EXAMENS ARBETE
IT-Forensik och Informationssäkerhet
Detektering av misstänkt grooming
Ewa Gärdström och Devran Öncü
Datateknik 15hp
Halmstad 2015-07-23
Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad
Box 823, 301 18 HALMSTAD
Detektering av misstänkt grooming
Kandidatuppsats 2015 Juni
Författare: Devran Öncü & Ewa Gärdström
Handledare: Eric Järpe Examinator: Mattias Wecksten
II
© Copyright Devran Öncü & Ewa Gärdström 2015.
All rights reserved Kandidatuppsats
Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad
III
Förord
Vi vill här ta tillfället i akt och tacka alla de personer som har bidragit vid examensarbetet.
Först och främst vill vi tacka vår handledare Eric Järpe för ett stort tålamod, hans goda samarbetsvilja och för alla matematiska tips.
Vi vill även tacka Mats Andersson för att han tog sig tiden att träffa oss för en intervju och delade med sig av sina erfarenheter rörande grooming och sitt jobb.
Och slutligen ett tack till Per-Åke Irskog som ställde upp på ett möte där han delade med sig av sina juridiska kunskaper kring brottet grooming och den svenska lagstiftningen kring brottet.
Ewa Gärdström Devran Öncu
IV
V
Sammanfattning
Examensarbetets primära innehåll behandlar detektering av grooming via experiment på två olika program. Experimenten utgår från två olika ordlistor och utförs på ett textanalysverktyg -
Overview, och på ett IT-forensiskt verktyg - EnCase.
Då de två verktygen använder sig av olika metoder vid sökningar och är utformade för olika syften så går studien även igenom olika metoder av data mining och forensiska metoder.
Dataset i form av chattkonversationer har samlats in inför studiens experiment, och har därefter kategoriserats efter harmfull och harmlös data. Harmfull data representerar chattkonversationer med innehåll av grooming, och harmlös data är chattkonversationer som innehåller allmänna konversationer om vardagliga ting.
De två ordlistorna som har använts vid sökningarna är av olika innehåll, där den ena baseras på ord av sexuell karaktär och där den andra är skapad utifrån en frekvensordanalys.
Andra delar av uppsatsen tar upp intressanta aspekter kring grooming, hur dess process ser ut och lagstiftningen i Sverige kring brottet.
Resultatet av studien påvisar att båda verktygen till lika hög grad kunde detektera misstänkt grooming i chattkonversationer. Vissa skillnader fanns i resultatet i form av ord som inte detekterades fullt ut av Overview. Andra påfallande skillnader mellan verktygen var deras arbetstid och dokumentationsmöjligheter, där Overview var det verktyg som jobbade snabbt, och EnCase det verktyg som hade bra dokumentationsmöjligheter.
Enligt gjord studie vore en kombination av data mining och IT-forensiska metoder samt en väl genomförd ordlista en metod att föredra vid detektering av grooming.
VI
VII
Innehållsförteckning
1 Inledning ... 1
1.1 Bakgrund ... 1
1.2 Syfte och problemformulering ... 3
1.3 Problemställning ... 5
1.4 Problemdiskussion och problematisering av frågeställning ... 5
1.4 Avgränsningar ... 8
2 Teori ... 9
2.1 Data Mining ... 9
2.2 K-‐means clustering ... 11
2.3 Metoden: TF-‐IDF, term frequency–inverse document frequency ... 12
2.3.1 Overview ... 14
2.4 EnCase ... 15
2.5 Indexering/Nyckelordssökning/Outside In ... 16
2.6 Grooming ... 18
2.7 Lagen ... 18
2.7.1 Kritik mot grooming-lagen ... 19
3 Metod ... 21
3.1 Metodval ... 21
3.2 Litteratursökning ... 23
3.3 Metod för datainsamling ... 27
3.4 Metod för skapande av ordlista ... 28
3.5 Val av verktyg ... 31
3.6 Metod-‐kritik ... 33
3.7 Experiment ... 37
3.7.1 Experimenthypotes ... 37
3.7.2 Experimentuppställning ... 39
4 Resultat ... 41
4.2 Experiment 1B – med ordlista 1 ... 44
4.4 Experiment 3A och 3B – med ordlista 2 ... 48
4.5 Jämförelse av programmen Overview och EnCase7. ... 50
5 Analys ... 53
5.1 Identifiering av grooming-‐konversationer ... 53
5.2 Test av beroende ... 54
5.3 Det mest tillämpbara verktyget ... 54
6 Diskussion och Slutsats ... 57
6.1 Diskussion ... 57
6.2 Slutsats ... 64
6.3 Förslag på fortsatt arbete ... 65
VIII 7 Referenser ... 67
Bilagor
Bilaga A K-means algoritmen
Bilaga B Brottsbalk (1962:700) 6 kap. Om sexualbrott
Bilaga C Diskussion om grooming
Bilaga D Ordlista 1
Bilaga E Ordlista 2
Bilaga F Brottsbalk (1962:700) 4 kap. 9a §. Olovlig avlyssning
Bilaga G Figur 14, 15, 16
Bilaga H Utdrag ur ”Fall 11 – Harmfull diskussion”
Bilaga I Utdrag ur ”Fall 104 – Harmlös diskussion
IX FIGURFÖRTECKNING OCH TABELLFÖRTECKNING
FIGUR 1. DATAUPPSÄTTNING K-‐MEANS CLUSTERING RESULTAT. 12
FIGUR 2. RESULTAT FRÅN EXPERIMENT 1A, TRÄFF MED ORDLISTA 1 I HARMFULL DISKUSSION. 42 FIGUR 3. RESULTAT FRÅN EXPERIMENT 1A, TRÄFF MED ORDLISTA 1 I HARMLÖS DISKUSSION. 42
FIGUR 4. RESULTAT AV EXPERIMENT 1B, TRÄFF MED ORDLISTA 1 I HARMFULL DISKUSSION. 45 FIGUR 5. RESULTAT AV EXPERIMENT 1B, TRÄFF MED ORDLISTA 1 I HARMLÖS DISKUSSION. 45 FIGUR 6. RESULTAT AV EXPERIMENT 2A OCH 2B, TRÄFF MED ORDLISTA 2 I HARMFULL DISKUSSION. 47 FIGUR 7. RESULTAT AV EXPERIMENT 2A OCH 2B, TRÄFF MED ORDLISTA 2 I HARMLÖS DISKUSSION. 47
FIGUR 8. RESULTAT AV EXPERIMENT 3A OCH 3B MED ORDLISTA 2 I HARMFULL DISKUSSION. 49 FIGUR 9. RESULTAT AV EXPERIMENT 3A OCH 3B, TRÄFF MED ORDLISTA 2 I HARMLÖS DISKUSSION 49
FIGUR 10. STJÄRNDIAGRAM ÖVER RESULTAT PÅ JÄMFÖRELSE AV PROGRAMMEN OVERVIEW OCH ENCASE
51
FIGUR 11. RESULTAT ANTAL TRÄFFAR PÅ ORD I OVERVIEW UTFÖRD I EXPERIMENT 3A. BILAGA G
FIGUR 12. RESULTAT PÅ TRÄFF MED ORDET "GOOD" I FALL 4. BILAGA G
FIGUR 13. RESULTAT AV SÖKNING MED ORDLISTA 1 I PROGRAMMET ENCASE. BILAGA G
TABELL 1. RESULTAT AV EXPERIMENT 1A UTFÖRD MED PROGRAMMET OVERVIEW MED ORDLISTA 1. 42
TABELL 2. RESULTAT AV EXPERIMENT 1B UTFÖRD MED PROGRAMMET ENCASE MED ORDLISTA 1. 44
TABELL 3. RESULTAT AV EXPERIMENT 2A OCH 2B UTFÖRD MED PROGRAMMEN OVERVIEW OCH ENCASE
MED ORDLISTA 2. 46
TABELL 4. RESULTAT AV EXPERIMENTEN 3A OCH 3B UTFÖRD MED PROGRAMMEN OVERVIEW OCH
ENCASE MED ORDLISTA 2. 48
TABELL 5. RESULTAT AV JÄMFÖRELSE GJORD PÅ PROGRAMMEN OVERVIEW OCH ENCASE7. 50
X
1
1 Inledning
Inledningen beskriver bakgrunden till problemområdet och definierar begreppen data mining, IT- forensik och grooming. Därefter anges arbetets syfte, problemformulering, problemställningar, problematisering och avgränsningar.
1.1 Bakgrund
Kontakt mellan människor över Internet är numera inget ovanligt, och det är en del av mångas vardag att småprata med sina vänner digitalt. Inte heller är det något konstigt eller svårt att söka nya kontakter och bekantskaper via nätet. Men Internet har tyvärr också blivit ett verktyg för förövare.
Vuxna som vill ta kontakt med barn i sexuellt syfte är troligtvis medvetna om att en stor del av barn och ungdomars sociala värld är Internet.
“Idag kan alla brott vara IT-relaterade. Det gäller allt från ekonomiska brott och dataintrång till bedrägerier, handel och hot på internet”. Enligt polisen är IT-brott per definition dataintrång och datorbedrägeri, där IT-teknik används för att genomföra brott. Metoderna för att utföra dessa brott och lura människor på nätet är olika. Brotten kan vara bland annat av ekonomisk karaktär,
utpressningar, hot och andra trakasserier, eller barnpornografibrott.1
Ett av de IT-relaterade brotten som är tänkt att belysas i det här arbetet är så kallad grooming (av engelskans grooming, "sköta, ansa, rykta, förbereda").2 Grooming på nätet är ett relativt “nytt” brott.
Det var inte förrän 2009-07-01 som det lagstiftades i Sverige som ett brott.3 Internet är en stor del av
1 Polisen. 2015. IT-brott. https://polisen.se/Om-polisen/Olika-typer-av-brott/IT-brott/ (hämtad 2015-01-27)
2 Wikipedia. 2015. Gromning. http://sv.wikipedia.org/wiki/Gromning (hämtad 2015-04-25)
3 Melin, Lena, Grooming online: En kartläggning av vuxnas kontakter med barn i sexuellt syfte under 2009. SamO-Kut Nord. 2010. s. 3. https://www.polisen.se/PageFiles/249099/Rapport_grooming.pdf (hämtad 2015-02-17)
2 många barns och ungdomars vardag idag, och det är ett högst aktuellt ämne. Vid grooming är det en gärningsman som tar kontakt med unga människor, ofta unga flickor, med syfte att begå övergrepp.
Ofta utger sig förövaren också för att vara någon annan, och ger felaktig information om sig själv, i syfte att knyta en god relation till den unga individen. Relationen byggs upp och förstärks tills ett förtroende har åstadkommits och förövaren bjuder in till en träff där de vill fullborda sitt planerade övergrepp.4
Fler goda krafter på Internet efterfrågas och större närvaro på nätet uppmuntras och i en motion som inlämnats till riksdagen “2014/15:2969 av Beatrice Ask m.fl. (M, C, FP, KD)” uppmärksammas att rättsväsendet inte hunnit följa med IT-brottens utveckling.5 Detta gör även en social nätverkstjänst, nextgenforensic, som tillhandahåller en plattform för IT-forensiker, forskare och akademiker med syfte att förebygga sexuellt våld. På bloggen distribueras den senaste forskningen, teorier, arbeten, experiment och nya idéer diskuteras inom området. I ett inlägg skrivet av Elliot, I. A (20140718) föreslås en djupare undersökning av textanalysverktyget, Overview, och hur det kan vara till nytta i förebyggandet av sexuell kriminalitet på nätet.6
Data mining är en process som används för att upptäcka, extrahera samt analysera information och mönster från stora datamängder, som exempelvis från en databas. Många större företag använder sig av data mining för att samla in information om sina kunder och deras inköp för att på så sätt
4 Polisen. 2015. Grooming. https://polisen.se/Om-polisen/lan/os/op/Polisen-i-Ostergotlands-lan/Projekt-och- samverkan/Projekt-Tindra/Grooming/ (hämtad 2015-01-28)
5 Beatrice Ask m.fl. 2014. Motion 2014/15:2969: Internet som arena för brott. Sveriges Riksdag.
http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Motioner/Internet-som-en-arena-for-brot_H2022969/?text=true (hämtad 2015-02-04)
6 Ian A Elliott 2014. Can we analyze word associations in online solicitation texts? Nextgenforensic.
https://nextgenforensic.wordpress.com/2014/07/18/can-we-analyze-word-associations-in-online-solicitation-texts/
(hämtad 2015-02-21)
3 utveckla sin företagsamhet. Själva tekniken grundar sig på statistiska beräkningsmetoder kombinerat med algoritmer för maskininlärning och mönsterigenkänning.7
IT-forensik är vetenskapen om att identifiera, utvinna, analysera och presentera digitala bevis som har lagrats i digitala enheter. Med den växande storleken på databaser har brottsbekämpning börjat inkludera data mining som ett verktyg för att förhindra och lösa brott som begås på Internet.8
1.2 Syfte och problemformulering
Det huvudsakliga syftet med denna studie är att utifrån en experimentell undersökning försöka identifiera misstänkta grooming-chattkonversationer med hjälp av verktygen Overview och EnCase.
Brottsbekämpande myndigheter handskas med stora mängder information, till exempel
incidentrapporter och tips samt stora datamängder som ingår i en utredning. Därför är det ur en professionell synvinkel intressant att göra en jämförelse mellan de två verktygens metoder och på så sätt finna likheter och/eller olikheter mellan dem. När deras metoder har analyserats och verktygen har använts i experiment kan man på så sätt jämföra dem mot varandra. Ingen tidigare studie har hittats som utfört denna undersökning.
Valet av vilka ord som ska ingå i en ordlista kommer givetvis ha betydelse för det antal träffar som uppnås vid sökningen. I experimentet som utfördes av Elliot, I. A (2014-07-18) sattes en ordlista hastigt ihop som enligt dem kan tyckas vara en godtycklig förteckning av sexuella ord9.
I denna studie görs valet att skapa två ordlistor med olika metoder för att undersöka om det blir någon skillnad i detekteringen av grooming-förövaren.
Overview är ett data mining-verktyg och därför ska det i uppsatsen även klargöras om vad data mining är, hur det är uppbyggt, hur processen ser ut samt inom vilka områden det används.
7 Wikipedia. 2015. Datautvinning. http://sv.wikipedia.org/wiki/Datautvinning (hämtad 2015-01-27)
8 K.K och B.B Meshram. Digital Forensics and Cyber Crime Datamining, Mumbai: Scientific Resarch, 2012
9 Ian A. Elliott, 2014
4 EnCase är ett IT-forensiskt verktyg som används vid IT-forensiska undersökningar. Verktygen Overview och EnCase samt deras ordsökningsmetoder kommer att presenteras. Grooming som brott ska definieras och lagstiftningen för grooming i Sverige överskådas.
5
1.3 Problemställning
1. Till vilken grad kan misstänkt grooming i chattkonversationer identifieras med hjälp av k- means clustering och data mining-programmet Overview?
2. Till vilken grad kan det IT-forensiska verktyget EnCase och dess inbyggda sökfunktioner identifiera misstänkt grooming i chattkonversationer?
3. Vilket av dessa två verktyg är mest tillämpbar för en framgångsrik detektering av grooming i chattkonversationer, och vilka skillnader finns det i resultatet?
Eftersom traditionella IT-forensiska analysmetoder kanske inte är tillräckliga kommer denna studie, genom att besvara dessa frågeställningar, bidra till att väcka tankar och idéer till nya metoder och verktyg som kan utvecklas för att framgångsrikt identifiera grooming i
chattkonversationer.
1.4 Problemdiskussion och problematisering av frågeställning
Dagens ökade informationsflöde kan ge problem för brottsbekämpande myndigheter eftersom det kan leda till ett ineffektivare arbete. Det är idag allmänt känt att rättsväsendet har svårt att följa med i IT-brottens utveckling och det är därför inte helt irrelevant att det önskas en snabb och fullständig analys av informationen för ett effektivare arbete. Därför är ovanstående frågeställningar av högsta intresse att kunna besvaras.
Som tidigare har nämnts läste vi ett inlägg på en IT-forensisk blogg10 där frågan ställdes om det går att med hjälp av verktyget Overview analysera och resultatrikt finna ord och mönster i texter med innehåll av sexuell karaktär. Vi ville undersöka saken närmare men även också göra en jämförelse
10 Ian A. Elliott, 2014
6 av Overview (som är ett textanalys-verktyg) med det IT-forensiska verktyget EnCase. Metoden för att kunna besvara våra frågeställningar blir att först undersöka och testa de båda verktygens metoder var för sig för att sedan göra en jämförelse av de båda verktygen. Om verktygens metoder är olika, kan det då visa sig att en ganska trivial och enkel metod kan vara minst lika bra som en mer
avancerad metod. Om en jämförelse skulle visa detta kan man i så fall se att de i fallet med den mer avancerade metoden helt enkelt tänkt fel. Det kanske inte hjälper att göra det mer avancerat, istället blir det kanske bara mer komplext. Det kan även vara så att även om metoden anses vara komplex, kanske själva verktyget är lätt att hantera och jobba med. Och det andra verktyget som har en enklare metod istället är mer svårförståelig och svår att jobba med.
De två första problemställningarna handlar om att undersöka till vilken grad verktygen kan identifiera misstänkt grooming i chattkonversationer med hjälp av dess egna metoder. Här kan det uppstå flera olika problem då detta ska undersökas. För det första har ingen av oss tidigare använt verktyget Overview och detta kan bli ett eventuellt problem om det visar sig att verktyget är svår att använda. Med vetenskapen om detta kommer test-experiment göras i verktyget innan studien påbörjas. Detta görs för att få praktisk kunskap om verktygets metoder och undvika att viktig tid går förlorad när de riktiga experimenten utförs. Då vi har tidigare erfarenhet av
verktyget EnCase och en jämförelse av de båda verktygen kommer ske är det därför också viktigt att likvärdig erfarenhet av de båda verktygen innehas innan experimenten startar. Ett eventuellt annat problem som kan uppstå är då vi ska redovisa vilka metoder verktyget EnCase använder sig av. Verktyget innefattar många olika typer av tekniker och det kanske kan bli svårt att få fram fakta om hur dess sökfunktion fungerar. Det största problemet tror vi kommer att bli
inhämtningen av data. Eftersom experimenten strävar efter att kunna identifiera misstänkt grooming i chattkonversationer behövs både data som innehåller bevisad grooming-förfarande men även vanlig data. Detta för att kunna validera att verktygen kan identifiera den data som innehåller grooming. Att hämta in stora mängder data kan ta lång tid och i kombination med att hitta rätt data tror vi alltså att detta kan bli ett problem. En fördel är att vi är medvetna om just denna problematik och har därför avsatt extra tid för insamling av data. I avsnitten ”3.3 Metod för datainsamling” och ”3.6 Metod-kritik” finns mer information om just datainsamlingen och bland annat varför vi valde den data som vi valde.
7 Vår tredje problemställning handlar om att jämföra de två verktygen med varandra och visa på skillnader mellan dem. Vi kommer själva välja de kategorier som vi tror är av intresse men vi är medvetna om att det kan finnas fler intressanta jämförelser att göra mellan dessa två verktyg. Det som kan bli problem är tolkning och presentation av resultatet eftersom delar av experimenten består av visuell undersökning av verktygen och dessa resultat ska omvandlas till något mätbart.
Detta diskuteras mer i avsnitt ”3.6 Metod-kritik”.
Ett flertal vetenskapliga artiklar och fallstudier har lästs inför denna studie. I dessa har data mining undersökts med fokus på om den tekniken kan vara behjälplig i analysen av olika internetbrott och cyberattacker. Dessa studier kommer att diskuteras mer ingående i avsnitten
”3.2 Litteratursökning” och ”3.6 Metod-kritik”. En gemensam nämnare som dessa studier har är att de kommit fram till att IT-forensik och data mining går att kombinera då fall-studierna visat på att data mining går att använda för att bland annat identifiera misstänkta förövare. En del har även tagit fram nya metoder och verktyg för att inhämta, tvätta och analysera data. Data mining handlar om att hitta mönster i stora mängder data och en svaghet i denna studie är att mängden data som ska undersökas kanske är för liten. Detta kan leda till att ett tillförlitligt resultat inte kommer kunna ges. Att studiens experiment inte kommer att utföras på live-data är också en nackdel eftersom grooming-brott sker mestadels via chattkonversationer och önskan är självklart att brottet ska upptäckas vid just det tillfälle det sker. En annan studie, som också kommer nämnas i avsnitt ”3.2 Litteratursökning”, har varit intressant för denna studie eftersom den
analysera chattkonversationer för att avgöra om förövarna uttrycker sig på ett sätt så att det går att identifiera grooming-förövare. Efter vi studerat den uppsatsen slog det oss att ett problem som kan uppstå för vår del är att vi inte har tillräcklig med kunskap om det chattspråk förövarna använder sig av, och att det kan vara till nackdel eftersom denna studie ska försöka identifiera misstänkt grooming i chattkonversationer.
Det som skiljer vår studie från de som tidigare har gjorts är att vi inte kommer själva utveckla en modell. Vi kommer istället lägga fokus på att identifiera brottet grooming med hjälp av ett redan fullt utvecklat data mining-verktyg och ett IT-forensiskt verktyg. Att vi väljer att inte göra någon modifiering av verktygen kan hända bli en svaghet för denna studie eftersom resultatet kanske inte kommer visa på något nytt och revolutionerande inom området. Vår förhoppning är att vi
8 kommer visa på att detektering av brottet grooming i chattkonversationer kan göras med hjälp av data mining-verktyget Overview minst lika bra som med det IT-forensiska verktyget EnCase.
1.4 Avgränsningar
Det finns flera typer av data mining-metoder och uppmärksamhet kommer att ges till den eller de metoder som passar bäst in på de experiment som kommer göras, och anses vara av relevans och intresse för studien. Denna avgränsning kommer i den här studien innebära att data mining- metoder som undersöks är enbart de metoder som verktyget Overview använder sig av. Data mining bygger på bland annat statistisk matematik, och grundläggande algoritmer kommer att presenteras. Ingen vidare fördjupning i den matematiska delen kommer att utföras. Det finns inget syfte att utveckla en egen metod för att på så sätt påvisa någon sorts modifiering av verktygen. Det är programmens befintliga metoder som ska jämföras mot varandra.
Vid undersökning i verktyget EnCase kommer dess inbyggda sökfunktioner användas. Detta är en funktion som söker på de nyckelord som angetts som indata till programmet. Därför blir en annan avgränsning att utesluta EnScript i experimentdelen av EnCase. EnScript är det
programmeringsspråk som finns tillgänglig för användare att optimera programmet utifrån egna skript11.
Det kommer inte göras undersökning i hur polisen utreder grooming-brott eller hur de aktivt försöker förhindra dessa brott.
11 Guidance Software. 2015. EnCase EnScript Programming.
https://www.guidancesoftware.com/training/Pages/courses/classroom/EnCase%C2%AE-EnScript%C2%AE- Programming.aspx (hämtad 2015-04-14)
9
2 Teori
Kapitlet behandlar data mining och IT-forensik samt några av dess metoder. Även fakta om
verktygen som kommer användas i experimenten presenteras. Brottet grooming och dess lagstiftning förklaras. För att få en klarare och grundligare bild av grooming som brott kommer en intervju med Mats Andersson och Per-Åke Irskog att göras. Mats driver företaget Netscan12 och är kunnig inom området. Han anlitas av många myndigheter och organisationer för föreläsning av Internetsäkerhet för barn och unga. Per-Åke Irskog är universitetsadjunkt i juridik på Högskolan i Halmstad. Då arbetets problemställningar inte inriktar sig på själva brottet grooming kommer dessa två möten presenteras i Bilaga C13.
2.1 Data Mining
Data mining är ett begrepp för verktyg som söker efter okända mönster och information i data. Med hjälp av data mining går det även att förutsäga framtida mönster.14
Data mining har rötter i statistik, artificiell intelligens, maskininlärning och databassökning. Data mining är ett steg i “knowledge discovery from databases” (KDD) som är en process för att upptäcka användbar kunskap i data.
Data mining används idag inom flera olika områden, som exempelvis inom marknadsföring och försäljning, diagnostik, industrin samt banker och företag. Olika användare kan vara intresserade av olika typer av information. Därför är det viktigt att data mining täcker ett brett detektionsområde och
12 Netscan. 2015. http://netscan.se/ (hämtad 2015-02-18)
13 Bilaga C, Diskussion om grooming.
14 Ian H. Witten och Eibe Frank och Mark Hall, Data Mining Practical Machine Tools and Techniques. Burlington:
Elsevier Inc. 2011
10 kan utvinna olika typer av information i databaser. Processen ska vara interaktiv på flera nivåer eftersom resultatet då enklare kan baseras på efterfrågan. Det är viktigt att brus och ofullständig data hanteras under processen då mönsterigenkänningen annars kan försämras.
Vid utvärderingen av mönstren kan allmänt förekommande information vara intressant men även saknaden av viss information kan vara nyttig kunskap.
I samband med presentationen av resultaten är det bra om det visas visuellt på ett lättförståeligt sätt, till exempel i form av diagram eller bilder.15
Momenten i data mining består av - val av data
- tvättning av data - berikning av uppgifter - kodning av data - datamining
- rapportering/visualisering.16
Ett data mining-system omfattar flera olika tekniker som exempelvis dataanalys,
informationssökning, mönsterigenkänning, bildanalys, signalbehandling samt datorgrafik. Dessa tekniker delas in olika klasser;
- Databasteknik - Statistik
- Maskininlärning - Informationsvetenskap - Visualisering
- Andra områden.17
15 Data Mining Tutorial, Simply Easy Learning by turtorialspoint
16 S Sumathi och S.N Sivandandam, Introduction to Data Mining and its Applications, New York: Springer, 2006. s.
12.
11 Data mining-systemet integreras med en databas eller ett informationslager och utvecklas med effektiva algoritmer för att datamängden ska kunna utvinnas efter önskat vis. Data mining-metoder delas generellt upp i två grupper;
Verification-driven (verifiering)
Inkluderar tekniker såsom hypotesfråga och rapportering, flerdimensionell analys och statistisk analys.
Discovery-driven (upptäcka)
Inkluderar prediktiv modellering. Teknikerna är bland annat klassificering, länkanalyser och avvikelsedetektering.18
2.2 K-means clustering
Klusterananlys innebär att datamängder grupperas i delmängder i form av kluster. Detta är ett samlingsnamn för själva analysmetoden.19
K-means clustering är en metod för att systematiskt dela in oorganiserad data i olika kluster. I en sådan klusteranalys ska man kunna urskilja olikheter inom objekt (n) och inom kluster (k).
Dessa olikheter visas i form av att avstånden mellan objekt i ett kluster är så små som möjligt då de slås ihop i samma kluster, och skillnaden mellan kluster så stor som möjligt. Objekt (indexerade i = 1,2,3…,n) Klustrena (indexerade j = 1,2,3…,k). Se Figur 1.
17 Data Mining Tutorial, Simply Easy Learning by turtorialspoint
18 Sumathi och Sivandandam. s. 197.
19 Wikipedia. 2015. Klusteranalys. http://sv.wikipedia.org/wiki/Klusteranalys_%28datavetenskap%29 (hämtad 2015- 04-10)
12
Figur 1. Datauppsättning K-‐means Clustering resultat.20 Bilden kommer från Wikipedia och ingår i public domain.
K-means metoden är till fördel vid hantering av stora datamängder och metoden kräver mindre dataresurser än de hierarkiska klusteralgoritmerna som finns. Algoritmen är lätt att implementera, men en nackdel kan vara att startindelningen och antalet kluster bli fel och detta kanske leder till en felaktig slutindelning. En annan nackdel kan vara uppdelning av rimliga kluster vid besvärlig data, där kluster korsar varandra flera gånger. Metoden är också känslig för brus och detta kan således påverka skattningarna av centrum för varje kluster.21 För mer ingående matematisk förklaring av K- means clustering, se Bilaga A22.
2.3 Metoden: TF-IDF, term frequency–inverse document frequency
TF, termfrekvens är ett mått på hur många gånger ett ord förekommer i en text. Det finns många ord i texter som inte har någon viktig betydelse för ämnet, och dessa ord kallas stoppord. Exempel på
20 Wikipedia. 2015. K-means clustering
http://commons.wikimedia.org/wiki/File:Iris_Flowers_Clustering_kMeans.svg#filelinks (hämtad 2015-04-23)
21 Li-Fang Xu, Klusteranalys, Umeå universitet, 2008.
22 Bilaga A, K-means algoritmen.
13 stoppord är; ”och”, “att”, “som”. Dessa ord filtreras bort för att få en mer specificerad
frekvensordlista.
IDF, inverse document frequency är ett sätt att automatiskt ordna ord efter sin särskiljningsförmåga genom att räkna hur många dokument ordet förekommer i. Ord som förekommer i många dokument är mindre speciella än de som bara förekommer i ett par få. Genom att invertera mängden dokument ett ord förekommer i baserat på den observationen som har gjorts, får ord som exempelvis “och” och
“är” låg betydelse.
Kombinationen av dessa två metoder kallas tf-idf, term frequency-inverse document frequency. I en samling dokument, N, sker beräkningen genom att definiera fi j som frekvens av en term (ord) i i dokument j.
Sedan definieras termfrekvensen TFi j genom att dividera fi j med högst antal förekomster av varje term i samma dokument, 𝑚𝑎𝑥! 𝑓!":
TFi j = !"#!! !
! !!"
IDF för en term definieras genom;
Antag att termen i förekommer ni gånger i dokumenten N IDFi = log2(N/ni)
TF.IDF för ordet i i dokument j blir då TFi j x IDFi (där x står för multiplikation).
Ord med högst TF.IDF blir kännetecken för ämnet i dokumentet.23
23 Jure Leskovec och Anand Rajaraman och Jeffrey D. Ullman. Mining of Massive Datasets, California: Stanford Education, 2014, Kap. 1.
14 2.3.1 Overview
Overview är ett program som delar upp flera olika dokument i olika kategorier beroende på vilket ämne dokumenten innehåller. De uppdelade dokumenten delas sedan upp i ännu mer specifika kategorier och resultatet blir ett träd av mappar. Varje mapp märks med nyckelord som inkluderas i dokumentet och visar på vilka ord som förekommer mest.
Overviews tillvägagångssätt för att kategorisera dokumenten bygger på algoritmer som jämför sekvenser av ord i varje dokument för att urskilja hur lika de är. Programmet genererar ett nummer som är litet om dokumenten är mycket olika och ett stort nummer om dokumenten rör samma ämne.
En grupp av dokument som är väldigt lika varandra hamnar i samma mapp. Overview bortser från vissa grammatiska ord, så kallade stoppord, då dessa inte är viktiga för att bestämma ämnet i texten.
Med den numeriska statistiska metoden TF-IDF, räknas varje ord för att avgöra hur många gånger de förekommer och en frekvenstabell skapas. Varje par av dokument jämförs med varandra för att kontrollera hur lika de är genom att räkna antalet ord som förekommer i båda dokumenten. Om ett ord förekommer två gånger i ett dokument, räknas det två gånger och på så sätt multipliceras frekvenserna av motsvarande ord och sedan summeras resultaten. Sedan använder programmet sig av k-means kluster för att dela upp de dokument som har likheter, de hamnar i samma mapp och märks med orden som särskiljer dem från andra dokument.24
Vid sökning på ett eller flera ord tillhandahåller programmet även avancerade sökmetoder så som citerade fraser, boolean uttryck, felstavningsmatchning, uteslutning och kombination av ord samt sökning på delar av ord med mera.25
24 Overview, 2013. How Overview can organize thousands of documents for a reporter.
https://blog.overviewdocs.com/2013/04/30/how-overview-can-organize-thousands-of-documents-for-a-reporter/
(hämtad 2015-03-21)
25 Overview, 2013. Advanced search quoted phrases, boolean operators, fuzzy matching and more.
http://overview.ap.org/blog/2013/12/advanced-search-quoted-phrases-boolean-operators-fuzzy-matching-and-more/
(hämtad 2015-04-15)
15
2.4 EnCase
IT-forensik är en del av datavetenskapen som berör Internetrelaterade brott med anknytning till digital media. Vid IT-forensiska undersökningar utförs brottsutredningar genom att leta bevis på digitala medier för att hitta spår efter misstänkt brott.26
EnCase är ett IT-forensiskt verktyg och anses som en allsidig plattform för kriminaltekniska undersökningar. Rapport kan skapas direkt i verktyget. EnCase består inte
av öppen källkod och dess licens kostar att inneha, och beroende på vilket certifikat som ska köpas är priserna varierande.27
EnCase7 är ett verktyg som ingår i denna experimentella studie och tanken var att redovisa dess metoder för sökning mer ingående.
Vid kontakt med Guidance Software som tillhandahåller verktyget ges informationen att sökfunktionens metod i EnCase är konfidentiell information28. Med tanke på den
sekretessbelagda informationen var det med andra ord svårt att finna information om hur programmet går tillväga för att utföra sökningar. Litteratursökning gjordes trots detta, för att försöka finna så mycket information som möjligt om verktyget. Den informationen som fanns att tillgå beskriver att EnCase använder sig av bland annat tekniken Outside In. Nedan följer allmän information om indexering och nyckelordssökning samt tekniken Outside In.
EnCase7 använder tekniken Outside In vid sökningar för att extrahera text från filer, där texten sedan används i en indexering. Att EnCase använder sig av indexering vid textsökningar beror på att den tekniken är ett bättre val vid stora datamängder. Dagens filtyper är nästan alltid
komprimerade, exempelvis PDF-filer, .docx, .xlsx, .pptx, och EnCase anser att det är praktiskt taget värdelöst att göra så kallade råa textsökningar på sådana filer. För att kunna göra sökningar
26 Wikipedia. 2015. Computer forensics. http://en.wikipedia.org/wiki/Computer_forensics (hämtad 2015-01-27)
27 Infosec Institute, 21 Popular Computer Forensics Tools. 2015. http://resources.infosecinstitute.com/computer- forensics-tools (hämtad 2015-04-13)
28 Technical Support, Guidance Software, Joshua. E-postkorrespondens med Ewa Gärdström, 31 mars, 2015.
16 på filtyper som är av nyare modell så måste innehållet i filen först utvinnas sen återges och
därefter indexeras annars fås inga träffar vid sökningarna.29
2.5 Indexering/Nyckelordssökning/Outside In
Avsikten med att indexera med hjälp av sökmotorer är för att utföra snabb och korrekt
informationssökning. Dess design består av olika tekniker som exempelvis lingvistik, matematik, informations- och datavetenskap. Konstruktionen av en sökmotor varierar beroende på syftet, men några vanliga strukturer är;
- Suffixträd - Inverterad index - Citation index - N gram index
- Dokument-term matris.30
Nyckelordssökning är en teknik där ord eftersöks i dokument. Ett eller flera ord skrivs in i en sökruta och tillbaka fås ett sökresultat som består av de dokument som innehåller de eftersökta orden. Nyckelord används också vid mer komplexa sökningar, så kallade sammansatta sökningar.
Vid sådana sökningar används exempelvis metoden boolean.
Olika väljbara variabler vid sökningar är bland annat;
- antingen sökning på gemener och versaler, eller både och.
- sökning på hela ord eller delar av ord.
- sökning på fraser.
- “fuzzy” (otydlig) sökning, försäkring om att felstavningar kommer med.
29 Steve Bunting, EnCE EnCase Computer Forensics: The Official EnCase Certified Examiner, Indianapolis: John Wiley & Sons, 2012, s. 353.
30 Wikipedia. 2015. Search engine indexing. http://en.wikipedia.org/wiki/Search_engine_indexing (hämtad 2015-04-13)
17 - sökning på ursprung av ord. Sökning på sjunga ger även utslag på sång, sjunger,
sjungit.
- användning av “wildcards”, exempelvis tillsättning av frågetecken efter ord.
- boolean sökningar, används för att kombinera eller utesluta vissa sökord samt att visa på starka eller svaga samband mellan orden.
- vid eftersökning av specifik mängd data kan det sökas på exempelvis “email”
eller mellan två datum.
Andra viktiga variabler för sökordet kan vara dess språk, särskiljande egenskaper och specialtecken.
Teckenkoder med olika teckenuppsättningar är oftast valbara vid sökningar. Exempel på sådana är;
• UTF-8
• UTF-16
• CP1252
• Unicode / WideChart31
Outside In tekniken används för att extrahera, normalisera, konvertera samt visa innehållet i en stor mängd olika ostrukturerade filformat och innefattar flera olika mjukvaruprogram. När det gäller sökning i textdokument är bland annat “Content Access” och “Search Export” särskilt intressanta. Content Access, innehållsåtkomst, extraherar text och metadata från filer. Under tiden som filerna bearbetas läggs den extraherade datan till i programmets minne. Denna teknik är vanlig vid IT-forensiska undersökningar och i säkerhetsapplikationer. Funktionen “Search
31 EDRM, Search Methodologies. http://www.edrm.net/resources/guides/edrm-search-guide/search-methodologies (hämtad 2015-04-14)
18 Export” är ofta inkluderad i IT-forensiska applikationer och konverterar filer till en av fyra olika format. Dessa format är HTML, XML, PDF och Image.32
2.6 Grooming
Internet är en stor del av många barns och ungdomars vardag idag, och det är ett högst aktuellt ämne. När en vuxen ger sig ut för att vara någon annan och söker kontakt med barn på Internet för att förmå dem att träffas med syfte att kunna förgripa sig sexuellt på dem kallas det grooming. När ett tilltänkt offer accepterar förövaren som vän på den aktuella webbsidan blir det enkelt för förövaren att få information om offret. Genom att till exempel kolla offrets statusuppdateringar, bilder som denne lagt upp och andra bilder på offret som dennes vänner lagt upp utför groomaren en egen sorts data mining. Om offret dessutom har en öppen profil blir det ännu enklare för förövaren att kartlägga offret och samla in så mycket information som möjligt för att hitta ett “lätt mål”. Barn med känslomässiga problem ses som “lättast att fånga”. Groomingen påbörjas med sympatiska och motiverande chattkonversationer, där syftet är att försöka uppvisa en sida hos sig själv som är snarlik offrets. Kommunikationen kan ske periodvis, från timme till timme, dag till dag eller veckovis, för att så småningom smått leda offret till konversationer av mer sexuell karaktär. Om offret är i yngre tonåren frågas det oftast om vad för sorts underkläder hon/han har på sig, för att därefter leda konversationen till att få offret att ta av sig underkläderna och berätta om sina privata kroppsdelar. Om offret är i äldre tonåren kan groomaren direkt be om att få se privata kroppsdelar genom till exempel en webbkamera.33
2.7 Lagen
År 2006 fick den dåvarande riksåklagaren, Fredrik Wersäll, i uppgift av regeringen och den dåvarande justitieministern, Thomas Bodström, att genomföra en analys som skulle undersöka om
32 Oracle, Oracle Outside In Technology. http://www.oracle.com/us/technologies/embedded/025613.htm (hämtad 2015-04-15)
33 Georg E. Higgins och Catherine D, Social Networking as a Criminal Enterprise, New York: CRC Press Taylor &
Francis Group, 2014. s. 130.
19 den gällande lagstiftningen kunde tillämpas på grooming, och om den var tillräcklig för att skydda barn mot företeelsen.34 Detta resulterade i utredningen “Ds 2007:13, Vuxnas kontakter med barn i sexuella syften”.35 Samtidigt fick Brottsförebyggande Rådet (Brå) i uppdrag att skriva en rapport om företeelsen och dess omfattning, och uppdraget redovisades i “Brå-rapport 2007:11, Vuxnas
sexuella kontakter med barn via internet”.
Den här utredningen och rapporten ledde så småningom till att det 2009-07-01 tillkom en paragraf i Brottsbalken, som kriminaliserar vuxnas kontakter med barn i sexuellt syfte.36 Enligt Brottsbalken 6 kap 10a§ är detta straffbart med böter eller fängelse i högst ett år.37
För att en person ska kunna dömas för grooming-brott krävs det att fyra förutsättningar ska vara uppfyllda.
- Brottsoffret ska vara ett barn under 15 år.
- Den vuxna kontaktar barnet i ett uttalat sexuellt syfte.
- Tid och plats ska ha bestämts för ett verkligt möte.
- Den vuxna ska ha vidtagit någon praktiskt åtgärd för att mötet ska ske.
2.7.1 Kritik mot grooming-lagen
Brottsförebyggande rådet gick ut med ett pressmeddelande, 2013-06-13, där de dömer ut grooming- lagen då de anser att få anmälda fall leder till åtal.38 Anledningen till det är (enligt polisen) att de inte kan ingripa i ett tidigt stadie. Först måste bland annat tid och plats för ett verkligt möte ha bestämts och därefter måste den vuxna vidta någon åtgärd för att ett möte ska ske. Först efter detta
34 Åklagarmyndigheten, 2007. Vuxnas kontakter med barn i sexuella syften föreslås bli straffbara.
http://www.aklagare.se/Media/Nyhetsarkiv/Vuxnas-kontakter-med-barn-i-sexuella-syften-foreslas-bli-straffbara/
(hämtad 2015-02-15
35 Regeringskansliet, 2015. Vuxnas kontakter med barn i sexuella syften.
http://www.regeringen.se/sb/d/8588/a/80667 (hämtad 2015-02-15)
36 David Shannon, Vuxnas sexuella kontakter med barn via Internet, Stockholm: Brottsförebyggandet rådet, 2007.
37 Bilaga B, Brottsbalk (1962:700) 6 kap. Om sexualbrott.
38 Brottsförebyggande rådet, Få anmälda fall av grooming leder till åtal, 2013. http://www.bra.se/bra/nytt-fran- bra/arkiv/press/2013-06-19-fa-anmalda-fall-av-grooming-leder-till-atal.html (hämtad 2015-01-27)
20 kan polisen ingripa. Med andra ord så måste de vänta tills ett övergrepp redan skett och då blir brottsrubriceringen en annan.39
Sedan bestämmelsen “kontakt med barn i sexuellt syfte” (sexuell grooming) trädde i kraft, och till slutet av 2012 har cirka 600 sådana brott anmälts, men bara ett fåtal har blivit lagförda. De sexuella förövarna tog kontakt med barnen via Internet i cirka 70 procent av fallen, resten av kontakterna gjordes via mobil/hemtelefoni eller i direkt möte med barnet.40
Problemen med den nuvarande lagen är väl kända och en motion som heter ”Internet som arena för brott” lämnades in 2014-11-10 till riksdagen av Beatrice Ask med flera. I motionen efterfrågas en skärpning av lagstiftningen.41
39 Melin, Lena. 2010
40 David Shannon. Bestämmelsen om kontakt med barn i sexuellt syfte, Vällingby, Brottsförebyggande rådet, 2013.
41 Ask, Beatrice m.fl. 2014
21
3 Metod
Kapitlet redogör för examensarbetets strategi och genomförande. Val av metod, insamling av data och det tilltänkta experimentet beskrivs. Även kritik till metodvalen kommer tas upp.
Vid metodval skiljer man på kvantitativ och kvalitativ metod.
Vid kvantitativa metoder utförs systematisk insamling av mätbar data, statistiska sammanfattningar och analys av utfall som har sin utgångspunkt i testbara hypoteser. En kvantitativ metod lämpar sig bäst när man strävar efter objektivitet. Vid kvalitativa metoder utförs exempelvis enkäter och intervjuer som sedan analyseras. En kvalitativ metod lämpar sig bäst när man önskar en öppen subjektiv metod.42
3.1 Metodval
Till detta examensarbete har det valts två huvuduppgifter. Det första är att avgöra om grooming kan upptäckas med hjälp av data mining-programmet Overview.
På NextGenForensic efterlyses en djupare undersökning av Overview, och hur det kan vara till nytta i förebyggandet av sexuell kriminalitet på nätet.43
I de delar av experimenten som berör Overview i den här studien är det tänkt att detta förslag ska genomföras. Alltså en djupare undersökning med en annorlunda ordlista än vad de använde sig av.
För att ordlistan inte ska anses vara godtycklig kommer den att utvecklas med hjälp av en egen utförd frekvensordanalys. Den kommer att baseras på innehållet i de chattkonversationer som har samlats in, och resultatet blir en lista på de mest förekommande orden i dessa.
42 Idar Magne Holme och Bernt Krohn Solvang, Forskningsmetodik: Om kvalitativa och kvantitativa metoder, Lund, Studentlitteratur AB, 1997
43 Ian A. Elliot. 2014.
22 Experimenten genomförs inte på samma dataset som de använde sig av på Nextgenforensic.
Den andra uppgiften blir att använda samma chattloggar och ordlista i det IT-forensiska verktyget EnCase för att identifiera misstänkt grooming.
Det sista steget i arbetet blir att evaluera verktyget EnCase mot Overview för att hitta för- och nackdelar hos respektive verktyg. I detta skede ska det jämföras hur snabbt programmen arbetar, hur implementationen av ordlistan sker och dess träffsäkerhet, dokumentationsmöjligheter inom
programmet, samt hur lättöverskådligt resultaten presenteras i programmen.
Metoden för att besvara problemställningarna kommer att vara av kvantitativ karaktär.
Den kvantitativa metoden har valts på grund av de experiment som ska genomföras och den ordlista som ska skapas. En kvantitativ metod är att föredra här då vi önskar att studien är upprepningsbar för framtida arbete och forskning.
De delar av studien som innefattar intervjuer för att få en bredare bild av grooming och
lagstiftningen i Sverige kommer inte att ingå i metodvalet. Om syftet med dessa intervjuer hade varit att de skulle besvara problemställningarna hade de också ingått i metodvalet. Men detta tillhör en kvalitativ undersökning där man via enkäter och intervjuer vill samla ihop olika uppfattningar och resonemang44, medan det i en kvantitativ undersökning samlas ihop
representativ data som undersöks med olika mätinstrument som ska fånga samband, fördelning och variation i det som studeras.45
44 Anna Hedin, En liten lathund om kvalitativ metod med tonvikt på intervju, Uppsala Universitet, 2011.
45 Bengt Erik Eriksson, kvantitativ metod, 2015 http://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvantitativ- metod (hämtad 2015-04-14)
23
3.2 Litteratursökning
För att få inblick i data mining, IT-forensik och grooming har sökning i databaser gjorts för att få fram relevant litteratur. Sökord som använts har bland annat varit “data mining”, “EnCase”,
“Overview” “detektering i EnCase”, “k-means clustering”, “grooming”, “dataanalys”, “data mining inom IT-brott”, “sexual predators” och så vidare. Resultatet av sökningarna som berörde data mining, IT-forensik och grooming var fler till antalet än de som gällde enbart verktyget Overview i den öppna litteraturen.
Uppsatser, artiklar och böcker finns gott att tillgå kring data mining, om dess metoder och tekniker.
Ett fåtal av dessa har även behandlat just data mining som metod vid detektering av IT-brott. Men just grooming som IT-brott i kombinationen med data mining, har det endast hittats ett fåtal utländska uppsatser. Speciellt svensk litteratur har varit svår att finna kring ämnet. Den litteratur som har hittats angående grooming berör ämnet främst kring juridiska och psykosociala aspekter.
K.K Sindhu och B.B Meshram har i studien “Digital Forensics and Cyber Crime Datamining”
(2012) föreslagit ett nytt verktyg som är en kombination av IT-forensik och data mining. Syftet med verktyget är att det bland annat ska hitta mönster av cyberattacker och ska användas av systemadministratörer. Studien är intressant då den förklarar det grundläggande inom IT-forensik samt data mining för IT-forensik. Studien visar på att med växande databaser och
informationsflöde föreligger en utmaning att analysera de stora datavolymer som är involverad i diverse kriminella handlingar. Slutsatsen i studien frambringar att dagens IT-forensiska verktyg har ett behov av ett nytt system som inkluderar data mining-metoder.46
I studien Suspicious data mining from chat and email gjord av S. Gowri, G.S Anandha Mala och G.
Divya tar de fram en modell som kan vara behjälplig vid brottsundersökningar där stor mängd data ska granskas. De utvinner data från mejl- och chattkonversationer och sedan rensas informationen från onödiga ord och symboler. Konversationerna sparas sedan ner i textdokument. De skapar en
46 Sindhu och Meshram, 2012
24 ordlista som ska användas vid eftersökning av de misstänkta meddelandena. Vid analys av data de har inhämtat tillämpar de olika data mining-tekniker och algoritmer47.
Melissa Wollis försöker i sin studie, “Online Predation: A Linguistic Analysis of Online Predator Grooming” identifiera språket som förövare använder sig av i chattrum för att på så sätt avgöra om grooming försiggår. Två kommunikationsteorier som ligger till grund i detta arbete är att förövare använder sig av Luring (locka) och Grooming (förbereda). Dessa två moment innehåller i sin tur olika delmoment. Wollis analyserar chattkonversationer tagna from Perverted-Justice.com48 för att avgöra om förövarna uttrycker sig på ett sätt som går att identifiera. Detta utförs med hjälp av datoriserad textanalys på förövarnas språk som har delats in i tre delar. Resultatet visar på att grooming-förövares språk skiljer sig åt under tre stadier av processen och därför kan ett frekvent språkmönster förutses. De tre stadierna är
• Vänskap och relationssteget
Exempel på ord är; “friend”, “boyfriend, “phone”
• Riskbedömning och exklusivitet
Exempel på ord är; “single”, “could”, “need”, “penis”
• Sexuellt stadium
Exempel på ord är; “feel”, “sex”, “date”, “evening”
Trots att dessa stadier är definierade är det fortfarande oklart om exakt hur förövarna förflyttar sig i dem. Hur processen fortskrider beror på hur relationen byggs upp och hur konversationen
fortskrider. Vissa förövare spenderar mer tid på vissa stadier än vad andra förövare gör. I många fall beror de här skillnaderna främst på förövarens syfte.
Vänskap- och relationssteget handlar om att förövaren ska lära känna offret. Tiden som spenderas på detta varierar från olika förövare beroende på hur lång tid det tar för dem att etablera
47 S. Gowri, G.S Anandha Mala och G. Divya, Suspicious data mining from chat and email data, Sathyabama University, Chennai, 2014
48 Perverted Justice. Frequently Asked Questions, 2008. http://www.pjfi.org/?pg=faq (hämtad 2015-02-24)