[发明专利]一种捕获隐藏服务流量的方法和系统

说明书

本发明公开了一种捕获隐藏服务流量的方法和系统，所述方法包括：部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后，将所述请求向目标隐藏服务站转发；其中，所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点；所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后，所述受控入口节点捕获所述目标隐藏服务站的流量。应用本发明可以较低的金钱成本和较低的时间成本，有效捕获各种隐藏服务的流量模式，具有较好的可行性和实用性。

技术领域

本发明涉及计算机技术领域，特别是指一种捕获隐藏服务流量的方法和系统。

背景技术

隐藏服务通常通过入口节点接入Tor网络，形成3跳链路，与客户端形成的3跳链路汇聚后通过RP链路进行数据交换。由于入口节点的后一跳即为隐藏服务，因此可以通过入口节点的数据包中的IP地址来对隐藏服务进行溯源。例如专利号为108494769A的技术通过部署大量的入口节点，通过流水印技术在各个受控入口节点处检测特定的流量信号，从而实现对隐藏服务的溯源。

流量指纹识别是一种攻击技术，本地、被动的攻击者将目标用户客户端的可观察流量收集为数据包序列，将机器学习分类应用于客户端的数据包序列，进而猜测目标用户访问了哪个网页。例如Kwon等人提出了一种电路指纹攻击技术，它将允许入口守卫分析通过它的流量的电路指纹。这使得攻击者可以通过使用机器学习算法与被动时序分析，分析流量模式，即信元计数、电路指纹，识别出用户隐藏的服务，真阳率大于98％，假阳率小于0.1％。该方法能够有效应用在隐藏服务的入口节点处，当隐藏服务选择受控入口节点形成RP链路时，可以通过流量指纹识别技术检测到隐藏服务流量，从而通过主动攻击的方法溯源隐藏服务，提高对隐藏服务的溯源效率。

为了训练流量指纹识别算法，需要大量的隐藏服务流量数据，由于在未指定特定入口节点时，隐藏服务会随机在入口节点列表中选择一个作为入口节点，导致隐藏服务端的流量难以获取，使得大规模隐藏服务指纹模型难以构建。

如图1所示，目前常用的隐藏服务流量的捕获方法有2种：(1)基于主动攻击：在Tor网络中搭建若干受控入口节点，向目标隐藏服务不断通过主动攻击的方式发送特定的流量序列，在受控入口节点处不断的检测流量，当检测到特定的流量序列时，表明隐藏服务与入口节点进行连接，此时可以在入口节点捕获流量；(2)基于隐藏服务镜像：通过爬取隐藏服务中的内容，搭建静态的隐藏服务镜像，并指定特定的受控入口节点，从而在受控入口节点处捕获流量。

上面描述的用于构建隐藏服务流量模型的方法都具有一定的局限性：

通过大规模部署受控入口节点的方法虽然可以捕捉到开放世界的隐藏服务流量，但由于隐藏服务入口节点的选择是随机的，并不能保证受控入口节点接入到目标隐藏服务中；另一方面，由于tor流量加密，导致单从IP地址并不能分辨来自隐藏服务的流量，需要通过不断的对隐藏服务进行攻击，在受控入口节点处检测到攻击信号，才能捕获到隐藏服务流量。因此，大规模部署受控入口节点的方法费时费力，效率低下。

部署静态隐藏服务镜像的方法虽然可以不部署入口节点从而捕获隐藏服务流量，但是隐藏服务流量往往是随着隐藏服务的内容而变化的，静态的隐藏服务镜像往往不能提供这种动态的变化，从而使得捕获的隐藏服务流量较为单一，不适合作为深度学习模型的数据。

发明内容

有鉴于此，本发明的目的在于提出一种捕获隐藏服务流量的方法和系统，能以较低的金钱成本和较低的时间成本，有效捕获各种隐藏服务的流量模式，具有较好的可行性和实用性。

基于上述目的，本发明提供一种捕获隐藏服务流量的方法，包括：

部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后，将所述请求向目标隐藏服务站转发；其中，所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点；