主题

CAI 和 DarkNet 生态系统
伪框架
OpSec & Access
暗网智能的未来

CAI 和 DarkNet 生态系统

在美国情报界，有 16 个不同的联邦机构为消费者收集、分析和传播情报（“依靠情报做出明智决策的组织和政策制定者”）。

同样，在这些联邦机构之前是 ODNI（“国家情报总监办公室”），它主要负责国家情报计划的规划和实施，以及 POTUS（“美国总统”）和其他两个委员会的顾问。

此外，更广泛的情报界收集和分析的一种信息是 CAI（“商业可用信息”），情报界将其定义为：

“任何数据或其他信息，属于通常向公众或非政府实体提供或获取以及出售、租赁或许可用于政府目的以外的目的。”

情报界提供的 CAI 政策框架中概述了许多保障措施和分类，但需要一种非常规的方法来了解暗网的生态系统并利用暗网上出售的信息。

暗网是一个生态系统，其中 OSINT（“开源情报”）是首选的 INT（“情报”），因为它允许分析师和研究人员立即深入了解 APT（“高级持续威胁”）团体、黑客、其他行为者的 TTP（“战术、技术和程序”）以及哪些类型的信息是有价值的。通过聚合大量泄露的信息，分析师可以交叉引用大量数据源并生成可扩展的情报档案。DarkNet 生态系统对情报界的价值不仅在于不同的数据，还在于在集体分析这些数据集时发现的相关性，从而为情报行动和威胁评估提供关键见解。

暗网：CAI 的非常规来源 — **CAI & DarkNet Intelligence 流程图**

伪框架

该分析框架是我为利用 DarkNet 中的 CAI 而开发的框架，它从收集和整合各种数据源开始，例如数据泄漏、凭证转储和个人信息存储库。这些原始数据是宏观人群分析和微观层面个人定位的基础。该系统设计为由任何大规模的ETL（“提取、转换和加载”）过程、专门的虚拟计算系统或受保护的环境来处理，这些系统集成了操作安全性，同时保持了信息收集过程的完整性。

第二层是分析层，它处理并行流中的数据。宏观分析部分研究了数据的广泛模式，揭示了大型数据库中的人口行为、经济模式和社会舆论分布。同时，对特定靶标进行微量分析，交叉引用身份和映射凭证，以生成特定靶标个体的准确数字足迹。这种双重程序可确保从同一数据集中得出信息和战术洞察的广泛战略方法。

最后一层通过专门的输出将处理后的信息转换为情报产品。人口情报提供对特定社会趋势和行为的洞察，而金融情报则揭示市场模式和经济指标。最终的目标配置文件提供有关特定个人或组的精确信息，而合成的威胁情报则提供可操作的安全见解。这种多层方法确保 DarkNet 数据可以转化为有价值的资产，每个资产都满足特定的运营要求，而分析师永远不会忘记从头到尾确保运营安全。

OpSec & Access

我介绍了用于情报研究的 OpSec 框架，这是一种全面的多层方法，旨在通过严格的软件划分来保护敏感操作。该框架的物理安全层要求研究人员和分析人员使用加密的可启动 USB、终止开关和气隙工作站来建立一个隔离的环境，禁止未经授权的访问和数据泄露。

注意：对于不了解 OpSec（“Operational Security”）的个人，这是一个简单的风险管理框架。

系统架构使用 Qubes OS，我之所以选择它，是因为 Tails OS 和简单地使用 Tor 浏览器无法提供与 Qubes OS 相同级别的安全性。Qubes OS 的虚拟化系统创建多个具有特定用途的隔离虚拟机，例如用于匿名网络路由的专用 Whonix 网关、用于安全凭据存储的保险库虚拟机、以及单独的环境，以防止敏感信息交叉污染。

如何安全访问暗网进行威胁研究

什么是暗网

Qubes 设置

身份管理在该框架内至关重要，因为研究人员使用精确研究的背景创建全新的数字角色，并确保每个身份都是不同的，并且只能通过受控的信息渠道进行追踪。通过未受损的 Tor 节点和网桥安装网络安全提供了混淆，使资源有限的对手难以归因。应急措施是完全集成的，允许即时数据销毁、身份销毁程序和快速操作关闭机制，这些机制可以在第一时间启动潜在危害。

该 OpSec 框架背后的核心理念不仅是降低风险和防止未经授权的访问，而且还创建一个动态的、自适应的安全框架，该框架可以预测系统内潜在漏洞的存在，并建立在漏洞被利用之前消除这些漏洞的方法。研究人员和分析师受益于将 Whonix 的网络隔离架构与匿名化方法相结合，从而减少了 OpSec 泄露。

与 Tails 不同，它之前被 Facebook 研究人员入侵。Whonix 的网关工作站模型提供了一种完全不同的方法。由于存在无法直接联系网络的隔离工作站 VM，因此如果它遭到入侵，则会保留网络匿名性。这种方法解决了其他注重隐私的操作系统中发现的严重缺陷。如果运营安全不是事后才考虑的，Whoix + Qubes OS 已被证明是以最小的数字足迹处理敏感信息的坚实基础。

暗网智能的未来

这是我对暗网情报的未来展望，正如我之前在另一出版物中讨论的那样，CEI（“网络间谍情报”）现在在情报界对暗网的影响力的演变中发挥着决定性的作用。

暗网间谍手册

网络间谍情报（CEI）是招募技术娴熟的间谍进行欺骗性间谍的贸易手段......

medium.com

人为因素仍然是暗网情报收集的关键基础，因为网络间谍情报被定义为（“招募技术熟练的特工以利用欺骗性技术方法来支持全面的情报收集过程的技术交易”）始于细致入微的人类理解。在现代算法和机器学习能够分析复杂的数字环境之前，人类智能专家必须驾驭暗网生态系统的广泛社交网络、心理动机和微妙的沟通渠道。熟练的特工利用深刻的心理学洞察力、文化意识和人际操纵策略来建立信任，发现可能的来源，并为情报收集奠定基础，技术系统随后将对其进行分析和扩展。

随着这种人加 AI 方法的发展，贝叶斯推理和机器学习等技术方法将原始人类智能转化为复杂的预测性威胁评估。人类专业知识与算法分析相结合，使分析师能够创建动态威胁模型，以适应快速变化的数字环境。机器学习算法现在可以解释细微的人类智能，识别时间模式，映射场景概率，并以无与伦比的精度将数据置于上下文中。

暗网智能的未来源于人类直觉和技术准确性的独特综合。情报组织可以整合贝叶斯框架，根据人类收集的见解动态构建假设（“这也可以通过 CNE/CNA”），从而形成更主动、更复杂的方法来理解复杂的数字威胁形势。技术系统不会取代人类智能;相反，它们放大和扩大了有才华的特工的范围，从而形成一个智能生态系统，其中人类知识和计算能力相结合，以发现更深入、更全面的情报能力。

非常规，但有益

虽然这种信息收集方法与以前的方法不同，但它在威胁分析和预测智能方面取得了重大进步。情报界为分析复杂、动态的威胁态势奠定了微妙的基础，并且可以通过将使用概率推理和多样化专业知识的超级预测技术与借鉴过去数据趋势的参考预测方法相结合来进一步增强。人类心理理解与强大的计算建模相结合，将原始数据转化为上下文丰富的信息，从而在日益复杂的全球技术官僚生态系统中实现更精确的预测和主动的战略规划。

我所采取的方法并非源于对既定智能实践的彻底背离，而是源于人类直觉与技术精度的复杂综合的必要性，从而产生了一个超越了商业可用信息和分析聚合的传统方法的自适应智能框架。如果情报界也能接受不确定性作为可量化的变量，并将情报视为概率性而不是确定性过程，那么这种范式转变为更广泛的情报界提供了一种更具前瞻性的方法来解决全球问题。

其它相关课程