[发明专利]一种基于样本流量分析的暗网发现、溯源方法及系统

说明书

本发明公开了一种基于样本流量分析的隐藏网络发现及溯源方法，该方法包括以下步骤：对暗网的用户终端植入木马，采集其上网行为通讯流量数据；在暗网中设置受控的暗网路由节点，采集流量数据；在暗网中设置受控的暗网服务器节点，采集流量数据；通过采集的上述流量数据，实现对用户终端、暗网路由节点和暗网服务器节点之间的关联分析；通过机器学习的方式对暗网的流量数据特征进行识别，并提取流量特征；通过流量特征对流量数据进行匹配，实现暗网的发现及溯源。通过本发明的技术方案，可以实现对暗网的发现及溯源，完成对暗网非法行为的监控，有效打击恐怖活动。

技术领域

本发明涉及数据安全领域，具体涉及一种基于样本流量分析的暗网发现及溯源方法及系统。

背景技术

暗网，是隐藏在互联网的最深处，是一种被有意隐藏的内容，隐藏暗网的访问者信息、暗网的服务提供者信息，达到隐藏通信双方真实身份及传输内容的目标，使其不可被追踪。暗网(不可见网，隐藏网)不能通过超链接访问而需要通过动态网页技术访问的资源集合，不属于那些可以被标准搜索引擎索引的表面网络。暗网是深网(Deep Web)的一个子集，属于深网的一小部分。据估计，暗网比表面网站大几个数量级。

Tor洋葱路由器，是暗网通信的网络路由节点，这些节点主要是通过志愿者计算机节点组成，用户的所有网络流量将通过这些节点进行加密传输，使流量不能追溯到原始用户。洋葱路由器是一个类似于P2P原理的代理服务器，所有安装了洋葱路由的用户既是代理服务器的使用者也是代理服务器的提供者。洋葱路由器是由志愿者，花费自己的带宽建立起来的。

然而，Tor的匿名服务已经违背了设计的初衷，并且被用于大量的非法活动，如销售毒品、买卖枪支、涉黄、涉赌、人口贩卖等，这些匿名服务可能被用于规避审查，并且也完全没有办法知道这些服务的提供者是谁，谁购买了这些服务。

对于庞大的“暗网”，搜索业界通行的策略主要有两种：其一，构建更有针对性的“暗网”爬虫，以便获取后台数据库；其二，与“暗网”网站合作，实现信息的对接和上浮。

对于第一种策略，它始终贯穿搜索引擎的发展过程。百度产品部相关人士对此表示，针对搜索引擎的升级和更新中，大部分与“暗网”问题有关，只不过对普通用户来讲，他们很难察觉。

第二种策略似乎更成效。不管是国外的谷歌、雅虎，还是国内的百度，都有针对性的计划，并且用户已经体验到了它们带来的变化。

对于暗网爬虫来说，一个简单粗暴的方式是：将各个输入框肯呢过的输入值组合起来形成查询，比如机票查询来说，将所有出发城市、所有目的城市和时间范围的选项一一组合，形成大量的查询，提交给垂直搜索引擎，从其搜索结果里提炼数据库记录。

GOOGLE对此提出了解决方案，称之为富含信息查询模块技术。

假设为了描述一个职位，完整的查询由3个不同的属性构成：出发城市、到达城市和出发日期。如果在搜索引擎提交查询的时候，部分属性被赋予了值，而其他属性不赋值，则这几个赋值属性一起构成了一个查询模块。

如果模块包含一个属性，则称之为一维模块。图中模块1是一维模块，模块2和模块3是二维模块，模块4是三维模块。

模块1＝{出发城市}

模块2＝{出发城市，到达城市}

模块3＝{到达城市，出发日期}

模块4＝{出发城市，到达城市和出发日期}

对于某个固定的查询模块来说，如果给模块内每个属性都赋值，形成不同的查询组合，提交给垂直搜索引擎，观察所有返回页面的内容，如果相互之间内容差异较大，则这个查询模块就是富含信息查询模块。但是这将是一个庞大的查询组合基数，为了进一步减少提交的查询数目。GOOGLE的方案使用了ISIT算法。