时序热力分析
消息频率时间分布 · 异常时段识别 · 与基线对比
消息频率热力图 — 全时段 × 15日
低频
高频
■ 异常时段
各时段消息分布明细
峰值事件高亮
03月22日 22:41
深夜消息爆发 — 跨机构串联指令
单小时内 28 条高优先级消息;涉及 3 个机构账号;超基线 340%
28条/小时
04月05日 01:17
凌晨异常活跃 — 敏感信息传递
连续 19 条加密消息;关键词"审批""通道""安排"高频出现
19条/小时
03月30日 12:08
午间异常峰值 — 账户操作集中
午休时段 14 条操作指令;与资金流水时间节点高度吻合
14条/小时
04月10日 23:55
跨日节点消息 — 规避审计时间
选择工作日审计截止时间后发送;共 11 条;发送间隔均匀(规律性强)
11条/小时
基线 vs 异常期对比
正常基线期(2024.01–02)
日均消息量4.2 条
深夜消息占比(22:00–06:00)3.1%
单小时峰值6 条
工作时间消息占比81.4%
跨机构消息比例12.3%
异常观察期(2024.03–04)
日均消息量17.8 条 (+324%)
深夜消息占比(22:00–06:00)38.6% (+35.5pp)
单小时峰值28 条 (+367%)
工作时间消息占比42.1% (-39.3pp)
跨机构消息比例67.9% (+55.6pp)