一种基于时间特征的Web服务器匿名访问流量检测方法技术

本发明专利技术提供一种基于时间特征的Web服务器匿名访问流量检测方法，包括以下步骤：时间特征提取；基于单类支持向量机建立时间特征模型；将时间特征代入时间特征模型中进行检测；对检测结果进行确认。本发明专利技术提供一种基于时间特征的Web服务器匿名访问流量检测方法，解决了Web服务器对匿名访问流量的检测问题，可以实现匿名Web访问流量的快速、准确检测，提高Web服务器的安全性。

【技术实现步骤摘要】
一种基于时间特征的Web服务器匿名访问流量检测方法
本专利技术涉及一种检测方法，具体设计一种基于时间特征的Web服务器匿名访问流量检测方法。
技术介绍
随着Internet以及移动互联网的迅猛发展和广泛使用，网络已融入人们日常生活的方方面面。与此同时，网络通信所带来的安全与隐私问题也受到了越来越多的关注。为保护网络用户的隐私信息，研究人员提出了匿名通信概念和相关技术实现。匿名通信技术是由Chaum于1981年首次提出，该技术通过在发送者和接收者的通信路径上插入一个或多个中间节点(Mix节点)来实现用户身份和通信关系的隐藏。用户在发送数据时，首先确定转发路径上Mix节点和接收者的地址信息，然后利用转发路径上各Mix节点的公钥对数据和地址信息进行层层加密，形成“洋葱包”，并将该“洋葱包”发送至转发路径上的第一个Mix节点。收到“洋葱包”后，该Mix节点对其进行解密操作以获得下一跳地址，并将解密后的“洋葱包”发送至下一跳节点，其它节点依次操作直至最后将原始数据转发至接收者。返回数据时则按对应的相反顺序进行，接收者将数据返回至与其直接相连的Mix节点(即转发路径上的最后一个Mix节点)，然后路径上各Mix节点利用自己的私钥对数据进行层层加密并反方向转发，并最终由用户执行多次解密操作得出通信内容。基于该技术，研究人员设计了多种匿名通信方案如洋葱路由协议等，并在此基础上开发了一些实用匿名通信系统，如Tor、JAP等。在保护网络用户身份隐私信息的同时，匿名通信系统的滥用也给网络安全和网络管理带来巨大威胁。例如德国政府在2007年陆续逮捕了多名Tor出口节点的提供者，而实际上这些Tor出口节点的提供者是非法浏览色情信息等此类网络犯罪的替罪羊。当匿名犯罪分子利用Tor网络获取儿童色情信息时，对应的网络流量将首先被发送到Tor出口节点，再由这些出口节点将相关数据经Tor网络转发给匿名罪犯。依据网络流量的IP地址信息仅能追查到这些Tor出口节点，而真正的网络罪犯却无法得知。此外，僵尸网络(Botnet)已开始使用Tor匿名通信网络来隐藏命令与控制(C&C)服务器，各Bot节点通过Tor与C&C服务器进行通信，隐藏了C&C服务器的真实身份和Bot节点之间的关联性，使得对僵尸网络的检测更加困难。更为严重的是，一些流行的网络攻击工具，如针对Web服务器的DoS攻击工具torshammer、SQL注入攻击工具sqlmap等已提供配置选项使得攻击流量经过Tor匿名网络转发从而躲避检测和追踪。鉴于Web应用的广泛部署以及其在电力等国计民生领域中的重要地位，有必要对匿名Web访问进行监管，防止匿名攻击，提升Web服务器的安全性。而匿名访问流量的检测是执行进一步监管的前提和基础。目前Web服务器对匿名访问流量的检测主要依据IP地址信息，通过查询客户端的IP地址是否在公开的匿名节点列表中来检测匿名访问流量，但该方法具有明显的局限性。具体而言，现有方法存在以下三点不足：1)若客户端为隐蔽的匿名节点，并不公开其IP地址，则Web服务器无法检测出匿名访问流量；2)若客户端为双网卡，一块网卡接入匿名通信系统，而第二块网卡接入正常Internet，匿名访问流量通过第二块网卡发送至Web服务器，由于只有第一块网卡的IP地址在公开的匿名节点列表中，而Web服务器检查的却为第二块网卡的IP地址，因而无法检测出其产生的匿名访问流量；3)若客户端之前为匿名节点，而现在关闭了其匿名服务，但匿名节点列表未能及时更新，则服务器将判断当前客户端的访问流量为匿名访问，因而存在误判情形。
技术实现思路
为了克服上述现有技术的不足，本专利技术提供一种基于时间特征的Web服务器匿名访问流量检测方法，解决了Web服务器对匿名访问流量的检测问题，可以实现匿名Web访问流量的快速、准确检测，提高Web服务器的安全性。为了实现上述专利技术目的，本专利技术采取如下技术方案：本专利技术提供一种基于时间特征的Web服务器匿名访问流量检测方法，所述方法包括以下步骤：步骤1：时间特征提取；步骤2：基于单类支持向量机建立时间特征模型；步骤3：将时间特征代入时间特征模型中进行检测；步骤4：对检测结果进行确认。所述步骤1中，Web服务器记录HTTP协议中GET请求和POST请求各自的到达时间，将连续出现的GET请求或POST请求之间的时间间隔作为时间特征。所述步骤1具体包括以下步骤：步骤1-1：根据IP地址，对于每个连接Web服务器的客户端，Web服务器建立数据库检索索引；步骤1-2：Web服务器记录HTTP协议中GET请求和POST请求的到达时间，且对于相同的多次GET请求或POST请求，Web服务器仅记录第一次GET请求或POST请求的到达时间；步骤1-3：从记录的GET请求和POST请求达到时间序列中提取时间特征。所述步骤1-1中，对于IPv4类型的客户端IP地址，Web服务器根据自身操作系统的字节顺序，将客户端的IP地址保存为4字节INT型，之后Web服务器计算对应的数值，并以该数值作为客户端的检索索引；对于IPv6类型的客户端IP地址，Web服务器将客户端的IPv6地址作为字符串，使用BKDRHash杂凑函数计算hash值，并以计算结果作为数据库索引，同时数据库中保存IPv6地址信息。所述步骤1-3中，Web服务器根据记录的GET请求和POST请求各自的到达时间，计算出GET请求和POST请求达到的时间间隔，并依据由大到小的顺序对时间间隔进行排序，提取至少20％的时间间隔，保存为特征向量以作为时间特征。所述步骤2中，将提取的时间特征保存为特征向量，使用单类支持向量机进行模型训练，得出时间特征模型。所述步骤2中，设特征向量的长度为l，且特征向量形式化表示为P＝{p1,p2,…,pm,…pl}，pm为第m个时间间隔；设共有k个特征向量，Pi为第i个特征向量，通过所述单类支持向量机建立的训练模型如下：其中，w为分类超平面的法向量；ρ为设定常量，其决定原点相对超平面的距离；εi是松弛变量，用以惩罚分类错误的点；v是最大间隔和惩罚项的平衡参数，且v∈(0,1]；φ(Pi)为表示将第i个特征向量映射到高维空间；引入拉格朗日乘子αi和βi，有：代入核函数可得如下对偶函数：其中，αj为拉格朗日乘子，φ(Pj)表示将第j个特征向量映射到高维空间；Pj为第j个特征向量，j＝1,2,...,k；K(Pi,Pj)＝φ(Pj)·φ(Pj)为核函数，采用径向基函数为相应的核函数，K(Pi,Pj)表示为：K(Pi，Pj)＝exp(-γ||Pi-Pj||2)K(Pi,Pj)＝exp(-γPi-Pj)其中，γ为控制半径参数，γ＞0；最后通过求解对偶函数得到支持向量集SV和对应的αi值，即为时间特征模型。最大间隔和惩罚项的平衡参数v的最优值按照如下过程确定：1)以0.01为步长，在(0，1]之间测试不同v值的识别率，计最大识别率对应的v值为v′；2)在(v′-0.1，v′+0.1]间，以0.001为步长，测试不同v值的识别率，并最终以最大识别率对应的值vmax作为平衡参数v的最优值。所述步骤3中，使用计算得到的支持向量集SV和对应的αi值，将判别函数Y(P)表示为：其中，sign(·)为符号函数，定义为：对待检本文档来自技高网...

【技术保护点】
一种基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述方法包括以下步骤：步骤1：时间特征提取；步骤2：基于单类支持向量机建立时间特征模型；步骤3：将时间特征代入时间特征模型中进行检测；步骤4：对检测结果进行确认。

【技术特征摘要】
1.一种基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述方法包括以下步骤：步骤1：时间特征提取；步骤2：基于单类支持向量机建立时间特征模型；步骤3：将时间特征代入时间特征模型中进行检测；步骤4：对检测结果进行确认；所述步骤4具体包括以下步骤：步骤4-1：Web服务器跳转至认证页面；步骤4-2：根据产生特定大小的验证码，要求用户输入网页中显示的验证码；为同时检测出Tor和JAP匿名访问流量，验证码的大小设为990字节；步骤4-3：将验证码发回至Web服务器；步骤4-4：Web服务器根据验证码对应的报文长度确认是否为匿名访问流量；若验证码对应的网络报文被分割为两个报文，且对应的报文长度分别为498、492字节或989、1字节，则确认为匿名访问流量，否则判断为正常访问流量。2.根据权利要求1所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤1中，Web服务器记录HTTP协议中GET请求和POST请求各自的到达时间，将连续出现的GET请求或POST请求之间的时间间隔作为时间特征。3.根据权利要求1或2所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤1具体包括以下步骤：步骤1-1：根据IP地址，对于每个连接Web服务器的客户端，Web服务器建立数据库检索索引；步骤1-2：Web服务器记录HTTP协议中GET请求和POST请求的到达时间，且对于相同的多次GET请求或POST请求，Web服务器仅记录第一次GET请求或POST请求的到达时间；步骤1-3：从记录的GET请求和POST请求达到时间序列中提取时间特征。4.根据权利要求3所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤1-1中，对于IPv4类型的客户端IP地址，Web服务器根据自身操作系统的字节顺序，将客户端的IP地址保存为4字节INT型，之后Web服务器计算对应的数值，并以该数值作为客户端的检索索引；对于IPv6类型的客户端IP地址，Web服务器将客户端的IPv6地址作为字符串，使用BKDRHash杂凑函数计算hash值，并以计算结果作为数据库索引，同时数据库中保存IPv6地址信息。5.根据权利要求3所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤1-3中，Web服务器根据记录的GET请求和POST请求各自的到达时间，计算出GET请求和POST请求达到的时间间隔，并依据由大到小的顺序对时间间隔进行排序，提取至少20％的时间间隔，保存为特征向量以作为时间特征。6.根据权利要求1所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤2中，将提取的时间特征保存为特征向量，使用单类支持向量机进行模型训练，得出时间特征模型。7.根据权利要求1或6所述的基于时间特征的Web服务器匿名访问流量检测方法，其特征在于：所述步骤2中，设特征向量的长度为l，且特征向量形式化表示为P＝{p1,p2,…,pm,…pl}，pm为第m个时间间隔；设共有k个特征向量，Pi为第i个特征向量，通过所述单类支持向量机建立的训练模型如下：

【专利技术属性】
技术研发人员：何高峰，张涛，张波，马媛媛，陈亚东，楚杰，
申请(专利权)人：国家电网公司，中国电力科学研究院，
类型：发明
国别省市：北京;11