摘要
本框架聚焦网络安全领域暗网情报能力,全面覆盖 Traditional Dark Web(传统暗网)与 Dark Web Lite(轻暗网)双生态,构建包含七大核心能力域的技术能力评估体系:
- Traditional Dark Web 威胁源采集和反爬对抗能力:从采集广度(>5、>50、>200 个根域)、采集深度(>100、>200、>1000 个 New Post 每日采集量)、防御策略/反爬对抗能力(稳定采集 Tier3、Tier2、Tier1 级别威胁源)、情报采集时效性(Tier1 无、Tier2 无、Tier3 <24 小时、<6 小时、<2 小时)、暗网波动对抗能力(<30 天、<7 天、<48 小时恢复)六个维度进行评估。
- Dark Web Lite 威胁源采集能力:从威胁源采集广度(>100、>1000、>5000 个群组和频道)、内容解析度(采集消息、识别和定位消息附件、自动下载小附件,识别和定位超大附件)、威胁源采集量(>10,000、>100,000、>1,000,000 条每日消息)、采集效果优化(<24 小时、<6 小时、<1 小时优化)四个维度进行评估。
- 暗网情报智能分析能力:从关键实体信息提取(可自动提取部分/全部实体,并支持波动时自动关联)、情报分级分类(未分级、部分情报分级、全自动化多维度分级)、情报分析时效性(延迟 <24 小时、<1 小时、<2 小时)、多维度向量检索(仅关键词检索、基于关键实体和分级分类检索、多维度联合查询检索)、情报知识图谱构建(未建立、半自动化构建、全自动构建与关联)五个维度进行评估。
- 暗网情报高保真复制和持久化存档能力:从高保真复制(仅文本、部分复制、高保真完整复制)、多媒体解析与向量检索(不解析、仅链接、深度解析并支持检索)、持久化存档稳定性(依赖原始情报、部分存档、长期稳定存档)、风险控制与使用便利性(需登录、登录查看附件、零暴露访问)四个维度进行评估。
- 中文暗网生态环境威胁识别能力:从中文 Traditional Dark Web 识别(不覆盖、覆盖 2 个、覆盖 5 个主要平台)、中文 Dark Web Lite 识别(不覆盖、采集 >500、>2000 个)、侵公威胁源识别(不覆盖、识别较多、深度识别并预警)三个维度进行评估。
- 海量泄露数据知识库能力:从历史知识库积累规模(规划中、>100 亿、>1000 亿)、新增数据扩展速度(更新规划中、数千万量级、稳定千万量级)、数据库响应速度(>15 秒、<15 秒、<5 秒)三个维度进行评估。
- 事件处置与响应闭环能力:从暗网事件风险等级研判(仅部分研判、任意研判并追溯 >1 年、任意研判并追溯 >3 年)、协助泄露源调查(不提供支撑、部分调查需用户操作、全链条调查用户零触碰)、危机应对指导(仅咨询、协助部分工作、全流程主动推进)三个维度进行评估。
本框架立足国内暗网威胁实战特征,针对数据泄露、勒索软件、IAB 交易、侵公威胁等本土高发风险,明确统一分级标准与量化指标参数,解决当前行业能力定义模糊、评估主观化、标准不统一、本土化适配不足等突出问题。框架为安全厂商、政企机构、监管与研究单位提供可参照、可核验、可落地的技术标尺,助力提升暗网威胁发现、预警、溯源与处置能力,完善数据泄露与勒索软件攻击的事前监测、事中响应、事后闭环体系,推动国内暗网威胁情报领域向标准化、专业化、实战化方向发展。
未来 3-5 年,暗网威胁生态将呈现双生态深度融合、侵公类威胁国际化、威胁智能化升级、跨域与 cyber-kinetic 风险凸显、监管与执法反制下的高动态波动等趋势。暗网情报技术能力需向全域自动化与自适应、预测性与因果推理、量子安全与分布式、自动化编排与闭环反馈、动态量化与 AI 辅助评估等方向发展。
