[发明专利]一种基于主机指纹的匿名网络隐藏服务溯源方法

说明书

本发明提供一种基于主机指纹的匿名网络隐藏服务溯源方法，其步骤包括：1)构建全球IPv4地址空间的主机指纹信息库；其中每一个主机的指纹信息由所有运行在该主机上的网络服务的指纹信息的并集标识；2)提取匿名网络隐藏服务开放的端口的指纹信息；其中每一个匿名网络隐藏服务的指纹信息由该隐藏服务开放的所有端口的指纹信息的并集标识；3)将上述提取的匿名网络隐藏服务的指纹信息在所述全球IPv4地址空间的主机指纹信息库中进行匹配，以实现匿名网络隐藏服务溯源。该方法提高了匿名网络隐藏服务溯源的效率，同时可以广泛用于打击利用匿名网络的犯罪行为。

技术领域

本发明涉及信息安全领域网络攻击溯源方向，尤其涉及一种基于主机指纹的匿名网络隐藏服务溯源方法。

背景技术

匿名通信技术作为一种主要的隐私增强技术被广泛应用于互联网的各个方面，现有的匿名通信技术主要是通过多次存储转发(利用Mix网络和洋葱路由技术)来改变消息的外观(报文延迟、乱序、报文填充等)，并利用Mix网络的刷新机制消除消息间的对应关系，从而为在线用户提供隐私保护，典型的低时延匿名通信系统包括Tor，I2P等。

这些匿名通信系统不仅提供了对Internet用户的身份信息的保护，同时实现了对服务提供者的身份信息保护，它们允许用户能够在确保服务器IP不被泄漏的前提下提供网络服务。我们将这些构建于匿名通信系统之上的隐藏网络服务统称为“暗网”。如Tor的Hidden Service，I2P的Eepsites。

然而，Tor等匿名网络独特的匿名性在保护正常用户隐私的同时，也为恐怖分子、谣言制造者、网络攻击者以及毒品、色情等非法交易提供了便利。卡巴斯基实验室的报告显示，Tor暗网已经成了僵尸网络、恶意软件指令服务器和网络黑市的庇护所，2013年以来，藏匿于Tor网络的非法服务快速增多，卡巴斯基实验室已经发现了至少有900个非法服务(包括毒品交易网站silk road、僵尸网络zombie等)使用Tor网络，动用共计5500个服务中继节点和1000个出口节点。研究发现，Tor网络中有高达32％的匿名服务涉及到色情和毒品交易。此外，匿名通信工具常常被用于传递敏感信息、发布谣言等，比如：哈佛学生通过Tor散播炸弹谣言，维基泄露中曼宁就是通过Tor网络交换敏感情报，斯诺登使用基于Tor的操作系统Tails传递情报信息。

当前针对匿名网络隐藏服务溯源的方法主要是基于主被动流分析或者协议漏洞方法，也有一些工作研究了一种基于配置、网页内容中唯一ID等属性的匿名性破解方法。基于主被动流分析的匿名性破解技术需要攻击者同时控制匿名网络链路的入口节点(EntryGuard)，从而监视互联网用户进入匿名网络入口节点和隐藏服务的入口节点，然后利用匿名网络流量的时间和包大小特征进行关联的方法，尽管该方法具有很高的准确性，但是攻击者能够同时控制匿名网络的入口和出口节点的概率非常低，而协议漏洞方法常常也被开发人员修复。

发明内容

本发明的目的是提供一种基于主机指纹的匿名网络隐藏服务溯源方法，该方法提高了匿名网络隐藏服务溯源的效率，同时可以广泛用于打击利用匿名网络的犯罪行为。

针对上述目的，本发明所采用的技术方案为：

一种基于主机指纹的匿名网络隐藏服务溯源方法，其步骤包括：

1)构建全球IPv4地址空间的主机指纹信息库；其中每一个主机(IPv4地址)的指纹信息由所有运行在该主机上的网络服务的指纹信息的并集标识；

2)提取匿名网络隐藏服务开放的端口的指纹信息；其中每一个匿名网络隐藏服务的指纹信息由该隐藏服务开放的所有端口的指纹信息的并集标识；

3)将上述提取的匿名网络隐藏服务的指纹信息在所述全球IPv4地址空间的主机指纹信息库中进行匹配，以实现匿名网络隐藏服务溯源。

进一步地，步骤1)中采用一种面向互联网(IPv4地址空间)的主机指纹标注方法来构建全球IPv4地址空间的主机指纹信息库。