The invention discloses a hidden network discovery and Traceability Method Based on sample traffic analysis, which includes the following steps: inserting Trojan horse into user terminals of dark network, collecting traffic data of online behavior communication; setting controlled dark network routing nodes in dark network to collect traffic data; setting controlled dark network server nodes in dark network to collect traffic data; The above traffic data are collected to realize the correlation analysis among user terminals, dark network routing nodes and dark network server nodes; the traffic data characteristics of dark network are identified by machine learning, and the traffic characteristics are extracted; the traffic data are matched by the traffic characteristics to realize the discovery and traceability of dark network. Through the technical scheme of the invention, the discovery and traceability of the dark network can be realized, the illegal behavior of the dark network can be monitored and the terrorist activities can be effectively combated.
【技术实现步骤摘要】
一种基于样本流量分析的暗网发现、溯源方法及系统
本专利技术涉及数据安全领域,具体涉及一种基于样本流量分析的暗网发现及溯源方法及系统。
技术介绍
暗网,是隐藏在互联网的最深处,是一种被有意隐藏的内容,隐藏暗网的访问者信息、暗网的服务提供者信息,达到隐藏通信双方真实身份及传输内容的目标,使其不可被追踪。暗网(不可见网,隐藏网)不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。暗网是深网(DeepWeb)的一个子集,属于深网的一小部分。据估计,暗网比表面网站大几个数量级。Tor洋葱路由器,是暗网通信的网络路由节点,这些节点主要是通过志愿者计算机节点组成,用户的所有网络流量将通过这些节点进行加密传输,使流量不能追溯到原始用户。洋葱路由器是一个类似于P2P原理的代理服务器,所有安装了洋葱路由的用户既是代理服务器的使用者也是代理服务器的提供者。洋葱路由器是由志愿者,花费自己的带宽建立起来的。然而,Tor的匿名服务已经违背了设计的初衷,并且被用于大量的非法活动,如销售毒品、买卖枪支、涉黄、涉赌、人口贩卖等,这些匿名服务可能被用于规避审查,并且也完全没有办法知道这些服务的提供者是谁,谁购买了这些服务。对于庞大的“暗网”,搜索业界通行的策略主要有两种:其一,构建更有针对性的“暗网”爬虫,以便获取后台数据库;其二,与“暗网”网站合作,实现信息的对接和上浮。对于第一种策略,它始终贯穿搜索引擎的发展过程。百度产品部相关人士对此表示,针对搜索引擎的升级和更新中,大部分与“暗网”问题有关,只不过对普通用户来讲,他们很难察觉。第二种策略 ...
【技术保护点】
1.一种基于样本流量分析的暗网发现及溯源方法,其特征在于,该方法包括以下步骤:1)对暗网的用户终端植入木马,采集其上网行为通讯流量数据;2)在暗网中设置受控的暗网路由节点,采集流量数据;3)在暗网中设置受控的暗网服务器节点,采集流量数据;4)通过采集的上述流量数据,实现对用户终端、暗网路由节点和暗网服务器节点之间的关联分析;5)通过机器学习的方式对暗网的流量数据特征进行识别,并提取流量特征;6)通过流量特征对流量数据进行匹配,实现暗网的发现及溯源。
【技术特征摘要】
1.一种基于样本流量分析的暗网发现及溯源方法,其特征在于,该方法包括以下步骤:1)对暗网的用户终端植入木马,采集其上网行为通讯流量数据;2)在暗网中设置受控的暗网路由节点,采集流量数据;3)在暗网中设置受控的暗网服务器节点,采集流量数据;4)通过采集的上述流量数据,实现对用户终端、暗网路由节点和暗网服务器节点之间的关联分析;5)通过机器学习的方式对暗网的流量数据特征进行识别,并提取流量特征;6)通过流量特征对流量数据进行匹配,实现暗网的发现及溯源。2.根据权利要求1所述的方法,所述步骤1)对暗网的用户终端植入木马,采集其上网行为通讯流量数据具体包括:对暗网用户终端植入木马,通过对该用户终端的国家进出口流量进行监测,如果发现该终端用户下载访问了暗网浏览器软件,则对其进行追踪并将该终端用户标识为潜在暗网用户,并通过木马植入技术发现其用户终端漏洞,监视其上网的浏览行为,采集其上网行为通讯流量数据。3.根据权利要求1所述的方法,所述步骤3)设置受控的暗网服务器节点,采集流量数据具体包括:通过在暗网网络中设置受控的路由节点,当有主机同其进行通讯时,采集netFlow及网卡的原始流量信息。4.根据权利要求1所述的方法,所述步骤3)设置受控的暗网服务器节点,采集流量数据具体包括:通过在暗网中设置暗网服务器节点,当暗网服务器的开放资源被访问时,采集netFlow及网卡的原始流量信息。5.根据权利要求1-4之一所述的方法,所述步骤6)基于构建的暗网访问行为路径,达到暗网溯源的目的。6.一种基于样本流量分析的隐藏...
【专利技术属性】
技术研发人员:王敬义,喻波,王志海,安鹏,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。