Measuring onion website discovery and Tor users' interests with honeypots

该研究通过部署涵盖各类非法主题的蜜罐洋葱网站并监测其引流效果，发现人类用户主要源自 Ahmia 搜索引擎，且儿童性虐待（CSAM）主题的站点互动率显著高于其他类别，同时英语版本比多语言版本更受青睐。

要点

这篇论文就像是一次**“暗网钓鱼实验”**。研究人员在深不可测的“暗网”（Tor 网络）里撒下了几个精心设计的“诱饵”，然后观察：到底是谁上钩了？他们为什么上钩？他们最想看什么？

为了让你更容易理解，我们可以把整个研究过程想象成在一个巨大的、神秘的地下集市里做的一次**“心理测试”**。

1. 实验背景：什么是“暗网”和“蜜罐”？

• 暗网（Tor 网络）： 想象成一个没有招牌、没有地图、只有内部人知道入口的地下集市。在这里，人们可以匿名买卖各种东西，从合法的文件到非法的违禁品。
• 蜜罐（Honeypot）： 研究人员没有真的去卖违禁品（那是违法的），而是建了几个**“假店铺”**。这些店铺看起来非常像真的黑市（比如卖假药、假枪、甚至更严重的非法内容），但实际上里面什么都没有，只有几个按钮和记录本。
  • 目的： 就像在森林里放一个涂满蜂蜜的罐子，不是为了吃蜂蜜，而是为了看看哪些动物会来舔，以及它们舔得有多起劲。

2. 实验过程：他们是怎么“撒网”的？

研究人员在 2025 年 3 月到 4 月期间，把这些“假店铺”的链接放在了三个地方，就像在三个不同的地方发传单：

1. Ahmia（暗网的谷歌）： 这是暗网里最常用的搜索引擎。研究人员把链接伪装成普通的搜索结果混在里面。
2. Paste 网站（类似“剪贴板”）： 两个专门用来分享文本链接的论坛。

关键道具：验证码（CAPTCHA）
为了防止机器人（自动程序）乱跑，每个假店铺门口都设了一道**“智力关卡”**（比如“请选出所有的红绿灯”）。

• 只有真人才会解这道题。
• 如果一个人解开了关卡，还试图注册账号或登录，那就说明他真的对这个“店铺”感兴趣，而不是随便点进来的。

3. 实验发现：谁在逛？他们想看什么？

发现一：大家都是从“谷歌”来的（搜索引擎是主渠道）

• 现象： 绝大多数（超过 87%）的访客都是来自 Ahmia 搜索引擎。
• 比喻： 就像如果你把一家新店开在繁华的市中心大马路（搜索引擎）上，人流量会非常大；而如果你只是把传单贴在某个小巷子的布告栏（Paste 网站）上，虽然也有人看，但大多是路过的机器人，真人大量进店的很少。
• 结论： 当研究人员把链接从搜索引擎里撤掉后，访客量瞬间跌到几乎为零。这说明，普通用户找暗网内容，主要靠搜，而不是靠别人直接给链接。

发现二：最让人“上头”的竟然是……（内容偏好）

研究人员准备了 8 种不同主题的假店铺，看看大家最想去哪个。结果让人大跌眼镜：

• 第一名（爆表）： 儿童性虐待材料（CSAM）。这个主题的“店铺”吸引了最多的人去尝试登录。
  • 注：这非常令人震惊，因为 Ahmia 搜索引擎本身是过滤这类内容的。这说明很多用户可能并不清楚自己搜到了什么，或者他们就是抱着这种目的来的。
• 第二名： 暴力内容。
• 第三名： 不明论坛 和 恶意软件。
• 意外冷门： 非法毒品。
  • 比喻： 大家都以为暗网里卖毒品的人最多（就像以为黑市里卖毒品的摊位最火），但实验发现，真正想去“买”的人反而很少。
  • 原因推测： 真正的毒贩和买家可能早就知道去哪了，不需要在搜索引擎上瞎搜；而搜到的人可能只是好奇，或者根本不知道该怎么交易。
• 垫底： 伪造文件 和 非法枪支。

发现三：大家都爱说英语（语言偏好）

研究人员把同样的店铺用四种语言（英语、德语、芬兰语、俄语）都建了一遍。

• 结果： 英语版的店铺人气最高，无论是点击还是注册尝试，都遥遥领先。
• 有趣的现象： 虽然俄语使用者在全球很多，但在实验里，芬兰语的人气竟然比俄语还高。
  • 原因： 因为这个搜索引擎（Ahmia）是芬兰人做的，芬兰用户用得更多。这就像在芬兰的集市上，芬兰语招牌肯定比俄语招牌更吸引人。

4. 总结：这项研究告诉我们什么？

这项研究就像给暗网用户拍了一张**“行为快照”**：

1. 普通人怎么找路？ 他们主要靠搜索引擎，而不是靠别人直接发链接。
2. 他们最想看什么？ surprisingly（令人惊讶地），最极端的非法内容（如儿童虐待） 反而比毒品更吸引眼球。这可能意味着很多访问者是新手，容易被搜索结果的标题吸引，而不是老练的罪犯。
3. 语言习惯： 在暗网里，英语依然是绝对的霸主。

一句话概括：
研究人员在暗网设了几个“假店”，发现90% 的真人顾客都是从“搜索引擎”搜进来的，而且他们最疯狂地想要访问的是那些最黑暗的角落（尽管那里通常被屏蔽），反而是大家以为最火的“毒品交易”门可罗雀。这揭示了暗网用户真实的、甚至有点令人不安的“好奇心”分布。

技术摘要

这是一份关于论文《Measuring onion website discovery and Tor users'interests with honeypots》（利用蜜罐测量洋葱网站发现机制及 Tor 用户兴趣）的详细技术总结。

1. 研究背景与问题 (Problem)

• 研究背景：Tor 网络提供了匿名浏览和托管 .onion 网站的能力。现有的暗网研究主要集中在内容爬取（Crawling）和内容分析上，试图通过网站内容的流行度来推断用户兴趣。
• 核心问题：
  1. 现有的研究缺乏对用户实际尝试访问行为的直接测量。内容分析无法区分是机器人爬虫、偶然点击，还是人类用户真正有意图的访问。
  2. 用户是如何发现洋葱网站的？（是通过搜索引擎如 Ahmia，还是通过 Paste 服务如 Pastebin？）
  3. 在排除了自动化流量后，人类用户对哪些类型的暗网内容（如 CSAM、毒品、暴力等）表现出真正的兴趣？
  4. 用户在使用多语言版本的洋葱网站时，偏好哪种语言？
• 研究缺口：自 2014 年以来，鲜有研究能区分人类用户与自动化爬虫，并量化用户在不同类别洋葱网站上的注册/登录尝试（作为真实兴趣的代理指标）。

2. 方法论 (Methodology)

研究团队设计并部署了一套蜜罐系统（Honeypot System），通过模拟不同类型的非法内容来诱捕并记录用户行为。

• 蜜罐设计：
  • 结构：每个蜜罐网站包含两个页面。
    1. 着陆页：外观中立，包含一个 CAPTCHA（验证码）谜题，用于区分人类用户和自动化爬虫。
    2. 内容页：用户通过 CAPTCHA 后进入，页面描述特定的网络犯罪活动（如 CSAM、暴力、恶意软件等），并提供注册/登录表单。
  • 功能：注册/登录功能本身是无效的，但会记录在日志中，作为用户“试图获取内容”的指标。
• 实验设置：
  • 时间：2025 年 3 月 24 日至 4 月 17 日。
  • 内容分类：创建了 8 个类别的蜜罐：CSAM（儿童性虐待材料）、暴力、恶意软件、被盗物品、非法枪支、非法毒品、伪造物品，以及一个作为基准的“不明确论坛”。
  • 语言覆盖：每个类别提供 4 种语言版本（英语、德语、芬兰语、俄语），共生成 32 个独特的网站。
  • 分发渠道（3 个来源）：
    1. Ahmia Tor 搜索引擎：在搜索结果中随机插入中立的“洋葱登录页面”描述和链接。
    2. Stronghold paste（洋葱 Paste 服务）。
    3. pastebin.com。
  • 数据收集指标：访问量（Visits）、CAPTCHA 解决数（代表人类用户）、注册/登录尝试数（代表真实兴趣）。

3. 主要贡献 (Key Contributions)

1. 发现渠道与人类参与度的对比：首次量化了不同分发渠道（搜索引擎 vs. Paste 服务）在引导人类用户进行交互方面的差异。研究发现，尽管三个渠道都有流量，但几乎所有的人类交互（CAPTCHA 解决和注册尝试）都来自 Ahmia 搜索引擎。
2. 主题层面的参与度洞察：揭示了在 Ahmia 引导的流量中，CSAM 主题的蜜罐表现出异常高的参与度，远超其他类别（如毒品或暴力）。这与传统认知中暗网主要关注毒品市场的观点形成对比。
3. 语言层面的偏好分析：量化了多语言环境下的用户偏好，发现英语版本的交互量最高，其次是德语和芬兰语，俄语最低。
4. 方法论创新：通过 CAPTCHA 和注册尝试，成功将“自动化爬虫流量”与“真实人类兴趣”区分开来，提供了比单纯内容爬取更准确的用户行为数据。

4. 关键结果 (Key Results)

A. 发现渠道 (RQ1)

• 流量分布：在总访问量中，Ahmia 占 87.65%，Pastebin 占 6.42%，Stronghold 占 5.93%。
• 人类交互：
  • Ahmia：产生了 17,054 个解决的 CAPTCHA 和 6,648 次注册/登录尝试。
  • Paste 服务：仅产生 2 个解决的 CAPTCHA，0 次注册/登录尝试。
• 结论：Paste 服务上的流量主要由机器人和爬虫组成，而 Ahmia 是真实人类用户发现洋葱网站的主要入口。移除 Ahmia 链接后，人类交互几乎归零。

B. 内容兴趣 (RQ2)

• CSAM 主导：CSAM 类别的注册/登录尝试占比最高，达 37.67% (2,504 次)。
• 其他类别：
  • 暴力 (Violence)：20.47%。
  • 不明确 (Unclear) 和 恶意软件 (Malware)：约 10%。
  • 被盗物品 (Stolen goods) 和 非法枪支 (Firearms)：约 7%。
  • 非法毒品 (Illegal drugs)：仅 3.43%，是参与度第二低的类别。
  • 伪造物品 (Forgery)：3.38%（最低）。
• 转化率：在解决 CAPTCHA 后，CSAM 类别的后续注册尝试率高达 115.55%（意味着平均每个解决验证码的用户进行了多次尝试），而毒品和伪造物品的转化率仅为 10% 左右。

C. 语言偏好 (RQ3)

• 英语主导：英语版本的注册/登录尝试占比 43.49%，转化率高达 67.40%。
• 其他语言：德语 (22.47%) > 芬兰语 (18.07%) > 俄语 (15.97%)。
• 异常点：尽管俄语在全球 Tor 用户中通常被认为很流行，但在本研究中其参与度最低。芬兰语的高参与度可能归因于 Ahmia 搜索引擎本身的芬兰语背景。

5. 研究意义与局限性 (Significance & Limitations)

意义

• 行为学视角：该研究从“内容存在”转向“用户行为”，提供了关于 Tor 用户实际意图的首次定量测量。
• 反直觉发现：
  • 在 Ahmia（过滤了 CSAM 查询的搜索引擎）上，CSAM 内容的用户参与度反而最高，这可能表明通过搜索引擎进入的用户是经验较少的新手，容易被首屏内容吸引，而资深罪犯可能使用更隐蔽的渠道。
  • 毒品市场的参与度远低于预期，暗示成熟的市场买家可能不通过通用搜索引擎寻找资源。
• 安全启示：强调了搜索引擎在暗网内容分发中的关键作用，以及区分爬虫与人类流量对于理解暗网生态的重要性。

局限性

• 样本偏差：数据主要来自 Ahmia 用户，这可能仅代表 Tor 搜索用户的一个子集，且 Ahmia 过滤了 CSAM 查询，可能影响了结果的普适性。
• 蜜罐真实性：为了控制变量，蜜罐设计较为简约，可能不如真实的非法论坛那样具有吸引力，从而改变了用户的参与倾向。
• 语言覆盖：未包含法语和意大利语，这两种语言在暗网中也很常见。
• 去重困难：由于 Tor 的匿名性，无法可靠地去除同一用户的重复事件，因此数据反映的是“事件级”参与度而非“个人级”偏好。

总结

该论文通过精心设计的蜜罐实验，揭示了 Tor 用户通过搜索引擎（Ahmia）发现网站的主要路径，并发现人类用户对于CSAM 内容的主动探索意愿远高于毒品等其他非法内容。这一发现挑战了关于暗网主要交易毒品的主流叙事，并强调了搜索渠道在引导用户行为中的核心作用。