[发明专利]一种基于网络流量的暗网用户行为检测方法和系统

说明书

本发明公开了一种基于网络流量的暗网用户行为检测方法和系统，涉及计算机网络安全领域。针对Tor、I2P、ZeroNet、Freenet四种主流暗网中的用户行为进行了分析研究。将用户行为分为8类，通过搭建暗网数据采集环境，采集真实暗网流量数据，提取数据中的流特征，训练层次分类模型。本发明采用层次分类的方法进行模型训练，该方法在四种暗网类型、25种用户行为的暗网流量识别场景下表现良好，具有较高的准确率。同时层次分类器中的基分类器训练各自独立且互不干扰，具有良好的可扩展性，可适应日新月异的暗网环境。本发明的系统可部署于实际生产环境的流量出口，与IDS、防火墙进行联动，为暗网的管控及溯源提供一种解决方法。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于网络流量的暗网用户行为检测方法和系统。

背景技术

暗网(Darknet)是指只能通过特殊的配置、软件、授权或者非标准的通信协议和端口才能访问的网络，而无法通过普通的浏览器或者搜索引擎进行访问。暗网的服务器地址和数据传输通常是匿名、匿踪的，随着各类暗网服务协议越发成熟，暗网逐渐成为了恐怖主义和违法犯罪滋生的“温床”，同时由于暗网在技术结构上的匿名性，也使其成为了各种政治情报、隐私数据流通的平台。鉴于暗网的危险性与高价值性，针对暗网流量的分析逐渐成为了人们研究的焦点。常用的暗网匿名通信网络包括Tor、I2P、Freenet和ZeroNet。

Tor(the second-generation onion router)是目前使用最广的匿名通信系统，Tor网络主要由分布在世界各地的志愿者中继构成，截止2020年的5月，每天有将近10,000个活跃节点在Tor网络中扮演中继节点(relay)或桥节点(bridge)，并为200万左右的用户提供隐藏服务。Tor网络由三个部分组成，onion proxy(OP),onion router(OR)和directory server(DS)组成。当Tor用户需要匿名访问互联网时，会通过世界各地志愿者所提供的中继节点，建立一系列虚拟链路将网络请求层层加密转发，从而隐藏自己的真实IP。

I2P(Invisible Internet Project)是一种使用单向加密隧道的P2P匿名通信系统，截止2020年5月，平均每天有59064个I2P路由在线，相当于每天平均有59064位用户正在运行I2P客户端。I2P网络是一个由java框架编写的P2P匿名网络，每一个I2P用户都运行着一个I2P路由器(router),用户经过向官方补种网站(reseed website)请求，获取peers节点信息，通过各自的I2P router建立隧道(tunnel)。

Freenet是一个分布式的信息存储与检索的P2P网络,用户可以在Freenet上匿名地分享文件、浏览、聊天、并发布只有通过Freenet才能访问的freesites站点。

ZeroNet是采用Bitcoin加密技术和BitTorrent技术建立起的去中心化的抗审查网络，ZeroNet的可用性在于发现并连接活跃的peers节点，因此ZeroNet非常依赖于BitTorrent trackers服务器。用户在ZeroNet上可以发布静态或动态的站点，访问者在请求站点时，首先向tracker请求，tracker会将拥有该资源的活跃节点的IP及端口号返回给访问者。

由此可见，不同暗网中的用户行为会根据各自的通讯协议产生不同的流量特征，如网页浏览行为与文件传输行为的网络流量特征存在较大的差异，精确识别暗网使用者正在利用何种暗网进行怎样的用户行为，对于暗网溯源及管控体系有着关键性的作用。

因此，本领域的技术人员致力于开发一种基于网络流量的暗网用户行为检测方法和系统。利用网络流量特征的差异，可以建立良好的暗网用户行为检测模型，从而解决互联网中暗网流量隐蔽性高、难以构建全面的网络安全体系的问题。

发明内容