i2应用案例介绍

一.个案分析利用i2软件工具基于个案相关的各类信息进行图形化展现和分析，以通用工具来辅助支持人工分析过程，利用工具获取案件相关数据并进行展现，通过关联分析来将所有信息贯穿起来，形成完整证据链和分析图表某市发生恶性凶杀案件，案发后犯罪嫌疑人马健逃匿，警方通过各种渠道收集信息以试图查找嫌疑人的藏身处。办案人员收集了关于嫌疑人的各种可用数据，如户籍信息、保险、社会关系、通话记录等进行分析。为了提高分析的效率，办案人员把收集到的关于嫌疑人马健的各种信息（户籍等基本信息）导入Analyst’sNotebook中进行展现。通过马健的手机和家庭地址等并没有获得可用线索，但办案人员通过户籍信息发现了马健的前妻李晶，随之对李晶进行了进一步调查。同样，将李晶的各种信息导入到工具中进行展示和分析。通过李晶的户籍信息，没有发现可疑的情况，但办案人员通过图表得到嫌疑人马健和前李晶曾经有过一个女儿马倩，于是调查工作的重点转移到了马倩身上，随之对马倩的各种情况进行了分析，并使用工具对收集到的数据进行展示。分析人员通过分析马倩在这一段时间内的传呼信息内容，发现嫌疑人马健通过电话“66634357”多次给马倩留过传呼，警务人员随即对此电话进行了调查，发现此电话为公用电话，具体地址为沙河口刘家桥地区，但此地区为一片较大的区域，无法确定嫌疑人的具体位置，证据链断失，办案过程陷入困境。办案人员转向分析马倩近期手机通话信息，发现马倩在近期内使用手机和电话“81897253”有多次通话，随之发现此号码为吕燕在登记保险信息时留的电话号码。调查人员对吕燕展开了调查，并没有发现可疑情况。分析人员又进一步对吕燕的其它信息进行调查，并将获得的数据进行图形化展示。当办案人员对吕燕的其它相关信息进行图形化展现和分析之后，发现可疑电话“81897253”为吕燕的父亲吕恭伟使用的电话，并且吕恭伟的住址地址为“沙河口刘家桥海港7号”，同第一条证据链获得的地址基本符合，因此两条证据链发生闭合。分析人员根据此情况可以初步确定犯罪嫌疑人应该藏匿在沙河口刘家桥附近，并且很大可能藏匿在吕恭伟家。警务人员随后对吕恭伟家进行了突击搜查，并最终抓获犯罪嫌疑人马健。通过上述具体案例分析过程，我们可以看到，Analyst’sNotebook工具能非常方便地将案件调查分析中收集的各种信息以图形化的方式展现出来，建立起不同信息之间的关联，形成完整的证据链，因而能很好提供对办案人员具体案件分析过程地辅助工具支持。在个案分析过程中，Analyst’sNotebook分析图表既包含了案件所涉及的各种信息和数据，同时也包含了整个案件分析和证据链分析的过程。同时，分析图表也可以作为案件分析的结果用来仅在办案人员之间进行共享或用于汇报和报告，因此是一个简单、易于使用且功能强大的可视化案件分析辅助工具。二、航班分析通过i2图形化数据分析技术对航班数据及涉毒人员库进行比对分析，发现潜在的贩毒人员及其团伙信息。xx贩毒团伙经常性乘坐民航飞机出入xx城市进行毒品运送和交易，xx市民航公安人员通常通过比对航班信息和涉毒人员库发现可疑的犯罪人员，并根据同可疑人员一起活动信息（例如机场性乘坐同一班飞机、经常性一起订票、经常性一起进入登记检票口等），来确定可能的贩毒团伙。分析人员使用Analyst’sNotebook将一段时间内出入xx机场的所有航班数据进行了图形化展现。数据展现的结果如下图：由于数据量非常大，生成的图表信息也非常复杂，很难从其中发现有用的信息。调查人员通过软件提供集群分析功能对所有的航班记录进行分析，以找到那些经常一起乘坐同一航班的人。这些人可以被看作是潜在的可疑犯罪团伙。基于以上查找出来的群集，分析人员再导入涉毒嫌疑人的数据进行比对，确定哪些群组可能是贩毒团伙（基于的假设是如果以上某个群集中出现涉毒库中的人员，次群集就可以初步确定为可疑犯罪团伙），得到的结果图表如下：从上面的分析图表中，分析人员可以清晰地看到，其中有两个群集可以初步确定为贩毒团伙，警务人根据以上信息并最终将贩毒团伙相关人员抓获。通过使用Analyst’sNotebook工具，调查人员可以很方便地将航班数据、涉毒嫌疑人数据以图形化的方式展现出来，并利用一系列图形化分析技术（群集分析等）快速根据掌握的信息确定贩毒团伙，从而提高了调查工作的效率。三、情报研判分析利用i2软件工具基于大量的案件研判数据分析发现不同地域、人群等犯罪规律及特点等研判信息。某市警务部门经过长期的业务积累，收集了大量的关于案件、嫌疑人等情况的综合研判信息（储存在业务数据库中），每条记录详细记录了案件发生时间、案件类型及关键字、作案特点等等。分析人员希望从这些大量的案件研判信息中分析发现不同地域、不同人群犯罪规律及其特点（例如手段特点、发案处所、侵害对象等等），以为日常的情报研判工作和犯罪预防监控提供业务指导。由于需要分析的数据量非常大，分析人员首先按照时间段、主题等对案件研判信息进行了初步的抽取和整理，并把处理后的数据导入Analyst’sNotebook中进行展现。因为分析的数据量非常巨大，所以生成的基本图表也很复杂，分析人员很难从中发现有用的规律信息。分析人员使用了Analyst’sNotebook工具提供的快速查找和可视化查询功能，首先快速定位某一具体地区实体（例如贵州沿河土家族自治县）或某一犯罪类型实体（例如入室盗窃案），再利用查找链接功能选取和选定实体相关的所有相关关系链接及实体，以发现针对某一具体地域或者案件类型的规律性信息，得到以下分析结果。通过上图，分析人员可以非常清晰地了解到这一地区特定案件类型（主要以入室盗窃案件为主），发案处所部位（集中在普通楼房和居民小区），手段特点（包括流窜作案、团伙作案、跨区作案、攀爬阳台等）等等规律信息，从而为分析这一地区的犯罪规律、预防和监控等提供全局性的情报研判信息。类似地，分析人员又针对具体的案件类型（入室盗窃案）进行了分析，发现这类案件类型主要的发案地区，并可以进一步使用列表分析对所有地区进行排序，找出发生该类案件最多的几个地区，从而为此类犯罪管理提供指导性信息。同样，分析人员又对某市高危人群的区域组成及相关区域的主要案件类型，犯罪手段特点、发案处所等规律特点进行了分析，分析结果如上图。通过上述具体分析案例我们可以看到，使用i2Analyst’sNotebook，分析人员可以相当方便地将大量案件研判信息以图形化的方式展现出来，并基于这些图形化信息进一步法现感兴趣的犯罪规律及特点，并且分析结果以非常直观而易于理解的图形化方式展示出来，以用来进行研判信息共享交流和向领导汇报，极大地提高了分析人员进行情报研判工作的处理效率和分析结果的科学性。四、毒品交易通过i2图形化数据分析技术对航班数据进行分析，发现潜在的贩毒人员及其团伙信息。某贩毒集团用人体藏毒的方法进行毒品走私。每次进行毒品运输的时候，他们会找女人A进行人体藏毒然后乘坐飞机入境。同时，在女人A不知情的情况下贩毒集团会派出男人B对其进行监视，B会与A乘坐同一班飞机。现在已经掌握的线索是女人A的国籍是荷兰，男人B的国籍是巴西，但是并不知道A和B的姓名以及他们坐的是哪些航班。现在从机场得到了近期进出港乘客的记录，现在需要对这些航班记录进行分，找到这两个进行毒品走私的嫌疑犯。分析人员使用Analyst’sNotebook将近期航班数据进行了图形化展现。数据展现的结果如下图：调查人员通过软件提供集群分析功能对所有的航班记录进行分析找到那些经常一起乘坐同一航班的人。这些人可以被看作有嫌疑的人，将这些人和航班的信息复制到一个新的图表中进行分析。再通过其他的线索对现有数据尽心筛选。利用软件提供的分析功能对有巴西男人和荷兰女人同时出现的航班进行筛选，通过分析得到结果，将嫌疑犯的范围缩小到最小。以上图表表示：从上面的分析图表中，分析人员可以清晰地定位到可疑的荷兰籍男子和巴西籍女子，并最终将贩毒嫌疑人抓获。通过使用Analyst’sNotebook工具，调查人员可以很方便地将航班信息数据以图形化的方式展现出来，并利用一系列图形化分析技术（属性查找、群集分析等）快速根据掌握的信息定位到具体的贩毒嫌疑人，从而提高了调查工作的效率。五、反恐分析通过数据可视化技术发现通过通话记录分析来查找恐怖袭击嫌疑人。在两个意大利城市的铁路站发生炸弹爆炸，第一事件起九月份发生在米兰总站，第二起十一月份发生在罗马Tiburtina站。恐怖袭击发生后，同一个组织声称对此负责首先假设在爆炸时或爆炸前不久，罪犯在两个案发地点都出现过并且罪犯可能在某个时间内使用他们的行动电话进行联系。第一步是确认移动电话天线/基站覆盖在被袭击地区，获取到在米兰车站附近有4个基站，在罗马车站附近有3个基站。米兰车站罗马车站CelleTimZonaStazioneC.NENOMENTANA,488TO,16Tiburtina:222-01-52310-42498ROMA-CIR222-01-60013-04631ROMA-VIAFERONIA,104222-01-60013-07187ROMA-VIACASALBRUCIACelleTimZonaStazioneTiburtina:222-01-52310-42498ROMA-CIRC.NENOMENTANA,488222-01-60013-04631ROMA-VIAFERONIA,104222-01-60013-07187ROMA-VIACASALBRUCIATO,16第二步是从服务提供商处获取基站移动电话呼叫列表，要求如下：电话服务提供商被要求提供在袭击发生时的呼叫明细.米兰爆炸案发生在九月16号下午4:30,所以提取在下午3:00到4:30分的数据.第二次爆炸发生在罗马在6:35左右故提取从下午5点到下午6:40的数据.大约生成了40,000条记录，我们把这些通话记录导入到Aalyst’sNotebook。导入数据后,显示图表上的移动电话，标出它们的状态，并连接与其相关的实体进行分析：•两起爆炸案均在发生后几分钟内就有组织声称对此负责•假设爆炸后恐怖分子马上打电话给组织中其他成员确认行动成功，再使用公共电话声称对事件负责•分析员首先调查两地的通话记录，找出在两个案发地点都拨出过电话且通话超过3秒钟的移动电话记录。•排除较短时间的通信避免查找结果中包含短信。•在分析员手册中把7000条查询结果绘制成图表对于可视化分析来讲，这张图表过于复杂。我们使用分析员手册中的工具合并两个图表（标有每个通信元素的两个车站的位置实体）；完成数据合并后，分析员开始查找与两个案发车站均有联系的移动电话；使用分析员手册的标准功能——可视化查询来隐藏无关的用户，设置参数实体连接=1，选择移出。完成以上步骤后，分析员确定了两个用户，他们在爆炸发生时很可能在案发车站。接下来我们对这两个可以用户进行分析。第一个可疑用户被锁定为一位住在米兰中央车站附近的老先生。他的相关通话数据已经从服务供应商处得到。在图表上这些通话记录已经被关联到相关电话上，并被标在相应地点上，这样可以掌握他的行动毫无怀疑，大部分电话都是在他的住处进行的。然而，有几次通话是在罗马的Tiburtina车站附近拨出的。接下来我们分析第二个用户，第二个用户是一个生活在罗马的年轻人.他的号码只打了9次，但所有的呼叫都在目标地区。我们可以进一步分析该用户的通话记录。区内，日前出现在那里的人可能在进行地形勘察接下来我们按照软件提供的时间图表分析功能，可以看到所有的通信都被集中到受袭地分析结果：图表显示的是在爆炸发生前不久在两个受袭车站附近区域拨出或接听的用户。第二个用户被确认为犯罪嫌疑人。因为他的通话模式很不寻常：仅有9通电话，全部都在目标区域内进行。现有的分析结果显示在爆炸发生时他正在目标区域当调查员查看他通话对方电话的用户名时，开始怀疑他们可能使用了假名。更加确定了该嫌疑人的可疑程度，最后警方确认这个罗马年轻人被确定为恐怖袭击嫌疑人。六、进出口货物（海关分析）通过数据可视化技术发现国外供货商和国内进口商之间的关系，这可以帮助海关人员发现非法货物或者走私交易。