謝玲

基于互聯(lián)網(wǎng)訪(fǎng)問(wèn)權(quán)限的若干分層與互聯(lián)網(wǎng)技術(shù)的深度應(yīng)用，全球恐怖主義活動(dòng)已深入到不同層級(jí)的網(wǎng)絡(luò)空間，形成了活動(dòng)在表網(wǎng)（Clearnet）中的恐怖主義和活躍于暗網(wǎng)（darknet）中的恐怖主義，網(wǎng)絡(luò)恐怖主義發(fā)生空間轉(zhuǎn)換、大量寄生于暗網(wǎng)渠道。一方面，這是因?yàn)閺?qiáng)大的反恐執(zhí)法措施對(duì)恐怖主義的表網(wǎng)生存空間產(chǎn)生強(qiáng)烈擠壓，恐怖分子面對(duì)隨時(shí)被追蹤、定位的風(fēng)險(xiǎn)，必然轉(zhuǎn)而在新的網(wǎng)絡(luò)生態(tài)環(huán)境中實(shí)施在線(xiàn)恐怖主義活動(dòng)。另一方面，暗網(wǎng)所具有的通信和交易隱藏特點(diǎn)可以降低恐怖組織及其成員在表網(wǎng)活動(dòng)時(shí)的法律風(fēng)險(xiǎn)?？植婪肿邮褂媚涿ㄐ跑浖c比特幣等加密數(shù)字貨幣支付系統(tǒng)可以逃避表網(wǎng)流量分析，最大限度地減小被發(fā)現(xiàn)的可能性。由于這種原因，暗網(wǎng)更適宜于恐怖主義信念、恐怖活動(dòng)方式等信息的留存和累積，恐怖組織發(fā)布宣傳材料等活動(dòng)更無(wú)顧忌，籌款、招募、協(xié)調(diào)的行動(dòng)更加便利。這些都使得暗網(wǎng)成為恐怖主義犯罪的“天堂”。

正因?yàn)槿绱?，觀(guān)察和分析恐怖主義活動(dòng)在暗網(wǎng)中的規(guī)律及其信息，可以系統(tǒng)準(zhǔn)確評(píng)判恐怖組織的網(wǎng)絡(luò)技術(shù)成熟度，了解其在暗網(wǎng)擴(kuò)張的手段和策略，并預(yù)測(cè)和掌握其線(xiàn)下活動(dòng)的計(jì)劃。暗網(wǎng)的加密特性與恐怖主義活動(dòng)的隱蔽性一經(jīng)結(jié)合，建立針對(duì)暗網(wǎng)的恐怖主義信息自動(dòng)采集機(jī)制就會(huì)更加困難。本研究擬在這方面進(jìn)行一些探索，并嘗試提出以下綜合性思路。一是建立一個(gè)初步的暗網(wǎng)反恐信息挖掘與分析系統(tǒng)，從信息爬取、事件預(yù)測(cè)和網(wǎng)絡(luò)交互三個(gè)角度研究恐怖組織的暗網(wǎng)使用情況。二是采取包括設(shè)計(jì)暗網(wǎng)聚焦爬蟲(chóng)工具、建立涉恐事件數(shù)據(jù)模型、分析危險(xiǎn)社群用戶(hù)在內(nèi)的技術(shù)手段，從暗網(wǎng)黑市和暗網(wǎng)論壇中收集、提取恐怖主義活動(dòng)信息，分析和預(yù)測(cè)恐怖組織的在線(xiàn)狀況、發(fā)展動(dòng)態(tài)與線(xiàn)下行為。這樣的暗網(wǎng)信息工作有助于實(shí)務(wù)部門(mén)研判暗網(wǎng)恐怖主義活動(dòng)規(guī)律，制定更加全面、有效和專(zhuān)業(yè)的反恐行動(dòng)對(duì)策。

一、網(wǎng)絡(luò)恐怖主義的滋生與蔓延

隨著互聯(lián)網(wǎng)通信和人工智能技術(shù)的迅速發(fā)展，年輕人群在線(xiàn)上的活動(dòng)、社交方式以及接收信息的途徑發(fā)生顯著變化，恐怖組織開(kāi)始以網(wǎng)絡(luò)和大數(shù)據(jù)為中心，有系統(tǒng)地使用互聯(lián)網(wǎng)輸出恐怖主義信息，利用多層網(wǎng)絡(luò)結(jié)構(gòu)發(fā)展出各種靈活的線(xiàn)上組織形式。例如，建立恐怖組織“官方”網(wǎng)站、創(chuàng)建社交媒體賬號(hào)發(fā)布隨時(shí)可用的在線(xiàn)宣傳資源，以影響低齡激進(jìn)分子思想，吸引更多的支持者。互聯(lián)網(wǎng)逐漸演變?yōu)槿谫Y、招募、武器交易等恐怖主義活動(dòng)的常規(guī)線(xiàn)上支持工具，恐怖主義更有向互聯(lián)網(wǎng)空間的隱秘角落蔓延的趨勢(shì)。其中，網(wǎng)絡(luò)深層的暗網(wǎng)站點(diǎn)成為恐怖主義最新的社交招募和信息輸出路徑。在互聯(lián)網(wǎng)空間中，恐怖組織逐步構(gòu)建起一個(gè)由恐怖組織網(wǎng)站、分散的網(wǎng)絡(luò)社交媒體和暗網(wǎng)三部分構(gòu)成的龐大的實(shí)時(shí)在線(xiàn)恐怖主義信息網(wǎng)絡(luò)系統(tǒng)。為行文方便，本文將暗網(wǎng)環(huán)境下的恐怖主義簡(jiǎn)稱(chēng)為“暗網(wǎng)恐怖主義”。

21世紀(jì)初，有國(guó)外學(xué)者指出，恐怖組織試圖開(kāi)發(fā)一個(gè)在全球范圍內(nèi)指揮和控制成員的網(wǎng)絡(luò)通信情報(bào)系統(tǒng)，包括但不限于建立專(zhuān)門(mén)的網(wǎng)站作為恐怖主義信息發(fā)布平臺(tái)。? 基于此，最早開(kāi)始關(guān)注恐怖主義網(wǎng)絡(luò)活動(dòng)的一批美國(guó)學(xué)者依據(jù)本國(guó)安全機(jī)構(gòu)提供的恐怖組織名單，登錄部分恐怖組織設(shè)立的“官方”網(wǎng)站進(jìn)行信息采集和研究。他們利用內(nèi)容分析技術(shù)對(duì)網(wǎng)站內(nèi)容進(jìn)行動(dòng)態(tài)追蹤和多維研判，試圖了解恐怖分子如何以互聯(lián)網(wǎng)為平臺(tái)進(jìn)行恐怖主義活動(dòng)的宣傳、策動(dòng)與實(shí)施。? 該項(xiàng)研究對(duì)于分析傳統(tǒng)恐怖組織的網(wǎng)上活動(dòng)規(guī)律具有重要價(jià)值，但其局限性在于通過(guò)建立“官方”網(wǎng)站的形式實(shí)施在線(xiàn)宣傳的恐怖組織，不到名單顯示的恐怖組織數(shù)量的一半，對(duì)未建立專(zhuān)門(mén)網(wǎng)絡(luò)平臺(tái)發(fā)布信息的恐怖組織，則無(wú)法借此觀(guān)察其線(xiàn)上活動(dòng)的新特點(diǎn)和新趨勢(shì)。

隨著網(wǎng)絡(luò)社交媒體的快速發(fā)展，恐怖分子已經(jīng)大量借助臉書(shū)（Facebook）、照片墻（Instagram）、推特（Twitter）、優(yōu)兔（YouTube）等社交媒體賬戶(hù)和標(biāo)簽、網(wǎng)絡(luò)論壇、游戲模塊宣傳恐怖主義，形成了恐怖主義線(xiàn)上活動(dòng)的新趨勢(shì)。據(jù)統(tǒng)計(jì)，極端恐怖組織“伊斯蘭國(guó)”（Islamic State of Iraq and Syria）在全球擁有近1 000家社交和數(shù)字媒體運(yùn)營(yíng)商，創(chuàng)辦出版了在精致程度上可與主流期刊比肩的英文雜志《達(dá)比克》（Dabiq），從事相關(guān)工作的人員數(shù)量超過(guò)許多大型公關(guān)機(jī)構(gòu)。? 此外，恐怖組織還在各個(gè)訪(fǎng)問(wèn)流量較高的社交媒體上注冊(cè)賬號(hào)、發(fā)布恐怖主義信息，進(jìn)行宣傳、籌款、協(xié)調(diào)、招募人員等活動(dòng)，擴(kuò)大社會(huì)影響。以YouTube視頻為例，截至2021年，每月有23億用戶(hù)觀(guān)看總時(shí)長(zhǎng)達(dá)10億小時(shí)的視頻，占全球互聯(lián)網(wǎng)訪(fǎng)問(wèn)量的一半，其中18至25歲的互聯(lián)網(wǎng)用戶(hù)是YouTube的使用主力。? 由于YouTube用戶(hù)量大、視頻發(fā)布門(mén)檻低、不注冊(cè)賬號(hào)即可訪(fǎng)問(wèn)，為恐怖組織上傳非法暴力視頻、分享極端主義內(nèi)容、連接其他煽動(dòng)宗教和民族仇恨的團(tuán)體共同形成危險(xiǎn)網(wǎng)絡(luò)社區(qū)提供了便利，也為非法活動(dòng)走向線(xiàn)下提供了支持。據(jù)相關(guān)研究預(yù)測(cè)，如果恐怖分子利用YouTube、Twitter等社交媒體傳遞信息，組織、煽動(dòng)恐怖主義行為，其響應(yīng)者可在兩小時(shí)內(nèi)引發(fā)騷亂，對(duì)于密切聯(lián)絡(luò)的激進(jìn)網(wǎng)上社群，騷亂的發(fā)生時(shí)間能縮短到20分鐘左右。

由于YouTube、Twitter每分鐘可上傳100小時(shí)視頻并能隨時(shí)刪除發(fā)布內(nèi)容，研究者使用常規(guī)的分析方法已跟不上海量數(shù)據(jù)的更新和銷(xiāo)毀速度，更難預(yù)測(cè)相關(guān)線(xiàn)下恐怖活動(dòng)走向。一些學(xué)者開(kāi)始采用爬蟲(chóng)技術(shù)檢索、發(fā)現(xiàn)YouTube用戶(hù)文件中的恐怖主義信息，? 結(jié)合社會(huì)網(wǎng)絡(luò)分析方法 （Social Network Analysis），以節(jié)點(diǎn)交互的結(jié)構(gòu)圖映射社交網(wǎng)絡(luò)中恐怖分子及其支持者，分析極端社區(qū)的發(fā)起形式與組織架構(gòu)。但是，隨著恐怖主義線(xiàn)上活動(dòng)逐漸由表網(wǎng)向暗網(wǎng)遷移，恐怖分子開(kāi)始使用隱蔽在線(xiàn)應(yīng)用程序。前述研究以及以此為基礎(chǔ)的反恐安全監(jiān)控與網(wǎng)絡(luò)執(zhí)法打擊已無(wú)法掌控恐怖組織輸出暴力極端主義的完整路徑，即使采取常規(guī)方式掃描、發(fā)現(xiàn)和分析恐怖主義觸角所伸向的暗網(wǎng)空間也會(huì)存在遺漏。只有利用技術(shù)手段進(jìn)一步深入恐怖分子倚重的暗網(wǎng)空間，才能對(duì)恐怖主義活動(dòng)進(jìn)行更系統(tǒng)和有效的針對(duì)性打擊。

二、暗網(wǎng)結(jié)構(gòu)與暗網(wǎng)恐怖主義的關(guān)聯(lián)

暗網(wǎng)恐怖主義活動(dòng)已經(jīng)構(gòu)成一種新的戰(zhàn)略性安全威脅。對(duì)于這一隱秘的網(wǎng)絡(luò)空間，我們要首先查明暗網(wǎng)能夠?yàn)榭植澜M織提供何種支持，查清高風(fēng)險(xiǎn)涉恐人員對(duì)于暗網(wǎng)的可及性和通聯(lián)意圖，查實(shí)恐怖主義在暗網(wǎng)上的運(yùn)作模式。只有充分把握暗網(wǎng)恐怖主義的外部行為特征與內(nèi)部作用機(jī)制，才能使信息技術(shù)安全策略有針對(duì)性地預(yù)防和減小暗網(wǎng)恐怖活動(dòng)可能造成的危害后果。

（一）恐怖主義信息網(wǎng)絡(luò)與暗網(wǎng)

網(wǎng)絡(luò)的三層結(jié)構(gòu)中，處于第一層級(jí)的表網(wǎng)是指利用標(biāo)準(zhǔn)搜索引擎和網(wǎng)絡(luò)瀏覽器可以訪(fǎng)問(wèn)的頁(yè)面和內(nèi)容。過(guò)去對(duì)于恐怖主義與互聯(lián)網(wǎng)關(guān)系的研究主要集中于互聯(lián)網(wǎng)的表網(wǎng)。處于第二層級(jí)的深網(wǎng)（Deepnet）是指托管在互聯(lián)網(wǎng)開(kāi)放部分，但卻有內(nèi)容訪(fǎng)問(wèn)限制而未被搜索引擎索引和收錄的網(wǎng)絡(luò)站點(diǎn)，如公司內(nèi)部使用的網(wǎng)站、網(wǎng)上銀行個(gè)人賬戶(hù)和圖書(shū)館目錄等。? 但深網(wǎng)仍然可以通過(guò)常規(guī)網(wǎng)絡(luò)瀏覽器和授權(quán)的連接方法獲得訪(fǎng)問(wèn)。處于第三層級(jí)的暗網(wǎng)是隱藏在深網(wǎng)中的一部分特殊的加密子集，它是指由加密網(wǎng)絡(luò)和匿名通信構(gòu)建，需要通過(guò)“洋蔥”路由器（The Onion Router， TOR）、I2P路由器（Invisible Internet Project）和“隨意網(wǎng)”（Freenet）等通信軟件提供匿名通信協(xié)議才能訪(fǎng)問(wèn)的網(wǎng)絡(luò)。

以匿名通信軟件TOR為例，它廣泛應(yīng)用于隱秘的地下自由通信，其“匿名性”的基本原理是通過(guò)隱藏流量分析保護(hù)用戶(hù)隱私、支持匿名瀏覽以及避開(kāi)網(wǎng)絡(luò)監(jiān)控。TOR網(wǎng)絡(luò)由成千上萬(wàn)個(gè)作為中繼節(jié)點(diǎn)的服務(wù)器組成，每個(gè)中繼節(jié)點(diǎn)都由全球志愿者免費(fèi)提供。? 網(wǎng)絡(luò)流量經(jīng)過(guò)TOR網(wǎng)絡(luò)從中繼節(jié)點(diǎn)自動(dòng)選配的入口節(jié)點(diǎn)、中間節(jié)點(diǎn)、出口節(jié)點(diǎn)時(shí)，每一節(jié)點(diǎn)都會(huì)參與數(shù)據(jù)包傳遞的加密，既不記錄流量的來(lái)源，也不記錄流向，IP地址只顯示退出節(jié)點(diǎn)，從而達(dá)到隱藏信息發(fā)送用戶(hù)真實(shí)IP地址的目的。? 網(wǎng)絡(luò)匿名協(xié)議覆蓋暗網(wǎng)環(huán)境下與恐怖活動(dòng)有關(guān)的地下交易市場(chǎng)、在線(xiàn)社區(qū)，能夠?yàn)榈乩砦恢梅稚⒌目植婪肿蛹捌渥冯S者提供通聯(lián)渠道與身份保護(hù)。加之各國(guó)政府過(guò)濾和取締表網(wǎng)中的極端主義內(nèi)容，頻繁變化IP地址、令執(zhí)法追蹤困難的暗網(wǎng)成為地下犯罪和恐怖主義活動(dòng)的“溫床”。杰米·巴特利特（Jamie Bartlett）將其描述為“一個(gè)能夠搜羅網(wǎng)絡(luò)中所有令人震驚、不安和充滿(mǎn)爭(zhēng)議的黑暗角落的術(shù)語(yǔ)，一個(gè)容納了你所能想象的各種形態(tài)的罪犯和捕食者的領(lǐng)地” 。

（二）暗網(wǎng)恐怖主義的行為特征

針對(duì)不特定多數(shù)人施加暴力或以暴力相威脅是恐怖主義的基本行為特征。恐怖組織通過(guò)煽動(dòng)民眾、制造恐慌、謀取暴利，以達(dá)到某種政治、經(jīng)濟(jì)、宗教或社會(huì)目的。隨著互聯(lián)網(wǎng)的普及，線(xiàn)下恐怖主義也向線(xiàn)上轉(zhuǎn)移?？植澜M織利用不受追蹤的暗網(wǎng)作為恐怖主義信息輸出路徑，招募恐怖分子、籌措資金，對(duì)潛在危險(xiǎn)用戶(hù)施以極端化影響，在條件具備時(shí)提供培訓(xùn)和必要幫助，或調(diào)集新的恐怖分子參與，對(duì)實(shí)施線(xiàn)下暴力恐怖主義活動(dòng)提供便利?；诳植澜M織的暗網(wǎng)線(xiàn)上活動(dòng)與發(fā)生線(xiàn)下暴力恐怖行為相關(guān)聯(lián)的屬性，對(duì)于暗網(wǎng)恐怖主義目前學(xué)界重點(diǎn)關(guān)注兩個(gè)問(wèn)題。

第一，暗網(wǎng)恐怖主義活動(dòng)的認(rèn)定問(wèn)題。各國(guó)學(xué)者對(duì)于恐怖主義尚未形成統(tǒng)一定義。基于宗教動(dòng)機(jī)、政治意識(shí)形態(tài)、民族分離主義等復(fù)雜動(dòng)機(jī)實(shí)施的暴力行為，一般被視為主要的恐怖主義活動(dòng)類(lèi)型，但在進(jìn)行實(shí)際認(rèn)定時(shí)，各國(guó)對(duì)于一些組織的恐怖主義屬性問(wèn)題存在不同意見(jiàn)。例如，美國(guó)安全機(jī)構(gòu)認(rèn)定的國(guó)際恐怖主義團(tuán)體包括黎巴嫩真主黨（Hezbollah）、哈馬斯卡薩姆旅（Ezzedine al-Qassam Brigades）等在其他一些國(guó)家并未被認(rèn)定為恐怖組織。另有部分學(xué)者認(rèn)為，對(duì)于狹義的單一問(wèn)題，如墮胎、環(huán)保、反對(duì)執(zhí)法等引起的極端行徑，因存在暴力行為特征以及作為行為后果的恐怖圖景，也應(yīng)屬于恐怖主義活動(dòng)范疇。本文認(rèn)為，對(duì)于這類(lèi)因單一問(wèn)題引發(fā)的極端行為，應(yīng)當(dāng)依據(jù)暴力實(shí)施者所侵害的具體法益認(rèn)定為某種類(lèi)型的普通刑事犯罪，該行為人系刑事法所規(guī)制的一般對(duì)象;因復(fù)雜動(dòng)機(jī)實(shí)施暴力的行為人或組織，在聚焦其暴力特性的同時(shí)，應(yīng)以中國(guó)國(guó)內(nèi)法為主，結(jié)合國(guó)際條約和國(guó)際社會(huì)普遍認(rèn)可、接受的認(rèn)定規(guī)則判定其組織及活動(dòng)的恐怖主義性質(zhì)。認(rèn)定暗網(wǎng)中的“恐怖主義”不能放大到一個(gè)松散而寬泛的范圍。

第二，暗網(wǎng)恐怖組織追隨者的識(shí)別原則。由于受網(wǎng)絡(luò)恐怖主義洗腦影響的深度不同，部分極端主義分子在現(xiàn)實(shí)中發(fā)動(dòng)侵害和襲擊的個(gè)人動(dòng)機(jī)既多樣又相互重疊。據(jù)全球應(yīng)對(duì)恐怖主義開(kāi)源數(shù)據(jù)庫(kù)（Global Terrorism Database， GTD）發(fā)布的1970—2016年恐怖主義意識(shí)形態(tài)動(dòng)機(jī)背景報(bào)告，“意識(shí)形態(tài)動(dòng)機(jī)未知”類(lèi)型的恐怖襲擊占到所有恐怖主義攻擊數(shù)量的24%。? 實(shí)施此類(lèi)襲擊的危險(xiǎn)人員的具體行動(dòng)指向表面上與恐怖組織并無(wú)關(guān)聯(lián)，但通過(guò)學(xué)習(xí)和模仿恐怖分子的暴力恐怖行為方式，其行為的實(shí)際表現(xiàn)和危害結(jié)果又與恐怖主義活動(dòng)趨于一致，對(duì)其屬于恐怖組織成員還是一般追隨者在實(shí)踐中難以準(zhǔn)確認(rèn)定。本文認(rèn)為，通過(guò)暗網(wǎng)站點(diǎn)接觸過(guò)恐怖組織的用戶(hù)，只要其主觀(guān)上表示出認(rèn)同并自愿接受其意識(shí)形態(tài)、行為模式和濫殺意圖，客觀(guān)上將暴力行徑嵌入各種危險(xiǎn)動(dòng)機(jī)，即使僅為了表達(dá)其極端想法而實(shí)施暴力恐怖行為，一般也應(yīng)認(rèn)定為恐怖組織成員并納入暗網(wǎng)信息監(jiān)控。對(duì)于一些與恐怖組織的隸屬關(guān)系并不明顯，為實(shí)施恐怖主義活動(dòng)而意欲獲取相關(guān)知識(shí)和技能，或者存在購(gòu)買(mǎi)武器裝備意向、可能會(huì)實(shí)際進(jìn)行暴力活動(dòng)的危險(xiǎn)個(gè)人，則應(yīng)注意根據(jù)情況區(qū)分是否納入暗網(wǎng)恐怖組織追隨者的范圍。

（三）暗網(wǎng)恐怖主義活動(dòng)的平臺(tái)與功能

暗網(wǎng)環(huán)境下恐怖分子具體實(shí)施的恐怖主義活動(dòng)類(lèi)型由暗網(wǎng)平臺(tái)的構(gòu)成與功能所決定。暗網(wǎng)平臺(tái)主要由暗網(wǎng)論壇和暗網(wǎng)黑市兩個(gè)部分組成，加密聊天室或點(diǎn)對(duì)點(diǎn)的即時(shí)加密通訊因缺乏網(wǎng)絡(luò)信息傳播的公共特性不列入本文的討論范圍。

第一，暗網(wǎng)論壇。暗網(wǎng)論壇是指利用TOR等特殊網(wǎng)絡(luò)建立的網(wǎng)上信息發(fā)布和交流平臺(tái)。其結(jié)構(gòu)和組織形式與表網(wǎng)論壇類(lèi)似，由不同主題的分區(qū)版塊和若干子版塊組成。但暗網(wǎng)論壇采取不同種類(lèi)和等級(jí)的信息安全機(jī)制保護(hù)用戶(hù)隱私安全，大量使用圖靈測(cè)試防止計(jì)算機(jī)自動(dòng)訪(fǎng)問(wèn)。因論壇討論的話(huà)題不能被普通搜索引擎檢索，暗網(wǎng)論壇中遍布恐怖主義、武器、毒品、“網(wǎng)絡(luò)黑灰產(chǎn)”? 犯罪等非法內(nèi)容，且論壇之間能夠以超鏈接方式相互關(guān)聯(lián)。

恐怖組織利用暗網(wǎng)論壇收集信息、招募人員、建設(shè)虛擬社區(qū)、進(jìn)行恐怖融資，可繞過(guò)在表網(wǎng)上從事同樣活動(dòng)面臨的法律風(fēng)險(xiǎn)及執(zhí)法打擊。表網(wǎng)上發(fā)布的恐怖主義信息因受舉報(bào)和執(zhí)法控制存活期短，往往在恐怖主義“官方”站點(diǎn)投入使用、與支持者剛建立初步連接時(shí)就被強(qiáng)制關(guān)停，這迫使恐怖組織不得不轉(zhuǎn)向影響較大的網(wǎng)站或社交應(yīng)用離散化地推送信息。而在暗網(wǎng)空間建立較為固定的社群網(wǎng)絡(luò)發(fā)布恐怖主義信息則具有明顯優(yōu)勢(shì)。例如，暗網(wǎng)論壇可以設(shè)置進(jìn)入權(quán)限和匿名訪(fǎng)問(wèn)。暗網(wǎng)論壇認(rèn)可的特定用戶(hù)被自由放行的同時(shí)，經(jīng)過(guò)匿名通信處理，可以形成較為固定的、經(jīng)常交流恐怖主義信息和討論線(xiàn)下活動(dòng)的激進(jìn)網(wǎng)絡(luò)社群?？植澜M織伺機(jī)在暗網(wǎng)中發(fā)展狂熱的追隨者，在線(xiàn)傳播簡(jiǎn)易爆炸物、生化危險(xiǎn)制劑制作和使用的培訓(xùn)視頻，出售槍械武器及使用手冊(cè)，推出關(guān)于核武器的學(xué)習(xí)教程，這些在暗網(wǎng)論壇上接受恐怖主義思想灌輸和武器培訓(xùn)的追隨者相對(duì)于表網(wǎng)上的支持者更具有行為攻擊性和現(xiàn)實(shí)危害性。

第二，暗網(wǎng)黑市。暗網(wǎng)黑市是指利用TOR等特殊網(wǎng)絡(luò)搭建的非法商品網(wǎng)絡(luò)交易平臺(tái)，其網(wǎng)絡(luò)銷(xiāo)售模式與表網(wǎng)購(gòu)物平臺(tái)類(lèi)似，提供數(shù)字貨幣電子錢(qián)包托管服務(wù)、國(guó)際信用卡資金兌換數(shù)字貨幣的匯兌渠道以及匿名購(gòu)買(mǎi)選項(xiàng)。常見(jiàn)的非法商品主要是毒品、武器、色情和惡意軟件產(chǎn)品、公民個(gè)人信息等。在暗網(wǎng)黑市販賣(mài)的各類(lèi)非法物品中，武器是與恐怖主義活動(dòng)相關(guān)性最強(qiáng)、危險(xiǎn)性最高的交易對(duì)象，其交易成功意味著恐怖組織和個(gè)人可能在線(xiàn)下動(dòng)用武力實(shí)現(xiàn)恐怖主義目標(biāo)。越是為國(guó)際社會(huì)嚴(yán)格禁止持有、極度危險(xiǎn)的高級(jí)別威脅性武器，越有可能為了避開(kāi)執(zhí)法視線(xiàn)在暗網(wǎng)空間完成交易流轉(zhuǎn)。? 暗網(wǎng)黑市與論壇也有著密切聯(lián)系，賣(mài)家會(huì)在暗網(wǎng)論壇零星發(fā)布商品信息并提供交易鏈接，買(mǎi)家循著論壇線(xiàn)程能夠查找到暗網(wǎng)黑市買(mǎi)家信息。

通過(guò)分析暗網(wǎng)黑市買(mǎi)賣(mài)雙方購(gòu)買(mǎi)需求與意向，探知交易指向的高風(fēng)險(xiǎn)地區(qū)，再結(jié)合其他信息進(jìn)一步定位其背后存在的恐怖主義組織或極端主義團(tuán)體，分析該組織運(yùn)用武器的威脅能級(jí)，如是否具有專(zhuān)業(yè)技術(shù)操作人員、校準(zhǔn)維護(hù)人員、監(jiān)測(cè)設(shè)施和專(zhuān)門(mén)場(chǎng)地，可以評(píng)估恐怖組織的危險(xiǎn)活動(dòng)等級(jí)以及預(yù)測(cè)恐怖主義行動(dòng)的發(fā)生概率。過(guò)去的恐怖組織成員多是一些暴力、無(wú)知、拒絕現(xiàn)代化和高科技的宗教狂熱分子，但是“9·11”恐怖襲擊事件之后美國(guó)媒體報(bào)道了“一些令人震驚的發(fā)現(xiàn)”，恐怖組織招募的年輕一代部分來(lái)自中產(chǎn)階級(jí)家庭，他們受過(guò)良好的高等教育，能夠執(zhí)行更為復(fù)雜的軍事行動(dòng)并使用威脅性武器，? 一些恐怖分子甚至認(rèn)為核武器是他們未來(lái)行動(dòng)的重要手段。因此，在暗網(wǎng)黑市中監(jiān)測(cè)和識(shí)別與恐怖主義有關(guān)的大規(guī)模殺傷性武器交易內(nèi)容以及核交易企圖極為必要。

（四）對(duì)暗網(wǎng)信息進(jìn)行挖掘分析的意義

在21世紀(jì)初，國(guó)內(nèi)外已有一些關(guān)于表網(wǎng)恐怖主義信息挖掘和建模分析的研究，但針對(duì)暗網(wǎng)空間的論壇和黑市探討恐怖主義活動(dòng)軌跡、交流內(nèi)容和極端社群結(jié)構(gòu)的研究仍然有限。相對(duì)于表網(wǎng)恐怖主義的識(shí)別、追蹤和預(yù)測(cè)活動(dòng)，暗網(wǎng)領(lǐng)域的恐怖主義信息更值得予以關(guān)注和深度挖掘。

第一，彌補(bǔ)網(wǎng)絡(luò)反恐的盲區(qū)。在整個(gè)實(shí)時(shí)在線(xiàn)的恐怖主義信息網(wǎng)絡(luò)系統(tǒng)中，暗網(wǎng)環(huán)境下的匿名恐怖主義活動(dòng)和隱匿蹤跡的涉恐交易是反恐監(jiān)控和安全防范的難點(diǎn)。網(wǎng)絡(luò)恐怖主義對(duì)全球安全的威脅能否消除取決于對(duì)網(wǎng)絡(luò)安全機(jī)制最為薄弱環(huán)節(jié)的把控，因此必須加強(qiáng)對(duì)暗網(wǎng)領(lǐng)域恐怖主義繁衍的遏制。

第二，提高信息篩查的精準(zhǔn)性。針對(duì)表網(wǎng)的恐怖主義信息挖掘一般是以開(kāi)源出版物、報(bào)告、網(wǎng)站和社交媒體為基礎(chǔ)進(jìn)行關(guān)鍵詞和聯(lián)想詞的自動(dòng)或半自動(dòng)檢索，從海量數(shù)據(jù)中采集到的大量信息、數(shù)據(jù)可能都是合法內(nèi)容和鏈接。例如，設(shè)定檢索參數(shù)為“與恐怖主義相關(guān)的大規(guī)模殺傷性武器”，得到的大部分是一般性的知識(shí)科普類(lèi)介紹。而對(duì)于社交媒體評(píng)論區(qū)上傳的恐怖視頻及討論發(fā)言，爬蟲(chóng)程序很難突破人類(lèi)語(yǔ)言表達(dá)的豐富性、并直接檢測(cè)評(píng)論用戶(hù)對(duì)恐怖主義視頻宣傳的情感態(tài)度，在這兩種情形下需要采取手動(dòng)信息篩查和復(fù)雜的文本情緒分析，否則所有相關(guān)的站點(diǎn)內(nèi)容、評(píng)論信息都會(huì)被認(rèn)定為符合關(guān)鍵詞和聯(lián)想詞特征而納入數(shù)據(jù)采集范圍，會(huì)導(dǎo)致龐大的無(wú)效信息大量占據(jù)后臺(tái)解析空間。而暗網(wǎng)中至少有一半登陸者發(fā)布非法信息和交易供求任務(wù)，? 如果統(tǒng)計(jì)模型直接從暗網(wǎng)黑市和論壇的線(xiàn)程、文檔中構(gòu)建，涉恐內(nèi)容出現(xiàn)在篩選集合中的精準(zhǔn)性更高。

第三，建立恐怖主義活動(dòng)的反向推演。我們知道，分析暗網(wǎng)黑市上正在出售的惡意軟件產(chǎn)品的種類(lèi)、特點(diǎn)、入侵途徑，涉及機(jī)構(gòu)和個(gè)人可以獲得網(wǎng)絡(luò)安全防范的反向提示并以此彌補(bǔ)目標(biāo)計(jì)算機(jī)的安全漏洞，以防遭遇現(xiàn)實(shí)網(wǎng)絡(luò)攻擊。而對(duì)恐怖組織和個(gè)人在暗網(wǎng)黑市和論壇上發(fā)布的行動(dòng)指令和交易需求的分析，也可以作為揭示恐怖組織的下一步行動(dòng)、預(yù)測(cè)恐怖主義活動(dòng)的緊急屬性和威脅級(jí)別的依據(jù)，進(jìn)而有助于相關(guān)機(jī)構(gòu)結(jié)合其他渠道的調(diào)查信息識(shí)別具體危險(xiǎn)并采取相應(yīng)干預(yù)措施。

三、遏制暗網(wǎng)恐怖主義的技術(shù)方略

本研究提出一個(gè)與表網(wǎng)信息挖掘和分析相對(duì)的暗網(wǎng)技術(shù)框架，用以發(fā)現(xiàn)、監(jiān)控、利用暗網(wǎng)環(huán)境中的恐怖主義信息，為打擊線(xiàn)上、線(xiàn)下恐怖主義尋找突破口。主要技術(shù)方略可分為三個(gè)部分：一是利用爬蟲(chóng)工具和內(nèi)容解析器等底層技術(shù)設(shè)施從暗網(wǎng)黑市和論壇中收集、挖掘、分析恐怖主義信息;二是通過(guò)搭建博弈論框架、優(yōu)化算法分析來(lái)暗網(wǎng)數(shù)據(jù);三是通過(guò)收集的數(shù)據(jù)發(fā)現(xiàn)黑市買(mǎi)家和賣(mài)家、恐怖主義信息傳播者構(gòu)成的恐怖主義社交網(wǎng)絡(luò)。這樣，基于實(shí)時(shí)數(shù)據(jù)所表征的恐怖活動(dòng)潛在威脅以及所把握的危險(xiǎn)社區(qū)和隱蔽恐怖社群狀況，可以為相關(guān)機(jī)構(gòu)提供一個(gè)用于預(yù)測(cè)未來(lái)可能發(fā)生的恐怖主義場(chǎng)景的數(shù)據(jù)分析框架，形成打擊暗網(wǎng)恐怖主義線(xiàn)下活動(dòng)的技術(shù)支撐條件。

（一）暗網(wǎng)信息的自動(dòng)抓取與深度挖掘

從暗網(wǎng)空間自動(dòng)收集和提取恐怖主義信息，建立一個(gè)實(shí)時(shí)變動(dòng)的暗網(wǎng)數(shù)據(jù)集合，是進(jìn)行分析、研究并生成可視化關(guān)系圖譜的前提。如前所述，一些研究人員在表網(wǎng)上運(yùn)用文本分析方法和鏈接分析算法對(duì)恐怖組織“官方”網(wǎng)站發(fā)布的數(shù)據(jù)進(jìn)行收集、存檔和研判，并對(duì)恐怖分子使用大眾社交軟件發(fā)送離散信息予以密切關(guān)注。對(duì)于暗網(wǎng)中的黑市和論壇，我們也需要開(kāi)發(fā)專(zhuān)門(mén)的爬蟲(chóng)工具來(lái)訪(fǎng)問(wèn)涉恐站點(diǎn)、自動(dòng)獲取站點(diǎn)中的敏感信息。

升級(jí)版的爬蟲(chóng)系統(tǒng)將抓取站點(diǎn)選擇為恐怖主義信息較為集中的暗網(wǎng)論壇、黑市站點(diǎn)，以及在這些論壇網(wǎng)站中收集到的關(guān)聯(lián)站點(diǎn)鏈接。在設(shè)計(jì)時(shí)應(yīng)充分考慮暗網(wǎng)與表網(wǎng)信息收集分析系統(tǒng)存在的差異，對(duì)暗網(wǎng)爬蟲(chóng)系統(tǒng)的設(shè)計(jì)進(jìn)行相應(yīng)的技術(shù)擴(kuò)容。一是要考慮暗網(wǎng)站點(diǎn)IP地址因使用匿名協(xié)議變動(dòng)快，運(yùn)行穩(wěn)定性差、使用壽命短，且一般需要使用特定的輔助客戶(hù)端程序進(jìn)行訪(fǎng)問(wèn)的特點(diǎn);二是要在數(shù)據(jù)抓取時(shí)識(shí)別和避開(kāi)暗網(wǎng)上的國(guó)際執(zhí)法釣魚(yú)網(wǎng)站網(wǎng)頁(yè);三是要增加相對(duì)精準(zhǔn)的跨語(yǔ)言檢索功能，這是因?yàn)榘稻W(wǎng)論壇除了使用英語(yǔ)進(jìn)行交流，基于恐怖主義發(fā)生的民族和地域性特點(diǎn)，也會(huì)使用阿拉伯語(yǔ)、法語(yǔ)、俄語(yǔ)、德語(yǔ)等其他語(yǔ)種發(fā)布信息。

第一，暗網(wǎng)爬蟲(chóng)系統(tǒng)主要由爬蟲(chóng)模塊和數(shù)據(jù)倉(cāng)庫(kù)模塊兩大部分構(gòu)成。爬蟲(chóng)模塊包括連接器、下載器以及解析器等組件，負(fù)責(zé)將目標(biāo)站點(diǎn)數(shù)據(jù)下載到本地?cái)?shù)據(jù)庫(kù)中。數(shù)據(jù)倉(cāng)庫(kù)模塊主要是用于提供各種分析維度的查詢(xún)接口，并以用戶(hù)、團(tuán)體、站點(diǎn)為對(duì)象建立模型，通過(guò)數(shù)據(jù)分析評(píng)估恐怖主義事件的行為模式、關(guān)聯(lián)模式以及危害程度等，數(shù)據(jù)倉(cāng)庫(kù)模塊分析所需要的數(shù)據(jù)可以定時(shí)從爬蟲(chóng)數(shù)據(jù)庫(kù)抽取。在兩大功能模塊之間建立一個(gè)“設(shè)置”模塊，將數(shù)據(jù)倉(cāng)庫(kù)模塊初步分析所得的預(yù)測(cè)結(jié)果返回給爬蟲(chóng)模塊中的調(diào)度器，進(jìn)一步指引爬蟲(chóng)工具抓取和過(guò)濾信息的方向，以提高數(shù)據(jù)“捕獲”的準(zhǔn)確性和爬蟲(chóng)系統(tǒng)運(yùn)行效率。此外，考慮到使用站點(diǎn)的恐怖組織成員分布在世界各地，可能使用多種語(yǔ)言，網(wǎng)絡(luò)用語(yǔ)與日常溝通用語(yǔ)之間也存在較大區(qū)別，使用日常用語(yǔ)模式進(jìn)行分析可能會(huì)漏掉一些關(guān)鍵信息的收集，因此，可使用接口安裝第三方翻譯平臺(tái)的插件來(lái)提高爬蟲(chóng)工具在各種語(yǔ)言環(huán)境中的應(yīng)對(duì)能力，并通過(guò)在系統(tǒng)中自建附加功能模塊“語(yǔ)料庫(kù)”的方式，使系統(tǒng)更好地識(shí)別多語(yǔ)種交流中的敏感信息。

第二，爬蟲(chóng)模塊的主要構(gòu)成與功能實(shí)現(xiàn)。一是爬蟲(chóng)工具和解析器代碼的分離與協(xié)調(diào)。由于每個(gè)站點(diǎn)都需要設(shè)計(jì)對(duì)應(yīng)的爬蟲(chóng)工具和解析器，為了對(duì)不同結(jié)構(gòu)的網(wǎng)站進(jìn)行數(shù)據(jù)抓取，需要在設(shè)計(jì)中分離爬蟲(chóng)程序和解析器的代碼，以便日后擴(kuò)展抓取范圍。二者可以通過(guò)網(wǎng)絡(luò)地址管理器（Uniform Resource Locator Manager， URL）和爬蟲(chóng)調(diào)度器進(jìn)行工作協(xié)調(diào)。二是著重進(jìn)行HTML靜態(tài)文檔與動(dòng)態(tài)數(shù)據(jù)檢索。為解決不同暗網(wǎng)平臺(tái)的網(wǎng)絡(luò)結(jié)構(gòu)差異與訪(fǎng)問(wèn)權(quán)限控制問(wèn)題，針對(duì)不同站點(diǎn)的特征，使用能夠避開(kāi)訪(fǎng)問(wèn)控制、無(wú)響應(yīng)服務(wù)器、去重以及偽裝登陸的爬蟲(chóng)工具，從暗網(wǎng)黑市和論壇下載信息。三是恐怖主義活動(dòng)相關(guān)內(nèi)容的提取。基于每個(gè)暗網(wǎng)站點(diǎn)的結(jié)構(gòu)，使用與之對(duì)應(yīng)的內(nèi)容解析器對(duì)下載的HTML文檔進(jìn)行解析，將網(wǎng)頁(yè)內(nèi)容保存至數(shù)據(jù)庫(kù)中，根據(jù)有關(guān)材料初步判定當(dāng)前抓取的頁(yè)面是黑市站點(diǎn)還是論壇網(wǎng)站。其中，暗網(wǎng)黑市與武器交易相關(guān)的商品信息、供應(yīng)商信息、詢(xún)價(jià)信息、論壇宣揚(yáng)恐怖主義的帖子、作者信息（包括聲譽(yù)等級(jí)、話(huà)題興趣等）、參與討論的用戶(hù)信息、超鏈接等重要字段一經(jīng)匹配，自動(dòng)納入爬蟲(chóng)模塊數(shù)據(jù)庫(kù)收集儲(chǔ)存范圍，為后續(xù)分析提供數(shù)據(jù)支持。四是分階段、分類(lèi)型下載與分析信息。從爬蟲(chóng)模塊細(xì)化出能夠應(yīng)對(duì)不同類(lèi)型站點(diǎn)的下載器，剛開(kāi)始抓取數(shù)據(jù)時(shí)只設(shè)置暗網(wǎng)論壇或黑市頁(yè)面的爬蟲(chóng)工具，對(duì)在網(wǎng)站中抓取到的鏈接，作為鏈接類(lèi)型的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中，以便開(kāi)發(fā)出對(duì)應(yīng)的爬蟲(chóng)工具再提取該鏈接的網(wǎng)頁(yè)信息。數(shù)據(jù)倉(cāng)庫(kù)模塊應(yīng)定期抽取數(shù)據(jù)進(jìn)行分析，并在該模塊建立暗網(wǎng)黑市、論壇用戶(hù)及團(tuán)體的數(shù)據(jù)集市，? 以滿(mǎn)足暗網(wǎng)恐怖主義社群網(wǎng)絡(luò)分析的需求。隨著系統(tǒng)抓取數(shù)據(jù)量的增長(zhǎng)，可能會(huì)發(fā)現(xiàn)恐怖分子用于招募人員或購(gòu)買(mǎi)物資的站點(diǎn)，通過(guò)前面數(shù)據(jù)倉(cāng)庫(kù)模塊的分析，可以篩選出一批可疑站點(diǎn)繼續(xù)進(jìn)行抓取。

第三，數(shù)據(jù)倉(cāng)庫(kù)模塊的主要構(gòu)成與功能實(shí)現(xiàn)路徑。一是數(shù)據(jù)倉(cāng)庫(kù)模塊的結(jié)構(gòu)化創(chuàng)建。數(shù)據(jù)倉(cāng)庫(kù)模塊的數(shù)據(jù)來(lái)自本系統(tǒng)的爬蟲(chóng)模塊，它很少會(huì)出現(xiàn)數(shù)據(jù)結(jié)構(gòu)不一致的情況，但剛開(kāi)始爬取一個(gè)站點(diǎn)時(shí)，由于不能準(zhǔn)確分辨是否為系統(tǒng)所需要的數(shù)據(jù)，而假設(shè)暗網(wǎng)論壇和黑市中的信息都是比較集中的恐怖主義信息，爬蟲(chóng)工具會(huì)將所有發(fā)言信息都下載到數(shù)據(jù)庫(kù)中。為排除數(shù)據(jù)源中的非恐怖主義信息，可將數(shù)據(jù)倉(cāng)庫(kù)模塊建立為ODS數(shù)據(jù)運(yùn)營(yíng)層—DWD數(shù)據(jù)明細(xì)層—DWS數(shù)據(jù)服務(wù)層三層結(jié)構(gòu)。由于ODS數(shù)據(jù)運(yùn)營(yíng)層與爬蟲(chóng)模塊的數(shù)據(jù)庫(kù)基本保持相同的數(shù)據(jù)粒度，在該層不需要進(jìn)行數(shù)據(jù)清理，只在數(shù)據(jù)庫(kù)表中標(biāo)記每條數(shù)據(jù)的關(guān)鍵詞。二是DWD數(shù)據(jù)明細(xì)層的預(yù)處理。DWD層根據(jù)ODS層的標(biāo)記有選擇性地保留數(shù)據(jù)，在數(shù)據(jù)進(jìn)入該層之前依據(jù)數(shù)據(jù)倉(cāng)庫(kù)技術(shù)（Extract Transform Load， ETL）流程進(jìn)行數(shù)據(jù)清洗，轉(zhuǎn)換為便于分析的形式。對(duì)于比較復(fù)雜的信息文本，需要通過(guò)特定技術(shù)提取關(guān)鍵內(nèi)容。比如，對(duì)于暗網(wǎng)論壇中語(yǔ)義復(fù)雜的內(nèi)容，還需進(jìn)行關(guān)鍵信息識(shí)別，并作為常規(guī)的分析數(shù)據(jù)保存在ODS層數(shù)據(jù)庫(kù)中;ODS層再將數(shù)據(jù)整理成統(tǒng)一的格式以便進(jìn)行后續(xù)分析。比如，一條特定信息除了從其自身內(nèi)容剝離出可供分析的有效數(shù)據(jù)外，還與一系列特定信息相關(guān)聯(lián)，這些信息保存在爬蟲(chóng)數(shù)據(jù)庫(kù)不同的表結(jié)構(gòu)中。ODS層根據(jù)數(shù)據(jù)對(duì)象之間的關(guān)聯(lián)關(guān)系加以延展，可以生成更多用于數(shù)據(jù)挖掘的重要信息。三是分類(lèi)過(guò)濾無(wú)關(guān)數(shù)據(jù)。鑒于爬蟲(chóng)工具獲取的暗網(wǎng)論壇和黑市信息可能存在少量與恐怖主義無(wú)關(guān)的內(nèi)容——如釣魚(yú)執(zhí)法網(wǎng)站的信息，可運(yùn)行分類(lèi)器過(guò)濾功能，并在數(shù)據(jù)倉(cāng)庫(kù)模塊中構(gòu)造分類(lèi)模型對(duì)數(shù)據(jù)進(jìn)行信息自動(dòng)化檢測(cè)和篩查，? 通過(guò)自動(dòng)配置爬蟲(chóng)模塊中的調(diào)度器，停止與恐怖主義無(wú)關(guān)網(wǎng)頁(yè)的數(shù)據(jù)抓取。四是對(duì)DWS數(shù)據(jù)服務(wù)層數(shù)據(jù)進(jìn)行多維度分析評(píng)估。數(shù)據(jù)倉(cāng)庫(kù)模塊挖掘的數(shù)據(jù)源主要是用戶(hù)發(fā)言中涉及恐怖主義招募、活動(dòng)組織策劃方案與武器交易的內(nèi)容。使用DWD層中經(jīng)過(guò)預(yù)處理的數(shù)據(jù)，在關(guān)聯(lián)網(wǎng)頁(yè)的基礎(chǔ)上整理出包含恐怖主義團(tuán)體、事件類(lèi)型、地區(qū)、策劃行動(dòng)日期、策劃時(shí)長(zhǎng)、武器基本信息等維度的恐怖主義活動(dòng)事件構(gòu)成要素，建立多維度可視分析的“數(shù)據(jù)立方體”，? 通過(guò)“數(shù)據(jù)立方體”的上卷和下鉆，在各個(gè)維度對(duì)團(tuán)體危害程度等進(jìn)行評(píng)估。在數(shù)據(jù)挖掘早期，由于數(shù)據(jù)量不足且不易評(píng)估，主要考慮使用聚類(lèi)分析算法對(duì)人員角色進(jìn)行基本分類(lèi)，待后期從其他路徑搜集到的信息可以與數(shù)據(jù)庫(kù)中爬取的信息進(jìn)行匹配后，再進(jìn)一步評(píng)估、改進(jìn)模型，對(duì)一連串相關(guān)的恐怖主義行為指向進(jìn)行關(guān)聯(lián)分析，進(jìn)而使用邏輯回歸、決策樹(shù)和支持向量機(jī)等算法對(duì)未來(lái)的涉恐事件發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。

（二）暗網(wǎng)信息的智能推演與技術(shù)博弈

暗網(wǎng)環(huán)境下的信息安全分析，以未知信息價(jià)值高于已知事件為假設(shè)性前提。因?yàn)橹挥性诎稻W(wǎng)信息收集、價(jià)值排序和關(guān)聯(lián)化處理完成，并形成信息研判結(jié)論及轉(zhuǎn)化為相關(guān)的行動(dòng)方案和防御性措施之后，針對(duì)暗網(wǎng)信息的分析工作才能對(duì)反恐活動(dòng)發(fā)揮真正的輔助作用。即使是涉恐線(xiàn)索暫時(shí)缺乏確實(shí)證據(jù)的支撐，也要盡量從信息分析中得出暴力恐怖事件發(fā)生概率和過(guò)程的模擬結(jié)果。這是因?yàn)榕老x(chóng)工具所抽取信息的規(guī)則本身，就是基于暗網(wǎng)中涉恐事件發(fā)生的基本框架，只是在信息采集的層面上不能直接顯示出明確的恐怖組織行動(dòng)規(guī)則、完整的恐怖主義事件發(fā)生邏輯與具體恐怖組織成員和追隨者特征。這就需要運(yùn)用信息分析的假設(shè)論和博弈論更加詳細(xì)地探討、分析暗網(wǎng)恐怖主義活動(dòng)可能存在的線(xiàn)下事件模型，并發(fā)揮暗網(wǎng)涉恐信息整合的執(zhí)行意義。

第一，抽取相關(guān)性信息構(gòu)建涉恐事件數(shù)據(jù)模型。首先，使用爬蟲(chóng)工具遍覽暗網(wǎng)中相關(guān)鏈接和網(wǎng)頁(yè)，提取含有恐怖主義關(guān)鍵詞和聯(lián)想詞的各類(lèi)文檔、圖片、音頻和視頻。其次，基于對(duì)文本內(nèi)容類(lèi)別的篩選，自動(dòng)識(shí)別疑似恐怖分子發(fā)布的宣傳、招募、培訓(xùn)、溝通、交易等活動(dòng)信息，以及危險(xiǎn)用戶(hù)的反饋信息。再次，通過(guò)數(shù)據(jù)分析ODS層的預(yù)處理，將單個(gè)零碎的信息數(shù)據(jù)通過(guò)時(shí)間、空間和事件等重點(diǎn)分類(lèi)要素串聯(lián)為信息鏈，揭示恐怖組織利用暗網(wǎng)社群建立不同強(qiáng)度的作戰(zhàn)組織結(jié)構(gòu)或煽動(dòng)暴力恐怖活動(dòng)的可能模式。

第二，探知涉恐事件數(shù)據(jù)模型發(fā)生的有效性。按照博弈論框架下的事件模型及運(yùn)行結(jié)果，預(yù)判暗網(wǎng)論壇和黑市恐怖主義在線(xiàn)活動(dòng)所涵蓋的危險(xiǎn)要素及其可能生成的線(xiàn)下攻擊行為、規(guī)模及涉恐高危人員。以黑市交易為例，一是依據(jù)暗網(wǎng)黑市中某種武器或爆炸物的銷(xiāo)售量、庫(kù)存剩余量、數(shù)字貨幣兌換情況，可以估算單項(xiàng)恐怖主義活動(dòng)成本效益;二是在合理預(yù)算條件下，評(píng)估恐怖分子購(gòu)買(mǎi)的武器類(lèi)型、數(shù)量及可能支持何種規(guī)模的攻擊策略以獲取最大的行動(dòng)回報(bào);三是從爬蟲(chóng)數(shù)據(jù)庫(kù)中提取另一組顯示主題、位置、日期的強(qiáng)關(guān)聯(lián)性向量增加事件精確度，計(jì)算攻擊模式下的模擬事件結(jié)果以及這一恐怖主義行動(dòng)的發(fā)生概率;四是通過(guò)對(duì)暗網(wǎng)黑市中交易用戶(hù)的語(yǔ)言特征、所在地區(qū)、交易方式、商品儲(chǔ)備類(lèi)型等信息的標(biāo)記化和一致性分析，結(jié)合數(shù)據(jù)挖掘判斷多個(gè)暗網(wǎng)平臺(tái)上銷(xiāo)售的同類(lèi)型武器商品是否出自同一賣(mài)家，確定是否將其識(shí)別為高危涉恐成員并進(jìn)行更為深入的社會(huì)網(wǎng)絡(luò)分析和恐怖分子畫(huà)像。

第三，推演涉恐事件數(shù)據(jù)模型與反恐方案的博弈結(jié)果?；趯?duì)立雙方相互作用的博弈論框架，結(jié)合爬蟲(chóng)數(shù)據(jù)庫(kù)建立數(shù)學(xué)模型，對(duì)包括人員、組織、能力、威脅等級(jí)、防御級(jí)別在內(nèi)的恐怖主義行動(dòng)選擇與反恐方案進(jìn)行賦值評(píng)估，以便研究恐怖組織行動(dòng)的概率、類(lèi)別和對(duì)策。? 首先，將爬蟲(chóng)工具抽取到的分類(lèi)恐怖信息及可能暗含的攻擊方式，按照事件關(guān)聯(lián)性逐項(xiàng)建模作為給定變量，確定權(quán)重。其次，圍繞恐怖組織實(shí)施暴恐行動(dòng)的事件模型，對(duì)武器購(gòu)置、人員招募、信息交易、恐怖融資和隱秘社區(qū)的建設(shè)維護(hù)等事件要素賦值，計(jì)算事件模型所代表的整體危險(xiǎn)水平。再次，結(jié)合其他信息來(lái)源的危險(xiǎn)變量及賦值、地理信息的實(shí)時(shí)來(lái)源反復(fù)調(diào)整反恐預(yù)案，設(shè)置阻截要素以降低恐怖組織可能實(shí)施的暴恐活動(dòng)的發(fā)生。最后，對(duì)博弈論框架中的雙方活動(dòng)進(jìn)程進(jìn)行預(yù)案性能評(píng)估分析，以及得出調(diào)整后的應(yīng)對(duì)措施能否有效控制危險(xiǎn)事件的結(jié)論。

（三）暗網(wǎng)恐怖主義社群的用戶(hù)分析

執(zhí)行爬蟲(chóng)信息抓取分析以及反恐智能推演，主要是針對(duì)暗網(wǎng)恐怖組織可能實(shí)施的線(xiàn)下活動(dòng)進(jìn)行預(yù)測(cè)性的危機(jī)描述、事件識(shí)別與預(yù)警處置。由暗網(wǎng)的結(jié)構(gòu)特性出發(fā)，進(jìn)一步擴(kuò)展出這些潛在恐怖主義活動(dòng)的運(yùn)作方式和發(fā)生順序，可以挖掘出恐怖主義信息背后隱藏的激進(jìn)個(gè)人、恐怖組織與恐怖主義基地之間的聯(lián)系模式。因?yàn)樵诎稻W(wǎng)信息接觸的過(guò)程中，暗網(wǎng)黑市的買(mǎi)方和賣(mài)方、論壇發(fā)帖者與訪(fǎng)問(wèn)者之間可能會(huì)在互動(dòng)過(guò)程中識(shí)別彼此身份、傳授和習(xí)得激進(jìn)意識(shí)形態(tài)、達(dá)成共同的行動(dòng)意圖，而頻繁的恐怖主義話(huà)題、標(biāo)簽的信息交流凝聚了危險(xiǎn)用戶(hù)關(guān)系網(wǎng)絡(luò)，增加了恐怖主義行為風(fēng)險(xiǎn)。通過(guò)一定方法探知恐怖主義線(xiàn)上人際關(guān)系結(jié)構(gòu)的潛在模式和發(fā)展動(dòng)態(tài)，有助于定位暗網(wǎng)中恐怖組織和追隨者個(gè)人活動(dòng)軌跡較為集中的隱蔽社區(qū)。

社會(huì)網(wǎng)絡(luò)分析和超鏈接分析是在已建成的暗網(wǎng)恐怖主義爬蟲(chóng)數(shù)據(jù)庫(kù)基礎(chǔ)上，以強(qiáng)連接方式確定論壇、黑市使用情況與用戶(hù)之間相互關(guān)系的可視化方法。二者結(jié)合能夠動(dòng)態(tài)發(fā)現(xiàn)和擴(kuò)展出最大集合的涉恐關(guān)聯(lián)信息，有助于有關(guān)機(jī)構(gòu)更加全面、深入地掌握暗網(wǎng)恐怖組織的人員構(gòu)成及其深度網(wǎng)絡(luò)活動(dòng)，為采取措施防范恐怖主義襲擊提供有效支持。

具體而言，在暗網(wǎng)站點(diǎn)利用爬蟲(chóng)工具獲取恐怖主義相關(guān)活動(dòng)和人員信息后，將涉恐人員之間的互動(dòng)關(guān)系形態(tài)用一定的網(wǎng)絡(luò)結(jié)構(gòu)和關(guān)系圖例表現(xiàn)出來(lái)：暗網(wǎng)黑市的買(mǎi)方和賣(mài)方、暗網(wǎng)論壇的發(fā)帖者和訪(fǎng)問(wèn)者各以一個(gè)節(jié)點(diǎn)表示，他們?cè)诎稻W(wǎng)中的二元活動(dòng)關(guān)系以一條連線(xiàn)表示，? 節(jié)點(diǎn)間相互指向的圖示和度量可以用來(lái)映射暗網(wǎng)中的涉恐人員與恐怖組織之間的聯(lián)系與緊密程度，假定嵌入其中的若干社會(huì)關(guān)系模式對(duì)可能發(fā)生的暴恐行動(dòng)將產(chǎn)生重要影響。

第一，分析出松散結(jié)構(gòu)網(wǎng)絡(luò)中的核心節(jié)點(diǎn)并進(jìn)行用戶(hù)畫(huà)像。高頻節(jié)點(diǎn)反映暗網(wǎng)中涉恐人員的身份角色和人身危險(xiǎn)性，利用節(jié)點(diǎn)的計(jì)算和排序，分析出位于核心節(jié)點(diǎn)的重點(diǎn)人物。根據(jù)該重點(diǎn)人物在暗網(wǎng)中的發(fā)言?xún)?nèi)容、交易類(lèi)型、上網(wǎng)習(xí)慣、網(wǎng)絡(luò)特征、應(yīng)用場(chǎng)景等多維數(shù)據(jù)，抽象出一個(gè)標(biāo)簽化的用戶(hù)模型，在多個(gè)涉恐黑市或論壇搜索與該模型具有高相似度的用戶(hù)，循線(xiàn)追蹤其真實(shí)身份及關(guān)系網(wǎng)絡(luò)，探查是否集結(jié)或參與恐怖主義社群。

第二，創(chuàng)建隱蔽社區(qū)危險(xiǎn)用戶(hù)交互關(guān)系視圖?；诙鄠€(gè)代表重點(diǎn)人物的關(guān)鍵節(jié)點(diǎn)形成強(qiáng)連接的聚類(lèi)視圖，以節(jié)點(diǎn)密度、形狀、規(guī)模和中心點(diǎn)分析恐怖組織或極端主義人員的聚類(lèi)結(jié)構(gòu)、層次和分布。通過(guò)關(guān)聯(lián)分析，找出由危險(xiǎn)用戶(hù)組成、較為穩(wěn)定的活躍集群，以此勾勒暗網(wǎng)中的恐怖主義隱蔽社區(qū)，確定在社區(qū)中扮演主要角色并居于組織核心地位的用戶(hù)。

第三，推演恐怖主義暗網(wǎng)滲透方式與種類(lèi)。通過(guò)聚類(lèi)社群和隱蔽社區(qū)發(fā)布信息的時(shí)間跨度，分析重點(diǎn)人物的活躍度與某一事件模型發(fā)生的同時(shí)性、秘密網(wǎng)絡(luò)結(jié)成的時(shí)間規(guī)律和隱秘社區(qū)的擴(kuò)張速度、變動(dòng)狀態(tài)等。提取暗網(wǎng)論壇、黑市集合中所有網(wǎng)頁(yè)的超鏈接，包括暗網(wǎng)論壇和暗網(wǎng)黑市中的發(fā)帖、評(píng)論的外部鏈接進(jìn)行聚合列表，發(fā)現(xiàn)更多的超鏈接推送給爬蟲(chóng)數(shù)據(jù)庫(kù)，形成網(wǎng)絡(luò)分析圖譜揭示暗網(wǎng)站點(diǎn)相互交互的密切關(guān)系。

結(jié) 束 語(yǔ)

基于暗網(wǎng)通信與交易的匿名和無(wú)痕的特性，打擊暗網(wǎng)恐怖主義活動(dòng)難度較大。而由于網(wǎng)絡(luò)結(jié)構(gòu)的層級(jí)性，以目前的技術(shù)手段不可能徹底消除暗網(wǎng)。我們能夠采取的應(yīng)對(duì)之策，應(yīng)當(dāng)是對(duì)表網(wǎng)中用于發(fā)現(xiàn)恐怖主義信息的技術(shù)原理和分析方法加以改造和升級(jí)后，運(yùn)用于暗網(wǎng)信息的智能分析與深度挖掘，以有效遏制暗網(wǎng)恐怖主義活動(dòng)。暗網(wǎng)并非“法外之地”，就加強(qiáng)網(wǎng)絡(luò)安全、筑牢安全防線(xiàn)的現(xiàn)實(shí)需要而言，有必要加大資源投入，使更多的研究機(jī)構(gòu)和實(shí)務(wù)部門(mén)能夠加入打擊暗網(wǎng)恐怖主義的活動(dòng)，包括利用先進(jìn)的信息調(diào)查和智能數(shù)據(jù)挖掘技術(shù)、運(yùn)用可視化分析工具等技術(shù)手段與方法，偵測(cè)恐怖主義線(xiàn)上、線(xiàn)下活動(dòng)，甄別隱藏在暗網(wǎng)中的恐怖分子及其支持者，遏制暗網(wǎng)恐怖主義滋生和蔓延的趨勢(shì)。打擊暗網(wǎng)恐怖主義活動(dòng)是一場(chǎng)多兵種配合的綜合戰(zhàn)，無(wú)法憑借單一的技術(shù)方法去應(yīng)對(duì)，而應(yīng)當(dāng)綜合使用多種方式和手段，采取包括但不限于網(wǎng)絡(luò)戰(zhàn)、心理戰(zhàn)、軍事戰(zhàn)等在內(nèi)的各種措施，加大打擊力度，以形成對(duì)網(wǎng)絡(luò)恐怖主義的高壓態(tài)勢(shì)。在反恐斗爭(zhēng)中提高反恐能力和水平，不斷增強(qiáng)應(yīng)對(duì)措施的有效性，不給暗網(wǎng)恐怖主義分子留下可乘之機(jī)，在利用好互聯(lián)網(wǎng)給人類(lèi)帶來(lái)的福祉的同時(shí)，通過(guò)“利劍”“凈網(wǎng)”等行動(dòng)，還互聯(lián)網(wǎng)一片清朗的空間，增強(qiáng)人民群眾的安全感。

[責(zé)任編輯：楊 立]