【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种情报分析方法和装置。
技术介绍
1、暗网是互联网隐藏的一部分,目前主要是通过特殊浏览器才能进行访问,目前使用最多的浏览器是第二代洋葱路由器(the onion router,tor)浏览器。暗网中包含着隐蔽的犯罪、非法和恐怖主义活动,威胁组织分子的活动也出现行为隐匿性等特征,并且已经变为极端机构传播威胁思想,传授威胁技术的工具之一,各种暗网威胁正成为威胁安定的重大问题之一,对于网络监管也是一个极大的挑战。
2、与此相对的是,国内外学术圈的研究报告显示其明显偏爱于发掘tor网络本身协议方面的问题以突破匿名性,而选择性忽视威胁巨大、更具现实性的暗网业务方面的有关研究。显而易见,在暗网中存在的黑产业务才是暗网真正的威胁来源,而研究这些业务的行为模式、交易模式、生存环境,能大幅促进暗网威胁情报分析以及监控方案的优化,有效提高对于暗网威胁情报的利用分析、监控的准确度和效率,并且为网络空间安全犯罪的监控与治理提供真实、有价值的参考。
3、目前,现有技术对于tor网络的研究存在两个主要问题:1、停滞于链路层面的去匿名化或仅是实现tor的开源扫描器项目torscan,即对tor开源节点的爬取,或者仅是研究暗网网络资源的爬虫,缺乏对基于暗网业务层面特殊的运作方式、社群介入的研究;2、对于暗网业务的研究以及威胁情报收集事务是基于人工粗放式的,即通过业务研究员个人的素质,并且是在不可控、无管理、无计划、高人力成本下的简单研究。
技术实现思路
1
2、为此,本专利技术提供一种情报分析方法和装置,有助于通过业务情报获取单元、威胁情报分析单元提供低门槛可使用的tor情报巡检和分析服务;通过情报接入安全管理单元保障工具在tor中的访问交互的匿名性和安全,并为特殊环境下的tor情报搜集者提供安全的虚拟网络角色和低门槛、可管理、高匿名的接入能力。
3、为实现以上目的,本专利技术采用如下技术方案:
4、第一方面,本专利技术提供一种情报分析装置,所述装置包括:
5、业务情报获取单元、威胁情报分析单元、情报接入安全管理单元;
6、所述业务情报获取单元用于为其他单元提供先验条件,所述威胁情报分析单元用于动态分析上游tor网络业务信息,并对后台爬取的信息源进行聚类、分类、整合关联后回调至用户终端,所述情报接入安全管理单元用于支撑情报分析人员在情报分析结果的基础上介入tor业务层并利用情报产生价值的需求,以满足在tor业务层的安全性。
7、进一步地,所述业务情报获取单元包括信息获取模块、扩散模块、解析模块和存活判定模块,用于tor业务层重点业务的收集、监控。
8、进一步地,所述信息获取模块,以自建的tor socks5网桥组为接入点,以tor通信的方式匿名获取tor业务层内指定种子信息,并通过所述存活判定模块校验所述种子信息源的活跃。
9、进一步地,所述扩散模块,利用种子信息源内的信息,快速定位符合重点关注业务信息类型的信息,动态扩散发掘多维tor业务层信息。
10、进一步地,所述解析模块,用于解析筛选支付地址、账号信息、密钥的信息,实时为威胁情报分析提供输入。
11、进一步地,所述威胁情报分析单元包括文本分析模块、交互分析模块、地址分析模块和身份关联模块,其中所述文本分析模块、交互分析模块和地址分析模块为所述身份关联模块运行的先决条件;
12、其中,所述文本分析模块,用于对tor业务层由匿名社群产生的自然语言文本分类、聚类、生成匿名社群维度的身份关联画像,得到tor与公网之间的边界信息;
13、所述地址分析模块,用于将tor业务层产生的支付地址、访问地址、邮箱地址、密钥地址提取特征后生成上下游关联知识图谱,得到tor与公网之间的边界信息;
14、所述交互分析模块,用于将tor业务层社群产生的访问、支付、交流、加密的行为信息按虚拟身份维度进行关联,生成知识图谱,得到tor与公网之间的边界信息;
15、所述身份关联模块,用于整合上述模块产生的所述tor与公网之间的边界信息,并生成tor业务社群维度的用户簇、社群关系图谱、虚拟身份与公网信息之间的映射。
16、进一步地,所述情报接入安全管理单元,包括匿名沟通模块、匿名支付模块、虚拟身份模块和安全审计模块;
17、所述匿名沟通模块集成接入tor后的访问加密、阅后即焚、匿名下载功能;
18、所述虚拟身份模块,用于实现重点关注类型下不同深度社群权限的tor业务身份的养成,支撑后续tor情报接入中的身份生成、身份匿名。
19、第二方面,本专利技术提供一种情报分析方法,所述方法包括:
20、根据原始种子url深度遍历获取tor基础业务信息;解析并存储有效的所述tor基础业务信息;根据所述有效的tor基础业务信息,周期性切分、特征提取并自训练地启动聚类、分类任务,生成不同话语体系下的tor业务文本信息聚类、分类及介于公网与tor之间的边界信息、交互行为知识图谱、地址信息知识图谱、身份关联知识图谱,并输出可视化的tor社群业务威胁情报。
21、本专利技术采用以上技术方案,至少具备以下有益效果:
22、通过本专利技术方案,通过威胁情报分析单元,最终将获取的tor社群业务数据与公网社群数据的情报关联,使用户可以直接查询得到支撑溯源、去匿名化用途的边界信息,解决了分析tor情报复杂,单一、低效的问题;通过情报接入安全管理单元保障工具在tor中的访问交互的匿名性和安全,并为特殊环境下的tor情报搜集者提供安全的虚拟网络角色和低门槛、可管理、高匿名的接入能力。
23、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本专利技术。
本文档来自技高网...【技术保护点】
1.一种情报分析装置,其特征在于,所述装置包括:
2.根据权利要求1所述的装置,其特征在于,所述业务情报获取单元包括信息获取模块、扩散模块、解析模块和存活判定模块,用于Tor业务层重点业务的收集、监控。
3.根据权利要求2所述的装置,其特征在于,所述信息获取模块,以自建的Tor Socks5网桥组为接入点,以Tor通信的方式匿名获取Tor业务层内指定种子信息,并通过所述存活判定模块校验所述种子信息源的活跃。
4.根据权利要求2所述的装置,其特征在于,所述扩散模块,利用种子信息源内的信息,快速定位符合重点关注业务信息类型的信息,动态扩散发掘多维Tor业务层信息。
5.根据权利要求2所述的装置,其特征在于,所述解析模块,用于解析筛选支付地址、账号信息、密钥的信息,实时为威胁情报分析提供输入。
6.根据权利要求1所述的装置,其特征在于,所述威胁情报分析单元包括文本分析模块、交互分析模块、地址分析模块和身份关联模块,其中所述文本分析模块、交互分析模块和地址分析模块为所述身份关联模块运行的先决条件;
7.根据权利要求1
8.一种情报分析方法,其特征在于,所述方法包括:
...【技术特征摘要】
1.一种情报分析装置,其特征在于,所述装置包括:
2.根据权利要求1所述的装置,其特征在于,所述业务情报获取单元包括信息获取模块、扩散模块、解析模块和存活判定模块,用于tor业务层重点业务的收集、监控。
3.根据权利要求2所述的装置,其特征在于,所述信息获取模块,以自建的tor socks5网桥组为接入点,以tor通信的方式匿名获取tor业务层内指定种子信息,并通过所述存活判定模块校验所述种子信息源的活跃。
4.根据权利要求2所述的装置,其特征在于,所述扩散模块,利用种子信息源内的信息,快速定位符合重点关注业务信息类型的信息,动态扩散发...
【专利技术属性】
技术研发人员:韩莹,纪晓辉,韦崴,王子龙,
申请(专利权)人:中国电子产业工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。