WO2020015199A1 - 暗网的安全性评估方法、服务器及计算机可读存储介质 - Google Patents

Abstract

一种暗网的安全性评估方法、服务器及计算机可读存储介质，方法包括：根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成安全性评估报告，实现了对暗网网站的安全性进行评估。

Description

暗网的安全性评估方法、服务器及计算机可读存储介质

本申请要求于2018年07月19日提交中国专利局、申请号为201810800402.8、申请名称为“一种暗网的安全性评估方法、服务器及计算机可读介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种暗网的安全性评估方法、服务器及计算机可读存储介质。

背景技术

暗网是指不能通过静态链接获取其内容的web页面，这些页面是目前搜索引擎无法直接抓取的网页，且不能直接进行检索的网页，目前用户可以根据暗网域名，利用匿名网络即洋葱路由器(The Onion Router，Tor)进入暗网网站的页面。

暗网网站包括了大量重要的隐藏数据信息，目前没有与暗网网站的安全相关的研究，因此对暗网网站进行安全性检测和评估具有重要的研究意义。

申请内容

本申请实施例提供一种暗网的安全性评估方法、服务器及计算机可读存储介质，可实现对暗网网站的安全性进行评估。

第一方面，本申请实施例提供了一种暗网的安全性评估方法，该方法包括：

根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；

根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

第二方面，本申请实施例提供了一种服务器，该服务器包括用于执行上述第一方面的方法的单元。

第三方面，本申请实施例提供了另一种服务器，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储支持服务器执行上述方法的计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述第一方面的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。

本申请实施例中，通过对暗网网站的文本内容信息和网络指纹信息进行漏洞检测，生成了所述暗网网站的安全性评估报告，实现对暗网网站的安全性评估。

附图说明

图1是本申请实施例提供的一种暗网的安全性评估方法的示意流程图；

图2是本申请实施例提供的另一种暗网的安全性评估方法的示意流程图；

图3是本申请实施例提供的又一种暗网的安全性评估方法的示意流程图；

图4是本申请实施例提供的一种服务器的示意框图；

图5是本申请实施例提供的另一种服务器示意框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的暗网的安全性评估方法可以由服务器执行，所述服务器可以是手机、电脑、平板、智能手表等智能终端上。下面对应用于服务器的暗网的安全性评估方法进行举例说明。

本申请实施例中，服务器可以通过获取暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息。在某些实施例中，所述文本内容信息是指所述暗网网站对应网页中的数据信息。所述服务器可以根据获取到的所述文本内容信息，确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述暗网网站的文本内容信息进行漏洞检测。在某些实施例中，所述网络指纹信息是指在暗网网站上不能直接获取到的数据信息，例如，安全外壳协议(Secure Shell，SSH)、端口信息、邮箱信息、使用 语言、Web服务器类型、网站开发语言、网站HTML路径信息等任意一种或多种数据信息。所述服务器可以根据获取到的所述暗网网站的网络指纹信息，确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测。所述服务器在对所述暗网网站的文本内容信息和/或网络指纹信息进行漏洞检测之后，可以根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告，从而实现对暗网网站的安全性评估。下面结合附图对本申请实施例进行详细说明。

参见图1，图1是本申请实施例提供的一种暗网的安全性评估方法的示意流程图，如图1所示，该方法可以由服务器执行，所述服务器的具体解释如前所述，此处不再赘述。具体地，本申请实施例的所述方法包括如下步骤。

S101：根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息。

本申请实施例中，服务器可以根据获取到的暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的数据信息。在某些实施例中，所述数据信息包括：文本内容信息和网络指纹信息，所述文本内容信息和网络指纹信息的具体解释如前所述，此处不再赘述。

在一个实施例中，所述服务器在根据获取到的暗网域名访问该暗网域名对应的暗网网站之前，可以在所述服务器上搭建分布式系统架构，并获取在所述分布式系统架构上添加的暗网域名，以及检测所述暗网域名对应的暗网网站是否能够被访问，如果检测到所述暗网域名对应的暗网网站能够被访问，则根据获取到的暗网域名访问该暗网域名对应的暗网网站。

需要说明的是，在所述服务器上搭建分布式系统架构时，可以搭建一个分布式系统作为基础架构，其中，该分布式系统是利用hadoop搭建的分布式平台系统，以实现在获取到多个暗网域名时，可以并行地获取各暗网网站的数据信息，以对各个暗网网站并行地进行安全性检测。该分布式系统是基于Hadoop和Nutch搭建的分布式爬虫系统，Nutch是一种分布式爬虫，它可以通过代理软件工作在Socks协议下。Hadoop是能够对大量数据进行分布式处理的软件框架。本方案可以基于Hadoop和Nutch的分布式系统配置Tor服务，并通过修改Nutch的配置使Nutch使用防火墙安全会话转换协议(Protocol for sessions traversal across firewall securely，Socks)，以实现Nutch与Socks协议交互。在配置Nutch使用Socks协议的过程中，可以使用Privoxy代理软件将超文本传输协议(HyperText Transfer Protocol，HTTP)转化为Socks协议。本方案通过这种分布式系统可以多节点分布式的对获取到的多个暗网域名并行地进行分配、以及并行地对各暗网网站进行漏洞扫描检测。

具体实施过程中，如果服务器确定出所述暗网网站能够被访问，则可以通过Tor访问该暗网网站， 并利用该暗网网站所分配到的分布式系统上的爬虫获取该暗网网站的数据信息。获取到的该数据信息包括该暗网网站的文本内容信息和网络指纹信息。该暗网网站的文本内容信息是指暗网网站页面上的信息，比如网站评论信息、网站登录的账户信息、密码信息等。该暗网网站的网络指纹信息包括比如SSH(安全外壳协议)、端口信息、邮箱信息Emails、使用语言、Web服务器类型、网站开发语言和/或网站相对路径信息等数据信息。

具体实施过程中，所述服务器可以获取到在分布式系统上添加的一个或多个暗网网站的域名(如以.Onion为后缀的网站域名)，并将获取到的所述一个或多个暗网网站的域名分配到该分布式系统的任务调度模块上，该任务调度模块可以对获取到的所述一个或多个暗网域名进行合理调度分配，并将所述一个或多个暗网域名分别分配给该分布式系统中的不同的任务处理模块，以实现对一个或多个暗网域名的并行处理，从而提高访问多个暗网域名对应的暗网网站的效率。

在某些实施例中，所述服务器上搭建的该分布式系统在对多个暗网域名进行分配时可以是有序分配，比如按照获取到的各暗网域名在该分布式系统上添加的时间的先后顺序对添加的多个域名进行顺序分配。或者，在某些实施例中，所述服务器可以根据预先设置的域名优先级对获取到的多个暗网域名按域名优先级的高低进行分配。本申请实施例对多个暗网域名在分布式系统上的分配方式不做具体限定。

在一个实施例中，所述服务器上搭建的分布式系统在完成对获取到的多个暗网域名的分配之后，可以通过使用Tor访问各个暗网域名对应的暗网网站。在访问各暗网域名对应的暗网网站之前，所述服务器可以通过该分布式系统分别向各个暗网域名对应的暗网网站发送一个探测指令。如果暗网网站接收到该探测指令，暗网网站将返回一个确认指令给该服务器，该确认指令用于确认收到该探测指令，因此，如果该服务器接收到某暗网网站返回的确认指令，则可以确定该暗网网站能够被访问。如果所述服务器没有接收到暗网网站返回的确认指令，则可以确定该暗网网站不存在，或者因服务地址已切换等原因不能被访问。

在某些实施例中，当确定出某个暗网网站不能被访问时，所述服务器可以不用再向该暗网网站发送探测指令，直接通过所述服务器的分布式系统中的任务调度模块再循环分配一个新的暗网域名，并检测所述新的暗网域名是否能够被访问。本申请实施例，通过这种探测暗网域名对应的暗网网站是否能够被访问的方式，提高了检测暗网是否能够被访问的效率。

S102：确定所述数据信息中的文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测。

本申请实施例中，所述服务器可以根据获取到的所述数据信息中的文本内容信息，确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述暗网网 站的文本内容信息进行漏洞检测。其中，所述服务器中的历史记录中记录了该服务器检测过的各暗网网站的漏洞检测的检测结果，在某些实施例中，该检测结果可以包括：检测开始的时间信息、检测结束的时间信息、检测状态已完成、已停止和意外中断等状态信息、检测的文本内容信息、检测的结果信息，处理的数据信息、检测的应用或软件系统版本、执行状态、错误信息等任意一种或多种信息。

在一个实施例中，所述服务器在根据所述第一相似度对所述暗网网站的文本内容信息进行漏洞检测时，可以检测所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度是否小于预设阈值，如果检测到所述第一相似度小于预设阈值，则所述服务器可以从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。

在其他实施例中，如果检测到所述第一相似度大于或等于预设阈值，则可以确定所述暗网网站的文本内容信息与历史记录中的该暗网网站的文本内容信息相似，所述服务器可以不用对该暗网网站的文本内容信息进行漏洞检测，直接使用历史记录中记录的关于该暗网网站的文本内容信息的相关漏洞检测结果，以节省漏洞检测时间，提高检测效率。

S103：确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测。

本申请实施例中，服务器可以从获取到的暗网网站的数据信息中获取到该暗网网站的网络指纹信息，并确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，以及根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测。

在一个实施例中，所述网络指纹信息包括超文本标记语言HTML的路径信息，所述HTML的路径信息包括HTML相对路径信息和HTML绝对路径信息。所述HTML相对路径是指所述暗网网站中对应各文件所在的路径引起的跟其它文件(或文件夹)的路径关系；所述HTML绝对路径是指所述暗网网站中对应各文件的带域名的完整路径。

在一个实施例中，所述服务器在根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测时，可以判断所述暗网网站的HTML相对路径信息与历史记录中该暗网网站的HTML相对路径信息的第二相似度是否小于预设阈值。或者，在某些实施例中，所述服务器在根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测时，可以判断所述暗网网站的HTML绝对路径信息与历史记录中该暗网网站的HTML绝对路径信息的第二相似度是否小于预设阈值。在其他实施例中，所述服务器可以判断所述暗网网站的HTML相对路径信息与历史记录中该暗网网站的HTML相对路径信息的第二相似度是否小于预设阈值，以及判断所述暗网网站的HTML绝对路径信息与历史记录中该暗网网站的HTML绝对路径信息的第二相似度是否小于预设阈值。

在某些实施例中，如果判断出所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度大于或等于预设阈值，则所述服务器可以不用对所述暗网网站的网络指纹信息进行漏洞检测，直接使用历史记录中的该暗网网站中关于所述网络指纹信息的漏洞检测结果。

在一个实施例中，所述网络指纹信息可以包括端口信息，所述端口信息包括端口号、端口应用、端口应用版本、端口状态等信息等任意一种或多种信息。所述服务器在根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测时，可以检测所述暗网网站的端口信息与历史记录中所述暗网网站的端口信息是否匹配，如果检测到所述端口信息与历史记录中所述暗网网站的端口信息不一致，则调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。

具体实施过程中，假设获取到的网络指纹信息为该暗网网站的端口信息，则可以将获取到的该端口信息与历史记录中上一次访问该暗网获取到的端口信息进行对比，判断获取到的该端口信息是否与历史记录中上一次访问该暗网网站的端口信息相同，如果判断结果为不相同，则可以确定该暗网网站具有存在漏洞的可能性，并调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。例如，假设检测到该暗网网站对应的端口号为21，如果获取到的历史记录中上次访问该暗网网站对应的端口号变为8080，则可以确定该暗网网站具有存在漏洞的可能性，并调用与所述端口信息相关联的漏洞扫描工具，对获取到的该端口号为8080的端口对应的内容信息进行扫描检测。

在一个实施例中，所述暗网网站的网络指纹信息可以包括SSH信息，假设扫描获取到的网络指纹信息为该暗网网站的SSH信息，则所述服务器可以根据该SSH信息获取SSH的版本号，如果判断出所述SSH的版本号发生变化，则可以通过Tor从预设的漏洞扫描工具中调用与该SSH的版本号相关联的漏洞扫描工具对所述暗网网站进行漏洞检测。

S104：根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

本申请实施例中，服务器可以根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

在一个实施例中，所述检测结果可以是扫描日志，所述服务器可以通过调用部署在分布式系统上的存储模块中存储的扫描日志，对扫描日志中的数据信息进行解析，生成详细的与所述暗网网站相关联的安全性评估报告。在某些实施例中，所述安全性评估报告可以包括：对所述暗网网站进行漏洞检测得到的各漏洞信息、该暗网网站的安全性等级、与各漏洞信息相关联的解决方案等任意一种或多种信息，本申请实施例不做具体限定。该安全性评估报告可以为PDF、DOC、Execl、HTML等任意一种格式，以供用户导出查看。

本申请实施例中，服务器可以根据暗网域名获取所述暗网域名对应的暗网网站的文本内容信息和/或网络指纹信息，通过确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，对所述暗网网站的文本内容信息进行漏洞检测，确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测，进一步根据对所述文本内容信息和网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告，从而实现对暗网网站的安全性评估。

参见图2，图2是本申请实施例提供的另一种暗网的安全性评估方法的示意流程图，如图2所示，该方法可以由服务器执行，所述服务器的具体解释如前所述，此处不再赘述。本申请实施例与图1所述实施例的区别在于：本申请实施例是对暗网网站的文本内容信息进行检测的具体实施过程的详细说明。具体地，本申请实施例的所述方法包括如下步骤。

S201：根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的文本内容信息。

本申请实施例中，服务器可以根据获取到的暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的数据信息中包括的文本内容信息，其中，所述文本内容信息的解释如前所述，此处不再赘述。

S202：检测所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度是否小于预设阈值。

本申请实施例中，服务器可以确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述暗网网站的文本内容信息进行漏洞检测。

在一个实施例中，所述服务器可以检测所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度是否小于预设阈值。具体可举例说明，假设所述预设阈值为m，如果服务器检测到所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度为n，如果n<m，则可以确定所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度小于预设阈值。

S203：如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述文本内容信息进行漏洞检测。

本申请实施例中，如果检测到所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度小于预设阈值，则所述服务器可以从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。

在一个实施例中，所述服务器可以根据获取到的所述暗网网站的文本内容信息，确定出所述文本内容信息中包括的高危漏洞关键词或关键字信息，并可以从预设的漏洞扫描规则集中选取与所述文本内容信息中的高危漏洞关键词或关键字信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。例如，如果服务器根据获取到的所述暗网网站的文本内容信息，确定出所述文本内容信息中包括的高危漏洞关键词信息为密码，则可以从预设的漏洞扫描规则集中选取与所述文本内容信息中的密码信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。

在某些实施例中，服务器在对获取到的暗网网站的内容信息进行扫描检测的过程中，可以分别调用预设的漏洞扫描规则集中包括的所有漏洞检测工具，依次对获取到的暗网网站的内容信息进行扫描检测。

S204：根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

本申请实施例中，服务器可以根据对所述暗网网站的文本内容信息进行漏洞检测得到的检查结果，生成该暗网网站的安全性评估报告。其中，所述暗网网站的安全性评估报告的解释如前所述，此处不再赘述。

本申请实施例中，服务器可以根据获取到的暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的文本内容信息，如果检测到所述暗网网站的文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测，并根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。通过这种方式，提高了对暗网网站进行漏洞检测的效率，实现了对暗网网站的安全性评估。

参见图3，图3是本申请实施例提供的又一种暗网的安全性评估方法的示意流程图，如图3所示，该方法可以由服务器执行，所述服务器的具体解释如前所述，此处不再赘述。本申请实施例与图2所述实施例的区别在于，本申请实施例是对暗网网站的网络指纹信息进行检测的详细说明。具体地，本申请实施例的所述方法包括如下步骤。

S301：根据获取到的暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的网络指纹信息，其中，所述网络指纹信息包括HTML的路径信息。

本申请实施例中，服务器可以根据获取到的暗网域名访问该暗网域名对应的暗网网站，并获取所述暗网网站的网络指纹信息，其中，所述网络指纹信息包括HTML的路径信息。所述HTML的路径信息的解释如前所述，此处不再赘述。

S302：根据预设的相似度算法，计算所述HTML的路径信息与历史记录中所述暗网网站的HTML 的路径信息的第二相似度。

本申请实施例中，服务器可以根据预设的相似度算法，计算所述暗网网站的HTML的路径信息与历史记录中该暗网网站的该HTML的路径信息的第二相似度。

在一个实施例中，所述HTML的路径信息包括HTML相对路径信息，所述服务器可以根据预设的相似度算法，计算所述暗网网站的HTML相对路径信息与历史记录中该暗网网站的该HTML相对路径信息的第二相似度。其中，所述预设的相似度算法可以是常用的相似度算法，本申请实施例对所述预设的相似度算法不做具体限定。

在某些实施例中，所述服务器在根据预设的相似度算法，计算所述暗网网站的HTML相对路径信息与历史记录中该暗网网站的该HTML相对路径信息的第二相似度时，进一步地可以计算所述HTML相对路径信息与历史记录中该暗网网站的该HTML相对路径信息的路径相似度为A，以及计算所述HTML相对路径信息对应文件的文本信息与历史记录中该HTML相对路径信息对应文件的文本信息的文本相似度为B，所述服务器可以为所述路径相似度配置一个权重为α，为所述文本相似度配置一个权重为β，再根据计算公式：C＝A*α+B*β，计算得到所述第二相似度为C。

例如，假设根据预设的相似度算法计算得到的路径相似度A为0.8，给该路径相似度设置的权重α为0.5，如果通过预设的相似度算法，计算得到该暗网网站的HTML相对路径信息对应文件的文本信息与历史记录中上一次扫描该暗网网站得到的该HTML相对路径信息对应文件的文本信息的文本相似度B为0.6，且设置的权重β为0.5，因此可以确定所述第二相似度值C为：0.5*0.6+0.5*0.8＝0.7。

S303：如果检测到所述第二相似度小于预设阈值，则获取所述HTML的路径信息对应文件的文本信息。

本申请实施例中，如果所述服务器检测到所述第二相似度小于预设阈值，则可以获取所述HTML的路径信息对应文件的文本信息。

S304：调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测。

本申请实施例中，服务器在判断出所述第二相似度小于预设阈值时，可以调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述HTML的路径信息对应文件的文本信息进行漏洞检测。

S305：根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

本申请实施例中，服务器可以根据对所述暗网网站的网络指纹信息进行漏洞检测得到的检查结果，生成该暗网网站的安全性评估报告。其中，所述暗网网站的安全性评估报告的解释如前所述，此处不再 赘述。

本申请实施例中，服务器可以根据预设的相似度算法，计算访问到的暗网网站的HTML的路径信息与历史记录中该暗网网站的该HTML的路径信息的第二相似度，如果检测到所述第二相似度小于预设阈值，则可以调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测，从而根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。通过这种方式，实现了对暗网网站的安全性评估，提高了对暗网网站进行安全性评估的准确性。

本申请实施例还提供了一种服务器，该服务器用于执行前述任一项所述的方法的单元。具体地，请参见图4，图4是本申请实施例提供的一种服务器的示意框图。本实施例的服务器包括：获取单元401、第一检测单元402、判断单元403、第二检测单元404、生成单元405。

获取单元401，用于根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

第一检测单元402，用于确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

第二检测单元403，用于确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；

生成单元404，用于根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

进一步地，所述获取单元401在根据获取到的暗网域名访问所述暗网域名对应的暗网网站之前，还用于获取在服务器上预先搭建的分布式系统架构中添加的暗网域名；检测所述暗网域名对应的暗网网站是否能够被访问；如果检测到所述暗网网站能够被访问，则执行所述根据获取到的暗网域名访问所述暗网域名对应的暗网网站的步骤。

进一步地，所述获取单元401在检测所述暗网域名对应的暗网网站是否能够被访问时，具体用于通过匿名网络Tor向所述暗网域名对应的暗网网站发送探测指令；如果在预设时间范围内接收到所述暗网网站反馈的确认指令，则确定所述暗网网站能够被访问。

进一步地，所述第一检测单元402在根据所述第一相似度对所述文本内容信息进行漏洞检测时，具体用于检测所述第一相似度是否小于预设阈值；如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。

进一步地，所述网络指纹信息包括超文本标记语言HTML的路径信息，所述HTML的路径信息包 括HTML相对路径信息和/或HTML绝对路径信息；所述第二检测单元403在确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体用于根据预设的相似度算法，计算所述暗网网站的HTML的路径信息与历史记录中所述暗网网站的该HTML的路径信息的第二相似度。

进一步地，所述第二检测单元404根据所述第二相似度对所述网络指纹信息进行漏洞检测时，具体用于检测所述第二相似度是否小于预设阈值；如果检测到所述第二相似度小于预设阈值，则获取所述HTML的路径信息对应文件的文本信息；调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测。

进一步地，所述网络指纹信息包括端口信息；所述第二检测单元403在确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体用于检测所述暗网网站的端口信息是否与历史记录中所述暗网网站的端口信息相同；如果检测结果为相同，则确定所述第二相似度大于预设阈值；

所述第二检测单元403在根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测时，具体用于如果所述第二相似度大于预设阈值，则调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。

本申请实施例中，服务器根据暗网域名获取所述暗网域名对应的暗网网站的文本内容信息和网络指纹信息，通过确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，对所述暗网网站的文本内容信息进行漏洞检测，以及确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测，根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告，以实现对暗网网站的安全性评估。

参见图5，图5是本申请实施例提供的另一种服务器示意框图。如图所示的本实施例中的服务器可以包括：一个或多个处理器501；一个或多个输入设备502，一个或多个输出设备503和存储器504。上述处理器501、输入设备402、输出设备503和存储器504通过总线505连接。存储器504用于存储计算机程序，所述计算机程序包括程序指令，处理器501用于执行存储器504存储的程序指令。其中，处理器501用于调用所述程序指令执行以下步骤：

根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二 相似度对所述网络指纹信息进行漏洞检测；

根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。

进一步地，所述处理器501根据获取到的暗网域名访问所述暗网域名对应的暗网网站之前，还用于调用所述程序指令执行以下步骤：

获取在服务器上预先搭建的分布式系统架构中添加的暗网域名；

检测所述暗网域名对应的暗网网站是否能够被访问；

如果检测到所述暗网网站能够被访问，则执行所述根据获取到的暗网域名访问所述暗网域名对应的暗网网站的步骤。

进一步地，所述处理器501检测所述暗网域名对应的暗网网站是否能够被访问时，具体用于调用所述程序指令执行以下步骤：

通过匿名网络Tor向所述暗网域名对应的暗网网站发送探测指令；

如果在预设时间范围内接收到所述暗网网站反馈的确认指令，则确定所述暗网网站能够被访问。

进一步地，所述处理器501根据所述第一相似度对所述文本内容信息进行漏洞检测时，具体用于调用所述程序指令执行以下步骤：

检测所述第一相似度是否小于预设阈值；

如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。

进一步地，所述网络指纹信息包括超文本标记语言HTML的路径信息，所述HTML的路径信息包括HTML相对路径信息和/或HTML绝对路径信息；所述处理器501在确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体用于调用所述程序指令执行以下步骤：

根据预设的相似度算法，计算所述暗网网站的HTML的路径信息与历史记录中所述暗网网站的该HTML的路径信息的第二相似度。

进一步地，处理器501根据所述第二相似度对所述网络指纹信息进行漏洞检测时，具体用于调用所述程序指令执行以下步骤：

检测所述第二相似度是否小于预设阈值；

如果检测到所述第二相似度小于预设阈值，则获取所述HTML的路径信息对应文件的文本信息；

调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测。

进一步地，所述网络指纹信息包括端口信息；所述处理器501确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体用于调用所述程序指令执行以下步骤：

检测所述暗网网站的端口信息是否与历史记录中所述暗网网站的端口信息相同；

如果检测结果为相同，则确定所述第二相似度大于预设阈值；

所述处理器501根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测时，具体用于调用所述程序指令执行以下步骤：

如果所述第二相似度大于预设阈值，则调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。

本申请实施例中，服务器根据暗网域名获取所述暗网域名对应的暗网网站的文本内容信息和网络指纹信息，通过确定所述文本内容信息与历史记录中该暗网网站的文本内容信息的第一相似度，对所述暗网网站的文本内容信息进行漏洞检测，以及确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述暗网网站的网络指纹信息进行漏洞检测，并根据所述漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告，从而实现对暗网网站的安全性评估。

应当理解，在本申请实施例中，所称处理器501可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备502可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等，输出设备503可以包括显示器(LCD等)、扬声器等。

该存储器504可以包括只读存储器和随机存取存储器，并向处理器501提供指令和数据。存储器504的一部分还可以包括非易失性随机存取存储器。例如，存储器504还可以存储设备类型的信息。

具体实现中，本申请实施例中所描述的处理器501、输入设备502、输出设备503可执行本申请实施例提供的暗网的安全性评估方法的图1、图2或图3所述的方法实施例中所描述的实现方式，也可执行本申请实施例图4所描述的服务器的实现方式，在此不再赘述。

本申请实施例中还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现图1、图2或图3所对应实施例中描述的暗网的安全性评估方法，也可实现本申请图4或图5所对应实施例的服务器，在此不再赘述。

所述计算机可读存储介质可以是前述任一实施例所述的服务器的内部存储单元，例如服务器的硬盘或内存。所述计算机可读存储介质也可以是所述服务器的外部存储设备，例如所述服务器上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述服务器的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述服务器所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的部分实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (20)

1. 一种暗网的安全性评估方法，其特征在于，包括：

   根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

   确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

   确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；

   根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。
2. 根据权利要求1所述的方法，其特征在于，所述根据获取到的暗网域名访问所述暗网域名对应的暗网网站之前，还包括：

   获取在服务器上预先搭建的分布式系统架构中添加的暗网域名；

   检测所述暗网域名对应的暗网网站是否能够被访问；

   如果检测到所述暗网网站能够被访问，则执行所述根据获取到的暗网域名访问所述暗网域名对应的暗网网站的步骤。
3. 根据权利要求2所述的方法，其特征在于，所述检测所述暗网域名对应的暗网网站是否能够被访问，包括：

   通过匿名网络Tor向所述暗网域名对应的暗网网站发送探测指令；

   如果在预设时间范围内接收到所述暗网网站反馈的确认指令，则确定所述暗网网站能够被访问。
4. 根据权利要求1所述的方法，其特征在于，所述根据所述第一相似度对所述文本内容信息进行漏洞检测，包括：

   检测所述第一相似度是否小于预设阈值；

   如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述文本内容信息进行漏洞检测。
5. 根据权利要求1所述的方法，其特征在于，所述网络指纹信息包括超文本标记语言HTML的路径信息，所述HTML的路径信息包括HTML相对路径信息和/或HTML绝对路径信息；

   所述确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，包括：

   根据预设的相似度算法，计算所述暗网网站的HTML的路径信息与历史记录中所述暗网网站的该HTML的路径信息的第二相似度。
6. 根据权利要求5所述的方法，其特征在于，所述根据所述第二相似度对所述网络指纹信息进行漏洞检测，包括：

   检测所述第二相似度是否小于预设阈值；

   如果检测到所述第二相似度小于预设阈值，则获取所述HTML的路径信息对应文件的文本信息；

   调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测。
7. 根据权利要求1所述的方法，其特征在于，所述网络指纹信息包括端口信息；所述确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，包括：

   检测所述暗网网站的端口信息是否与历史记录中所述暗网网站的端口信息相同；

   如果检测结果为相同，则确定所述第二相似度大于预设阈值；

   所述根据所述第二相似度对所述网络指纹信息进行漏洞检测，包括：

   当确定所述第二相似度大于预设阈值时，调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。
8. 一种服务器，其特征在于，包括：

   获取单元，用于根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

   第一检测单元，用于确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

   第二检测单元，用于确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；

   生成单元，用于根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。
9. 根据权利要求8所述的服务器，其特征在于，所述获取单元根据获取到的暗网域名访问所述暗网域名对应的暗网网站之前，还用于：

   获取在服务器上预先搭建的分布式系统架构中添加的暗网域名；

   检测所述暗网域名对应的暗网网站是否能够被访问；

   如果检测到所述暗网网站能够被访问，则执行所述根据获取到的暗网域名访问所述暗网域名对应的 暗网网站的步骤。
10. 根据权利要求9所述的服务器，其特征在于，所述获取单元检测所述暗网域名对应的暗网网站是否能够被访问时，具体用于：

    通过匿名网络Tor向所述暗网域名对应的暗网网站发送探测指令；

    如果在预设时间范围内接收到所述暗网网站反馈的确认指令，则确定所述暗网网站能够被访问。
11. 根据权利要求8所述的服务器，其特征在于，所述第一检测单元根据所述第一相似度对所述文本内容信息进行漏洞检测时，具体用于：

    检测所述第一相似度是否小于预设阈值；

    如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述文本内容信息进行漏洞检测。
12. 根据权利要求8所述的服务器，其特征在于，所述网络指纹信息包括超文本标记语言HTML的路径信息，所述HTML的路径信息包括HTML相对路径信息和/或HTML绝对路径信息；

    所述第二检测单元确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体语言：

    根据预设的相似度算法，计算所述暗网网站的HTML的路径信息与历史记录中所述暗网网站的该HTML的路径信息的第二相似度。
13. 根据权利要求12所述的服务器，其特征在于，所述第二检测单元根据所述第二相似度对所述网络指纹信息进行漏洞检测时，具体用于：

    检测所述第二相似度是否小于预设阈值；

    如果检测到所述第二相似度小于预设阈值，则获取所述HTML的路径信息对应文件的文本信息；

    调用与所述HTML的路径信息对应文件的文本信息相关联的漏洞扫描工具，对所述文本信息进行漏洞检测。
14. 根据权利要求8所述的服务器，其特征在于，所述网络指纹信息包括端口信息；所述第二检测单元确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度时，具体用于：

    检测所述暗网网站的端口信息是否与历史记录中所述暗网网站的端口信息相同；

    如果检测结果为相同，则确定所述第二相似度大于预设阈值；

    所述根据所述第二相似度对所述网络指纹信息进行漏洞检测，包括：

    当确定所述第二相似度大于预设阈值时，调用与所述端口信息相关联的漏洞扫描工具对所述端口信息进行漏洞检测。
15. 一种服务器，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，用于执行：

    根据获取到的暗网域名访问所述暗网域名对应的暗网网站，并获取所述暗网网站的数据信息，其中，所述数据信息包括文本内容信息和网络指纹信息；

    确定所述文本内容信息与历史记录中所述暗网网站的文本内容信息的第一相似度，并根据所述第一相似度对所述文本内容信息进行漏洞检测；

    确定所述网络指纹信息与历史记录中所述暗网网站的网络指纹信息的第二相似度，并根据所述第二相似度对所述网络指纹信息进行漏洞检测；

    根据对所述文本内容信息进行漏洞检测得到的检测结果以及对所述网络指纹信息进行漏洞检测得到的检测结果，生成所述暗网网站的安全性评估报告。
16. 根据权利要求15所述的服务器，其特征在于，所述处理器根据获取到的暗网域名访问所述暗网域名对应的暗网网站之前，还用于调用所述程序指令执行以下步骤：

    获取在服务器上预先搭建的分布式系统架构中添加的暗网域名；

    检测所述暗网域名对应的暗网网站是否能够被访问；

    如果检测到所述暗网网站能够被访问，则执行所述根据获取到的暗网域名访问所述暗网域名对应的暗网网站的步骤。
17. 根据权利要求16所述的服务器，其特征在于，所述处理器检测所述暗网域名对应的暗网网站是否能够被访问时，具体用于调用所述程序指令执行以下步骤：

    通过匿名网络Tor向所述暗网域名对应的暗网网站发送探测指令；

    如果在预设时间范围内接收到所述暗网网站反馈的确认指令，则确定所述暗网网站能够被访问。
18. 根据权利要求15所述的服务器，其特征在于，所述处理器根据所述第一相似度对所述文本内容信息进行漏洞检测时，具体用于调用所述程序指令执行以下步骤：

    检测所述第一相似度是否小于预设阈值；

    如果检测到所述第一相似度小于预设阈值，则从预设的漏洞扫描规则集中选取与所述文本内容信息相关联的漏洞扫描规则，对所述暗网网站的文本内容信息进行漏洞检测。
19. 根据权利要求15所述的服务器，其特征在于，所述处理器用于执行权利要求5-7任一项所述的方法。
20. 一种计算机可读存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程 序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。

Images