CN114157713B - 一种捕获隐藏服务流量的方法和系统 - Google Patents
一种捕获隐藏服务流量的方法和系统 Download PDFInfo
- Publication number
- CN114157713B CN114157713B CN202111175928.XA CN202111175928A CN114157713B CN 114157713 B CN114157713 B CN 114157713B CN 202111175928 A CN202111175928 A CN 202111175928A CN 114157713 B CN114157713 B CN 114157713B
- Authority
- CN
- China
- Prior art keywords
- hidden service
- service station
- hidden
- request
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种捕获隐藏服务流量的方法和系统,所述方法包括:部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;其中,所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点;所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后,所述受控入口节点捕获所述目标隐藏服务站的流量。应用本发明可以较低的金钱成本和较低的时间成本,有效捕获各种隐藏服务的流量模式,具有较好的可行性和实用性。
Description
技术领域
本发明涉及计算机技术领域,特别是指一种捕获隐藏服务流量的方法和系统。
背景技术
隐藏服务通常通过入口节点接入Tor网络,形成3跳链路,与客户端形成的3跳链路汇聚后通过RP链路进行数据交换。由于入口节点的后一跳即为隐藏服务,因此可以通过入口节点的数据包中的IP地址来对隐藏服务进行溯源。例如专利号为108494769A的技术通过部署大量的入口节点,通过流水印技术在各个受控入口节点处检测特定的流量信号,从而实现对隐藏服务的溯源。
流量指纹识别是一种攻击技术,本地、被动的攻击者将目标用户客户端的可观察流量收集为数据包序列,将机器学习分类应用于客户端的数据包序列,进而猜测目标用户访问了哪个网页。例如Kwon等人提出了一种电路指纹攻击技术,它将允许入口守卫分析通过它的流量的电路指纹。这使得攻击者可以通过使用机器学习算法与被动时序分析,分析流量模式,即信元计数、电路指纹,识别出用户隐藏的服务,真阳率大于98%,假阳率小于0.1%。该方法能够有效应用在隐藏服务的入口节点处,当隐藏服务选择受控入口节点形成RP链路时,可以通过流量指纹识别技术检测到隐藏服务流量,从而通过主动攻击的方法溯源隐藏服务,提高对隐藏服务的溯源效率。
为了训练流量指纹识别算法,需要大量的隐藏服务流量数据,由于在未指定特定入口节点时,隐藏服务会随机在入口节点列表中选择一个作为入口节点,导致隐藏服务端的流量难以获取,使得大规模隐藏服务指纹模型难以构建。
如图1所示,目前常用的隐藏服务流量的捕获方法有2种:(1)基于主动攻击:在Tor网络中搭建若干受控入口节点,向目标隐藏服务不断通过主动攻击的方式发送特定的流量序列,在受控入口节点处不断的检测流量,当检测到特定的流量序列时,表明隐藏服务与入口节点进行连接,此时可以在入口节点捕获流量;(2)基于隐藏服务镜像:通过爬取隐藏服务中的内容,搭建静态的隐藏服务镜像,并指定特定的受控入口节点,从而在受控入口节点处捕获流量。
上面描述的用于构建隐藏服务流量模型的方法都具有一定的局限性:
通过大规模部署受控入口节点的方法虽然可以捕捉到开放世界的隐藏服务流量,但由于隐藏服务入口节点的选择是随机的,并不能保证受控入口节点接入到目标隐藏服务中;另一方面,由于tor流量加密,导致单从IP地址并不能分辨来自隐藏服务的流量,需要通过不断的对隐藏服务进行攻击,在受控入口节点处检测到攻击信号,才能捕获到隐藏服务流量。因此,大规模部署受控入口节点的方法费时费力,效率低下。
部署静态隐藏服务镜像的方法虽然可以不部署入口节点从而捕获隐藏服务流量,但是隐藏服务流量往往是随着隐藏服务的内容而变化的,静态的隐藏服务镜像往往不能提供这种动态的变化,从而使得捕获的隐藏服务流量较为单一,不适合作为深度学习模型的数据。
发明内容
有鉴于此,本发明的目的在于提出一种捕获隐藏服务流量的方法和系统,能以较低的金钱成本和较低的时间成本,有效捕获各种隐藏服务的流量模式,具有较好的可行性和实用性。
基于上述目的,本发明提供一种捕获隐藏服务流量的方法,包括:
部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;其中,所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点;
所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后,所述受控入口节点捕获所述目标隐藏服务站的流量。
可选的,所述代理隐藏服务站中部署的隐藏服务为多个;以及
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发,具体包括:
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,根据该隐藏服务的域名,查找到对应的目标隐藏服务站的域名;
根据查找到的域名,将所述请求向对应的目标隐藏服务站转发。
可选的,根据该隐藏服务的域名,查找到的对应的目标隐藏服务站的域名为多个;以及
所述根据查找到的域名,将所述请求向对应的目标隐藏服务站转发,具体包括:
根据针对多个对应的目标隐藏服务站的域名预先设置的顺序,将所述请求向其中一个对应的目标隐藏服务站转发。
可选的,所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发,具体包括:
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,若检测到所述请求所访问的地址中携带有某个目标隐藏服务站的域名的标识,则根据该目标隐藏服务站的域名转发所述请求。
可选的,在所述代理隐藏服务站接收到客户端发送的隐藏服务的请求之前,还包括:
所述客户端通知所述受控入口节点开始流量捕获;以及
在所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端之后,还包括:
所述客户端通知所述受控入口节点停止流量捕获。
其中,所述受控入口节点捕获所述目标隐藏服务站的流量,具体包括:
所述受控入口节点将开始流量捕获与停止流量捕获之间获取的流量,存储为所述目标隐藏服务站的流量序列。
本发明还提供一种捕获隐藏服务流量的系统,包括:
客户端;以及
部署于匿名网络中的代理隐藏服务站及受控入口节点;其中,所述代理隐藏服务站中部署了至少一个隐藏服务,所述隐藏服务的入口节点设置为所述受控入口节点;
所述代理隐藏服务站用于接收到所述客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;并将所述目标隐藏服务站返回的信息转发至所述客户端;
所述受控入口节点用于捕获所述目标隐藏服务站的流量。
本发明还提供一种电子设备,包括中央处理单元、信号处理和存储单元,以及存储在信号处理和存储单元上并可在中央处理单元上运行的计算机程序,其中,所述中央处理单元执行如上所述的比特币隐藏服务流量的识别方法。
本发明的技术方案中,部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;其中,所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点;所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后,所述受控入口节点捕获所述目标隐藏服务站的流量。这样,通过部署一个代理隐藏服务站和一个受控入口节点,代理隐藏服务站通过对客户端的访问请求进行转发,并在受控入口节点捕获流量,即可完成目标隐藏服务站的隐藏服务端流量和客户端流量绑定,即捕获到目标隐藏服务站的流量。相比于现有的方法,本发明技术方案具有较低的金钱成本和较低的时间成本,能有效捕获各种目标隐藏服务站的隐藏服务的流量模式,具有较好的可行性和实用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的捕获隐藏服务流量技术的示意图;
图2为本发明实施例提供的一种捕获隐藏服务流量的系统的架构图;
图3为本发明实施例提供的一种捕获隐藏服务流量的方法流程图;
图4为本发明实施例提供的代理隐藏服务站中部署多个隐藏服务的示意图;
图5为本发明实施例提供的不同目标隐藏服务站之间的流量差异对比示意图;
图6为本发明实施例提供的一种电子设备硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
下面结合附图详细说明本发明实施例的技术方案。
本发明实施例提供的一种捕获隐藏服务流量的系统架构,如图2所示,包括:客户端200、部署于匿名网络中的代理隐藏服务站201及受控入口节点202。
在示例性的实施例中,受控入口节点202作为一个中继节点植入到匿名(Tor)网络中,记录该受控入口节点202的标识符为myguard;
代理隐藏服务站201中至少部署了一个隐藏服务并植入到匿名(Tor)网络中,从而具有对应的至少一个隐藏服务的域名,比如域名hs1.onion;设置代理服务的端口号为8090,隐藏服务的端口号为9050,同时设置隐藏服务的入口节点为myguard,即设置隐藏服务的入口节点为受控入口节点202。
代理隐藏服务站201中安装了Tor(隐藏服务)进程,以及nginx(代理)进程,从而代理隐藏服务站201具有提供隐藏服务以及代理服务的功能。
在代理隐藏服务站201中开启的tor进程,可以在隐藏服务的目录中取得隐藏服务的域名,比如hs1.onion;
在代理隐藏服务站201中部署的nginx的代理方案,可以将代理服务的端口、即8090端口的相关请求转发到目标隐藏服务站中;
代理隐藏服务站201用于接收到客户端200发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;并将所述目标隐藏服务站返回的信息转发至所述客户端200;
所述受控入口节点202用于捕获所述目标隐藏服务站的流量。
具体地,可以是通过客户端200通知受控入口节点202开启tcpdump(抓包命令),从而开始流量捕获;进而上述的系统进行隐藏服务流量捕获的具体方法的流程,如图3所示,包括如下步骤:
步骤S301:客户端200向代理隐藏服务站201发送隐藏服务的请求。
本步骤中,客户端200可以根据代理隐藏服务站201提供的隐藏服务的域名,向代理隐藏服务站201发送隐藏服务的请求;
在示例性的实施例中,客户端200可以根据代理隐藏服务站201提供的隐藏服务的域名hs1.onion,向代理隐藏服务站201发送隐藏服务的请求。
步骤S302:代理隐藏服务站201接收到客户端200发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发。
在示例性的实施例中,如图4所示,代理隐藏服务站201中部署的隐藏服务至少是一个,例如,部署了域名分别为A.onion、B.onion、C.onion的隐藏服务,分别对应的端口号分别为8090、8091、8092;
代理隐藏服务站201中存储的代理规则列表中,记录了本站部署的各隐藏服务的域名,以及各隐藏服务所对应的目标隐藏服务站的域名;比如,代理规则列表中域名为A.onion的隐藏服务,所对应的端口号为8090,而8090对应的目标隐藏服务站的域名为aaa.onion;
相应地,代理隐藏服务站201接收到客户端发送的隐藏服务的请求后,可以根据所述请求中携带的所述隐藏服务的域名,从代理规则列表中查找到对应的目标隐藏服务站的域名;进而根据查找到的域名,将所述请求向对应的目标隐藏服务站转发。
在示例性的另一实施例中,代理隐藏服务站201中部署的隐藏服务可以是多个;代理隐藏服务站201中存储的代理规则列表中,记录了本站部署的各隐藏服务的域名,以及各隐藏服务所对应的目标隐藏服务站的域名,且本站部署的一个隐藏服务可以对应多个目标隐藏服务站的域名。比如,代理规则列表中记录域名为hs1.onion的隐藏服务,所对应的多个目标隐藏服务站的域名分别为aaa.onion、bbb.onion、ccc.onion。
相应地,代理隐藏服务站201接收到客户端发送的隐藏服务的请求后,可以根据所述请求中携带的所述隐藏服务的域名,从代理规则列表中查找到对应的目标隐藏服务站的域名;进而根据针对多个对应的目标隐藏服务站的域名预先设置的顺序,将所述请求向其中一个对应的目标隐藏服务站转发。比如,查找到对应的目标隐藏服务站的域名包括:aaa.onion、bbb.onion、ccc.onion,预先设置的顺序分别为1、2、3;则转发请求的顺序可以依此预先设置的顺序。比如,此次是第2此接收到域名为hs1.onion的隐藏服务的请求,则向该请求向排序第2的、域名为bbb.onion的目标隐藏服务站转发。
在示例性的又一实施例中,还可通过修改代理隐藏服务站中的nginx(代理)的协议来实现转发的功能:代理隐藏服务站201可以使用后端程序,通过解析域名来完成转发的功能:代理隐藏服务站201接收到客户端发送的隐藏服务的请求后,确定所述请求所访问的地址中是否携带有目标隐藏服务站的域名的标识;若通过后端程序检测到所述请求所访问的地址中携带有某个目标隐藏服务站的域名的标识,则根据该目标隐藏服务站的域名转发所述请求。
例如,代理隐藏服务站201部署了域名为A.onion的隐藏服务,代理隐藏服务站201接收到客户端发送的隐藏服务的请求所访问的地址为A.onion/aaa,或者aaa.A.onion的形式,则后端程序在检测到aaa后,从而将该请求转发送到aaa.onion中去。
此外,对于代理隐藏服务站201向目标隐藏服务站转发请求的其它方法,也应视为本发明的保护范围之内。
步骤S303:代理隐藏服务站201将所述目标隐藏服务站返回的信息转发至所述客户端200。
本步骤中,目标隐藏服务站根据代理隐藏服务站201转发的请求,向代理隐藏服务站201返回响应信息后,返回的响应信息经受控入口节点202到达代理隐藏服务站201;代理隐藏服务站201将所述目标隐藏服务站返回的响应信息转发至客户端200。
步骤S304:受控入口节点202捕获所述目标隐藏服务站的流量。
具体地,在目标隐藏服务站向代理隐藏服务站201返回响应信息时,响应信息必经过受控入口节点202,由此可以由受控入口节点202捕获所述目标隐藏服务站的流量。
在示例性的实施例中,客户端200接收到代理隐藏服务站201转发的目标隐藏服务站的响应信息后,通知受控入口节点202停止流量捕获,即停止tcpdump(抓包命令);之后,受控入口节点将开始流量捕获与停止流量捕获之间获取的流量,存储为所述目标隐藏服务站的流量序列;具体地,受控入口节点202可以将捕获的所述目标隐藏服务站的流量序列保存到pcap文件中;例如,可以将捕获的域名为aaa.onion的目标隐藏服务站的流量序列保存到aaa.pcap文件中。pcap文件是使用wireshark创建的数据文件,它们包含网络的数据包数据。这些文件主要用于分析某个数据的网络特征。这些文件还有助于成功控制某个网络的流量,因为它们受到程序的监视。网络分析的数据和结果使用.pcap文件扩展名保存。这些文件用于确定网络状态,允许分析人员处理网络上可能发生的问题。它是一种文件格式,其名称与packet capture相关。
在客户端200通知受控入口节点202停止流量捕获后,客户端200可以对相关信息进行重新设置,并通知受控入口节点202再次开启流量捕获;以便客户端200可以向代理隐藏服务站201再次发送隐藏服务的请求,从而受控入口节点202可以进行下一个目标隐藏服务站的流量的捕获。
网站指纹识别主要是根据数据包大小,序列,方向等等方式来对不同的网站进行识别,因此,当隐藏服务的内容不一样时,隐藏服务发送给客户端的流量是有区别的,相同的内容在数据包的序列上表现是相同的。而tor的日志中会将数据以一定大小进行切分,再通过特殊的端口进行发送,因此tor的日志序列在表现隐藏服务内容中具有更高的准确性。
为了验证上述方法的可行性,可以部署10个镜像隐藏服务作为目标隐藏服务。然后应用上述的捕获隐藏服务流量的系统,通过客户端200访问代理隐藏服务站10次,从而实现对10个镜像隐藏服务的10次访问。
莱文斯坦比是通过计算两个序列变化成一致的次数与序列长度的比值来计算两个序列的相似性,其在DNA分析和抄袭检测应用广泛。
通过解析代理隐藏服务站201的tor序列和镜像隐藏服务的tor序列,计算两者的莱文斯坦比,如表1所示,结果显示代理隐藏服务站201的tor序列和镜像隐藏服务的tor序列有96%的准确度;如图5所示,不同的目标隐藏服务的tor序列的相似度从40%-100%不等;表明不同的隐藏服务之间的内容确实有所不同,但是代理隐藏服务站201能够很好的从目标隐藏服务中获取流量内容。
表1
图6示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本发明实施例中的代理隐藏服务站201所提供的捕获隐藏服务流量的方法。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,可以与非线性接收机相连,从非线性接收机接收信息,实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本发明的技术方案中,部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;其中,所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点;所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后,所述受控入口节点捕获所述目标隐藏服务站的流量。这样,通过部署一个代理隐藏服务站和一个受控入口节点,代理隐藏服务站通过对客户端的访问请求进行转发,并在受控入口节点捕获流量,即可完成目标隐藏服务站的隐藏服务端流量和客户端流量绑定,即捕获到目标隐藏服务站的流量。相比于现有的方法,本发明技术方案具有较低的金钱成本和较低的时间成本,能有效捕获各种目标隐藏服务站的隐藏服务的流量模式,具有较好的可行性和实用性。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种捕获隐藏服务流量的方法,其特征在于,包括:
部署在匿名网络中的代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;其中,所述隐藏服务的入口节点设置为部署于所述匿名网络中的受控入口节点;所述入口节点为所述隐藏服务接入匿名网络的节点,所述受控入口节点用于检测特定的流量信号;
所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端后,所述受控入口节点捕获所述目标隐藏服务站的流量。
2.根据权利要求1所述的方法,其特征在于,所述代理隐藏服务站中部署的隐藏服务为至少一个;以及
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发,具体包括:
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,根据该隐藏服务的域名,查找到对应的目标隐藏服务站的域名;
根据查找到的域名,将所述请求向对应的目标隐藏服务站转发。
3.根据权利要求2所述的方法,其特征在于,根据该隐藏服务的域名,查找到的对应的目标隐藏服务站的域名为多个;以及
所述根据查找到的域名,将所述请求向对应的目标隐藏服务站转发,具体包括:
根据针对多个对应的目标隐藏服务站的域名预先设置的顺序,将所述请求向其中一个对应的目标隐藏服务站转发。
4.根据权利要求1所述的方法,其特征在于,所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发,具体包括:
所述代理隐藏服务站接收到客户端发送的隐藏服务的请求后,若检测到所述请求所访问的地址中携带有某个目标隐藏服务站的域名的标识,则根据该目标隐藏服务站的域名转发所述请求。
5.根据权利要求1所述的方法,其特征在于,在所述代理隐藏服务站接收到客户端发送的隐藏服务的请求之前,还包括:
所述客户端通知所述受控入口节点开始流量捕获;以及
在所述代理隐藏服务站将所述目标隐藏服务站返回的信息转发至所述客户端之后,还包括:
所述客户端通知所述受控入口节点停止流量捕获。
6.根据权利要求5所述的方法,其特征在于,所述受控入口节点捕获所述目标隐藏服务站的流量,具体包括:
所述受控入口节点将开始流量捕获与停止流量捕获之间获取的流量,存储为所述目标隐藏服务站的流量序列。
7.一种捕获隐藏服务流量的系统,其特征在于,包括:
客户端;以及
部署于匿名网络中的代理隐藏服务站及受控入口节点;其中,所述代理隐藏服务站中部署了至少一个隐藏服务,所述隐藏服务的入口节点设置为所述受控入口节点;所述入口节点为所述隐藏服务接入匿名网络的节点,所述受控入口节点用于检测特定的流量信号;
所述代理隐藏服务站用于接收到所述客户端发送的隐藏服务的请求后,将所述请求向目标隐藏服务站转发;并将所述目标隐藏服务站返回的信息转发至所述客户端;
所述受控入口节点用于捕获所述目标隐藏服务站的流量。
8.根据权利要求7所述的系统,其特征在于,
所述客户端还用于在发送所述隐藏服务的请求之前,通知所述受控入口节点开始流量捕获;以及在接收到所述目标隐藏服务站返回的信息后,通知所述受控入口节点停止流量捕获。
9.根据权利要求8所述的系统,其特征在于,
所述所述受控入口节点具体用于将开始流量捕获与停止流量捕获之间的获取的流量,存储为所述目标隐藏服务站的流量序列。
10.一种电子设备,包括中央处理单元、信号处理和存储单元,以及存储在信号处理和存储单元上并可在中央处理单元上运行的计算机程序,其特征在于,所述中央处理单元执行所述程序时实现如权利要求1-6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111175928.XA CN114157713B (zh) | 2021-10-09 | 2021-10-09 | 一种捕获隐藏服务流量的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111175928.XA CN114157713B (zh) | 2021-10-09 | 2021-10-09 | 一种捕获隐藏服务流量的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114157713A CN114157713A (zh) | 2022-03-08 |
| CN114157713B true CN114157713B (zh) | 2023-06-16 |
Family
ID=80462560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111175928.XA Active CN114157713B (zh) | 2021-10-09 | 2021-10-09 | 一种捕获隐藏服务流量的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157713B (zh) |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668004B (zh) * | 2008-09-04 | 2016-02-10 | 阿里巴巴集团控股有限公司 | 一种网页获取方法、装置及系统 |
| CN101984620B (zh) * | 2010-10-20 | 2013-10-02 | 中国科学院计算技术研究所 | 码本生成方法与隐蔽通信系统 |
| CN103888421A (zh) * | 2012-12-20 | 2014-06-25 | 中山大学深圳研究院 | 互联网匿名访问技术 |
| WO2016042359A1 (en) * | 2014-09-16 | 2016-03-24 | Nokia Technologies Oy | Method and apparatus for anonymous access and control of a service node |
| CN106453399B (zh) * | 2016-11-16 | 2019-06-14 | 中国互联网络信息中心 | 一种面向用户隐私保护的域名解析服务方法和系统 |
| CN108494769B (zh) * | 2018-03-21 | 2020-01-14 | 广州大学 | 一种Tor匿名网络中隐藏服务的溯源方法 |
| CN109756501B (zh) * | 2019-01-02 | 2020-05-22 | 中国科学院信息工程研究所 | 一种基于http协议的高隐匿网络代理方法及系统 |
| CN110519298B (zh) * | 2019-09-19 | 2021-11-12 | 北京丁牛科技有限公司 | 一种基于机器学习的Tor流量识别方法及装置 |
| CN111711597B (zh) * | 2020-04-16 | 2021-08-17 | 武汉大学 | 一种基于时隙流水印的Tor暗网用户溯源方法及系统 |
| CN111970245B (zh) * | 2020-07-20 | 2021-07-20 | 北京邮电大学 | 一种异构分层的匿名通信网络构建方法及装置 |
| CN112764882B (zh) * | 2021-01-22 | 2022-09-23 | 西安电子科技大学 | 基于Docker的洋葱地址和隐藏服务内容搜集方法 |
| CN112887329B (zh) * | 2021-02-24 | 2022-06-21 | 北京邮电大学 | 隐藏服务溯源方法、装置及电子设备 |
-
2021
- 2021-10-09 CN CN202111175928.XA patent/CN114157713B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114157713A (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
| CN106302450B (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN113489619B (zh) | 一种基于时间序列分析的网络拓扑推断方法及装置 | |
| CN112887329B (zh) | 隐藏服务溯源方法、装置及电子设备 | |
| CN112565308B (zh) | 基于网络流量的恶意应用检测方法、装置、设备及介质 | |
| Herrera-Quintero et al. | Smart ITS sensor for the transportation planning using the IoT and Bigdata approaches to produce ITS cloud services | |
| CN113472740B (zh) | 基于moas冲突事件的bgp劫持检测方法、装置及设备,可读存储介质 | |
| CN105813114B (zh) | 一种确定接入共享主机方法及装置 | |
| CN113114669B (zh) | 基于网关数据的goip网关识别方法、装置、设备及存储介质 | |
| CN114157713B (zh) | 一种捕获隐藏服务流量的方法和系统 | |
| JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
| CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN114760087A (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
| CN104268165B (zh) | 一种在线查询方法及设备 | |
| JP6219621B2 (ja) | 通信照合装置 | |
| CN107948989A (zh) | 一种移动终端联网时长的计算方法及装置 | |
| CN111159196A (zh) | 基于分片的区块链数据存储、获取方法及装置 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
| CN110266746A (zh) | 一种信息推送方法、装置及系统 | |
| CN116055092A (zh) | 一种隐蔽隧道攻击行为检测方法和装置 | |
| CN115412462B (zh) | 一种域间路由中断的检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |