隐藏服务溯源方法、装置及电子设备制造方法及图纸

本公开提供一种隐藏服务溯源方法、装置及电子设备，采用了链路指纹识别技术；首先部署在隐藏服务中的守卫节点运行流量监听程序，将得到的可观察流量转换为链路基本通信单元序列；将链路基本通信单元序列输入预先训练好的第一分类器，判断输入的序列是否为隐藏服务至会和节点的链路；将由第一分类器判断得到的隐藏服务至会和节点的链路输入第二分类器，输出该链路对应的隐藏服务类别，根据已知的隐藏服务IP地址，获取该隐藏服务的域名，完成隐藏服务溯源。使用该方法进行隐藏服务溯源的准确率达到了90％，提高了工作效率。

【技术实现步骤摘要】
隐藏服务溯源方法、装置及电子设备
本公开涉及网络通信
，尤其涉及一种隐藏服务溯源方法、装置及电子设备。
技术介绍
流量指纹识别技术是通过将目标匿名网络用户访问网络服务的可观察流量收集为数据包序列，利用机器学习、深度学习等方法构建分类器，通过对匿名网络用户访问的数据包序列进行分类，进而推断用户的访问内容。该方法可以使流量监听者在没有解密任何数据包的情况下，使用流量分析的方法对匿名网络用户访问内容进行识别，因此多用于客户端的溯源。常见流量指纹攻击技术大多用于客户端的识别。现有技术主要是围绕针对暗网服务访问用户匿名性破解方面进行开展，针对暗网隐藏服务物理位置匿名性破解的工作相对匮乏，如何将流量指纹相关技术应用到暗网隐藏服务溯源领域是目前需要进一步研究的问题。
技术实现思路
有鉴于此，本公开的目的在于提出一种隐藏服务溯源方法、装置及电子设备。基于上述目的，本公开提供了一种隐藏服务溯源方法，包括：为隐藏服务部署守护节点，在所述守护节点处进行流量监听，进行流量捕获以获取可观察流量，其中，将所述可观察流量转化为链路基本通信单元序列；并包括如下步骤：使用第一分类器进行链路指纹识别，将所述链路基本通信单元序列输入所述第一分类器，判断所述链路基本通信单元序列是否为所述隐藏服务到会和节点HS-RP的链路；响应于确定所述第一分类器判断输入的所述链路基本通信单元序列为所述HS-RP链路，将所述HS-RP链路和所述隐藏服务的标签输入第二分类器，所述第二分类器输出该所述HS-RP链路对应的所述隐藏服务标签。基于同一专利技术目的，本公开还提供了一种隐藏服务溯源装置，包括：流量捕获模块，为隐藏服务部署守护节点，在所述守护节点处进行流量监听，并进行流量捕获以获取可观察流量，其中，将所述可观察流量转化为链路基本通信单元序列；第一分类模块，使用第一分类器进行链路指纹识别，将链路基本通信单元序列输入所述第一分类器，判断所述链路基本通信单元序列是否为所述隐藏服务到会和节点HS-RP的链路；第二分类模块，响应于确定所述第一分类器判断输入的所述链路基本通信单元序列为所述HS-RP链路，将所述HS-RP链路和隐藏服务标签输入第二分类器，所述第二分类器输出该所述HS-RP链路对应的所述隐藏服务标签。基于同一专利技术目的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现上述隐藏服务溯源方法。从上面所述可以看出，本公开提供的隐藏服务溯源方法、装置及电子设备，将链路指纹识别与流量指纹攻击技术结合起来，实现隐藏服务的溯源。使用本专利技术对隐藏服务守护节点与隐藏服务之间的流量进行链路识别，准确率可以达到96％；进一步对HS-RP链路的流量进行指纹识别溯源，准确率可达90％。附图说明为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本公开实施例的隐藏服务溯源方法的步骤图；图2为本公开实施例的隐藏服务溯源方法的流程图；图3为本公开实施例的隐藏服务溯源装置的结构示意图；图4为本公开实施例的电子设备示意图。具体实施方式为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。流量指纹识别技术是通过将目标匿名网络用户访问网络服务的可观察流量收集为数据包序列，利用机器学习、深度学习等方法构建分类器，通过对匿名网络用户访问的数据包序列进行分类，进而推断用户的访问内容。该方法可以使流量监听者在没有解密任何数据包的情况下，使用流量分析的方法对匿名网络用户访问内容进行识别，因此多用于客户端的溯源。近年来，研究者提出了一系列基于机器学习方法的网站指纹识别攻击，可以将准确率保持在90％，同时降低攻击成本。常见的流量指纹攻击技术大多用于客户端的识别。相关技术主要是围绕针对暗网服务访问用户匿名性破解方面进行开展，针对暗网隐藏服务物理位置匿名性破解的工作相对匮乏，如何将流量指纹相关技术应用到暗网隐藏服务溯源领域是目前需要进一步研究的问题。为解决上述问题，本公开提出一种隐藏服务溯源方法、装置及电子设备，本方法基于链路指纹识别技术，通过植入隐藏服务守护节点，在其上对隐藏服务的加密流量进行被动监听与分析，将加密流量转化为链路基本通信单元序列并输入第一分类器判断该序列是否为由隐藏服务至会和节点(HiddenService-Rend-Point，HS-RP)的链路，然后将判断得到的HS-RP链路输入第二分类器，由第二分类器识别出每条HS-RP链路对应的隐藏服务标签；同时，技术人员可根据隐藏服务标签得到该隐藏服务的互联网协议地址(InternetProtocolAddress，IP地址)，并将隐藏服务的IP地址与其域名进行关联，进而对隐藏服务进行溯源。这种方法在进行隐藏服务溯源时，提高了识别和溯源的准确率。基于深度模型的匿名网络链路指纹识别，其目的是在没有解密任何数据包的情况下，使用流量分析的方法，将隐藏服务守护节点的可观察流量收集为链路基本通信单元序列，将深度学习分类应用于该序列，进而判断链路是否为HS-R的链路。利用神经网络自学习、自组织性与强鲁棒性，使用基于深度模型自动学习特征的方法，将提取的数据包序列直接作为输入进行分类。我们使用卷积神经网络模型对其进行分类。卷积神经网络是神经网络的特定架构，广泛用于自然语言处理任务，文本分类任务和序列分类任务，其卷积运算可以从输入序列的片段中提取高级的统计特征。网站指纹识别方法被广泛应用于破解客户端的匿名性，即识别目标用户访问的目的。在服务端，也可以使用网站指纹识别的方法来关联隐藏服务的IP地址与内容。在此场景下，攻击者在暗网中部署了入口节点。因此，攻击者可以知道将受控入口节点作为入口的隐藏服务h的IP地址。同时，攻击者拥有一个关注的隐藏服务的集合H＝(h_1,h_2,…,h_n)，可以事先训练好相应的流量分类模型M(H)。接下来，攻击者收集h与受控入口节点之间的流量，输入到分类模型中，就可以判断h是否属于H，以及h是H中的哪一个隐藏服务。与客户端的网站指纹识别问题类似，服务端的网站指纹识别问题同样可以看作是一个多分类(n+1类)的问题，其中，为了训练流量分类模型M(H)，本文档来自技高网...

【技术保护点】
1.一种隐藏服务溯源方法，其中，/n为隐藏服务部署守护节点，在所述守护节点处进行流量监听，并进行流量捕获以获取可观察流量，其中，将所述可观察流量转化为链路基本通信单元序列；/n并包括如下步骤：/n使用第一分类器进行链路指纹识别，将所述链路基本通信单元序列输入所述第一分类器，判断所述链路基本通信单元序列是否为所述隐藏服务到会和节点HS-RP的链路；/n响应于确定所述第一分类器判断输入的所述链路基本通信单元序列为所述HS-RP链路，将所述HS-RP链路和隐藏服务标签输入第二分类器，所述第二分类器输出该所述HS-RP链路对应的所述隐藏服务标签。/n

【技术特征摘要】
1.一种隐藏服务溯源方法，其中，
为隐藏服务部署守护节点，在所述守护节点处进行流量监听，并进行流量捕获以获取可观察流量，其中，将所述可观察流量转化为链路基本通信单元序列；
并包括如下步骤：
使用第一分类器进行链路指纹识别，将所述链路基本通信单元序列输入所述第一分类器，判断所述链路基本通信单元序列是否为所述隐藏服务到会和节点HS-RP的链路；
响应于确定所述第一分类器判断输入的所述链路基本通信单元序列为所述HS-RP链路，将所述HS-RP链路和隐藏服务标签输入第二分类器，所述第二分类器输出该所述HS-RP链路对应的所述隐藏服务标签。


2.根据权利要求1所述的溯源方法，其中，所述将所述可观察流量转化为链路基本通信单元序列，包括：
修改所述流量监听程序的源码，使所述守护节点能够记录所述隐藏服务的访问日志；
在所述访问日志内以所述链路的ID区分不同的所述链路，记录链路基本通信单元的方向序列作为所述链路基本通信单元序列，其中，+1表示发送的基本通信单元，-1表示接收的所述基本通信单元。


3.根据权利要求1所述的溯源方法，其中，输入所述第一分类器的所述链路基本通信单元序列的长度为第一阈值；
响应于确定所述链路基本通信单元序列的长度不足所述第一阈值，进行补0使所述链路基本通信单元序列的长度达到所述第一阈值，否则，截取所述第一阈值数量的所述基本通信单元作为待输入的所述链路基本通信单元序列。


4.根据权利要求2所述的溯源方法，其中，输入所述第二分类器的所述HS-RP链路长度为第二阈值；
响应于确定所述HS-RP链路长度不足所述第二阈值，进行补0使所述HS-RP链路的长度达到所述第二阈值，否则，截取所述第二阈值数量的所述基本通信单元作为待输入的所述HS-RP链路。


5.根据权利要求1所述的溯源方法，其中，所述第一分类器为二分类器，将所述链路基本通信单元序列输入，输出输入数据的类别标签，输出为0代表输入的是其余链路，输出为1代表输入的是所述HS-RP链路；
其中，所述第一分类器分别计算对输入的所述链路基本通信单元序列输出0或输出1的概率，输入的所述链路基本通信单元序列被判断为所述其余链路的概率不低于预设置信度时，所述第一分类器输出0；
同样，输入的所述链路基本通信单元序列被判断为所述HS-RP链路的概率不低于所述预设置信度时，所述第一分类器输出为1。


6.根据权利要求5所述的溯源方法，其中，所述第一分类器通过卷积神经网络模型训练得到，包括：
调用并预处理相同数量的预先建立的链路指纹数据集中的HS-RP链路实例和背景流量链路实例，其中，所述预处理操作包括归一化处理和数据对齐，通过所述预处理操作分别得到上述两种所述链路实例的所述链路基本通信单元序列和对应的链...

【专利技术属性】
技术研发人员：时金桥，张尼，苏马婧，王美琪，王学宾，宋栋，石瑞生，王东滨，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11