暗網(wǎng)空間威脅信息獲取技術(shù)研究

張弛 張夢迪 胡晴

摘要：通過對(duì)暗網(wǎng)空間當(dāng)前提供的服務(wù)情況、暗網(wǎng)節(jié)點(diǎn)和網(wǎng)站隱匿資源分布情況等進(jìn)行探測分析，實(shí)時(shí)監(jiān)控暗網(wǎng)中犯罪交易信息，實(shí)現(xiàn)重要軍事、政治威脅情報(bào)的獲取和暗網(wǎng)空間的安全態(tài)勢分析。采用主動(dòng)探測和被動(dòng)采集相關(guān)技術(shù)手段，構(gòu)建完整的暗網(wǎng)空間網(wǎng)絡(luò)威脅信息獲取框架，實(shí)現(xiàn)暗網(wǎng)節(jié)點(diǎn)、域名和網(wǎng)絡(luò)安全漏洞及數(shù)據(jù)交易信息的獲取和建模分析，解決當(dāng)前匿名網(wǎng)絡(luò)中暗網(wǎng)流量和內(nèi)容隱蔽性高、難以構(gòu)建全面的網(wǎng)絡(luò)安全監(jiān)測體系的問題。

關(guān)鍵詞：暗網(wǎng)；威脅情報(bào)；網(wǎng)絡(luò)安全監(jiān)測；匿名網(wǎng)絡(luò)

中圖分類號(hào)：U495文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2023）04-55-5

0引言

暗網(wǎng)空間威脅探測技術(shù)是網(wǎng)絡(luò)空間戰(zhàn)的關(guān)鍵，在軍事上具有廣泛應(yīng)用。由于暗網(wǎng)本身的隱匿性，暗網(wǎng)之中存在許多重要軍事、政治情報(bào)、軟件最新的漏洞信息等內(nèi)容的交換與交易。暗網(wǎng)空間威脅探測技術(shù)在打擊違法犯罪、恐怖主義行動(dòng)方面發(fā)揮著至關(guān)重要的作用，而暗網(wǎng)空間威脅信息獲取技術(shù)是暗網(wǎng)探測的關(guān)鍵。將暗網(wǎng)作為獲取軍事情報(bào)、政治情報(bào)的重要窗口，對(duì)暗網(wǎng)空間資源進(jìn)行探測，具有重要的研究意義和應(yīng)用價(jià)值。

本文研究了暗網(wǎng)空間的信息采集技術(shù)現(xiàn)狀，并針對(duì)已有暗網(wǎng)采集技術(shù)涉及的流量采集和暗網(wǎng)內(nèi)容獲取技術(shù)開展了研究和分析，最后基于暗網(wǎng)威脅信息獲取技術(shù)，設(shè)計(jì)了暗網(wǎng)主動(dòng)爬蟲框架，對(duì)暗網(wǎng)中的信息進(jìn)行爬取，并針對(duì)爬取的內(nèi)容進(jìn)行威脅建模與分析，最終形成有價(jià)值的網(wǎng)絡(luò)安全威脅情報(bào)，用于輔助網(wǎng)絡(luò)空間安全的防御決策，實(shí)現(xiàn)主動(dòng)防御。

1暗網(wǎng)空間威脅信息獲取技術(shù)的現(xiàn)狀

搜索引擎無法找到的網(wǎng)頁被稱為深網(wǎng)（Deep Network）[1]，必須通過特殊的軟件、特殊的配置才能訪問的網(wǎng)頁被稱為暗網(wǎng)（Dark Network）[2]，暗網(wǎng)是深網(wǎng)的一個(gè)子集。

暗網(wǎng)內(nèi)資源的數(shù)量和質(zhì)量都優(yōu)于明網(wǎng)，搜集暗網(wǎng)資源的意義重大，但暗網(wǎng)自身的特點(diǎn)導(dǎo)致收集信息的難度大。目前，探測暗網(wǎng)資源已經(jīng)成為國內(nèi)外與之相關(guān)領(lǐng)域?qū)＜覍W(xué)者們關(guān)注和研究的熱點(diǎn)問題。張永超[3]通過構(gòu)造深網(wǎng)查詢接口的URL鏈接以獲取對(duì)應(yīng)的頁面信息，并設(shè)計(jì)算法對(duì)鏈接的有效性進(jìn)行了驗(yàn)證。Cafarella等[4]展示了一種集成了深網(wǎng)頁面提取和自動(dòng)搜索功能的工具，可對(duì)深網(wǎng)頁面進(jìn)行內(nèi)容提取和屬性分類，用戶可以使用該工具對(duì)深網(wǎng)的內(nèi)容進(jìn)行元搜索。宋鳴[5]針對(duì)Tor流量進(jìn)行深入分析與測量，選取數(shù)據(jù)包長度作為特征，以SVM分類算法作為Tor流量識(shí)別的算法，設(shè)計(jì)了基于流量分析的信息溯源系統(tǒng)，選用k-means算法對(duì)匿名網(wǎng)絡(luò)的入口和出口流量進(jìn)行關(guān)聯(lián)分析，以實(shí)現(xiàn)信息溯源。Nunes等[6]提出了一個(gè)專門用于從以暗網(wǎng)為主的互聯(lián)網(wǎng)平臺(tái)上收集網(wǎng)絡(luò)威脅相關(guān)情報(bào)的操作系統(tǒng)，包括一些惡意軟件和漏洞，并利用數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)，對(duì)收集的數(shù)據(jù)進(jìn)行了初步分析。楊溢[7]提出一套可以從網(wǎng)絡(luò)獲取Tor資源的域名地址采集系統(tǒng)。向麟[8]通過改進(jìn)暗網(wǎng)頁面收采集域名。宋勝男[9]針對(duì)Tor，I2P和ZeroNet三種域名網(wǎng)絡(luò)的域名采集進(jìn)行了分析和研究。曹旭[10]通過實(shí)驗(yàn)對(duì)基于I2P的暗網(wǎng)資源探測平臺(tái)關(guān)鍵技術(shù)和功能進(jìn)行了測試。黃莉崢等[11]通過使用信息量計(jì)算方法（Information at n，I@n）主動(dòng)獲取暗網(wǎng)中的威脅情報(bào)。崔騰騰[12]提出一種基于檢索詞優(yōu)化和空間自適應(yīng)剖析的深網(wǎng)POI方法。李明哲[13]探討了基于Tor文本內(nèi)容自動(dòng)引入外部知識(shí)在Tor暗網(wǎng)上識(shí)別非法活動(dòng)的可能性。

現(xiàn)有研究主要針對(duì)深網(wǎng)中除暗網(wǎng)以外的資源，即一些隱匿在搜索表單后的Web數(shù)據(jù)庫；少部分針對(duì)暗網(wǎng)的研究，一般只爬取與某個(gè)特定主題相關(guān)的內(nèi)容，或僅分析某個(gè)特定的暗網(wǎng)協(xié)議。

2暗網(wǎng)空間威脅信息獲取技術(shù)架構(gòu)

通過對(duì)暗網(wǎng)空間當(dāng)前提供的暗網(wǎng)服務(wù)情況、暗網(wǎng)節(jié)點(diǎn)和網(wǎng)站隱匿資源分布情況以及暗網(wǎng)威脅情報(bào)挖掘等探測分析，全面掌握當(dāng)前暗網(wǎng)空間規(guī)模、監(jiān)測暗網(wǎng)資源要素、挖掘暗網(wǎng)空間威脅情報(bào)，實(shí)時(shí)監(jiān)控暗網(wǎng)中犯罪交易信息，獲取重要軍事政治情報(bào)，并利用暗網(wǎng)進(jìn)行保密軍事活動(dòng)的需求。

暗網(wǎng)空間威脅信息獲取技術(shù)架構(gòu)如圖1所示。在對(duì)暗網(wǎng)流量進(jìn)行分析、溯源之前，需要識(shí)別并獲取到暗網(wǎng)流量。在暗網(wǎng)中部署客戶端和中繼節(jié)點(diǎn)，通過封閉環(huán)境（安裝客戶端接入暗網(wǎng)）、開放環(huán)境（中繼節(jié)點(diǎn)接入暗網(wǎng)）對(duì)暗網(wǎng)流量進(jìn)行收集。所收集到的暗網(wǎng)流量作為暗網(wǎng)流量識(shí)別和分析的樣本數(shù)據(jù)。暗網(wǎng)信息獲取具備自動(dòng)化接入暗網(wǎng)的能力，揭示暗網(wǎng)流量路由機(jī)制和加密規(guī)律，并對(duì)暗網(wǎng)流量進(jìn)行識(shí)別；具備對(duì)暗網(wǎng)網(wǎng)站域名獲取的能力，探索暗網(wǎng)隱藏服務(wù)器的數(shù)量和分布。

3暗網(wǎng)空間威脅信息獲取技術(shù)設(shè)計(jì)

3.1暗網(wǎng)流量獲取

主要采用2種技術(shù)獲取真實(shí)的暗網(wǎng)流量用于分析和利用：一種是搭建客戶端接入暗網(wǎng)，主動(dòng)監(jiān)測暗網(wǎng)交互流量；另一種是通過暗網(wǎng)中部署的中繼節(jié)點(diǎn)，被動(dòng)方式監(jiān)測流經(jīng)中繼節(jié)點(diǎn)的流量。

3.2暗網(wǎng)流量主動(dòng)采集

可擴(kuò)展的多服務(wù)暗網(wǎng)接入架構(gòu)能實(shí)現(xiàn)對(duì)常用的暗網(wǎng)服務(wù)Tor，I2P，ZeroNet，F(xiàn)reeNet等自動(dòng)化接入，以獲取主動(dòng)接入環(huán)境下可控、可驗(yàn)證的暗網(wǎng)流量。

3.3暗網(wǎng)流量被動(dòng)采集

暗網(wǎng)流量被動(dòng)采集可通過搭建中繼節(jié)點(diǎn)獲取更多的暗網(wǎng)流量，中繼節(jié)點(diǎn)可以被動(dòng)地直接觀察大量其他信息，包括服務(wù)訪問時(shí)間、傳輸量和數(shù)據(jù)流方向，以及為連接選擇的前一個(gè)和后一個(gè)中繼。通過修改Tor代碼，可獲取直接的中繼信息，包括建立鏈路建立等。每個(gè)客戶端選擇一個(gè)Guard中繼，并將其用作其構(gòu)建的所有電路進(jìn)入Tor網(wǎng)絡(luò)的第一跳入口。Guard中繼節(jié)點(diǎn)必須穩(wěn)定，并且相對(duì)于其他中繼節(jié)點(diǎn)具有較長的啟動(dòng)時(shí)間。此外，當(dāng)一個(gè)Guard中繼第一次成為Guard中繼，它可持續(xù)長達(dá)兩三個(gè)月的時(shí)間，因此更有利于長時(shí)間觀測流量。搭建的中繼節(jié)點(diǎn)將保持長期穩(wěn)定的服務(wù)，以最大可能成為選擇的Guard中繼節(jié)點(diǎn)。此外，也可投放多個(gè)中繼節(jié)點(diǎn)，以獲取更為廣泛的流量信息。為使流量能夠盡可能經(jīng)過已設(shè)置的中繼節(jié)點(diǎn)，針對(duì)暗網(wǎng)系統(tǒng)擬采用優(yōu)先級(jí)路由機(jī)制，通過偽造中繼帶寬、性能等方式實(shí)現(xiàn)優(yōu)先路由，提供適用于交互式應(yīng)用程序的低延遲，高吞吐量的中繼，從而獲取更多的流經(jīng)中繼節(jié)點(diǎn)流量。

3.4暗網(wǎng)內(nèi)容獲取

3.4.1暗網(wǎng)橋節(jié)點(diǎn)獲取

暗網(wǎng)橋節(jié)點(diǎn)是Tor目錄服務(wù)器中未列出的Tor中繼節(jié)點(diǎn)。暗網(wǎng)隱蔽橋節(jié)點(diǎn)發(fā)現(xiàn)擬至少采用以下4種技術(shù)路線：

（1）運(yùn)行中繼節(jié)點(diǎn)并時(shí)序分析、協(xié)議分析等獲取隱蔽橋節(jié)點(diǎn)。

通過部署中繼節(jié)點(diǎn)并進(jìn)行時(shí)序分析，通過中繼可以觀察來自電路始發(fā)者的往返延遲（查看數(shù)據(jù)包流向和響應(yīng)時(shí)間），然后將該延遲與在探查前一跳時(shí)看到的延遲進(jìn)行比較，消除所有探測到相鄰Tor中繼器的往返延遲，同時(shí)判斷該流向?yàn)橹欣^節(jié)點(diǎn)還是網(wǎng)橋節(jié)點(diǎn)，最終可以獲取大量網(wǎng)橋節(jié)點(diǎn)信息。

（2）按照一定時(shí)間間隔，定時(shí)向郵箱地址bridges@torproject.org發(fā)送請(qǐng)求橋節(jié)點(diǎn)的郵件，從得到回復(fù)的郵件中，抽取Tor的網(wǎng)橋節(jié)點(diǎn)，按照預(yù)定格式存儲(chǔ)到節(jié)點(diǎn)資源數(shù)據(jù)庫中。

（3）TorBridgeDB會(huì)在Tor的官方網(wǎng)站（https：//bridges. torproject.org）定時(shí)更新橋節(jié)點(diǎn)、Obfs系列節(jié)點(diǎn)信息，通常會(huì)在固定時(shí)間間隔內(nèi)部分或全部更新，Web方式則可通過模擬用戶請(qǐng)求頁面、識(shí)別驗(yàn)證碼的過程以此收集Tor的非公開節(jié)點(diǎn)。同時(shí)，可通過Tor網(wǎng)絡(luò)的匿名代理機(jī)制訪問橋節(jié)點(diǎn)發(fā)布網(wǎng)站，利用定時(shí)刷新策略自動(dòng)更換Tor網(wǎng)絡(luò)連接鏈路來實(shí)現(xiàn)代理IP的改變，以此提高枚舉請(qǐng)求的頻率，達(dá)到固定時(shí)間段內(nèi)提升資源節(jié)點(diǎn)收集數(shù)量的目的。

（4）在互聯(lián)網(wǎng)上掃描使用各類暗網(wǎng)匿名通信協(xié)議的服務(wù)，觀察分析防火墻和DPI的匿名通信流量。通過中繼節(jié)點(diǎn)，嘗試重新連接到與中繼連接的每個(gè)客戶端上的可能端口。許多網(wǎng)橋在端口443或9001上偵聽傳入的客戶端連接?？梢詮囊唤M已知的網(wǎng)橋地址開始，探測防火墻，觀察連接到這些網(wǎng)橋的用戶，之后探測接入的用戶是否連接到其他地址，實(shí)現(xiàn)網(wǎng)橋節(jié)點(diǎn)的獲取。

3.4.2暗網(wǎng)網(wǎng)站域名獲取

暗網(wǎng)網(wǎng)站是通過匿名服務(wù)或隱藏服務(wù)提供的，其網(wǎng)站域名也稱為匿名服務(wù)域名或隱藏服務(wù)域名（Hidden Service Domain）。它的搜集方式采用以下幾種方式結(jié)合，盡可能搜集全面的暗網(wǎng)網(wǎng)站域名地址。

（1）通過部署隱藏目錄服務(wù)器或者建立客戶端進(jìn)行域名搜集。Tor在建立整個(gè)匿名服務(wù)時(shí)，會(huì)建立官方目錄服務(wù)器與隱藏目錄服務(wù)器（Hidden Service Directory），目前官方目錄服務(wù)器一共有9臺(tái)，會(huì)定期互相同步數(shù)據(jù)，而1個(gè)隱藏服務(wù)目錄服務(wù)器是1個(gè)Tor中繼，它具有由Tor權(quán)限分配的HSDirflag。部署隱藏目錄服務(wù)器是一種重要的暗網(wǎng)域名收集方式，通過這種方式可以發(fā)現(xiàn)許多孤立節(jié)點(diǎn)以及未公布節(jié)點(diǎn)。

（2）通過明網(wǎng)檢索搜集，明網(wǎng)中直接搜集Tor匿名服務(wù)域名地址比較困難，通過“.onion”關(guān)鍵詞一般只能匹配到少量地址，因此直接檢索并不是一種高效的方式。明網(wǎng)中Tor匿名服務(wù)地址搜集技術(shù)主要有以下幾種方式：

①在搜索引擎中通過優(yōu)化方法進(jìn)行關(guān)鍵字檢索，具體操作是將Tor匿名服務(wù)后綴“.onion”更換為“.tor2web.io”或者“.onion.to”等，不同的后綴代表了不同的Tor2Web節(jié)點(diǎn)，然后就可以通過普通瀏覽器訪問，如圖2和圖3所示。

同時(shí)，在搜索引擎中通過檢索這些后綴，可以獲取到大量的Tor匿名服務(wù)域名地址。從Tor2Web項(xiàng)目中匯總出能用于在搜索引擎中檢索onion域名的關(guān)鍵詞如表1所示。

②在明網(wǎng)中公開的暗網(wǎng)搜索引擎中檢索。一些組織和機(jī)構(gòu)為了促進(jìn)匿名網(wǎng)絡(luò)的發(fā)展，建立了一些明網(wǎng)中的匿名服務(wù)搜索引擎（ahmia，Ichidan，hiddenwiki等）。如，Ahmia.fi中存在頁面https：//ahmia.fi/onions/列出了該站點(diǎn)收錄的Tor域名，也可以通過在搜索引擎中傳入頻率較高的停用詞如“the”“on”“is”“at”等作為關(guān)鍵詞，獲取到搜索內(nèi)容后通過爬蟲等技術(shù)進(jìn)行整理去重。

③在明網(wǎng)中尋找匿名發(fā)布內(nèi)容的站點(diǎn)，并利用爬蟲與正則方法等搜集匿名服務(wù)域名地址。常見匿名服務(wù)發(fā)布站點(diǎn)有Reddit，Twitter以及各類灰色論壇等，通過針對(duì)Tor，I2P，F(xiàn)reeNet以及ZeroNet匿名服務(wù)域名的正則表達(dá)式（如Tor地址：^（（https|http）？：＼/＼/）[^＼s]+（.onion））進(jìn)行匹配即可。

（3）通過暗網(wǎng)鏈接深度遍歷

3.2.3暗網(wǎng)主動(dòng)爬蟲

針對(duì)暗網(wǎng)，可采用基于Nutch的分布式爬蟲的技術(shù)路線，適用于針對(duì)大批量數(shù)據(jù)的操作，其可編寫插件的機(jī)制利于爬蟲的模塊化和可擴(kuò)展化，架構(gòu)如圖4所示。

Nutch提供了可擴(kuò)展接口，用于擴(kuò)展爬蟲功能，編寫不同的插件可實(shí)現(xiàn)不同的操作，根據(jù)不同的需求可實(shí)現(xiàn)自定義功能。開源的全文搜索框架Solr直接搜索Nutch獲取的頁面信息，為爬取下來的頁面維護(hù)一個(gè)索引，也可對(duì)抓取結(jié)果進(jìn)行復(fù)雜條件查詢———模糊查詢。在爬取時(shí)，可以指定數(shù)據(jù)源獲取信息，使抓取更有針對(duì)性、目的性。同時(shí)，針對(duì)不同暗網(wǎng)網(wǎng)站，可生成定制抽取模板，對(duì)有效信息進(jìn)行抽取。在此基礎(chǔ)上采用動(dòng)態(tài)設(shè)置User-Agent（隨機(jī)切換User-Agent，模擬不同用戶的瀏覽器信息），禁用Cookies（也就是不啟用Cookies middleware，不向Server發(fā)送Cookies，有些網(wǎng)站通過Cookie的使用發(fā)現(xiàn)爬蟲行為），設(shè)置延遲下載（防止訪問過于頻繁，設(shè)置為2 s或更高），使用IP地址池（VPN和代理IP）等方式來克服反爬蟲技術(shù)。

通過爬蟲在暗網(wǎng)網(wǎng)站獲取數(shù)據(jù)和在明網(wǎng)上基本步驟相同，但略有差異。例如Tor在本地使用socks5代理，讓爬蟲爬取Tor和設(shè)置程序使用任何socks5代理的方法基本相同?？紤]到大部分場景中需要HTTP代理，無法使用Tor提供的socks5，可以先用polipo或者privoxy設(shè)置轉(zhuǎn)發(fā)。Scrapy爬蟲框架支持設(shè)置第三方代理訪問Tor等匿名網(wǎng)絡(luò)，同時(shí)也可以采用proxychains等軟件設(shè)置全局代理。通過基于Nutch的分布式爬蟲，結(jié)合反爬蟲技術(shù)，形成大規(guī)模分布式暗網(wǎng)爬蟲平臺(tái)，對(duì)暗網(wǎng)進(jìn)行實(shí)時(shí)爬取更新存儲(chǔ)，可以實(shí)現(xiàn)大規(guī)模暗網(wǎng)網(wǎng)站內(nèi)容搜集。

3.5暗網(wǎng)空間威脅信息建模與分析

暗網(wǎng)空間威脅信息建模與分析主要包括兩部分內(nèi)容：（1）將爬取的暗網(wǎng)數(shù)據(jù)進(jìn)行自然語言處理（Natural Language Processing，NLP），實(shí)現(xiàn)將自然語言轉(zhuǎn)換為計(jì)算機(jī)語言；（2）將獲取的信息進(jìn)行聚合分析，提取出攻擊特征和攻擊行為等。

利用NLP技術(shù)，可以將暗網(wǎng)中的網(wǎng)頁文本信息以及搜索引擎返回信息進(jìn)行處理加工。將復(fù)雜且上下文相關(guān)的文本信息，轉(zhuǎn)換為數(shù)字向量。即可利用后續(xù)機(jī)器學(xué)習(xí)算法將其進(jìn)行分類。以處理網(wǎng)頁爬取為例，鑒定引擎首先會(huì)爬取待鑒定域名的主站網(wǎng)頁。返回格式如下：

獲取到頁面信息后，處理網(wǎng)頁，提取文本信息。如下：

預(yù)處理步驟將網(wǎng)頁文本全部轉(zhuǎn)化為語義文字，這些文字具有上下文時(shí)序相關(guān)性。將眾多帶有標(biāo)簽的語料文本輸入后，NLP模型將語義文字處理為數(shù)字向量，然后利用機(jī)器學(xué)習(xí)算法進(jìn)行分類，即可完成對(duì)網(wǎng)頁文本的分析。利用NLP技術(shù)將文本特征進(jìn)行轉(zhuǎn)義為向量，同時(shí)保留原有文本的上下文時(shí)序相關(guān)性。該技術(shù)對(duì)情報(bào)生產(chǎn)發(fā)揮著重要作用。使得IOCs分類不僅僅局限于黑白屬性。利用文本信息，可識(shí)別如礦池類、數(shù)據(jù)交易類、漏洞買賣類、黑客工具等類別的識(shí)別，實(shí)現(xiàn)對(duì)暗網(wǎng)爬取信息的威脅建模。

暗網(wǎng)威脅分析采用聚合分析算法對(duì)暗網(wǎng)數(shù)據(jù)某項(xiàng)特征的所有取值聚合，進(jìn)行分析。如：針對(duì)一個(gè)暗網(wǎng)域名在一天內(nèi)的訪問數(shù)量與每小時(shí)頻率，每日解析IP數(shù)量等，諸如此類。將 IOCs的單項(xiàng)特征的取值進(jìn)行聚合，可分析并生產(chǎn)情報(bào)。

4結(jié)束語

主動(dòng)收集暗網(wǎng)上的重要軍事、政治情報(bào)，對(duì)協(xié)助軍方準(zhǔn)確打擊網(wǎng)絡(luò)犯罪、恐怖主義行為至關(guān)重要。本文針對(duì)暗網(wǎng)空間環(huán)境特點(diǎn)，提出暗網(wǎng)空間威脅信息獲取技術(shù)，能夠?qū)Π稻W(wǎng)空間威脅進(jìn)行探測并對(duì)暗網(wǎng)中的隱匿資源要素進(jìn)行監(jiān)測。當(dāng)前，暗網(wǎng)采用的技術(shù)復(fù)雜度越來越高，影響的范圍也越來越廣，其戰(zhàn)略意義也越發(fā)重要。研究暗網(wǎng)空間威脅信息獲取技術(shù)對(duì)我軍建設(shè)保密指揮、辦公網(wǎng)絡(luò)、開展網(wǎng)絡(luò)攻擊、獲取重要情報(bào)具有很強(qiáng)的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1]范江波.暗網(wǎng)法律治理問題探究[J].信息安全研究，2018，4（7）：593-601.

[2]羅軍舟，楊明，凌振，等.匿名通信與暗網(wǎng)研究綜述[J].計(jì)算機(jī)研究與發(fā)展，2019，56（1）：103-130.

[3]張永超.暗網(wǎng)資源挖掘的關(guān)鍵技術(shù)研究[D].西安：西安電子科技大學(xué)，2013.

[4] CAFARELLA M J， MADHAVAN J， HALEVY A. Web-scale Extraction of Structured Data[J].ACM SIGMOD Record， 2009，37（4）：55-61.

[5]宋鳴.基于流量分析的信息溯源關(guān)鍵技術(shù)研究[D].北京：北京郵電大學(xué)，2014.

[6] NUNES E， SHAKARIAN P， SIMARI G I. At-risk System Identification via Analysis of Discussions on the Darkweb[C]// 2018 APWG Symposium on Electronic Crime Research（eCrime）.San Diego：IEEE，2018：1-12.

[7]楊溢.基于Tor的暗網(wǎng)空間資源探測技術(shù)研究[D].上海：上海交通大學(xué)，2018.

[8]向麟.暗網(wǎng)數(shù)據(jù)高效獲取技術(shù)研究與應(yīng)用[D].成都：電子科技大學(xué)，2021.

[9]宋勝男.暗網(wǎng)域名收集與內(nèi)容分析方法研究[D].北京：北京交通大學(xué)，2019.

[10]曹旭.基于I2P的暗網(wǎng)空間資源探測技術(shù)研究[D].上海：上海交通大學(xué)，2018.

[11]黃莉崢，劉嘉勇，鄭榮鋒，等.一種基于暗網(wǎng)的威脅情報(bào)主動(dòng)獲取框架[J].信息安全研究，2020，6（2）：131-138.

[12]崔騰騰.檢索詞優(yōu)化的深網(wǎng)POI數(shù)據(jù)自適應(yīng)剖分獲取方法研究[D].北京：中國測繪科學(xué)研究院，2019.

[13]李明哲.基于Tor網(wǎng)站文本內(nèi)容和特征的分類方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（8）：36-39.