论文阅读 - SWATTING Spambots: Real-time Detection of Malicious Bots on X

https://web.archive.org/web/20240523035749id_/https://dl.acm.org/doi/pdf/10.1145/3589335.3651564

ABSTRACT

INTRODUCTION

METHODOLOGY

3 RESULTS

ABSTRACT

在 X（前身为 Twitter）等社交网络平台上，垃圾邮件机器人的活动日益猖獗，引发了人们对信息质量和用户体验的担忧。

本研究提出了一种在 X 平台上实时检测和报告垃圾邮件机器人的创新方法。利用数据分析技术，我们调整了一个综合框架，该框架能够根据垃圾邮件账户的行为模式和特征对其进行准确识别和分类。

通过为这一日益严重的问题提供有效的解决方案，我们的研究旨在增强用户对社交媒体交流渠道的信任，为用户相互交流和分享信息营造一个更加透明和真实的网络环境。

INTRODUCTION

随着社交媒体的地位不断提高，了解这些平台如何促进和影响政治格局至关重要。在本研究论文中，我们将深入探讨社交网络在信息生态系统中的重要性，重点关注 X 作为政治参与和信息传播的主要平台所发挥的作用 [ 5, 10 ]。此外，我们还探讨了试图通过热门趋势操纵公众看法的行为者所采用的各种策略，这些趋势是放大某些信息或压制其他信息的有力工具。

鉴于 X 等平台上肆意操纵社交媒体的潜在风险，研究人员和政策制定者必须制定有效的方法来监控和减少此类活动 [ 4, 9 ]。

提出方法：

因此，我们提出了一种系统性方法来分析 X 平台上的热门趋势操纵行为，最终目的是在这一数字领域促进透明度、问责制和负责任的信息交流。我们希望通过这项研究，阐明政治、社交媒体之间复杂的相互影响，以及在日益互联的世界中对民主社会的广泛影响。

在研究操纵热门话题趋势方面，以往的研究主要集中在以下情况：数量有限的账户产生了与特定主题相关的异常高的发帖量，从而有效地参与了天马行空的行为。为了检测这些模式，人们开发并使用了各种检测算法，包括 Ben Nimmo 提出的流量操纵系数 (CTM)[7]。

GAP：

然而，在分析大量账户发布少量帖子的情况时，这种算法可能不那么有效，而这正是我们开发的算法发挥作用的地方。

我们的算法旨在通过采用基于多变量分析的方法来检测 X 的顶级趋势中潜在的操纵行为。以往的研究[6]主要关注单个账户的特征，而我们的方法则不同，它更深入地研究了用户之间错综复杂的互动网络，这些互动网络有助于推动特定的趋势。通过分析可能影响账户行为的各种变量及其在传播特定信息中的作用，我们可以有效识别异常模式或异常现象，这些异常模式或异常现象可能预示着操纵企图。通过这种多变量方法，我们的算法可以发现传统分析方法可能忽略的微妙操纵行为[1]。

所提出的算法不仅增强了现有监测系统的检测能力，而且对那些试图通过 X 上的热门趋势影响公众舆论的人所采用的策略提供了有价值的见解。通过不断完善和调整我们的方法，我们可以确保为所有在该平台上参与政治讨论的用户提供一个更加透明、负责和安全的数字环境。

METHODOLOGY

通过使用僵尸网络，标签可能会被人为放大，僵尸网络由遵循特定指令集的僵尸账户组成。这些账户通常通过自动过程，使得它们的特征（例如创建日期、关注者/关注网络规模和历史活动量）相当接近。为了自动识别僵尸网络用于顶级趋势操纵的情况，我们采用了统计过程控制 (SPC)，这是一种通常用于管理和监控各行业质量流程的方法。

该技术在检测具有可疑特征相似性的帐户组方面表现出良好的效果。我们的假设是，随着连续参与账户的属性之间的变化，顶级趋势自然出现，反映了真实的参与模式。因此，当具有相似特征的配置文件相继参与顶级趋势的升级时，预计变异性相对于规范值会降低。

SPC 方法允许对从数据中提取的多个属性进行检验。在这种情况下，我们选择使用 X 社交媒体提供的易于获取的特征：关注者数量、被关注者数量、推文总数和账户年龄。账户的年龄在确定其可信度方面起着至关重要的作用，因为新账户更有可能是出于操纵目的而创建的，而且可能与同一个傀儡主子有关联。

形式上，设为一个账户的属性X。对于顶级趋势， $X_i, i \in [1,n]$ 表示顶级趋势中第 $i^{th}$ 个账户的属性值。我们可以将这些值分成大小为 k 的滑动窗口，并计算中位数 $\widetilde{x}_j$ 。

奥克兰[8]概述的 SPC 方法包括计算这些参数的控制界限，这有助于发现任何可能表明账户操纵的异常模式或异常现象。这些控制上限和下限可以用公式计算：

其中， $\widetilde{X}$ 和 $\sigma _X$ 分别代表一连串测量值的中值和标准偏差。系数 3 表示约 99.7% 的正态分布数据将包含在这些界限内。这些控制限值是在触发与垃圾邮件机器人操纵有关的潜在异常或模式警告之前的最大和最小可接受值。

我们采用了一种实时监控和检测方法来识别和报告 X 上操纵热门标签的恶意僵尸。我们首先跟踪了 2022 年至 2023 年的特定流行标签，并手动验证了这些期间是否存在僵尸活动。这些标签的发帖量如图 1 所示。我们利用 X 的前 API v2 收集与特定标签相关的数据。

使用法国标签 #PenurieCarburant 观察到了此类操纵活动的一个例子，在此期间，与机器人相关的活动激增[2]。这些机器人只发布了一条带有随机文本的信息，表明它们试图误导用户并制造虚假叙述.

该主题标签的一个显着特征是内容传播不仅通过转发进行，还通过异常高比例的原始消息进行。不同的帐户，这使得传统的警报指标（例如 CTM）很难检测潜在的信息操纵。

2023 年 1 月，法国人在讨论巴西国民议会发生的事件时使用了 #Brésil 标签。同样，#OmarSy 标签与法国演员奥马尔-西（Omar Sy）主演的一部电影的上映有关。这些未受操纵的标签是了解 X 上合法用户行为模式的宝贵基准，并为检测表明存在恶意僵尸活动的异常活动提供了背景。

为了更好地理解僵尸驱动的营销活动，我们分析了所调查的每个标签的选定变量（如粉丝数、关注数、每天推文数和账户年龄）的分布情况。收集到的非受操纵的热门趋势数据使我们能够校准每个变量的控制范围，这反过来又帮助我们识别了表明僵尸活动的异常模式或异常现象。图 2 显示了所选标签变量的分布情况。

在分析中，我们对追随值和跟随值进行了对数变换，因为在较高的数值范围内，追随值和跟随值往往会发生变化[3]。这种方法允许我们就能更好地可视化和分析数据，并突出显示任何可能表明垃圾邮件机器人操纵的潜在异常值。值得注意的是，在 #PenurieCarburant 标签的分布初期可以观察到一个异常值峰值，这是由于垃圾邮件机器人账户通常表现为 0 关注者和 0 追随者。

为了建立分析的控制边界，我们使用未被操纵的标签（如 #OmarSy 和 #Brésil）的数据计算了这些值。计算得出的边界见 Ta- ble 1，为识别研究目标标签中潜在的垃圾邮件机器人操纵模式提供了比较基础。

3 RESULTS

我们采用了滑动窗口法，通过计算连续帖子窗口的特征来评估检测算法的性能。通过使用k = 100 个帖子的窗口大小，我们可以直观地分析每个特征在这些窗口中的分布情况。

图 3 用红色矩形显示了预期的下边界和上边界，使我们能够找出可能影响所研究标签数量的潜在垃圾邮件机器人活动。

在受操纵的散列标签 #PenurieCarburant 中，有几个点落在了这些边界之外，这表明垃圾邮件机器人对提高散列标签的显著性负有责任。此外，我们的分析表明，操纵散列标签的机器人是最近才创建的，没有任何其他推文，社交参与度极低（0 个追随者，0 个关注者），而且只发布了一条帖子。

除了使用历史数据评估我们的方法外，我们还通过分析通过流 API 端点接收到的帖子进行了实时测试。为了尽量减少误报的可能性，我们实施了一条规则，只有在观察到连续 10 个滑动窗口点超出既定控制边界。在测试阶段，我们的系统生成的大多数警报都与关注者日志和每日推文数据有关，为了解 X 等社交媒体平台上潜在的垃圾邮件机器人操纵行为提供了宝贵的信息。