原文作者:Matthias Schäfer; Markus Fuchs; Martin Strohmeier; Markus Engel; Marc Liechti; Vincent Lenders
原文标题:BlackWidow: Monitoring the Dark Web for Cyber Security Information
原文链接:https://ieeexplore.ieee.org/abstract/document/8756845
原文来源:2019 11th International Conference on Cyber Conflict (CyCon)
笔记作者:[email protected]
笔记小编:bight[email protected]
暗网由于其隐蔽于搜索引擎和普通用户之外,被网络犯罪分子用来提供各类非法服务和商品。在暗网社区中,许多交易的商品都与网络安全领域高度相关,如0day漏洞的信息、某些网站的用户信息数据库或可租用的僵尸网络。这篇论文中,作者提出了BlackWidow,可以对特定的暗网社区论坛进行监测并将收集到的数据融合到一个分析框架中,然后将论坛数据和相应的关系通过知识图谱表示出来,提供给分析人员交互式的搜索功能。实验表明,BlackWidow可以推断出帖子作者与论坛之间的关系,并检测网络安全相关主题的讨论趋势。
BlackWidow的整体架构是由5个环节组成的处理链,分别是获得访问权、收集原始数据、解析原始数据、分析数据中包含的实体以及关系、结果展示。
作者选择了7个论坛进行相关的分析,持续收集数据1年。在作者撰写论文时,只有4个论坛仍然能够访问,这也说明了这类暗网论坛生命周期短、波动性高。
论坛规模可以通过帖子数量或用户数量来评估,下面两个图分别是7个论坛的用户数量和帖子数量情况。可见,论坛5拥有最多的用户数量,而论坛3的帖子数量最多。然而平均来说,论坛5的一个用户只发表了2.28篇回复,这可能是由于论坛5是一个深网论坛,不需要Tor等其他软件就能够访问,因此用户来源更加广泛。
论坛间的关系通过不同论坛内用户的用户名关联性确定,结果如下图所示。可以看到,使用同一语言的论坛间有着大量的重叠。然而,论坛5则显示出与其他大多数论坛都有着一定的重叠,如果将这些交叉点视为传播渠道,就可以说明开放性较高的论坛5为更深层的其他暗网论坛提供了信息传播的切入点。
论坛内用户的关系,则通过查看他们共同回复过的帖子来进行确定。下图是论坛4和论坛5的分析结果,图中的点表示单个用户,边则表示了他们存在的关系,节点的大小表示边的数量,以不同颜色表示其中的子社区。可以看出,两个论坛的差异比较明显。论坛4的总体规模比较小,但用户间的密度更大;而论坛5中存在许多大型节点,实际查看发现,他们是一些产品序列号的供应商或论坛的版主管理员。
上图显示了5个最热门的网络安全相关帖子所占的比例与时间的关系。可以看出,讨论数据泄露的比例在逐年上升,与漏洞和数据库相关的主题数量基本保持稳定,DDoS相关话题在16年有过一次高峰,其他时间则与僵尸网络的讨论热度差不多,相对比较冷门。
安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com