暗網環境下恐怖主義信息挖掘與分析

謝玲

基于互聯網訪問權限的若干分層與互聯網技術的深度應用，全球恐怖主義活動已深入到不同層級的網絡空間，形成了活動在表網（Clearnet）中的恐怖主義和活躍于暗網（darknet）中的恐怖主義，網絡恐怖主義發生空間轉換、大量寄生于暗網渠道。一方面，這是因為強大的反恐執法措施對恐怖主義的表網生存空間產生強烈擠壓，恐怖分子面對隨時被追蹤、定位的風險，必然轉而在新的網絡生態環境中實施在線恐怖主義活動。另一方面，暗網所具有的通信和交易隱藏特點可以降低恐怖組織及其成員在表網活動時的法律風險。恐怖分子使用匿名通信軟件與比特幣等加密數字貨幣支付系統可以逃避表網流量分析，最大限度地減小被發現的可能性。由于這種原因，暗網更適宜于恐怖主義信念、恐怖活動方式等信息的留存和累積，恐怖組織發布宣傳材料等活動更無顧忌，籌款、招募、協調的行動更加便利。這些都使得暗網成為恐怖主義犯罪的“天堂”。

正因為如此，觀察和分析恐怖主義活動在暗網中的規律及其信息，可以系統準確評判恐怖組織的網絡技術成熟度，了解其在暗網擴張的手段和策略，并預測和掌握其線下活動的計劃。暗網的加密特性與恐怖主義活動的隱蔽性一經結合，建立針對暗網的恐怖主義信息自動采集機制就會更加困難。本研究擬在這方面進行一些探索，并嘗試提出以下綜合性思路。一是建立一個初步的暗網反恐信息挖掘與分析系統，從信息爬取、事件預測和網絡交互三個角度研究恐怖組織的暗網使用情況。二是采取包括設計暗網聚焦爬蟲工具、建立涉恐事件數據模型、分析危險社群用戶在內的技術手段，從暗網黑市和暗網論壇中收集、提取恐怖主義活動信息，分析和預測恐怖組織的在線狀況、發展動態與線下行為。這樣的暗網信息工作有助于實務部門研判暗網恐怖主義活動規律，制定更加全面、有效和專業的反恐行動對策。

一、網絡恐怖主義的滋生與蔓延

隨著互聯網通信和人工智能技術的迅速發展，年輕人群在線上的活動、社交方式以及接收信息的途徑發生顯著變化，恐怖組織開始以網絡和大數據為中心，有系統地使用互聯網輸出恐怖主義信息，利用多層網絡結構發展出各種靈活的線上組織形式。例如，建立恐怖組織“官方”網站、創建社交媒體賬號發布隨時可用的在線宣傳資源，以影響低齡激進分子思想，吸引更多的支持者。互聯網逐漸演變為融資、招募、武器交易等恐怖主義活動的常規線上支持工具，恐怖主義更有向互聯網空間的隱秘角落蔓延的趨勢。其中，網絡深層的暗網站點成為恐怖主義最新的社交招募和信息輸出路徑。在互聯網空間中，恐怖組織逐步構建起一個由恐怖組織網站、分散的網絡社交媒體和暗網三部分構成的龐大的實時在線恐怖主義信息網絡系統。為行文方便，本文將暗網環境下的恐怖主義簡稱為“暗網恐怖主義”。

21世紀初，有國外學者指出，恐怖組織試圖開發一個在全球范圍內指揮和控制成員的網絡通信情報系統，包括但不限于建立專門的網站作為恐怖主義信息發布平臺。? 基于此，最早開始關注恐怖主義網絡活動的一批美國學者依據本國安全機構提供的恐怖組織名單，登錄部分恐怖組織設立的“官方”網站進行信息采集和研究。他們利用內容分析技術對網站內容進行動態追蹤和多維研判，試圖了解恐怖分子如何以互聯網為平臺進行恐怖主義活動的宣傳、策動與實施。? 該項研究對于分析傳統恐怖組織的網上活動規律具有重要價值，但其局限性在于通過建立“官方”網站的形式實施在線宣傳的恐怖組織，不到名單顯示的恐怖組織數量的一半，對未建立專門網絡平臺發布信息的恐怖組織，則無法借此觀察其線上活動的新特點和新趨勢。

隨著網絡社交媒體的快速發展，恐怖分子已經大量借助臉書（Facebook）、照片墻（Instagram）、推特（Twitter）、優兔（YouTube）等社交媒體賬戶和標簽、網絡論壇、游戲模塊宣傳恐怖主義，形成了恐怖主義線上活動的新趨勢。據統計，極端恐怖組織“伊斯蘭國”（Islamic State of Iraq and Syria）在全球擁有近1 000家社交和數字媒體運營商，創辦出版了在精致程度上可與主流期刊比肩的英文雜志《達比克》（Dabiq），從事相關工作的人員數量超過許多大型公關機構。? 此外，恐怖組織還在各個訪問流量較高的社交媒體上注冊賬號、發布恐怖主義信息，進行宣傳、籌款、協調、招募人員等活動，擴大社會影響。以YouTube視頻為例，截至2021年，每月有23億用戶觀看總時長達10億小時的視頻，占全球互聯網訪問量的一半，其中18至25歲的互聯網用戶是YouTube的使用主力。? 由于YouTube用戶量大、視頻發布門檻低、不注冊賬號即可訪問，為恐怖組織上傳非法暴力視頻、分享極端主義內容、連接其他煽動宗教和民族仇恨的團體共同形成危險網絡社區提供了便利，也為非法活動走向線下提供了支持。據相關研究預測，如果恐怖分子利用YouTube、Twitter等社交媒體傳遞信息，組織、煽動恐怖主義行為，其響應者可在兩小時內引發騷亂，對于密切聯絡的激進網上社群，騷亂的發生時間能縮短到20分鐘左右。

由于YouTube、Twitter每分鐘可上傳100小時視頻并能隨時刪除發布內容，研究者使用常規的分析方法已跟不上海量數據的更新和銷毀速度，更難預測相關線下恐怖活動走向。一些學者開始采用爬蟲技術檢索、發現YouTube用戶文件中的恐怖主義信息，? 結合社會網絡分析方法 （Social Network Analysis），以節點交互的結構圖映射社交網絡中恐怖分子及其支持者，分析極端社區的發起形式與組織架構。但是，隨著恐怖主義線上活動逐漸由表網向暗網遷移，恐怖分子開始使用隱蔽在線應用程序。前述研究以及以此為基礎的反恐安全監控與網絡執法打擊已無法掌控恐怖組織輸出暴力極端主義的完整路徑，即使采取常規方式掃描、發現和分析恐怖主義觸角所伸向的暗網空間也會存在遺漏。只有利用技術手段進一步深入恐怖分子倚重的暗網空間，才能對恐怖主義活動進行更系統和有效的針對性打擊。

二、暗網結構與暗網恐怖主義的關聯

暗網恐怖主義活動已經構成一種新的戰略性安全威脅。對于這一隱秘的網絡空間，我們要首先查明暗網能夠為恐怖組織提供何種支持，查清高風險涉恐人員對于暗網的可及性和通聯意圖，查實恐怖主義在暗網上的運作模式。只有充分把握暗網恐怖主義的外部行為特征與內部作用機制，才能使信息技術安全策略有針對性地預防和減小暗網恐怖活動可能造成的危害后果。

（一）恐怖主義信息網絡與暗網

網絡的三層結構中，處于第一層級的表網是指利用標準搜索引擎和網絡瀏覽器可以訪問的頁面和內容。過去對于恐怖主義與互聯網關系的研究主要集中于互聯網的表網。處于第二層級的深網（Deepnet）是指托管在互聯網開放部分，但卻有內容訪問限制而未被搜索引擎索引和收錄的網絡站點，如公司內部使用的網站、網上銀行個人賬戶和圖書館目錄等。? 但深網仍然可以通過常規網絡瀏覽器和授權的連接方法獲得訪問。處于第三層級的暗網是隱藏在深網中的一部分特殊的加密子集，它是指由加密網絡和匿名通信構建，需要通過“洋蔥”路由器（The Onion Router， TOR）、I2P路由器（Invisible Internet Project）和“隨意網”（Freenet）等通信軟件提供匿名通信協議才能訪問的網絡。

以匿名通信軟件TOR為例，它廣泛應用于隱秘的地下自由通信，其“匿名性”的基本原理是通過隱藏流量分析保護用戶隱私、支持匿名瀏覽以及避開網絡監控。TOR網絡由成千上萬個作為中繼節點的服務器組成，每個中繼節點都由全球志愿者免費提供。? 網絡流量經過TOR網絡從中繼節點自動選配的入口節點、中間節點、出口節點時，每一節點都會參與數據包傳遞的加密，既不記錄流量的來源，也不記錄流向，IP地址只顯示退出節點，從而達到隱藏信息發送用戶真實IP地址的目的。? 網絡匿名協議覆蓋暗網環境下與恐怖活動有關的地下交易市場、在線社區，能夠為地理位置分散的恐怖分子及其追隨者提供通聯渠道與身份保護。加之各國政府過濾和取締表網中的極端主義內容，頻繁變化IP地址、令執法追蹤困難的暗網成為地下犯罪和恐怖主義活動的“溫床”。杰米·巴特利特（Jamie Bartlett）將其描述為“一個能夠搜羅網絡中所有令人震驚、不安和充滿爭議的黑暗角落的術語，一個容納了你所能想象的各種形態的罪犯和捕食者的領地” 。

（二）暗網恐怖主義的行為特征

針對不特定多數人施加暴力或以暴力相威脅是恐怖主義的基本行為特征。恐怖組織通過煽動民眾、制造恐慌、謀取暴利，以達到某種政治、經濟、宗教或社會目的。隨著互聯網的普及，線下恐怖主義也向線上轉移。恐怖組織利用不受追蹤的暗網作為恐怖主義信息輸出路徑，招募恐怖分子、籌措資金，對潛在危險用戶施以極端化影響，在條件具備時提供培訓和必要幫助，或調集新的恐怖分子參與，對實施線下暴力恐怖主義活動提供便利。基于恐怖組織的暗網線上活動與發生線下暴力恐怖行為相關聯的屬性，對于暗網恐怖主義目前學界重點關注兩個問題。

第一，暗網恐怖主義活動的認定問題。各國學者對于恐怖主義尚未形成統一定義。基于宗教動機、政治意識形態、民族分離主義等復雜動機實施的暴力行為，一般被視為主要的恐怖主義活動類型，但在進行實際認定時，各國對于一些組織的恐怖主義屬性問題存在不同意見。例如，美國安全機構認定的國際恐怖主義團體包括黎巴嫩真主黨（Hezbollah）、哈馬斯卡薩姆旅（Ezzedine al-Qassam Brigades）等在其他一些國家并未被認定為恐怖組織。另有部分學者認為，對于狹義的單一問題，如墮胎、環保、反對執法等引起的極端行徑，因存在暴力行為特征以及作為行為后果的恐怖圖景，也應屬于恐怖主義活動范疇。本文認為，對于這類因單一問題引發的極端行為，應當依據暴力實施者所侵害的具體法益認定為某種類型的普通刑事犯罪，該行為人系刑事法所規制的一般對象;因復雜動機實施暴力的行為人或組織，在聚焦其暴力特性的同時，應以中國國內法為主，結合國際條約和國際社會普遍認可、接受的認定規則判定其組織及活動的恐怖主義性質。認定暗網中的“恐怖主義”不能放大到一個松散而寬泛的范圍。

第二，暗網恐怖組織追隨者的識別原則。由于受網絡恐怖主義洗腦影響的深度不同，部分極端主義分子在現實中發動侵害和襲擊的個人動機既多樣又相互重疊。據全球應對恐怖主義開源數據庫（Global Terrorism Database， GTD）發布的1970—2016年恐怖主義意識形態動機背景報告，“意識形態動機未知”類型的恐怖襲擊占到所有恐怖主義攻擊數量的24%。? 實施此類襲擊的危險人員的具體行動指向表面上與恐怖組織并無關聯，但通過學習和模仿恐怖分子的暴力恐怖行為方式，其行為的實際表現和危害結果又與恐怖主義活動趨于一致，對其屬于恐怖組織成員還是一般追隨者在實踐中難以準確認定。本文認為，通過暗網站點接觸過恐怖組織的用戶，只要其主觀上表示出認同并自愿接受其意識形態、行為模式和濫殺意圖，客觀上將暴力行徑嵌入各種危險動機，即使僅為了表達其極端想法而實施暴力恐怖行為，一般也應認定為恐怖組織成員并納入暗網信息監控。對于一些與恐怖組織的隸屬關系并不明顯，為實施恐怖主義活動而意欲獲取相關知識和技能，或者存在購買武器裝備意向、可能會實際進行暴力活動的危險個人，則應注意根據情況區分是否納入暗網恐怖組織追隨者的范圍。

（三）暗網恐怖主義活動的平臺與功能

暗網環境下恐怖分子具體實施的恐怖主義活動類型由暗網平臺的構成與功能所決定。暗網平臺主要由暗網論壇和暗網黑市兩個部分組成，加密聊天室或點對點的即時加密通訊因缺乏網絡信息傳播的公共特性不列入本文的討論范圍。

第一，暗網論壇。暗網論壇是指利用TOR等特殊網絡建立的網上信息發布和交流平臺。其結構和組織形式與表網論壇類似，由不同主題的分區版塊和若干子版塊組成。但暗網論壇采取不同種類和等級的信息安全機制保護用戶隱私安全，大量使用圖靈測試防止計算機自動訪問。因論壇討論的話題不能被普通搜索引擎檢索，暗網論壇中遍布恐怖主義、武器、毒品、“網絡黑灰產”? 犯罪等非法內容，且論壇之間能夠以超鏈接方式相互關聯。

恐怖組織利用暗網論壇收集信息、招募人員、建設虛擬社區、進行恐怖融資，可繞過在表網上從事同樣活動面臨的法律風險及執法打擊。表網上發布的恐怖主義信息因受舉報和執法控制存活期短，往往在恐怖主義“官方”站點投入使用、與支持者剛建立初步連接時就被強制關停，這迫使恐怖組織不得不轉向影響較大的網站或社交應用離散化地推送信息。而在暗網空間建立較為固定的社群網絡發布恐怖主義信息則具有明顯優勢。例如，暗網論壇可以設置進入權限和匿名訪問。暗網論壇認可的特定用戶被自由放行的同時，經過匿名通信處理，可以形成較為固定的、經常交流恐怖主義信息和討論線下活動的激進網絡社群。恐怖組織伺機在暗網中發展狂熱的追隨者，在線傳播簡易爆炸物、生化危險制劑制作和使用的培訓視頻，出售槍械武器及使用手冊，推出關于核武器的學習教程，這些在暗網論壇上接受恐怖主義思想灌輸和武器培訓的追隨者相對于表網上的支持者更具有行為攻擊性和現實危害性。

第二，暗網黑市。暗網黑市是指利用TOR等特殊網絡搭建的非法商品網絡交易平臺，其網絡銷售模式與表網購物平臺類似，提供數字貨幣電子錢包托管服務、國際信用卡資金兌換數字貨幣的匯兌渠道以及匿名購買選項。常見的非法商品主要是毒品、武器、色情和惡意軟件產品、公民個人信息等。在暗網黑市販賣的各類非法物品中，武器是與恐怖主義活動相關性最強、危險性最高的交易對象，其交易成功意味著恐怖組織和個人可能在線下動用武力實現恐怖主義目標。越是為國際社會嚴格禁止持有、極度危險的高級別威脅性武器，越有可能為了避開執法視線在暗網空間完成交易流轉。? 暗網黑市與論壇也有著密切聯系，賣家會在暗網論壇零星發布商品信息并提供交易鏈接，買家循著論壇線程能夠查找到暗網黑市買家信息。

通過分析暗網黑市買賣雙方購買需求與意向，探知交易指向的高風險地區，再結合其他信息進一步定位其背后存在的恐怖主義組織或極端主義團體，分析該組織運用武器的威脅能級，如是否具有專業技術操作人員、校準維護人員、監測設施和專門場地，可以評估恐怖組織的危險活動等級以及預測恐怖主義行動的發生概率。過去的恐怖組織成員多是一些暴力、無知、拒絕現代化和高科技的宗教狂熱分子，但是“9·11”恐怖襲擊事件之后美國媒體報道了“一些令人震驚的發現”，恐怖組織招募的年輕一代部分來自中產階級家庭，他們受過良好的高等教育，能夠執行更為復雜的軍事行動并使用威脅性武器，? 一些恐怖分子甚至認為核武器是他們未來行動的重要手段。因此，在暗網黑市中監測和識別與恐怖主義有關的大規模殺傷性武器交易內容以及核交易企圖極為必要。

（四）對暗網信息進行挖掘分析的意義

在21世紀初，國內外已有一些關于表網恐怖主義信息挖掘和建模分析的研究，但針對暗網空間的論壇和黑市探討恐怖主義活動軌跡、交流內容和極端社群結構的研究仍然有限。相對于表網恐怖主義的識別、追蹤和預測活動，暗網領域的恐怖主義信息更值得予以關注和深度挖掘。

第一，彌補網絡反恐的盲區。在整個實時在線的恐怖主義信息網絡系統中，暗網環境下的匿名恐怖主義活動和隱匿蹤跡的涉恐交易是反恐監控和安全防范的難點。網絡恐怖主義對全球安全的威脅能否消除取決于對網絡安全機制最為薄弱環節的把控，因此必須加強對暗網領域恐怖主義繁衍的遏制。

第二，提高信息篩查的精準性。針對表網的恐怖主義信息挖掘一般是以開源出版物、報告、網站和社交媒體為基礎進行關鍵詞和聯想詞的自動或半自動檢索，從海量數據中采集到的大量信息、數據可能都是合法內容和鏈接。例如，設定檢索參數為“與恐怖主義相關的大規模殺傷性武器”，得到的大部分是一般性的知識科普類介紹。而對于社交媒體評論區上傳的恐怖視頻及討論發言，爬蟲程序很難突破人類語言表達的豐富性、并直接檢測評論用戶對恐怖主義視頻宣傳的情感態度，在這兩種情形下需要采取手動信息篩查和復雜的文本情緒分析，否則所有相關的站點內容、評論信息都會被認定為符合關鍵詞和聯想詞特征而納入數據采集范圍，會導致龐大的無效信息大量占據后臺解析空間。而暗網中至少有一半登陸者發布非法信息和交易供求任務，? 如果統計模型直接從暗網黑市和論壇的線程、文檔中構建，涉恐內容出現在篩選集合中的精準性更高。

第三，建立恐怖主義活動的反向推演。我們知道，分析暗網黑市上正在出售的惡意軟件產品的種類、特點、入侵途徑，涉及機構和個人可以獲得網絡安全防范的反向提示并以此彌補目標計算機的安全漏洞，以防遭遇現實網絡攻擊。而對恐怖組織和個人在暗網黑市和論壇上發布的行動指令和交易需求的分析，也可以作為揭示恐怖組織的下一步行動、預測恐怖主義活動的緊急屬性和威脅級別的依據，進而有助于相關機構結合其他渠道的調查信息識別具體危險并采取相應干預措施。

三、遏制暗網恐怖主義的技術方略

本研究提出一個與表網信息挖掘和分析相對的暗網技術框架，用以發現、監控、利用暗網環境中的恐怖主義信息，為打擊線上、線下恐怖主義尋找突破口。主要技術方略可分為三個部分：一是利用爬蟲工具和內容解析器等底層技術設施從暗網黑市和論壇中收集、挖掘、分析恐怖主義信息;二是通過搭建博弈論框架、優化算法分析來暗網數據;三是通過收集的數據發現黑市買家和賣家、恐怖主義信息傳播者構成的恐怖主義社交網絡。這樣，基于實時數據所表征的恐怖活動潛在威脅以及所把握的危險社區和隱蔽恐怖社群狀況，可以為相關機構提供一個用于預測未來可能發生的恐怖主義場景的數據分析框架，形成打擊暗網恐怖主義線下活動的技術支撐條件。

（一）暗網信息的自動抓取與深度挖掘

從暗網空間自動收集和提取恐怖主義信息，建立一個實時變動的暗網數據集合，是進行分析、研究并生成可視化關系圖譜的前提。如前所述，一些研究人員在表網上運用文本分析方法和鏈接分析算法對恐怖組織“官方”網站發布的數據進行收集、存檔和研判，并對恐怖分子使用大眾社交軟件發送離散信息予以密切關注。對于暗網中的黑市和論壇，我們也需要開發專門的爬蟲工具來訪問涉恐站點、自動獲取站點中的敏感信息。

升級版的爬蟲系統將抓取站點選擇為恐怖主義信息較為集中的暗網論壇、黑市站點，以及在這些論壇網站中收集到的關聯站點鏈接。在設計時應充分考慮暗網與表網信息收集分析系統存在的差異，對暗網爬蟲系統的設計進行相應的技術擴容。一是要考慮暗網站點IP地址因使用匿名協議變動快，運行穩定性差、使用壽命短，且一般需要使用特定的輔助客戶端程序進行訪問的特點;二是要在數據抓取時識別和避開暗網上的國際執法釣魚網站網頁;三是要增加相對精準的跨語言檢索功能，這是因為暗網論壇除了使用英語進行交流，基于恐怖主義發生的民族和地域性特點，也會使用阿拉伯語、法語、俄語、德語等其他語種發布信息。

第一，暗網爬蟲系統主要由爬蟲模塊和數據倉庫模塊兩大部分構成。爬蟲模塊包括連接器、下載器以及解析器等組件，負責將目標站點數據下載到本地數據庫中。數據倉庫模塊主要是用于提供各種分析維度的查詢接口，并以用戶、團體、站點為對象建立模型，通過數據分析評估恐怖主義事件的行為模式、關聯模式以及危害程度等，數據倉庫模塊分析所需要的數據可以定時從爬蟲數據庫抽取。在兩大功能模塊之間建立一個“設置”模塊，將數據倉庫模塊初步分析所得的預測結果返回給爬蟲模塊中的調度器，進一步指引爬蟲工具抓取和過濾信息的方向，以提高數據“捕獲”的準確性和爬蟲系統運行效率。此外，考慮到使用站點的恐怖組織成員分布在世界各地，可能使用多種語言，網絡用語與日常溝通用語之間也存在較大區別，使用日常用語模式進行分析可能會漏掉一些關鍵信息的收集，因此，可使用接口安裝第三方翻譯平臺的插件來提高爬蟲工具在各種語言環境中的應對能力，并通過在系統中自建附加功能模塊“語料庫”的方式，使系統更好地識別多語種交流中的敏感信息。

第二，爬蟲模塊的主要構成與功能實現。一是爬蟲工具和解析器代碼的分離與協調。由于每個站點都需要設計對應的爬蟲工具和解析器，為了對不同結構的網站進行數據抓取，需要在設計中分離爬蟲程序和解析器的代碼，以便日后擴展抓取范圍。二者可以通過網絡地址管理器（Uniform Resource Locator Manager， URL）和爬蟲調度器進行工作協調。二是著重進行HTML靜態文檔與動態數據檢索。為解決不同暗網平臺的網絡結構差異與訪問權限控制問題，針對不同站點的特征，使用能夠避開訪問控制、無響應服務器、去重以及偽裝登陸的爬蟲工具，從暗網黑市和論壇下載信息。三是恐怖主義活動相關內容的提取。基于每個暗網站點的結構，使用與之對應的內容解析器對下載的HTML文檔進行解析，將網頁內容保存至數據庫中，根據有關材料初步判定當前抓取的頁面是黑市站點還是論壇網站。其中，暗網黑市與武器交易相關的商品信息、供應商信息、詢價信息、論壇宣揚恐怖主義的帖子、作者信息（包括聲譽等級、話題興趣等）、參與討論的用戶信息、超鏈接等重要字段一經匹配，自動納入爬蟲模塊數據庫收集儲存范圍，為后續分析提供數據支持。四是分階段、分類型下載與分析信息。從爬蟲模塊細化出能夠應對不同類型站點的下載器，剛開始抓取數據時只設置暗網論壇或黑市頁面的爬蟲工具，對在網站中抓取到的鏈接，作為鏈接類型的數據保存在數據庫中，以便開發出對應的爬蟲工具再提取該鏈接的網頁信息。數據倉庫模塊應定期抽取數據進行分析，并在該模塊建立暗網黑市、論壇用戶及團體的數據集市，? 以滿足暗網恐怖主義社群網絡分析的需求。隨著系統抓取數據量的增長，可能會發現恐怖分子用于招募人員或購買物資的站點，通過前面數據倉庫模塊的分析，可以篩選出一批可疑站點繼續進行抓取。

第三，數據倉庫模塊的主要構成與功能實現路徑。一是數據倉庫模塊的結構化創建。數據倉庫模塊的數據來自本系統的爬蟲模塊，它很少會出現數據結構不一致的情況，但剛開始爬取一個站點時，由于不能準確分辨是否為系統所需要的數據，而假設暗網論壇和黑市中的信息都是比較集中的恐怖主義信息，爬蟲工具會將所有發言信息都下載到數據庫中。為排除數據源中的非恐怖主義信息，可將數據倉庫模塊建立為ODS數據運營層—DWD數據明細層—DWS數據服務層三層結構。由于ODS數據運營層與爬蟲模塊的數據庫基本保持相同的數據粒度，在該層不需要進行數據清理，只在數據庫表中標記每條數據的關鍵詞。二是DWD數據明細層的預處理。DWD層根據ODS層的標記有選擇性地保留數據，在數據進入該層之前依據數據倉庫技術（Extract Transform Load， ETL）流程進行數據清洗，轉換為便于分析的形式。對于比較復雜的信息文本，需要通過特定技術提取關鍵內容。比如，對于暗網論壇中語義復雜的內容，還需進行關鍵信息識別，并作為常規的分析數據保存在ODS層數據庫中;ODS層再將數據整理成統一的格式以便進行后續分析。比如，一條特定信息除了從其自身內容剝離出可供分析的有效數據外，還與一系列特定信息相關聯，這些信息保存在爬蟲數據庫不同的表結構中。ODS層根據數據對象之間的關聯關系加以延展，可以生成更多用于數據挖掘的重要信息。三是分類過濾無關數據。鑒于爬蟲工具獲取的暗網論壇和黑市信息可能存在少量與恐怖主義無關的內容——如釣魚執法網站的信息，可運行分類器過濾功能，并在數據倉庫模塊中構造分類模型對數據進行信息自動化檢測和篩查，? 通過自動配置爬蟲模塊中的調度器，停止與恐怖主義無關網頁的數據抓取。四是對DWS數據服務層數據進行多維度分析評估。數據倉庫模塊挖掘的數據源主要是用戶發言中涉及恐怖主義招募、活動組織策劃方案與武器交易的內容。使用DWD層中經過預處理的數據，在關聯網頁的基礎上整理出包含恐怖主義團體、事件類型、地區、策劃行動日期、策劃時長、武器基本信息等維度的恐怖主義活動事件構成要素，建立多維度可視分析的“數據立方體”，? 通過“數據立方體”的上卷和下鉆，在各個維度對團體危害程度等進行評估。在數據挖掘早期，由于數據量不足且不易評估，主要考慮使用聚類分析算法對人員角色進行基本分類，待后期從其他路徑搜集到的信息可以與數據庫中爬取的信息進行匹配后，再進一步評估、改進模型，對一連串相關的恐怖主義行為指向進行關聯分析，進而使用邏輯回歸、決策樹和支持向量機等算法對未來的涉恐事件發展趨勢進行預測。

（二）暗網信息的智能推演與技術博弈

暗網環境下的信息安全分析，以未知信息價值高于已知事件為假設性前提。因為只有在暗網信息收集、價值排序和關聯化處理完成，并形成信息研判結論及轉化為相關的行動方案和防御性措施之后，針對暗網信息的分析工作才能對反恐活動發揮真正的輔助作用。即使是涉恐線索暫時缺乏確實證據的支撐，也要盡量從信息分析中得出暴力恐怖事件發生概率和過程的模擬結果。這是因為爬蟲工具所抽取信息的規則本身，就是基于暗網中涉恐事件發生的基本框架，只是在信息采集的層面上不能直接顯示出明確的恐怖組織行動規則、完整的恐怖主義事件發生邏輯與具體恐怖組織成員和追隨者特征。這就需要運用信息分析的假設論和博弈論更加詳細地探討、分析暗網恐怖主義活動可能存在的線下事件模型，并發揮暗網涉恐信息整合的執行意義。

第一，抽取相關性信息構建涉恐事件數據模型。首先，使用爬蟲工具遍覽暗網中相關鏈接和網頁，提取含有恐怖主義關鍵詞和聯想詞的各類文檔、圖片、音頻和視頻。其次，基于對文本內容類別的篩選，自動識別疑似恐怖分子發布的宣傳、招募、培訓、溝通、交易等活動信息，以及危險用戶的反饋信息。再次，通過數據分析ODS層的預處理，將單個零碎的信息數據通過時間、空間和事件等重點分類要素串聯為信息鏈，揭示恐怖組織利用暗網社群建立不同強度的作戰組織結構或煽動暴力恐怖活動的可能模式。

第二，探知涉恐事件數據模型發生的有效性。按照博弈論框架下的事件模型及運行結果，預判暗網論壇和黑市恐怖主義在線活動所涵蓋的危險要素及其可能生成的線下攻擊行為、規模及涉恐高危人員。以黑市交易為例，一是依據暗網黑市中某種武器或爆炸物的銷售量、庫存剩余量、數字貨幣兌換情況，可以估算單項恐怖主義活動成本效益;二是在合理預算條件下，評估恐怖分子購買的武器類型、數量及可能支持何種規模的攻擊策略以獲取最大的行動回報;三是從爬蟲數據庫中提取另一組顯示主題、位置、日期的強關聯性向量增加事件精確度，計算攻擊模式下的模擬事件結果以及這一恐怖主義行動的發生概率;四是通過對暗網黑市中交易用戶的語言特征、所在地區、交易方式、商品儲備類型等信息的標記化和一致性分析，結合數據挖掘判斷多個暗網平臺上銷售的同類型武器商品是否出自同一賣家，確定是否將其識別為高危涉恐成員并進行更為深入的社會網絡分析和恐怖分子畫像。

第三，推演涉恐事件數據模型與反恐方案的博弈結果。基于對立雙方相互作用的博弈論框架，結合爬蟲數據庫建立數學模型，對包括人員、組織、能力、威脅等級、防御級別在內的恐怖主義行動選擇與反恐方案進行賦值評估，以便研究恐怖組織行動的概率、類別和對策。? 首先，將爬蟲工具抽取到的分類恐怖信息及可能暗含的攻擊方式，按照事件關聯性逐項建模作為給定變量，確定權重。其次，圍繞恐怖組織實施暴恐行動的事件模型，對武器購置、人員招募、信息交易、恐怖融資和隱秘社區的建設維護等事件要素賦值，計算事件模型所代表的整體危險水平。再次，結合其他信息來源的危險變量及賦值、地理信息的實時來源反復調整反恐預案，設置阻截要素以降低恐怖組織可能實施的暴恐活動的發生。最后，對博弈論框架中的雙方活動進程進行預案性能評估分析，以及得出調整后的應對措施能否有效控制危險事件的結論。

（三）暗網恐怖主義社群的用戶分析

執行爬蟲信息抓取分析以及反恐智能推演，主要是針對暗網恐怖組織可能實施的線下活動進行預測性的危機描述、事件識別與預警處置。由暗網的結構特性出發，進一步擴展出這些潛在恐怖主義活動的運作方式和發生順序，可以挖掘出恐怖主義信息背后隱藏的激進個人、恐怖組織與恐怖主義基地之間的聯系模式。因為在暗網信息接觸的過程中，暗網黑市的買方和賣方、論壇發帖者與訪問者之間可能會在互動過程中識別彼此身份、傳授和習得激進意識形態、達成共同的行動意圖，而頻繁的恐怖主義話題、標簽的信息交流凝聚了危險用戶關系網絡，增加了恐怖主義行為風險。通過一定方法探知恐怖主義線上人際關系結構的潛在模式和發展動態，有助于定位暗網中恐怖組織和追隨者個人活動軌跡較為集中的隱蔽社區。

社會網絡分析和超鏈接分析是在已建成的暗網恐怖主義爬蟲數據庫基礎上，以強連接方式確定論壇、黑市使用情況與用戶之間相互關系的可視化方法。二者結合能夠動態發現和擴展出最大集合的涉恐關聯信息，有助于有關機構更加全面、深入地掌握暗網恐怖組織的人員構成及其深度網絡活動，為采取措施防范恐怖主義襲擊提供有效支持。

具體而言，在暗網站點利用爬蟲工具獲取恐怖主義相關活動和人員信息后，將涉恐人員之間的互動關系形態用一定的網絡結構和關系圖例表現出來：暗網黑市的買方和賣方、暗網論壇的發帖者和訪問者各以一個節點表示，他們在暗網中的二元活動關系以一條連線表示，? 節點間相互指向的圖示和度量可以用來映射暗網中的涉恐人員與恐怖組織之間的聯系與緊密程度，假定嵌入其中的若干社會關系模式對可能發生的暴恐行動將產生重要影響。

第一，分析出松散結構網絡中的核心節點并進行用戶畫像。高頻節點反映暗網中涉恐人員的身份角色和人身危險性，利用節點的計算和排序，分析出位于核心節點的重點人物。根據該重點人物在暗網中的發言內容、交易類型、上網習慣、網絡特征、應用場景等多維數據，抽象出一個標簽化的用戶模型，在多個涉恐黑市或論壇搜索與該模型具有高相似度的用戶，循線追蹤其真實身份及關系網絡，探查是否集結或參與恐怖主義社群。

第二，創建隱蔽社區危險用戶交互關系視圖。基于多個代表重點人物的關鍵節點形成強連接的聚類視圖，以節點密度、形狀、規模和中心點分析恐怖組織或極端主義人員的聚類結構、層次和分布。通過關聯分析，找出由危險用戶組成、較為穩定的活躍集群，以此勾勒暗網中的恐怖主義隱蔽社區，確定在社區中扮演主要角色并居于組織核心地位的用戶。

第三，推演恐怖主義暗網滲透方式與種類。通過聚類社群和隱蔽社區發布信息的時間跨度，分析重點人物的活躍度與某一事件模型發生的同時性、秘密網絡結成的時間規律和隱秘社區的擴張速度、變動狀態等。提取暗網論壇、黑市集合中所有網頁的超鏈接，包括暗網論壇和暗網黑市中的發帖、評論的外部鏈接進行聚合列表，發現更多的超鏈接推送給爬蟲數據庫，形成網絡分析圖譜揭示暗網站點相互交互的密切關系。

結 束 語

基于暗網通信與交易的匿名和無痕的特性，打擊暗網恐怖主義活動難度較大。而由于網絡結構的層級性，以目前的技術手段不可能徹底消除暗網。我們能夠采取的應對之策，應當是對表網中用于發現恐怖主義信息的技術原理和分析方法加以改造和升級后，運用于暗網信息的智能分析與深度挖掘，以有效遏制暗網恐怖主義活動。暗網并非“法外之地”，就加強網絡安全、筑牢安全防線的現實需要而言，有必要加大資源投入，使更多的研究機構和實務部門能夠加入打擊暗網恐怖主義的活動，包括利用先進的信息調查和智能數據挖掘技術、運用可視化分析工具等技術手段與方法，偵測恐怖主義線上、線下活動，甄別隱藏在暗網中的恐怖分子及其支持者，遏制暗網恐怖主義滋生和蔓延的趨勢。打擊暗網恐怖主義活動是一場多兵種配合的綜合戰，無法憑借單一的技術方法去應對，而應當綜合使用多種方式和手段，采取包括但不限于網絡戰、心理戰、軍事戰等在內的各種措施，加大打擊力度，以形成對網絡恐怖主義的高壓態勢。在反恐斗爭中提高反恐能力和水平，不斷增強應對措施的有效性，不給暗網恐怖主義分子留下可乘之機，在利用好互聯網給人類帶來的福祉的同時，通過“利劍”“凈網”等行動，還互聯網一片清朗的空間，增強人民群眾的安全感。

[責任編輯：楊 立]