本申請公開了一種網站指紋識別方法、裝置、存儲器和處理器，獲取網站流量并按照會話分割成若干個子流量；按照同一預設的時間間隔劃分所述每個子流量中的數據包；獲取屬于同一預設時間間隔內的數據包的時間標簽，將所述時間標簽的數量按照流量方向分別累加獲得第一標簽數量和第二標簽數量；累加一預設的第一差額至所述第一標簽數量中獲得第三標簽數量；將屬于同一子流量中所有的所述第二標簽數量、第三標簽數量兩兩一組并按照時間序列排序獲得處理后的子流量數據；利用機器學習模型識別所述處理后的子流量數據并獲得對應的網站指紋。通過本方法能夠識別出對使用了WTF?PAT的tor流量進行識別，可以確定用戶正在通過加密連接訪問哪些網站。

技術領域

本申請涉及網絡安全技術領域，具體涉及一種網站指紋識別的方法。

背景技術

Tor是一種專門防范流量過濾、嗅探分析的技術，Tor在由“onion routers”(洋蔥)組成的表層網(overlay network)上進行通信，可以實現匿名對外連接、匿名隱藏服務。具體的，Tor通過創建一個從客戶端跨三個節點的加密電路來提供這種保護，這些加密電路在客戶端和服務器(通常是一個網站)之間中繼加密通信。在這種設計中，沒有一個Tor節點或竊聽者能夠將用戶的身份(即IP地址和位置)與其訪問的網站聯系起來。如圖2示出了不同網站使用普通Tor加密，根據數據包大小提取特征策略圖。圖2a中以Facebook和Skype站點為例，在使用普通Tor加密訪問后可以觀察到兩個站點在固定時間間隔內數據包大小總量的差異性還是非常明顯的。圖2b以Facebook和Skype為例，在5s的時間段內數據包總量的和時間的關系圖，可以通過數據包總量觀察到兩個不同站點的差異性，也可以從宏觀的角度說明數據包的大小是特征提取的有效手段。

但是，現有技術研究表明，Tor容易受到一類名為網站指紋(WF)的流量分析攻擊。WF攻擊允許對手了解客戶端在線活動的信息，即使流量是加密的。為了執行攻擊，一個被動的本地竊聽者從客戶端和入口節點之間的網絡流量中收集側通道信息。然后，攻擊者從收集到的流量中提取各種特征，如數據包統計或流量突發模式，并將這些信息輸入機器學習分類器，以識別客戶端訪問過哪個網站。這種攻擊的有效的性和準確度都非常高。

現有技術中，網站指紋防御WTF-PAD技術能夠防止上述流量分析攻擊。具體的，網站指紋防御WTF-PAD技術在信道使用率較低時才添加填充，形成如圖3所示的流量，每股子流的大小均相同，因此在帶寬可控的情況下實現了掩蓋流量突發的效果，從而避免現有的流量攻擊方法通過識別流量的大小區別可能的訪問網站。增加WTF-PAD防御機制以后，每個數據包大小都是相同的。普通的特征提取手段發揮作用很小，需要尋找一種更合適的網站指紋識別方法。

發明內容

本申請實施例提供了一種網站指紋識別方法、裝置、存儲器和處理器，以至少解決增加了WTF-PAD方法的網站指紋無法識別的問題。

根據本申請的一個方面，提供一種網站指紋識別方法，包括：

獲取網站流量并按照會話分割成若干個子流量；

按照同一預設的時間間隔劃分所述每個子流量中的數據包；

獲取屬于同一預設時間間隔內的數據包的時間標簽，將所述時間標簽的數量按照流量方向分別累加獲得第一標簽數量和第二標簽數量，所述第一標簽數量為所有按照第一流量方向的數據包的時間標簽數量之和，所述第二標簽數量為所有按照第二流量方向的數據包的時間標簽數量之和；

累加一預設的第一差額至所述第一標簽數量中獲得第三標簽數量，所述第一差額用于擴大所述第一標簽數量與第二標簽數量之間的差值；

將屬于同一子流量中所有的所述第二標簽數量、第三標簽數量兩兩一組并按照時間序列排序獲得處理后的子流量數據；

利用機器學習模型識別所述處理后的子流量數據并獲得對應的網站指紋。