[发明专利]一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统

权利要求书

1.一种嵌套在加密隧道中的匿名服务流量关联识别方法，其特征在于，包括以下步骤：

在线或离线获取加密隧道内匿名混淆流量数据；

对上述流量数据进行无负载流量滤除，按照五元组汇聚，五元组一致的数据包属于同一条上行或下行方向的单向数据流，

针对单向数据流构建概率矩阵，将各个概率矩阵降至一维后进行首尾拼接，以构建特征向量；

建立识别模型和关联模型，以部分单向数据流作为训练集，对识别模型和关联模型进行训练；训练步骤如下：将训练集直接输入到识别模型中进行训练；从作为训练集的流量数据中选择F₁、F₂、F₃，其中F₁为某条匿名网络入口流，F₂为F₁对应的出口流，F₃为出口处捕获的一条无关混杂流，将属于同一个匿名会话的F₁、F₂拼接成F_1,2，作为正类；将无关的F₁、F₃拼接成F_1,3，作为负类；将得到的正类和负类合成流转化为特征向量集，输入到关联模型进行二类识别训练；

利用识别模型在单向数据流上识别加密隧道内匿名混淆流；

将识别的加密隧道内匿名混淆流与同时段在出口处捕获的流拼接在一起，得到合成流，输入到关联模型中，若关联模型将合成流识别为正类，则判定该加密隧道内匿名混淆流与该捕获的流存在关联关系。

2.如权利要求1所述的方法，其特征在于，加密隧道内匿名混淆流量数据以.pcap为文件扩展名保存。

3.如权利要求1所述的方法，其特征在于，无负载流量包括没有实际负载的数据包和滤除因网络拥塞产生的重传包，该重传包包括TCP Retransmission和Dup ACK重传包。

4.如权利要求1所述的方法，其特征在于，五元组是指源IP、目的IP、源端口、目的端口及传输层协议。

5.如权利要求1所述的方法，其特征在于，在五元组归类时，如果一条数据流出现一定的时间跨度，数据包集中分布在若干个时间段内，则以空闲期为界将其划分为对应这些时间段的多条流，同时丢弃由于连接建立失败导致的长度过短的流。

6.如权利要求5所述的方法，其特征在于，对每一条单向数据流，记录流中每一个数据包的字节数、该数据包相距前一个包的时间间隔数，同时保留数据包的十六进制负载内容，得到原始特征。

7.如权利要求6所述的方法，其特征在于，以JSON格式保存单向数据流中的原始特征，每一条数据流对应一条JSON记录。

8.如权利要求1所述的方法，其特征在于，概率矩阵包括字节分布概率矩阵、时间转移概率矩阵和空间转移概率矩阵；其中，

字节分布概率矩阵：该矩阵为一个包含256个元素的16阶方阵，对应一个字节可能的256种取值，元素取的字节值在某条流内的所有报文负载中出现k次，流字节总数为s，则k/s表示所述字节值在该流中出现的概率；

时间转移概率矩阵：假设某条数据流中存在报文间隔分别是i字节和j字节的两个相邻数据包，则矩阵中元素(i,j)的取值加1，遍历过整条流之后，(i,j)的值等于流中包字节数依序从i转化为j的次数，更新其表示在前一个包长已为i的情况下，下一个包长为j的概率；

空间转移概率矩阵：假设某条数据流中存在报文大小分别是i字节和j字节的两个相邻数据包，则矩阵中元素(i,j)的取值加1，遍历过整条流之后，(i,j)的值等于流中包字节数依序从i转化为j的次数，最后更新其表示在前一个包长已为i的情况下，下一个包长为j的概率。

9.一种嵌套在加密隧道中的匿名服务流量关联识别系统，其特征在于，包括：

加密隧道匿名混淆流量获取模块，用于在线或离线获取加密隧道内匿名混淆流量数据；

流量预处理与单向流特征提取模块，用于对上述流量数据进行无负载流量滤除，按照五元组汇聚，五元组一致的数据包属于同一条上行或下行方向的单向数据流；

特征向量构建模块，用于构建概率矩阵，并将各个概率矩阵降至一维后进行首尾拼接，以构建特征向量；

训练模块，用于以部分单向数据流作为训练集，对识别模型和关联模型进行训练；训练步骤如下：将训练集直接输入到识别模型中进行训练；从作为训练集的流量数据中选择F₁、F₂、F₃，其中F₁为某条匿名网络入口流，F₂为F₁对应的出口流，F₃为出口处捕获的一条无关混杂流，将属于同一个匿名会话的F₁、F₂拼接成F_1,2，作为正类；将无关的F₁、F₃拼接成F_1,3，作为负类；将得到的正类和负类合成流转化为特征向量集，输入到关联模型进行二类识别训练；

关联识别模块，用于利用识别模型在单向数据流上识别加密隧道内匿名混淆流，将识别的加密隧道内匿名混淆流与同时段在出口处捕获的流拼接在一起，得到合成流，输入到关联模型中，若关联模型将合成流识别为正类，则判定该加密隧道内匿名混淆流与该捕获的流存在关联关系。