク付けされます。情報操作の F1@Week 10 複合スコアは、10 週間のデータに対して複合メソッドを使用して計算された F1 スコア (F1@Week 10) です。表 5 に、すべての情報サービスの F1@Week 10 スコアを示します。
(表 5: 各キャンペーンの最初の 10 週間のデータに基づいて計算された、BLOC の F1 スコアと、情報アクションの推進要因を検出するためのベースライン分類子 (F1@week 10)。データが 10 週間未満のキャンペーンの場合、データセット全体が情報操作は、組み合わせた手法の F1 スコアによって並べられます (Combined F1@Week 10)。各アクティビティに最適な手法が太字で示されています。分類器で使用される類似性信号が特定の手法で使用できない場合に注意してください。アクティビティ F1 = 0 の場合、ドライバーの動作が観察されます。中国 1 では、ドライバーのペア間で共通の転送は観察されません。)
図 5 と表 5 によると、BLOC はほとんどのアクティビティでベースラインを上回っています。中国からの情報操作の推進者 (チャイナ 4 やチャイナ 5 など) は検出が最も簡単で、ハッシュを除くすべての共配列検出方法の F1 スコアは 0.9 を超えています。検出するのが最も難しい要因は、アラブ首長国連邦からの情報操作です。また、図 5 では、一部のキャンペーン (ベネズエラ 4、ベネズエラ 3、およびエジプト UAE) では、トレーニング データが増加するにつれてさまざまな手法の精度が向上していることにも注目します。これは、ドライバーが複数の調整信号を同時に表示していることを示唆しています。ただし、データが多ければ多いほどドライバーの検出精度が高くなるわけではありません。一部のキャンペーンでは明確な時間傾向がなく、いくつかのケース (Iran 4 や Iran 3 など) では、さらに多くのデータを追加すると検出が妨げられました。これは、ドライバーが発見されにくくするために行動を変える可能性があることを示唆しています。
図 6 は、BLOC と 3 つのベースライン同時検出法のパフォーマンスを比較しています。X 軸は平均 F1 を表し、Y 軸はすべての情報操作にわたるすべての分類器にわたる特徴の平均数を表します。
(特徴の平均数と BLOC の平均 F1、および情報操作の推進要因を検出するための 4 つのベースライン分類子。各情報操作のライフ サイクルの最初の 10 週間のデータに基づいて推定。)
どちらの値も、情報操作の最初の 10 週間のデータに基づいて計算されます。調整検出タスクでは、BLOC 分類器は平均 F1 = 0.659、最小の特徴数 (108) ですべてのベースラインを上回っています。結合分類子は同様の平均 F1 = 0.658 を持ちますが、最大数の特徴 (5869) を使用します。
6 ディスカッション
ソーシャルメディアの影響力活動によってもたらされる広範な脅威に対抗するために、研究者たちは特定の種類の悪意のある行為を対象とした手法を開発しました。ただし、これらの手法の一部は手作りの機能に大きく依存しており、悪意のある攻撃者が検出を回避するために戦術を継続的に改良しているため、その有効性は一時的です。この論文では、カテゴリ (ボットか人間など) や意図 (良性か悪意かなど) に関係なく、ソーシャル メディア ユーザーの行動を表現するための汎用言語である BLOC を提案します。BLOC ワードは、教師なしの方法で導出された特徴にマッピングされます。BLOC によって特徴量エンジニアリングが無関係になるわけではなく、実際、BLOC を使用して特徴量を設計できることに注意してください。
BLOC はプラットフォームに依存しませんが、Twitter 上の 2 つの実際のアプリケーションでその柔軟性を実証します。ロボット検出タスクに関して、BLOC は競合する手法 (Digital DNA および DNA Impact) を上回り、最先端の手法 (Botometer-V4) に匹敵しますが、機能の数ははるかに少ないです。これは、BLOC アクションとコンテンツのアルファ ベットが、さまざまなデータセットで自動アカウントと手動アカウントを区別できる有用なシグナルを提供することを示唆しています。
BLOC は、情報操作ライフサイクルの初期段階でドライバーを特定することを目的とした調整検出タスクにおいて、ベースライン手法を上回ります。すべての分類子は、さまざまな情報アクション間で異なるパフォーマンスを示し、行動を促進する不均一性を浮き彫りにしました。これは、ドライバーには人間、自動アカウント、連携アカウントなどが含まれることを示す Twitter のレポートと一致しています [49、50]。したがって、一部の情報操作の推進要因が他の情報操作の推進要因よりも検出しやすいことは驚くべきことではありません。