本發明提供一種基于主機指紋的匿名網絡隱藏服務溯源方法，其步驟包括：1)構建全球IPv4地址空間的主機指紋信息庫；其中每一個主機的指紋信息由所有運行在該主機上的網絡服務的指紋信息的并集標識；2)提取匿名網絡隱藏服務開放的端口的指紋信息；其中每一個匿名網絡隱藏服務的指紋信息由該隱藏服務開放的所有端口的指紋信息的并集標識；3)將上述提取的匿名網絡隱藏服務的指紋信息在所述全球IPv4地址空間的主機指紋信息庫中進行匹配，以實現匿名網絡隱藏服務溯源。該方法提高了匿名網絡隱藏服務溯源的效率，同時可以廣泛用于打擊利用匿名網絡的犯罪行為。

技術領域

本發明涉及信息安全領域網絡攻擊溯源方向，尤其涉及一種基于主機指紋的匿名網絡隱藏服務溯源方法。

背景技術

匿名通信技術作為一種主要的隱私增強技術被廣泛應用于互聯網的各個方面，現有的匿名通信技術主要是通過多次存儲轉發(利用Mix網絡和洋蔥路由技術)來改變消息的外觀(報文延遲、亂序、報文填充等)，并利用Mix網絡的刷新機制消除消息間的對應關系，從而為在線用戶提供隱私保護，典型的低時延匿名通信系統包括Tor，I2P等。

這些匿名通信系統不僅提供了對Internet用戶的身份信息的保護，同時實現了對服務提供者的身份信息保護，它們允許用戶能夠在確保服務器IP不被泄漏的前提下提供網絡服務。我們將這些構建于匿名通信系統之上的隱藏網絡服務統稱為“暗網”。如Tor的Hidden Service，I2P的Eepsites。

然而，Tor等匿名網絡獨特的匿名性在保護正常用戶隱私的同時，也為恐怖分子、謠言制造者、網絡攻擊者以及毒品、色情等非法交易提供了便利。卡巴斯基實驗室的報告顯示，Tor暗網已經成了僵尸網絡、惡意軟件指令服務器和網絡黑市的庇護所，2013年以來，藏匿于Tor網絡的非法服務快速增多，卡巴斯基實驗室已經發現了至少有900個非法服務(包括毒品交易網站silk road、僵尸網絡zombie等)使用Tor網絡，動用共計5500個服務中繼節點和1000個出口節點。研究發現，Tor網絡中有高達32％的匿名服務涉及到色情和毒品交易。此外，匿名通信工具常常被用于傳遞敏感信息、發布謠言等，比如：哈佛學生通過Tor散播炸彈謠言，維基泄露中曼寧就是通過Tor網絡交換敏感情報，斯諾登使用基于Tor的操作系統Tails傳遞情報信息。

當前針對匿名網絡隱藏服務溯源的方法主要是基于主被動流分析或者協議漏洞方法，也有一些工作研究了一種基于配置、網頁內容中唯一ID等屬性的匿名性破解方法。基于主被動流分析的匿名性破解技術需要攻擊者同時控制匿名網絡鏈路的入口節點(EntryGuard)，從而監視互聯網用戶進入匿名網絡入口節點和隱藏服務的入口節點，然后利用匿名網絡流量的時間和包大小特征進行關聯的方法，盡管該方法具有很高的準確性，但是攻擊者能夠同時控制匿名網絡的入口和出口節點的概率非常低，而協議漏洞方法常常也被開發人員修復。

發明內容

本發明的目的是提供一種基于主機指紋的匿名網絡隱藏服務溯源方法，該方法提高了匿名網絡隱藏服務溯源的效率，同時可以廣泛用于打擊利用匿名網絡的犯罪行為。

針對上述目的，本發明所采用的技術方案為：

一種基于主機指紋的匿名網絡隱藏服務溯源方法，其步驟包括：

1)構建全球IPv4地址空間的主機指紋信息庫；其中每一個主機(IPv4地址)的指紋信息由所有運行在該主機上的網絡服務的指紋信息的并集標識；

2)提取匿名網絡隱藏服務開放的端口的指紋信息；其中每一個匿名網絡隱藏服務的指紋信息由該隱藏服務開放的所有端口的指紋信息的并集標識；

3)將上述提取的匿名網絡隱藏服務的指紋信息在所述全球IPv4地址空間的主機指紋信息庫中進行匹配，以實現匿名網絡隱藏服務溯源。

進一步地，步驟1)中采用一種面向互聯網(IPv4地址空間)的主機指紋標注方法來構建全球IPv4地址空間的主機指紋信息庫。