本發明涉及互聯網，特別是涉及一種多粒度的明暗網用戶行為關聯識別方法、裝置及介質。

背景技術：

1、匿名通信網絡以其強大的隱私保護和數據安全能力，在互聯網上得到廣泛應用；tor網絡作為典型代表，每天為數百萬用戶提供匿名瀏覽服務；然而，這些網絡因其隱蔽性、匿名性和抗追溯性，也被用于非法活動，對社會穩定構成了嚴重威脅；當前，匿名網絡主要通過多層加密和隨機路徑選擇機制來保障用戶匿名性；但針對這些網絡的流量分析技術，如web指紋攻擊，已經能夠通過分析加密流量模式識別用戶訪問的網站，這對用戶隱私和安全構成新挑戰；為了有效打擊利用匿名網絡進行的非法行為，同時保護合法用戶的隱私權益，網絡運營商需積極采取技術手段，不斷提升對匿名網絡流量的監測和分析能力。現有技術主要通過傳統機器學習和深度學習兩種手段進行流量分析，前者依賴專家手動提取特征，如數據包大小、時間間隔等，訓練svm、k-nn等模型識別網站訪問模式；后者則利用dnn自動學習流量數據中的復雜特征，如cnn、transformer等，無需手動特征工程，均旨在應對加密流量識別、追蹤和定位問題。

2、然而，現有技術難以應對大規模高速網絡環境下的流量分析，缺乏高效的流量壓縮感知算法，導致可擴展性差；同時，在細粒度匿名用戶行為識別上準確性不足，受屬性缺失、信號衰減等因素影響大；此外，當前跨域匿名用戶關聯技術難以實現大規模在線匿名網絡流量的高效關聯和暗網站點的精確追蹤定位，這限制了對網絡不法行為的快速響應和有效打擊，阻礙了構建安全、可信的網絡環境。

技術實現思路

1、本發明提供一種多粒度的明暗網用戶行為關聯識別方法、裝置及介質，以解決難以在大規模網絡環境中對用戶所訪問的已監測網站和暗網進行有效關聯識別的問題。

2、為實現上述目的，本技術提供了一種多粒度的明暗網用戶行為關聯識別方法，包括：

3、按照預設周期從互聯網中獲取網絡流量，根據設定的置信度對所述網絡流量進行分類預測，得到用戶訪問已監測網站的第一流量；

4、對所述第一流量進行水印嵌入和時間相關性標記，得到流量水印；其中，標記后的第一流量所對應的會話用于供所述用戶執行后續的所有網站訪問行為；

5、在預設時長內，若流量水印檢測器識別到包含所述流量水印的用戶流量，則將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網；其中，所述流量水印檢測器部署在tor網絡出入口的受控守衛節點上。

6、本發明對互聯網中的第一網絡流量進行用戶行為識別，利用基于設定置信度的分類預測方法能夠有效區分用戶訪問已監測網站的流量，該方式通過嚴格的置信度判斷，可以提高行為識別的準確性和魯棒性。對第一流量進行水印嵌入，相當于為流量打上了獨特的標簽，這種水印技術具有隱蔽性，不易被篡改或移除，為后續的追蹤和識別提供了可靠的依據。通過時間相關性標記，將流量與特定的會話關聯起來，這意味著即使用戶在后續的訪問中切換了網站或使用了不同的網絡路徑，只要會話保持活躍，流量水印就能持續發揮作用。并且，水印作為一種跨域的標識，能夠在不同的網絡域和訪問路徑中保持一致性，從而支持跨域的訪問行為關聯；時間相關性標記則進一步幫助確定這些關聯行為的時間順序和邏輯關系，這種組合標記方式能夠增強識別準確性、提升追蹤連續性；因此，一旦水印檢測器識別到包含流量水印的用戶流量訪問了暗網網站，就可以利用水印中的信息，將暗網訪問行為與之前的已監測網站訪問行為進行有效關聯，該方式打破了數據孤島，實現了跨域追蹤。此外，流量水印檢測器被部署在tor網絡出入口的受控守衛節點上，tor網絡是訪問暗網的主要通道之一，因此這一部署位置具有戰略意義，水印檢測器能夠覆蓋大量潛在的暗網訪問流量，提高了監測和識別的效率。

7、相比于現有技術，本發明通過水印嵌入與時間相關性標記的組合，為用戶流量打上了獨特且持久的標識，使得在大規模網絡環境中也能準確追蹤和關聯用戶訪問的已監測網站與暗網。同時，利用部署在tor網絡出入口的流量水印檢測器，實現了對暗網訪問流量的精準捕捉與識別，因此能夠解決難以在大規模網絡環境中對用戶所訪問的已監測網站和暗網進行有效關聯識別的問題。

8、作為優選方案，對所述第一流量進行水印嵌入和時間相關性標記，得到流量水印，具體為：

9、根據偽隨機數生成器和共享密鑰將水印嵌入所述第一流量，并根據時間戳對所述第一流量進行時間相關性標記，得到所述流量水印。

10、本優選方案中，水印和時間戳的組合使得流量在后續的處理中能夠被高效追蹤和關聯，無論是在同一會話內還是跨會話、跨網絡域的情況下，都能實現準確的流量識別和關聯分析。

11、作為優選方案，根據偽隨機數生成器和共享密鑰將水印嵌入所述第一流量，具體為：

12、根據偽隨機數生成器和共享密鑰生成二進制序列，將所述二進制序列轉換為begin信元的時間間隔序列；

13、按照所述時間間隔序列在所述第一流量的傳輸過程中插入begin信元。

14、本優選方案中，水印的生成依賴共享密鑰，確保只有合法接收方能解析begin信元的時間模式，即使攻擊者截獲流量也無法還原水印信息。并且，偽隨機數生成器生成的序列具有時間敏感性，攻擊者無法復現歷史序列，防止通過重放流量偽造水印。

15、作為優選方案，根據時間戳對所述第一流量進行時間相關性標記，具體為：

16、獲取所述第一流量的首個數據包時間戳，根據所述首個數據包時間戳生成水印序列；

17、將所述水印序列作為hs-rp電路的時間指紋，通過定向調整相鄰數據包發送時延嵌入至所有關聯流量中；其中，所述關聯流量是指用戶通過同一個hs-rp電路訪問不同服務時產生的流量，所述不同服務包括已監測網站和后續暗網服務。

18、本優選方案以首個數據包時間戳為基礎生成水印序列，確保了水印與流量起始時間的高度同步，為后續的流量分析和時間相關性追蹤提供了精確的時間基準。通過定向調整相鄰數據包發送時延來嵌入水印，這種方式較為隱蔽，不易被普通用戶或惡意攻擊者察覺，降低了被檢測和規避的風險；此外，將水印序列作為hs-rp電路的時間指紋，并嵌入至所有關聯流量中，實現了跨服務的流量追蹤。即使用戶在訪問過程中切換了不同的服務，水印依然能夠持續存在并發揮作用，確保追蹤的連續性。

19、作為優選方案，在預設時長內，若流量水印檢測器識別到包含所述流量水印的用戶流量，則將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網，具體為：

20、在預設時長內，若受控守衛節點上的所述流量水印檢測器未檢測到包含所述流量水印的用戶流量，則通過截斷未選中受控節點的用戶流量，使所述用戶流量經過所述受控守衛節點；其中，所述受控守衛節點部署在tor網絡的出入口；

21、在所述預設時長內，若所述受控守衛節點上的所述流量水印檢測器檢測到包含所述流量水印的用戶流量，則根據tor網絡的守衛節點、中間節點和出口節點建立三跳電路；其中，所述三跳電路用于加密和匿名化用戶與隱藏服務之間的通信；

22、若所述三跳電路經過的出口節點是受控的中繼節點，則根據所述中繼節點上的所述流量水印檢測器確定所述用戶流量所訪問的暗網網站和暗網網站的ip，并將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網。

23、本優選方案在未檢測到水印時，通過截斷并重新路由流量的方式，確保了所有目標流量都經過受控守衛節點，從而提高了監控的覆蓋面和準確性。當三跳電路的出口節點是受控的中繼節點時，能夠利用中繼節點上的流量水印檢測器，精確定位用戶所訪問的暗網網站及其ip地址。

24、作為優選方案，所述受控守衛節點包括受控入口節點和受控出口節點；

25、其中，所述受控入口節點部署有流量水印生成器，所述受控出口節點部署有流量水印檢測器；

26、根據所述流量水印生成器和所述流量水印檢測器識別出同一個用戶所訪問的暗網網站。

27、本優選方案中，由于tor網絡的特殊性，用戶訪問行為往往跨越多個網絡域和不同的訪問路徑；通過在入口和出口節點部署相應的水印處理設備，可以支持跨域的流量關聯。即使用戶在訪問過程中切換了不同的網絡路徑或使用了不同的隱藏服務，只要流量帶有相同的水印，就能被系統準確關聯和識別。

28、作為優選方案，根據設定的置信度對所述網絡流量進行分類預測，得到用戶訪問已監測網站的第一流量，具體為：

29、對所述網絡流量進行稀疏信號篩選和壓縮感知處理，得到壓縮流量；

30、根據設定的置信度對所述壓縮流量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量。

31、本優選方案通過稀疏信號篩選和壓縮感知處理，可以有效減少網絡流量的數據量。在識別用戶行為時，引入置信度閾值可以確保識別結果的可靠性和穩定性；只有當識別結果的置信度達到或超過設定的閾值時，才會被認為是有效的用戶行為，這有助于減少誤報和漏報的情況。

32、作為優選方案，對所述網絡流量進行稀疏信號篩選和壓縮感知處理，得到壓縮流量，具體為：

33、根據k-稀疏性約束條件，從所述網絡流量中篩選出稀疏特征向量，構建匿名流量特征集；其中，所述k-稀疏性約束條件是通過對歷史匿名流量數據進行稀疏分布統計建立；

34、根據感知矩陣對所述匿名流量特征集進行壓縮感知，得到所述壓縮流量；其中，所述感知矩陣是按照預設方式對生成矩陣進行映射得到，所述生成矩陣是根據選定的糾錯碼建立。

35、本優選方案中，k-稀疏性約束條件要求從數據集中選擇不超過k個非零元素，這些元素被認為是最具代表性的，這種選擇過程避免了考慮所有可能的特征組合，從而大大提高了特征提取的效率。使用壓縮感知技術結合特定的感知矩陣對匿名流量特征集進行壓縮，可以顯著減少數據量，同時保留足夠的信息用于后續的用戶行為識別或流量分析。并且，通過減少數據量并優化特征提取過程，該流程可以節約計算資源，提高處理速度，特別是在處理大規模網絡流量數據時更為明顯。

36、作為優選方案，根據設定的置信度對所述壓縮流量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量，具體為：

37、按照預設方式從所述壓縮流量中提取出洋蔥服務流量；

38、對所述洋蔥服務流量進行特征篩選，得到流量表示向量；

39、根據設定的置信度對所述流量表示向量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量。

40、本優選方案對洋蔥服務流量進行特征篩選，得到流量表示向量，這一過程能夠聚焦于最關鍵的特征信息，有助于后續的分類預測更加準確。

41、作為優選方案，對所述洋蔥服務流量進行特征篩選，得到流量表示向量，具體為：

42、對所述洋蔥服務流量進行小波分析處理，得到多重分形特征；

43、根據條件熵計算所述多重分形特征中若干特征的信息泄露量，得到信息泄露量集；在所述多重分形特征中，取所述信息泄露量集中最大的n個信息泄露量對應的特征，構成第一特征集；

44、在當前維度空間和預設的低維空間中，計算所述第一特征集中每對數據點之間的條件概率，分別得到第一條件概率集和第二條件概率集；

45、以最小化所述第一條件概率集和所述第二條件概率集之間的kl散度損失為目標，將所述第一特征集從所述當前維度空間映射到所述低維空間中，得到第二特征集；

46、根據編碼器對所述第二特征集進行非線性變換，得到所述流量表示向量；其中，所述編碼器是根據注意力機制和多層感知機建立。

47、本優選方案通過小波分析處理洋蔥服務流量，可以得到多重分形特征，這些特征能夠捕捉到流量數據的復雜性和非線性特性，為后續的分析提供豐富的信息基礎。以信息泄露量為量化指標篩選多重分形特征中的高泄露量特征，這一過程確保了所選特征與用戶隱私和信息泄露風險緊密相關，有助于后續分析更加聚焦于關鍵特征，提高分析的準確性和效率。通過最小化第一條件概率集和第二條件概率集之間的kl散度損失以進行降維處理，能夠在保留關鍵信息的同時，顯著降低數據的維度。

48、作為優選方案，根據設定的置信度對所述流量表示向量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量，具體為：

49、在所述流量表示向量中，計算每個流量嵌入與已監測網站集的質心之間的距離，得到若干距離集；

50、對于第一流量嵌入在所述若干距離集中對應的距離集，若最近質心距離小于最近質心所對應網站的半徑，且次近質心距離與所述最近質心距離之間的差值大于預設閾值，則判定所述最近質心對應的網站為所述用戶所訪問的第一已監測網站，將所述用戶訪問所述第一已監測網站的流量定義為所述用戶訪問已監測網站的所述第一流量；

51、其中，所述最近質心距離是所述第一流量嵌入與所述最近質心之間的距離，所述次近質心距離是所述第一流量嵌入與次近質心之間的距離。

52、本優選方案通過計算每個流量嵌入與已監測網站集質心之間的距離，可以得到一個反映流量與各個網站相似度的距離集。通過結合絕對距離約束和相對距離約束，在嵌入空間中構建了一個高置信度的分類框架，僅當流量明確符合目標網站特征時才接受預測，尤其適合需嚴格過濾誤報的場景。

53、作為優選方案，在所述得到用戶訪問已監測網站的第一流量后，還包括：

54、通過匹配所述第一流量與暗網指紋庫中的已知暗網服務特征，識別所述用戶所訪問的隱藏式暗網；其中，所述暗網指紋庫根據暗網及其實時訪問信息進行實時更新。

55、本優選方案通過暗網指紋庫進行特征匹配，可以在不增加過多系統負擔的情況下實現高效的暗網識別。相比對全部流量進行深度分析的方法，這種特征匹配的方式更加輕量級，適合在大規模網絡環境中部署和應用。

56、作為優選方案，所述暗網指紋庫根據暗網及其實時訪問信息進行實時更新，包括：

57、按照高頻時間段提取用戶訪問暗網的流量數據，得到綜合流量數據；其中，所述高頻時間段是用戶訪問暗網次數高于預設訪問暗網次數的時間窗口；

58、在所述綜合流量數據中，提取用戶訪問暗網時的目標特征，得到目標特征集；根據聚類算法對所述綜合流量數據進行用戶訪問行為模式識別，得到行為模式識別結果；

59、由所述目標特征集和所述行為模式識別結果構成指紋特征集；

60、按照預設的更新機制將所述指紋特征集入庫至所述暗網指紋庫，得到更新后的所述暗網指紋庫。

61、本優選方案通過提取用戶訪問暗網的高頻時間段，可以精準地定位到用戶活躍的時間窗口，從而避免在數據收集過程中浪費資源在非活躍時段。聚類算法能夠自動將相似的流量數據歸為一類，從而快速識別出用戶的不同訪問行為模式，提高識別效率。

62、作為優選方案，在所述將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網后，還包括：

63、在預設時間間隔后，獲取當前的暗網指紋庫；

64、在所述當前的暗網指紋庫中檢測包含預設標記信息集的流量，將匹配成功的流量定義為待測流量；

65、按照多維度關聯規則對所述待測流量進行評分，得到用戶可疑性評分；其中，所述多維度關聯規則是根據暗網流量中預設標記出現次數、暗網網站所屬類別、暗網訪問時間與歷史行為偏差閾值而建立；

66、將所述待測流量中所述用戶可疑性評分高于預設閾值的流量定義為可疑流量，對所述可疑流量中具有相同預設標記信息的流量進行分類，得到用戶可疑訪問行為的暗網流量分類結果。

67、本優選方案通過檢測暗網指紋庫中包含預設標記信息集的流量，能夠精準地定位到可能與用戶可疑行為相關的流量數據，避免了傳統方法中需要大量數據篩選的繁瑣過程。多維度關聯規則不僅考慮了暗網流量中預設標記的出現次數，還結合了暗網網站所屬類別、暗網訪問時間與歷史行為偏差等多個維度，為用戶可疑性評分提供了更全面、更準確的依據；而現有的分類方式可能更多地依賴于單一的或有限的特征維度進行分類。對可疑流量中具有相同預設標記信息的流量進行分類，可以得到用戶可疑訪問行為的分類結果，有助于網絡安全人員更深入地了解用戶的可疑行為模式，查找到當前用戶所訪問的若干暗網。

68、作為優選方案，通過匹配所述第一流量與暗網指紋庫中的已知暗網服務特征，識別所述用戶所訪問的隱藏式暗網，具體為：

69、對所述第一流量進行強化流量標記，得到強化流量標記信息；其中，所述強化流量標記包括由復合水印序列構成的動態水印標記和由加密水印片段構成的多協議標記，所述復合水印序列是通過對時間戳和數據包大小進行哈希運算得到，所述加密水印片段是通過在傳輸層安全性協議的握手過程中，插入自定義的數據字段而得到；

70、在預設時間間隔后，獲取當前的暗網指紋庫，并按照強化索引從所述暗網指紋庫中獲取與所述第一流量具有相同所述強化流量標記信息的第一暗網流量，將所述第一暗網流量對應的網站定義為所述用戶所訪問的隱藏式暗網；其中，所述強化索引是通過在所述暗網指紋庫中為每條暗網流量記錄建立包含所述強化流量標記信息的索引而得到。

71、本優選方案中，由于多協議標記的定制化和哈希運算的不可逆性，使得強化流量標記信息具有高度的唯一性和隱蔽性，因此即使在網絡環境復雜、流量數據龐大的情況下，仍然能夠準確地識別出用戶所訪問的隱藏式暗網。強化索引是基于強化流量標記信息建立的，而強化流量標記信息包含了高度唯一性的動態水印標記和多協議標記，這意味著每條暗網流量記錄都有一個與之對應的、獨一無二的強化流量標記，因此，當需要檢索與特定流量具有相同標記信息的暗網流量時，強化索引能夠提供精確的匹配能力，確保檢索結果的準確性。

72、本技術還提供了一種多粒度的明暗網用戶行為關聯識別裝置，包括監測模塊、標記模塊和識別模塊；

73、其中，所述監測模塊，用于按照預設周期從互聯網中獲取網絡流量，根據設定的置信度對所述網絡流量進行分類預測，得到用戶訪問已監測網站的第一流量；

74、所述標記模塊，用于對所述第一流量進行水印嵌入和時間相關性標記，得到流量水印；其中，標記后的第一流量所對應的會話用于供所述用戶執行后續的所有網站訪問行為；

75、所述識別模塊，用于在預設時長內，若流量水印檢測器識別到包含所述流量水印的用戶流量，則將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網；其中，所述流量水印檢測器部署在tor網絡出入口的受控守衛節點上。

76、作為優選方案，所述標記模塊，具體為：

77、根據偽隨機數生成器和共享密鑰將水印嵌入所述第一流量，并根據時間戳對所述第一流量進行時間相關性標記，得到所述流量水印。

78、作為優選方案，根據偽隨機數生成器和共享密鑰將水印嵌入所述第一流量，具體為：

79、根據偽隨機數生成器和共享密鑰生成二進制序列，將所述二進制序列轉換為begin信元的時間間隔序列；

80、按照所述時間間隔序列在所述第一流量的傳輸過程中插入begin信元。

81、作為優選方案，根據時間戳對所述第一流量進行時間相關性標記，具體為：

82、獲取所述第一流量的首個數據包時間戳，根據所述首個數據包時間戳生成水印序列；

83、將所述水印序列作為hs-rp電路的時間指紋，通過定向調整相鄰數據包發送時延嵌入至所有關聯流量中；其中，所述關聯流量是指用戶通過同一個hs-rp電路訪問不同服務時產生的流量，所述不同服務包括已監測網站和后續暗網服務。

84、作為優選方案，所述識別模塊包括截斷單元、電路單元和關聯單元；

85、其中，所述截斷單元，用于在預設時長內，若受控守衛節點上的所述流量水印檢測器未檢測到包含所述流量水印的用戶流量，則通過截斷未選中受控節點的用戶流量，使所述用戶流量經過所述受控守衛節點；其中，所述受控守衛節點部署在tor網絡的出入口；

86、所述電路單元，用于在所述預設時長內，若所述受控守衛節點上的所述流量水印檢測器檢測到包含所述流量水印的用戶流量，則根據tor網絡的守衛節點、中間節點和出口節點建立三跳電路；其中，所述三跳電路用于加密和匿名化用戶與隱藏服務之間的通信；

87、所述關聯單元，用于若所述三跳電路經過的出口節點是受控的中繼節點，則根據所述中繼節點上的所述流量水印檢測器確定所述用戶流量所訪問的暗網網站和暗網網站的ip，并將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網。

88、作為優選方案，所述受控守衛節點包括受控入口節點和受控出口節點；

89、其中，所述受控入口節點部署有流量水印生成器，所述受控出口節點部署有流量水印檢測器；

90、根據所述流量水印生成器和所述流量水印檢測器識別出同一個用戶所訪問的暗網網站。

91、作為優選方案，所述監測模塊包括壓縮單元和識別單元；

92、其中，所述壓縮單元，用于對所述網絡流量進行稀疏信號篩選和壓縮感知處理，得到壓縮流量；

93、所述識別單元，用于根據設定的置信度對所述壓縮流量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量。

94、作為優選方案，所述壓縮單元包括篩選子單元和壓縮子單元；

95、其中，所述篩選子單元，用于根據k-稀疏性約束條件，從所述網絡流量中篩選出稀疏特征向量，構建匿名流量特征集；其中，所述k-稀疏性約束條件是通過對歷史匿名流量數據進行稀疏分布統計建立；

96、所述壓縮子單元，用于根據感知矩陣對所述匿名流量特征集進行壓縮感知，得到所述壓縮流量；其中，所述感知矩陣是按照預設方式對生成矩陣進行映射得到，所述生成矩陣是根據選定的糾錯碼建立。

97、作為優選方案，所述識別單元包括洋蔥子單元、特征子單元和預測子單元；

98、其中，所述洋蔥子單元，用于按照預設方式從所述壓縮流量中提取出洋蔥服務流量；

99、所述特征子單元，用于對所述洋蔥服務流量進行特征篩選，得到流量表示向量；

100、所述預測子單元，用于根據設定的置信度對所述流量表示向量進行分類預測，得到所述用戶訪問已監測網站的所述第一流量。

101、作為優選方案，所述特征子單元，具體為：

102、對所述洋蔥服務流量進行小波分析處理，得到多重分形特征；

103、根據條件熵計算所述多重分形特征中若干特征的信息泄露量，得到信息泄露量集；在所述多重分形特征中，取所述信息泄露量集中最大的n個信息泄露量對應的特征，構成第一特征集；

104、在當前維度空間和預設的低維空間中，計算所述第一特征集中每對數據點之間的條件概率，分別得到第一條件概率集和第二條件概率集；

105、以最小化所述第一條件概率集和所述第二條件概率集之間的kl散度損失為目標，將所述第一特征集從所述當前維度空間映射到所述低維空間中，得到第二特征集；

106、根據編碼器對所述第二特征集進行非線性變換，得到所述流量表示向量；其中，所述編碼器是根據注意力機制和多層感知機建立。

107、作為優選方案，所述預測子單元，具體為：

108、在所述流量表示向量中，計算每個流量嵌入與已監測網站集的質心之間的距離，得到若干距離集；

109、對于第一流量嵌入在所述若干距離集中對應的距離集，若最近質心距離小于最近質心所對應網站的半徑，且次近質心距離與所述最近質心距離之間的差值大于預設閾值，則判定所述最近質心對應的網站為所述用戶所訪問的第一已監測網站，將所述用戶訪問所述第一已監測網站的流量定義為所述用戶訪問已監測網站的所述第一流量；

110、其中，所述最近質心距離是所述第一流量嵌入與所述最近質心之間的距離，所述次近質心距離是所述第一流量嵌入與次近質心之間的距離。

111、作為優選方案，在所述得到用戶訪問已監測網站的第一流量后，還包括：

112、通過匹配所述第一流量與暗網指紋庫中的已知暗網服務特征，識別所述用戶所訪問的隱藏式暗網；其中，所述暗網指紋庫根據暗網及其實時訪問信息進行實時更新。

113、作為優選方案，所述暗網指紋庫根據暗網及其實時訪問信息進行實時更新，包括：

114、按照高頻時間段提取用戶訪問暗網的流量數據，得到綜合流量數據；其中，所述高頻時間段是用戶訪問暗網次數高于預設訪問暗網次數的時間窗口；

115、在所述綜合流量數據中，提取用戶訪問暗網時的目標特征，得到目標特征集；根據聚類算法對所述綜合流量數據進行用戶訪問行為模式識別，得到行為模式識別結果；

116、由所述目標特征集和所述行為模式識別結果構成指紋特征集；

117、按照預設的更新機制將所述指紋特征集入庫至所述暗網指紋庫，得到更新后的所述暗網指紋庫。

118、作為優選方案，在所述將所述用戶流量所訪問的暗網網站定義為所述用戶所訪問的暗網后，還包括：

119、在預設時間間隔后，獲取當前的暗網指紋庫；

120、在所述當前的暗網指紋庫中檢測包含預設標記信息集的流量，將匹配成功的流量定義為待測流量；

121、按照多維度關聯規則對所述待測流量進行評分，得到用戶可疑性評分；其中，所述多維度關聯規則是根據暗網流量中預設標記出現次數、暗網網站所屬類別、暗網訪問時間與歷史行為偏差閾值而建立；

122、將所述待測流量中所述用戶可疑性評分高于預設閾值的流量定義為可疑流量，對所述可疑流量中具有相同預設標記信息的流量進行分類，得到用戶可疑訪問行為的暗網流量分類結果。

123、作為優選方案，通過匹配所述第一流量與暗網指紋庫中的已知暗網服務特征，識別所述用戶所訪問的隱藏式暗網，具體為：

124、對所述第一流量進行強化流量標記，得到強化流量標記信息；其中，所述強化流量標記包括由復合水印序列構成的動態水印標記和由加密水印片段構成的多協議標記，所述復合水印序列是通過對時間戳和數據包大小進行哈希運算得到，所述加密水印片段是通過在傳輸層安全性協議的握手過程中，插入自定義的數據字段而得到；

125、在預設時間間隔后，獲取當前的暗網指紋庫，并按照強化索引從所述暗網指紋庫中獲取與所述第一流量具有相同所述強化流量標記信息的第一暗網流量，將所述第一暗網流量對應的網站定義為所述用戶所訪問的隱藏式暗網；其中，所述強化索引是通過在所述暗網指紋庫中為每條暗網流量記錄建立包含所述強化流量標記信息的索引而得到。

126、本技術還提供了一種存儲介質，所述存儲介質上存儲有計算機程序，所述計算機程序被計算機調用并執行，實現如上所述一種多粒度的明暗網用戶行為關聯識別方法。