(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211086073.8 (22)申请日 2022.09.06 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 张赟　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 钟扬飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 网络代理服务的识别方法及装置、 电子设 备、 存储介质 (57)摘要 本申请提供一种网络代理服务的识别方法 及装置、 电子设备、 存储介质， 方法包括： 统计访 问目标网站的各个会话的延时参数； 其中， 延时 参数包括第一阶段延时和第二阶段延时； 判断多 个第一阶段延时和多个第二阶段延时是否分别 符合帕累托 分布； 若多个第一阶段延时符合帕累 托分布， 且多个第二阶段延时不符合帕累托分 布， 确定多个第二阶段延时的均值与多个第一阶 段延时的均值之间的目标差值； 判断目标差值是 否大于预设时长阈值， 若是， 确定目标网站为存 在网络代理嫌 疑； 针对存在网络代理嫌 疑的目标 网站， 以网页指纹比对的方式确定其是否提供网 络代理服务。 本申请方案， 在无法解析加密数据 的具体内容的情况下， 准确识别出提供网络代理 服务的网站。 权利要求书2页 说明书10页 附图6页 CN 115499184 A 2022.12.20 CN 115499184 A 1.一种网络代理服 务的识别方法， 其特 征在于， 包括： 统计访问目标网站 的各个会话的延时参数； 其中， 所述延时参数包括第一阶段延时和 第二阶段延时； 判断多个第一阶段延时和多个第二阶段延时是否分别符合帕累托分布； 若所述多个第 一阶段延时符合帕累托分布， 且所述多个第 二阶段延时不符合帕累托分 布， 确定所述多个第二阶段延时的均值与所述多个第一阶段延时的均值之间的目标差值； 判断所述目标差值是否大于预设时长阈值， 若是， 确定所述目标网站为存在网络代理 嫌疑； 针对存在网络代理嫌疑的目标网站， 以网页指纹比对的方式确定其是否提供网络代 理 服务。 2.根据权利要求1所述的方法， 其特征在于， 在所述统计访问目标网站的各个会话的延 时参数之前， 所述方法还 包括： 接收到访问所述目标网站的流 量后， 判断所述目标网站是否处于白名单； 若否， 继续执 行所述统计访问目标网站的各个会话的延时参数的步骤。 3.根据权利要求1所述的方法， 其特征在于， 在所述统计访问目标网站的各个会话的延 时参数之后， 所述方法还 包括： 统计所述目标网站的响应报文中的数据长度； 判断所述数据长度是否小于预设长度阈值； 如果否， 结束对所述目标网站的识别流 程； 如果是， 继续执行所述判断多个第 一阶段延时和多个第 二阶段延时是否分别符合帕累 托分布的步骤。 4.根据权利要求1所述的方法， 其特征在于， 所述针对存在网络代理嫌疑的目标网站， 以网页指纹比对的方式确定其是否提供网络代理服 务， 包括： 为所述目标网站构建站点指纹库； 其中， 所述站点指纹库包括所述目标网站 的若干网 页指纹； 抓取指定时间段内所述目标网站 的访问数据； 其中， 所述访 问数据包括对应于每一用 户的用户访问数据； 针对任一用户， 根据该用户的用户访 问数据， 构建该用户所访 问的多个网页的访 问特 征； 根据所述多个网页的访问特征与 所述若干网页指纹， 确定所述多个网页中本地网页的 占比； 其中， 所述本地网页为所述网页指纹指示的网页； 判断所述占比是否 达到预设占比阈值， 若否， 确定所述目标网站提供网络代理服 务。 5.根据权利要求4所述的方法， 其特征在于， 所述为所述目标网站构建站点指纹库， 包 括： 遍历所述目标网站 的每一本地网页， 并为每一本地网页构建对应的网页指纹； 其中网 页指纹包括请求指纹向量和响应指纹向量， 所述请求指纹向量基于若干请求报文的报文尺 寸构建， 所述响应指纹向量基于若干响应报文的报文尺寸构建。 6.根据权利要求4所述的方法， 其特征在于， 所述根据该用户的用户访 问数据， 构建该 用户所访问的多个网页的访问特 征， 包括：权　利　要　求　书 1/2 页 2 CN 115499184 A 2根据所述用户访问数据中访问每一网页的请求报文的报文尺寸， 构建请求特 征向量； 根据所述用户访问数据中访问每一网页的响应报文的报文尺寸， 构建响应特 征向量； 将每一网页对应的请求特征向量和响应特征向量， 作为访 问特征， 获得多个网页的访 问特征。 7.根据权利要求4所述的方法， 其特征在于， 所述根据所述多个网页的访问特征与 所述 若干网页指纹， 确定所述多个网页中本地网页的占比， 包括： 针对用户访问的每一网页， 确定每一网页的访问特征与多个网页指纹之间的最小差异 参数； 判断每一网页对应的最小差异参数是否小于预设差异阈值， 若是， 确定该网页为本地 网页； 根据用户访 问的本地网页的数量， 以及用户访 问的网页总量， 确定所述多个网页中本 地网页的占比。 8.一种网络代理服 务的识别装置， 其特 征在于， 包括： 统计模块， 用于统计访问目标网站的各个会话的延时参数； 其中， 所述延时参数包括第 一阶段延时和第二阶段延时； 第一判断模块， 用于判断多个第 一阶段延时和多个第 二阶段延时是否分别符合帕累托 分布； 确定模块， 用于若所述多个第一阶段延时均符合帕累托分布， 且所述多个第二阶段延 时不符合帕累托分布， 确定所述多个第二阶段延时的均值与所述多个第一阶段延时的均值 之间的目标差值； 第二判断模块， 用于判断所述目标差值是否大于预设时长阈值， 若是， 确定所述目标网 站为存在网络代理嫌疑； 识别模块， 用于针对存在网络代理嫌疑的目标网站， 以网页指纹比对的方式确定其是 否提供网络代理服 务。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为执行权利要求1 ‑7任意一项所述的网络代理服务的识别方 法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序可由处 理器执行以完成权利要求1 ‑7任意一项所述的网络代理服 务的识别方法。权　利　要　求　书 2/2 页 3 CN 115499184 A 3