About Teletype
Join
Shadow
@specialist_infosec
April 9

Временной анализ: паттерны активности, определение часового пояса и режима дня

Временной анализ: паттерны активности, определение часового пояса и режима дня

Время — один из самых информативных параметров в социальных сетях. Когда цель публикует посты, комментирует, ставит лайки, в какое время суток активна — все это может рассказать о ее режиме дня, часовом поясе, роде занятий, психотипе и даже о значимых событиях в жизни. Временной анализ позволяет выявить паттерны, которые неочевидны при просмотре отдельных публикаций. Данная статья посвящена методикам сбора и анализа временных данных в SOCMINT.

Цели временного анализа

  1. Определение часового пояса: Где географически находится цель.
  2. Выявление режима дня: Время сна, работы, отдыха.
  3. Идентификация профессиональной деятельности: Работа в стандартное рабочее время или ненормированный график.
  4. Обнаружение аномалий: Отклонения от обычного паттерна (стресс, отпуск, важное событие).
  5. Верификация алиби: Согласованность временных меток с заявленными событиями.
  6. Прогнозирование: Когда цель вероятнее всего будет онлайн.

Типы временных данных в социальных сетях

Дата и время поста

15.03.2025 14:32

Всегда

Дата регистрации

Аккаунт создан в 2020

Обычно видна

Последняя активность

"был(а) в сети 5 минут назад"

Частично (Telegram, VK)

Временные метки в метаданных

EXIF фото

Если не удалены

Чекины и геолокации

"В кафе "Уют" 2 часа назад"

Foursquare, Instagram

Редактирование постов

"отредактировано 10 минут назад"

Некоторые платформы

Методология временного анализа

Этап 1: Сбор временных меток

  1. Ручной сбор:
    • Прокрутка ленты, запись дат и времени постов.
    • Создание таблицы (Excel/Google Sheets) с колонками: дата, время, тип активности (пост, комментарий, лайк, репост).
  2. Автоматизированный сбор:
    • Instaloader (Instagram): Скачивание постов с временными метками.
    • VK API: Получение времени публикации постов и комментариев.
    • Telethon / Pyrogram (Telegram): Сбор времени сообщений.
    • Twint / snscrape (Twitter): Сбор твитов с временными метками.
  3. Структурирование данных:
    • Формат даты: ISO 8601 (YYYY-MM-DD HH:MM:SS) для удобства сортировки.
    • Преобразование в Unix timestamp для анализа.

Этап 2: Визуализация временных данных

  1. Гистограммы активности:
    • По часам суток: когда цель наиболее активна.
    • По дням недели: выходные vs будни.
    • По месяцам: сезонные паттерны.
  2. Календарные тепловые карты:
    • Визуализация активности по дням года.
    • Инструменты: Python (matplotlib, seaborn), Excel, Google Sheets.
  3. Таймлайны:
    • Последовательность событий.
    • Инструменты: Timeline JS, Google Sheets, Excel.

Пример кода (Python + matplotlib):

import pandas as pd
import matplotlib.pyplot as plt
from datetime import datetime

# Загрузка данных (предположим, CSV с колонкой 'timestamp')
df = pd.read_csv('activity.csv')
df['datetime'] = pd.to_datetime(df['timestamp'])
df['hour'] = df['datetime'].dt.hour
df['dayofweek'] = df['datetime'].dt.dayofweek

# Гистограмма по часам
plt.figure(figsize=(10, 6))
plt.hist(df['hour'], bins=24, edgecolor='black')
plt.title('Активность по часам суток')
plt.xlabel('Час')
plt.ylabel('Количество публикаций')
plt.xticks(range(0, 24))
plt.show()

# Тепловая карта по дням недели и часам
pivot = pd.crosstab(df['dayofweek'], df['hour'])
plt.figure(figsize=(12, 8))
plt.imshow(pivot, aspect='auto', cmap='YlOrRd')
plt.colorbar(label='Количество')
plt.xlabel('Час')
plt.ylabel('День недели (0=пн, 6=вс)')
plt.show()

Этап 3: Определение часового пояса

Часовой пояс можно определить, если известны:

  • Геолокация (из других источников).
  • Паттерн активности (сон ночью по местному времени).
  • Время восхода/заката на фото.

Методы:

  1. Анализ времени сна:
    • Если активность резко падает с 00:00 до 07:00 (по UTC), а пик в 15:00-18:00 — вероятный часовой пояс UTC+3 (Москва).
  2. Сравнение с временем восхода/заката:
    • На фото видно солнце низко над горизонтом. Определить примерное время съемки по теням. Сравнить с таблицами восхода/заката для предполагаемых регионов.
  3. Сверка с геолокацией:
    • Если есть фото с EXIF GPS, время в EXIF — местное (если камера настроена правильно).
  4. Метод "часового пояса по событиям":
    • Если цель публикует "Доброе утро" в 23:00 UTC, а "Спокойной ночи" в 07:00 UTC — вероятно, UTC+3.

Этап 4: Выявление режима дня

На основе гистограммы активности можно определить:

  1. Утренний тип ("жаворонок"): Пик активности 06:00-12:00.
  2. Вечерний тип ("сова"): Пик активности 18:00-00:00.
  3. Ночной тип: Активность в 00:00-06:00.
  4. Рабочий режим: Активность в будни с 09:00-18:00, выходные — иначе.
  5. Ненормированный график: Активность в разное время, без четких пиков.
  6. Декретный отпуск / безработный: Активность равномерно в течение дня.

Этап 5: Анализ аномалий

Отклонения от обычного паттерна могут указывать на:

  1. Смена часового пояса: Сдвиг времени активности (перелет).
  2. Стресс / болезнь: Резкое снижение или повышение активности в необычное время.
  3. Важное событие: Резкий всплеск активности (свадьба, рождение ребенка, происшествие).
  4. Отпуск: Активность в будни днем (обычно в рабочее время — тишина).
  5. Блокировка / смена аккаунта: Внезапное прекращение активности.

Методы выявления аномалий:

  • Статистические методы: Z-score, IQR (межквартильный размах).
  • Визуальный анализ: Резкие пики или провалы на графиках.

Этап 6: Анализ временных меток в мультимедиа

Фото и видео содержат временные метки в EXIF, которые могут отличаться от времени публикации.

Что это дает:

  • Задержка между съемкой и публикацией: Может указывать на цензуру, обдумывание, или что фото не принадлежит автору.
  • Согласованность: Время съемки должно соответствовать времени, указанному в посте ("сегодня утром").
  • Хронология событий: Последовательность фото.

Практические методики временного анализа

Методика 1: Определение часового пояса цели

  1. Сбор временных меток всех постов за последние 3 месяца.
  2. Построение гистограммы активности по часам UTC.
  3. Выявление "мертвой зоны" — периода минимальной активности (предположительно сон).
  4. Расчет: Если мертвая зона с 23:00 до 06:00 UTC, то цель вероятно в UTC+3 (Москва, Стамбул, Киев). Если с 03:00 до 10:00 UTC — UTC-5 (Нью-Йорк).
  5. Верификация: Сравнить с геолокациями из других источников (фото, чекины).

Методика 2: Проверка алиби

  1. Исходные данные: Цель утверждает, что в день X была в городе Y с 10:00 до 18:00.
  2. Сбор временных меток:
    • Посты и комментарии за этот день.
    • Временные метки фото (EXIF).
    • Чекины (Foursquare, Instagram).
  3. Анализ:
    • Если посты публиковались в 11:00, 14:00, 17:00 — это не противоречит нахождению в городе.
    • Если в 12:00 есть чекин в кафе в городе Y — подтверждение.
    • Если в 15:00 опубликовано фото с геотегом другого города — алиби ложно.
  4. Вывод: Степень подтверждения или опровержения алиби.

Методика 3: Прогнозирование активности

Для оперативных задач может быть полезно знать, когда цель вероятнее всего будет онлайн.

  1. Анализ паттерна за последние 30 дней.
  2. Выявление окон активности:
    • Утро: 08:00-09:00 (проверка соцсетей после пробуждения).
    • День: 12:00-13:00 (обеденный перерыв).
    • Вечер: 19:00-23:00 (основное время).
  3. Прогноз: Цель вероятнее всего ответит на сообщение в 20:00-21:00 по местному времени.

Методика 4: Выявление значимых событий по временным аномалиям

  1. Построение графика активности за весь период.
  2. Выявление аномальных пиков:
    • Всплеск активности в нехарактерное время (например, 03:00).
  3. Анализ контента в этот период:
    • Пост о рождении ребенка, о смерти близкого, о сдаче экзамена.
  4. Поиск корреляций с внешними событиями (новости, даты).

Инструменты для временного анализа

Сбор данных

Instaloader, VK API, Telethon, snscrape

Визуализация

Python (matplotlib, seaborn, plotly), Excel, Google Sheets

Таймлайны

Timeline JS, Google Sheets Timeline

Статистика

Python (pandas, scipy), R

Календари

Google Calendar (для наглядности)

Кейс: Анализ активности подозреваемого в деле о киберпреступлении

Задача: Определить, работает ли подозреваемый в ночное время, что характерно для хакерской активности.

  1. Сбор данных: 500 постов и комментариев из VK, Instagram, Twitter за 6 месяцев.
  2. Визуализация:
    • Гистограмма по часам: пик активности 22:00-04:00.
    • Минимум активности 08:00-12:00.
  3. Сравнение с режимом: В рабочие дни (пн-пт) активность сдвинута на ночь. В выходные — дневная активность.
  4. Корреляция: В периоды публичных утечек (связанных с делом) наблюдались всплески активности в 03:00-04:00.
  5. Вывод: Паттерн активности соответствует ненормированному ночному графику, что косвенно подтверждает занятость в ночные часы, характерные для киберпреступной деятельности.

Временной анализ превращает разрозненные временные метки в целостную картину режима дня, географического положения и значимых событий в жизни цели. Паттерны активности — один из наиболее объективных источников информации, так как их сложнее фальсифицировать, чем текстовый контент. Умение собирать, визуализировать и интерпретировать временные данные — ключевой навык SOCMINT-специалиста.

Shadow
April 9, 18:46
0 views
2 reactions
0 replies
0 reposts