[发明专利]一种基于时间特征的Web服务器匿名访问流量检测方法

说明书

技术领域

本发明涉及一种检测方法，具体设计一种基于时间特征的Web服务器匿名访问流量检测方法。

背景技术

随着Internet以及移动互联网的迅猛发展和广泛使用，网络已融入人们日常生活的方方面面。与此同时，网络通信所带来的安全与隐私问题也受到了越来越多的关注。为保护网络用户的隐私信息，研究人员提出了匿名通信概念和相关技术实现。

匿名通信技术是由Chaum于1981年首次提出，该技术通过在发送者和接收者的通信路径上插入一个或多个中间节点(Mix节点)来实现用户身份和通信关系的隐藏。用户在发送数据时，首先确定转发路径上Mix节点和接收者的地址信息，然后利用转发路径上各Mix节点的公钥对数据和地址信息进行层层加密，形成“洋葱包”，并将该“洋葱包”发送至转发路径上的第一个Mix节点。收到“洋葱包”后，该Mix节点对其进行解密操作以获得下一跳地址，并将解密后的“洋葱包”发送至下一跳节点，其它节点依次操作直至最后将原始数据转发至接收者。返回数据时则按对应的相反顺序进行，接收者将数据返回至与其直接相连的Mix节点(即转发路径上的最后一个Mix节点)，然后路径上各Mix节点利用自己的私钥对数据进行层层加密并反方向转发，并最终由用户执行多次解密操作得出通信内容。基于该技术，研究人员设计了多种匿名通信方案如洋葱路由协议等，并在此基础上开发了一些实用匿名通信系统，如Tor、JAP等。

在保护网络用户身份隐私信息的同时，匿名通信系统的滥用也给网络安全和网络管理带来巨大威胁。例如德国政府在2007年陆续逮捕了多名Tor出口节点的提供者，而实际上这些Tor出口节点的提供者是非法浏览色情信息等此类网络犯罪的替罪羊。当匿名犯罪分子利用Tor网络获取儿童色情信息时，对应的网络流量将首先被发送到Tor出口节点，再由这些出口节点将相关数据经Tor网络转发给匿名罪犯。依据网络流量的IP地址信息仅能追查到这些Tor出口节点，而真正的网络罪犯却无法得知。此外，僵尸网络(Botnet)已开始使用Tor匿名通信网络来隐藏命令与控制(C&C)服务器，各Bot节点通过Tor与C&C服务器进行通信，隐藏了C&C服务器的真实身份和Bot节点之间的关联性，使得对僵尸网络的检测更加困难。更为严重的是，一些流行的网络攻击工具，如针对Web服务器的DoS攻击工具torshammer、SQL注入攻击工具sqlmap等已提供配置选项使得攻击流量经过Tor匿名网络转发从而躲避检测和追踪。鉴于Web应用的广泛部署以及其在电力等国计民生领域中的重要地位，有必要对匿名Web访问进行监管，防止匿名攻击，提升Web服务器的安全性。而匿名访问流量的检测是执行进一步监管的前提和基础。

目前Web服务器对匿名访问流量的检测主要依据IP地址信息，通过查询客户端的IP地址是否在公开的匿名节点列表中来检测匿名访问流量，但该方法具有明显的局限性。具体而言，现有方法存在以下三点不足：

1)若客户端为隐蔽的匿名节点，并不公开其IP地址，则Web服务器无法检测出匿名访问流量；

2)若客户端为双网卡，一块网卡接入匿名通信系统，而第二块网卡接入正常Internet，匿名访问流量通过第二块网卡发送至Web服务器，由于只有第一块网卡的IP地址在公开的匿名节点列表中，而Web服务器检查的却为第二块网卡的IP地址，因而无法检测出其产生的匿名访问流量；

3)若客户端之前为匿名节点，而现在关闭了其匿名服务，但匿名节点列表未能及时更新，则服务器将判断当前客户端的访问流量为匿名访问，因而存在误判情形。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于时间特征的Web服务器匿名访问流量检测方法，解决了Web服务器对匿名访问流量的检测问题，可以实现匿名Web访问流量的快速、准确检测，提高Web服务器的安全性。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于时间特征的Web服务器匿名访问流量检测方法，所述方法包括以下步骤：

步骤1：时间特征提取；

步骤2：基于单类支持向量机建立时间特征模型；

步骤3：将时间特征代入时间特征模型中进行检测；

步骤4：对检测结果进行确认。

所述步骤1中，Web服务器记录HTTP协议中GET请求和POST请求各自的到达时间，将连续出现的GET请求或POST请求之间的时间间隔作为时间特征。

所述步骤1具体包括以下步骤：