[发明专利]一种基于资源加载树的网站指纹识别方法

权利要求书

1.一种基于资源加载树的网站指纹识别方法，其特征在于：包括如下步骤：

S1、根据访问网站的流量通过指纹生成模块提取流量数据的特征构造指纹；其中：所述指纹生成模块通过如下步骤建立：

101、根据访问网站流量数据划分成不同的TCP会话数据获得每条会话数据提取特征向量值；

102、根据TCP会话特征向量值并发建立连接行为获得TCP会话分组数据信息；所述分组数据信息包括：并发建立连接的TCP会话为一组，该组是按照当前TCP会话在发送SYN包时，上个TCP会话仍在三次握手阶段，非并发建立连接的放在不同组；所述分组数据信息按照TCP会话建立连接的顺序进行排序，组间按照组内第一个TCP会话建立连接的顺序进行排序；

103、根据TCP会话分组数据信息和特征向量值构造指纹资源加载树数据信息；其中：所述指纹资源加载树数据信息中树的每一个节点都存放了一个会话的特征向量序列，将每一个会话的特征向量值前添加一个深度值，表示指纹资源加载树数据节点在树中的深度；

根据对捕获到的TCP会话分组数据信息进行排序，将第一组所有会话的深度值记为1，同一组的所有会话的深度值是相同的，不同组的会话的深度值按照顺序递增；

104、根据指纹资源加载树信息生成访问网站的指纹矩阵进行存储；其中：所述访问网站的指纹矩阵是将添加好深度值的所有特征向量按照顺序存成矩阵； 所述访问网站的指纹矩阵每一行均为一个TCP会话，每行的第一个值为深度，其余值为TLS有效负载长度；一个矩阵限制行数不超过M，列数不超过N+1，即最多保存M条TCP会话，每个会话最多保存N个有效负载，超出部分截断处理，缺失部分填充0；将该矩阵作为这段流量的指纹；

S2、根据指纹生成模块中建立所访问的网站指纹信息存储生成指纹库；

S3、根据收集到的用户流量找到可疑流量并通过指纹生成模块提取指纹；

S4、通过指纹判断模块将用户流量的指纹与指纹库内的指纹进行对比。

2.根据权利要求1所述的一种基于资源加载树的网站指纹识别方法，其特征在于：所述指纹库内的指纹通过如下步骤进行除噪处理：

201、根据网站的内容获取访问网站所需的IP地址列表；

202、将访问网站流量中非所需IP地址列表内的流量视为噪声并移除。

3.根据权利要求1所述的一种基于资源加载树的网站指纹识别方法，其特征在于：所述S3步骤中收集用户流量找到可疑流量并通过指纹生成模块提取查询指纹过程：

301、将用户产生的每一条TCP流量都与指纹库内所有指纹的所有行计算欧氏距离，当距离小于一定阈值时，则认为这条TCP流量是可疑流量；

302、从该条TCP流量起始，持续收集用户产生的TCP流量，累计收集M条，并通过S1所述指纹生成模块提取指纹，作为查询指纹。

4.根据权利要求1所述的一种基于资源加载树的网站指纹识别方法，其特征在于：所述S4步骤中通过指纹判断模块将每次访问网站的指纹与指纹库进行对比过程：定义T₁为待对比的查询指纹，S_i为T₁中的第i行，T₂为指纹库中的指纹，S′_j为T₂中的第j行，d_ij为S_i与S′_j的欧氏距离，通过计算T₁和T₂的距离来衡量指纹相似度；具体步骤如下：

401、匹配T₁和T₂内不同TCP会话，其过程是：依次遍历T₁中的每一行S_i，与T₂中的每一行S′_j计算欧氏距离d_ij，找到与S_i距离最小的一行S′_n，记S_i与S′_n匹配，距离为d_in；若找到S′_n后，存在已有S_m与S′_n匹配，则比较d_mn与d_in的大小；如果d_mnd_in，则删除S_m和S′_n的匹配，改为S_i与S′_n匹配；反之则忽略S′_n，在其他行中找距离最小的并匹配，依此类推，直到T₂中的流全部匹配完毕；

402、计算所有TCP会话匹配行的距离，为了防止单条流影响全局，单行距离超过100的以100计；将全部距离求和并除以M，所得值为两个指纹的距离；距离越小，相似度越高。