黑客社区不同意图信息分享的双路径模型研究

王志英，刁旸妍

(1.江苏科技大学 经济管理学院，江苏 镇江 212100；2.江苏科技大学 江苏高校哲学社会科学重点研究基地，江苏 镇江 212100)

黑客多指未经授权访问他人计算机和计算机网络的个人，其目的是操纵、窃取、记录或更改数据或结构，黑客社区作为新兴数据源可为研究黑客行为提供载体[1]。与问答、健康社区等以分享知识或其他正向信息相比，黑客社区中信息分享意图表现出双重性，既会围绕有关恶意攻击、漏洞等与网络犯罪有关主题进行探讨[2]，又不乏着力于抵抗网络攻击与防御技术的研究。部分黑客在社区中提供黑客工具、恶意软件等恶意攻击技术资源[3]，这类黑客乐意在社区中宣扬非法搜索的刺激感和非法进入网站的权力满足感，吹嘘和分享黑客知识以获得较高的地位及认可[4]，发起越来越多高调的攻击。2020年5月，黑客声称从微软GitHub账户上窃取了超过500 GB的数据并出售这些源代码。然而，黑客社区中也存在正义方，为了保护信息财产，讨论关于检测、预防攻击事件，传授追踪黑帽子的技术方法及实践操作，乌云网中记录了3 254个白帽子提交的16 446个Web漏洞报告。因此，研究黑客社区不同意图信息分享行为，对监管黑客群体具有丰富的理论意义与实践意义。

现有研究已对黑客社区信息分享行为初步探讨，但仍存在不足：①现有研究分析黑客信息分享行为时，较少将信息意图分为攻击型与防御型信息分享，实际上黑客社区中不同意图的信息分享影响因素存在差异。②现有对信息分享影响因素的研究多从整个黑客群体的角度进行，较少分析对不同类型黑客的影响差异，而黑客间差异性的存在已被证实。为此，笔者以黑客社区中信息分享为研究情景，基于精细加工可能性模型，构建不同意图信息分享模型并提出假设，为采取措施监管黑客群体提供新思路。

1 相关研究评述

1.1 黑客社区在线行为研究

在先前的工作中，学术界已从不同视角对黑客社区中恶意攻击行为进行研究。黑客社区允许用户轻松系统地进行检索、保存、传播恶意软件和源代码等恶意攻击技术。YUE等[1]指出黑客社区中的讨论与真实网络攻击相关。WANG等[5]进一步指出黑客社区有关漏洞信息的讨论量会影响现实网络攻击量。另有学者发现，黑客社区中部分成员会模仿他人的攻击并公布防御方法，也有将发现的漏洞公布至社区中，披露相关防御程序[6]。这类黑客及时发布防御类信息，是维护网络安全的重要力量。

针对黑客群体，不少学者着眼于关键黑客的识别。BENJAMIN等[7]利用社会网络分析等方法确定网络罪犯IRC社区潜在的长期和主要参与者。有学者展示了如何识别和描述可能对社会构成威胁的专家黑客，部分学者根据多个俄罗斯黑客组织成员的社交网络发现，组织成员与销售恶意软件的论坛密切相关，且社区成员关系密切，但只有少数是关键黑客[4]。

1.2 ELM研究

精细加工可能性模型[8](elaboration likelihood model，ELM)将导致个体处理信息方式或态度改变的路径分为中心路径和边缘路径[9]。中心路径指信息接收者以详尽、理性的态度对信息进行审视、评估与加工，在深度分析后形成对信息的态度与认知，更注重信息论证的内容质量与论据逻辑性。边缘路径指信息接收者未通过理性判断，依赖于简单的情境因素和表面提示信息来进行主观推论，形成最后的态度。信息接受者的动机和能力决定了该个体通过哪种路径进行信息处理，当信息接收者有能力时，多致力于信息的质量，通过中心路径改变态度；当信息接收者信息加工能力较弱时，更倾向于边缘路径，根据外围线索对信息进行感知。许多学者使用ELM对互联网信息分享行为进行研究，如用户在线评论的影响因素[10]，用户的知识采纳意向[11]等，但对尚未将该模型运用于黑客社区的信息分享中。

综上所述，现有文献多站在用户攻击意图的视角，通过对攻击型信息进行文本分析、主题分析等了解黑客信息分享，而对防御型信息的研究可以完善对黑客非法行径的监控与对攻击趋势的分析，因此研究黑客社区不同意图信息分享有重要的现实意义。黑客注重技术相关信息的交流与学习，可能会更加注重信息的质量，该群体同样关注社区中其他成员的技术水平，这与ELM的中心路径与边缘路径相似。因此借鉴ELM，考虑在不同成员类型的调节作用下，社区中信息质量与信息源特征对黑客进行信息分享的影响，构建影响黑客社区不同意图信息分享的双路径模型。

2 研究模型及假设

2.1 研究模型构建

黑客社区中具有攻击型与防御型意图的两种黑客都通过发帖-回帖行为实现社区内的信息分享，都通过对回帖信息进行加工处理从而改变自身态度与动机，进而作用于信息分享，这一类似于说服的过程影响了黑客信息分享[8]，因此，基于精细加工可能性模型的双路径说服力来解释信息分享受黑客社区中因素影响的过程。笔者将攻击型信息分享与防御型分享两类信息分享数据集作为因变量，采用与信息质量以及信息源特征有关的因素作为自变量。回帖的信息质量特征构成了该ELM模型的中心路径，包括积极情感、消极情感、信息深度以及信息时效性，信息源即回帖用户，其特征构成了ELM的边缘路径，包括声誉以及结构型社会资本。构建的黑客社区不同意图信息分享的双路径模型如图1所示。可知信息质量作为中心路径，对黑客社区信息分享有重要作用。当黑客处于高参与度状态或者对黑客信息了解程度高时，有能力和动机对在社区内接收到的信息进行深度审视、评估与加工，此时将更注重中心路径的信息质量。信息源特征作为边缘路径同样影响黑客社区的信息分享。当黑客处于低参与度状态且黑客专业水平较低时，缺乏能力对社区中的信息进行加工分析，此时偏向于通过边缘路径的信息源特征改变自身信息分享的态度与动机。

图1 黑客社区不同意图信息分享双路径模型

2.2 中心路径假设

ELM模型中的中心路径主要涉及与信息质量有关的变量，信息质量一般与信息本身的内容特质、知识深度和时效有关。因此可通过Hack Forums黑客社区中信息的积极情感[12]、消极情感[13]、信息深度[14]和信息时效性[15]来衡量信息质量。

信息中蕴含的情感具有传染性与说服力，并通常与特定的行为倾向和行为相关联。已有研究表明，情感激励引起的分享行为可运用到在线社区领域。情感刺激对信息的传播与分享行为起决定性作用。正面反馈更多，个人会为在线社交社区做出更多贡献[12]。在线社区中，情感通过回复、跟帖等形式进行扩散，信息文本中传递的情绪会刺激信息的转发与分享，积极情感可以增加社区用户之间的粘着，消极情绪将会抑制用户参与[13]。黑客社区具有类似特征，积极情感将对黑客信息分享行为产生正向的情感刺激，促进黑客的信息分享行为，而消极情感抑制信息分享行为。据此，提出以下假设：

H1a积极情感与黑客社区攻击型信息分享之间存在正相关关系。

H1b积极情感与黑客社区防御型信息分享之间存在正相关关系。

H2a消极情感与黑客社区攻击型信息分享之间存在负相关关系。

H2b消极情感与黑客社区防御型信息分享之间存在负相关关系。

信息深度指用户在社区中进行回帖行为时所发布内容的字符长度，普遍认为回复的字符长度体现着信息丰富度，字符越多，披露的信息越多，信息深度越大。齐云飞等[14]认为，文本作为在线社区中传递信息的主要方式，字数太少，用户将很难从回复中接收到信息。因此认为，字数较多的回复更加详细有深度，更能得到关注，黑客能从该类回复中接收到更丰富的信息量，是对信息分享产生刺激的重要因素。据此，提出以下假设：

H3a信息深度与黑客社区攻击型信息分享之间存在正相关关系。

H3b信息深度与黑客社区防御型信息分享之间存在正相关关系。

社区中的回帖行为具有时效性，因此回复内容中的信息具有时效性。时效性是网络信息内容的关键评价指标之一。根据信息生态理论研究，信息平台的信息无法及时更新将会影响使用者进行分享的意愿。与此同时，信息时效性将会对用户接纳行为产生重要影响[15]。因此认为，黑客在黑客社区中进行信息分享时，接收到来自他人的回复越及时，越愿意分享信息，信息时效性指黑客在社区中接收到回复的时效性。据此，提出以下假设：

H4a信息时效性与黑客社区攻击型信息分享之间存在正相关关系。

H4b信息时效性与黑客社区防御型信息分享之间存在正相关关系。

2.3 边缘路径假设

边缘路径涉及与信息源特征有关的变量。黑客社区中，声誉值构成信息源的权威性，结构型社会资本构成信息源的可靠性[16]，二者影响信息源的可信度，从边缘路径影响用户的分享行为。KUK[17]论证了在线社区成员会偏向与核心用户交流；HOLT等[18]指出黑客社区成员额外注重他人的技能与能力。黑客社区的声誉系统，一定程度上可反馈用户在该社区的地位，为其他黑客评判该用户的角色提供衡量标准，声誉较高的用户传递的信息通常具有较高的权威性。因此认为，黑客在进行信息分享时，更注重与社区中的声誉较高的用户进行交流，接受到来自高声誉用户的回帖更能促进信息分享。据此，提出以下假设：

H5a声誉值与黑客社区攻击型信息分享之间存在正相关关系。

H5b声誉值与黑客社区防御型信息分享之间存在正相关关系。

黑客社区为黑客群体提供信息交流的平台，是信息转移的途径。信息和知识这两种资源通过发帖-回帖关系进行交换，交换过程中较高结构型社会资本的用户对参与社区信息分享比较积极，能获得更高的回帖概率。黑客社区作为在线社区的一种，同样存在信息与知识的交换过程，用户通常基于结构型资本评判可靠性。当用户接收到来自高结构型社会资本用户的回帖时，会提高信息分享的可能性，据此提出以下假设：

H6a结构型社会资本与黑客社区攻击型信息分享之间存在正相关关系。

H6b结构型社会资本与黑客社区防御型信息分享之间存在正相关关系。

2.4 用户活跃度的调节作用

已有研究表明，不同黑客在社区中的行为模式与类型不同，社区中的地位和贡献均有极大差异。LU等[19]发现黑客社区中的少数关键人物是传播黑客信息、提供技术的主体。活跃度可作为成员划分的标准并发现不同类型成员受在线评论的影响存在差异，关键用户的活跃时间长且经验丰富，外界刺激的效果会比非核心成员弱。因此认为，活跃度高的核心黑客是黑客社区内影响力最大、信息分享最多的群体，有着较高的声誉和结构型社会资本，不会轻易离开黑客社区。而黑客社区中大量活跃度中、低的普通黑客，对外界信息敏感度较高，接收到负面信息或接受不到信息时，信息分享行为将大大减少。据此，提出以下假设：

H7a积极情感对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

H7b消极情感对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

H7c信息深度对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

H7d信息时效性对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

H7e声誉值对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

在进行微生物液体培养时，活菌的增加导致培养液浑浊度的增加，该方法能够简单、快速、直观地观察活菌的生长趋势并且可以运用分光光度计测定其含量，但在测定时未能判断微生物的死活，所以该测定方法不太准确。

H7f结构型社会资本对黑客社区攻击型信息分享的影响中，用户活跃度有显著调节效应。

H7g积极情感对黑客社区防御型信息分享的影响中，用户活跃度有显著调节效应。

H7h消极情感对黑客社区防御型信息分享的影响中，用户活跃度有显著调节效应。

H7i信息深度对黑客社区防御型信息分享的影响中，用户活跃度有显著调节效应。

H7j信息时效性对黑客社区防御型信息分享的影响中，用户活跃度有显著调节效应。

H7k声誉值对黑客社区防御型信息分享的影响中，用户活跃度有显著调节效应。

3 数据获取和模型构建

3.1 数据收集

以国外著名黑客论坛Hack Forums.net作为数据来源，从Beginner Hacking与Service Offering版块入手，使用网络爬虫软件进行数据采集。整个数据集包含Hack Forums从2017—2020年间共7 935个用户发布的10 627个主题帖和83 644个回帖以及用户属性数据，采用机器学习技术对主题帖进行了分类。“攻击型”包括恶意攻击信息和炫耀已发生的攻击犯罪行为；“防御型”包括保护个人或公司免遭受恶意攻击的技术、分享防御软件等以及向社区用户求助等；“无关类”，与攻击防御都无关。对攻击型与防御型两类主题帖进行汇总，构成攻击型与防御型信息分享数据集。

3.2 变量设计

黑客社区中的信息分享通过发帖-回帖行为实现，选取每个主题帖中的相关特征作为各变量。具体变量定义以及计算方式如表1所示。i代表文本数据中的第i条主题帖，r代表该主题帖中第r名回帖用户，p为该主题帖的发帖用户。

表1 变量定义

综合考虑黑客社区信息分享的特点，通过Python调用VADER工具包，对每个主题帖的其他用户回复进行文本情感分析，统计每个主题帖接收的积极与消极回复数量，计入积极情感与消极情感。笔者将黑客社区成员分为高活跃度、中活跃度以及低活跃度用户，使用K-Means算法从黑客的累计发帖量、声誉值、参与版块数以及等级进行聚类，累计发帖量包括用户在黑客社区所有版块的交流，声誉值、参与版块数以及等级除了与发帖-回帖行为有关以外，与黑客社区中其他行为，如交易行为、游戏经验等有关，最终得出102名高活跃度用户，460名中活跃度用户及7 373名低活跃度用户。

3.3 数据分析模型

采用逐步回归法与分层回归结合的分析方法，对攻击型与防御型信息分享数据集分别进行回归构建黑客社区不同意图信息分享双路径模型并检验调节效应。

(1)采用逐步回归法做因变量与自变量的回归。结合理论假设，自变量为中心路径与边缘路径，中心路径包括积极情感、消极情感、信息深度以及信息时效性等信息质量特征，信息源即黑客社区回帖用户，其特征构成边缘路径，包括声誉以及结构型社会资本，因变量为攻击型信息分享与防御型信息分享，整体构成黑客社区不同意图信息分享双路径模型，如式(1)所示。

RNumip=α10+α11PRei+α12NRei+α13Lengthi+

α14Timei+α15Reputationi+α16Threadi+

α17Posti+ε1

(1)

(2)按分层回归过程，引入用户活跃度为自变量进行回归，做各影响因素与信息分享的线性关系，再引入用户活跃度与各自变量的乘积项为自变量，以检验用户活跃度的调节作用，如式(2)和式(3)所示。

RNumip=α20+α21PRei+α22NRei+

α23Lengthi+α24Timei+α25Reputationi+

α26Threadi+α27Posti+α28Activityip+ε2

(2)

RNumip=α30+α31PRei+α32NRei+

α33Lengthi+α34Timei+α35Reputationi+

α36Threadi+α37Posti+α38Activityip+

α39PReiActivityip+α310NReiActivityip+

α311LengthiActivityip+α312TimeiActivityip+

α313ReputationiActivityip+α314ThreadiActivityip+

α315PostiActivityip+ε3

(3)

式中：α10～α30为截距项，α11～α17，α21～α28，α31～α314为各变量系数，ε1～ε3为误差项。

4 回归结果分析

4.1 描述性统计

采用Stata15.0统计软件对样本数据进行分析，描述性结果如表2所示。可知大部分回帖均为正向回复，平均回帖长度、回帖及时性、用户声誉值均较少，且差距较大。

表2 变量描述性统计

4.2 变量相关性与方差膨胀因子检验

相关性分析结果如表3所示，可知变量间的相关系数偏高。对各个变量之间进行方差膨胀因子(variance inflation factor，VIF)检验，排除多重共线性干扰，结果如表4所示。可知VIF小于阈值5.17，研究结果不受多重共线性影响。

表3 变量间的相关性

表4 方差膨胀因子

4.3 结果分析

使用Stata15.0结合式(1)～式(3)分别对攻击型信息分享与防御型信息分享两组数据集进行回归，结果如表5所示。由表5可得黑客社区不同意图信息分享的影响因素，如图2所示。可知黑客社区攻击型信息分享模型中，除声誉和结构型社会资本外，各自变量均与因变量有显著的回归关系；防御型信息分享模型中，除消极情感外，各自变量均与因变量有显著的回归关系；用户活跃度在两个模型中的调节效应均显著。两个模型中各变量的显著性与调节效应存在差异，以下对假设检验结果进行详细解释。

表5 黑客社区不同意图信息分享双路径模型回归结果

图2 影响黑客社区不同意图信息分享的因素

4.3.1 攻击型信息分享影响因素结果分析

由表5可知，在黑客社区攻击型信息分享模型中，中心路径与因变量回归关系显著，边缘路径不显著，且调节效应显著。

(1)中心路径的信息质量能显著影响攻击型信息分享行为。黑客社区中积极情感、信息深度以及信息时效性对攻击型信息分享行为有显著的正向影响，消极情感对攻击型信息分享行为有显著的负向影响，假设H1a、H2a、H3a和H4a成立。攻击型信息分享时，积极回复可以满足黑客炫耀非法攻击行为的虚荣心，促进攻击信息分享；消极回复中他人对非法行为的反对与排斥会打击黑客分享的积极性，起抑制作用；信息深度越大，对攻击行为的讨论与关注越多，更可能促进攻击型信息分享；用户发布主题帖后通常短期内处于在线状态，得到他人响应越及时，继续信息分享的意愿越强。

(2)信息源特征不会从边缘路径影响攻击型信息分享行为。黑客社区中，声誉值对攻击型信息分享的影响不显著，回帖用户的平均参加话题数、平均累计回帖量影响不显著，回帖用户的结构型社会资本不能影响信息分享，假设H5a和H6a不成立，可能是因为黑客炫耀非法行为时不会过多关注其他人的身份信息，或是以交流攻击技术为目的时，黑客注重的计算机技能并不一定能被社区交流的积极程度所代表。

(3)用户活跃度存在调节效应。用户活跃度与积极情感、信息时效性之间为负相关关系，与消极情感之间为正相关关系，可以认为，用户活跃度起负向调节作用，假设H7a、H7b和H7d成立。用户活跃度与信息深度的交互项系数为正，增强了信息深度对信息分享的促进作用，假设H7c成立。由此可知，回复的情感以及回复时效对高活跃度黑客影响较小，该类黑客通常在社区中有着稳定的模式和持续信息分享习惯，受他人影响较小。而中活跃度和低活跃度的黑客更容易收到外界影响，且对低活跃度黑客的影响最大，需要更积极的情感倾向和及时的回复才能加深其信息分享的可能性。而信息深度对3类黑客都有显著作用，高活跃度黑客更愿意参与信息量大的讨论交流。用户活跃度在声誉值、平均参与话题数的系数对信息分享的影响中未表现出调节效应，平均回帖数与用户活跃度的交互项系数为负，假设H7e和H7f不成立。即攻击型信息分享黑客对于回帖用户的声誉值与结构型社会资本都不敏感，不会对分享行为产生影响，未表现出调节效应。

4.3.2 防御型信息分享影响因素结果分析

由表5可知，黑客社区中防御型信息分享模型与攻击型相似，也存在区别，除消极情感外，各自变量均与因变量有显著的回归关系，用户活跃度的调节效应显著。

(1)中心路径的信息质量能显著影响防御型信息分享行为。积极情感、信息深度和信息时效性对防御型信息分享行为有显著的正向影响，消极情感的影响不显著，假设H1b、H3b和H4b成立，假设H2b不成立。主要原因在于意图不同，不同因素的影响存在差异，防御信息分享者在以恶意信息为主的板块中分享观点时，他人的消极情感并不会打击其积极性。

(2)信息源特征从边缘路径影响防御型信息分享行为。声誉值、平均参与话题数与平均累计回帖量的影响显著为正，假设H5b和H6b成立。分享防御型信息时，黑客偏向于与核心人物以及交流频繁、互动密切的用户交流，更容易收到身份特征影响。

(3)用户活跃度存在调节效应。用户活跃度与积极情感、信息深度的调节作用都得到同样验证，起负向调节作用，假设H7g与H7i成立，即用户活跃度削弱了积极情感对防御型信息分享的促进作用，增强了信息深度的促进作用。用户活跃度与信息时效性、声誉值、平均参与话题数和平均累计回帖数为正相关关系，活跃度越高的用户对边缘路径变化越敏感，用户活跃度加强了信息时效性、声誉值、平均参与话题数和平均累计回帖数对防御型信息分享的促进作用，假设H7j、H7k和H7l成立。原因可能是发布防御型信息的高活跃度黑客为传播防御技术，偏向与活跃度更高的黑客进行交流，以促进防御信息的快速传播，达到减少攻击型信息讨论、净化社区环境的目的。

5 结论

建立了黑客社区不同意图的双路径模型，并根据中心路径与边缘路径的特征，验证了信息质量与信息源对黑客信息分享的影响，发现了不同意图信息分享的异同，解释了信息分享行为，加深对黑客信息分享特征的了解，为网络安全防御提供了新思路。通过构建ELM模型进行实证研究发现：①积极情感、信息深度、信息时效性对攻击型与防御型信息分享都有显著正向影响；②消极情感对攻击型信息分享有显著负向影响；③回帖用户的声誉值与结构型社会资本从边缘路径影响防御型信息分享。两类信息分享中，用户活跃度在各因素与信息分享之间起显著调节效应，主要表现在：①回复内容的情感对高活跃度的用户影响较小，对活跃度中等或较低的用户影响较大；②信息深度对高活跃度的用户影响更大；③攻击型信息分享中活跃度越高对信息时效性越不敏感，防御型信息中则相反；④回帖用户的声誉值与结构资本只在防御型信息分享中影响显著，用户活跃度越高，边缘路径的促进作用越明显。

网络安全监管可以依据不同信息的意图制定多层次的监管策略。黑客发布攻击信息或技术时，可延长审核时间、设置攻击信息发帖规则等方案抑制攻击型信息的发布，及时向网络安全部门反馈，做好预防与漏洞修复工作；针对防御型信息可通过加大曝光度、置顶等方法促进回帖指数，提高讨论热度，提升黑客分享防御型信息分享的积极性。