[发明专利]一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统

说明书

本发明提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，属于网络测量与行为分析领域，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

技术领域

本发明属于网络测量与行为分析领域，具体涉及一种基于概率统计特征的加密隧道混淆的匿名服务流量的关联识别方法。

背景技术

匿名通信技术，是一种为保证对身份敏感的程序进行安全匿名通讯而提出的技术。如I2P、Tor、HORNET、Orchid等，通过构建具有大量中继节点的分布式匿名网络，提供加密、混淆真实通信内容的传输模式，提供隐藏通信双方的身份的服务实现匿名。以Tor为例，其节点由世界各地的志愿者提供，发送方的数据经过多层TLS加密之后，交给从节点集合中随机选出的多个节点逐跳转发，每一跳负责一层解密，接收方或第三方监听者虽然能够从网络出口处得到原始数据，却无法对真实网络行为的发起者进行定位和溯源。

匿名通信技术因其匿名性广泛应用于网络黑产领域，匿名服务使得大量不良信息、非法交易隐蔽在匿名网络中。除此之外，为了保证匿名通信难以被提取流量特征的方式对流量及行为进行识别，通常在匿名网络之外，使用加密隧道对其进行封装，以提高其流量和行为识别的难度。

现有的匿名服务流量识别技术包括对匿名原始流量的识别和对匿名网络的混淆模式流量的识别。其中，匿名原始流量识别可分为基于加密协议指纹识别和基于报文长度分布的识别方法。加密协议指纹识别利用匿名网络节点在加密连接协商过程中使用的关键信息(如TLS协议的加密套件、证书周期、证书颁发机构等)进行识别；报文长度分布识别通过判断待识别流的报文长度分布是否符合匿名流量的分布特征进行识别，利用特定的报文长度频繁出现在匿名流量中这一特征，对匿名服务流量进行识别。

为了进一步加强隐私保护，大量匿名服务启用流量混淆插件，对从用户到网络入口的流量进行再加密和随机的长度填充，形成匿名混淆流量。匿名原始流量的识别技术难以应对流量被混淆的情况。以Tor的随机混淆模式插件流量为例，其采用的改进型椭圆加密算法几乎无指纹信息暴露，随机包填充也使报文长度分布不再可靠。匿名混淆流量的识别主要依靠流量的外部特征和插件本身的行为特征。外部特征包括会话的并发连接数、流持续时间、流字节总数等形态特征，而插件的行为特征与其具体的协议混淆原理有关，如利用云平台转发模式的插件，可以利用与云平台建立连接时留下指纹信息；协议伪装模式插件可以利用转换成通用协议后的信息熵范围检测进行识别。

匿名混淆流量的识别技术虽然能识别混淆模式流量，但随着加密隧道服务的广泛应用，越来越多的匿名连接被包裹在通用加密隧道协议的中，进行层叠加密、嵌套传输。经过加密隧道封装后，任何一种混淆插件产生的流量，对外都呈现出通用协议加密隧道流的特点，难以从并发连接数、持续时间等外部特征获得有效信息，更无法从插件行为上辨别，识别准确率难以保证。由于关联需要在识别基础上进行，因此关联效果也必然受到影响。

因此，为增强网络安全可控性，需要一种有效的匿名流量关联识别方法，在同时获得匿名网络入口、出口流量的前提下，从入口的混杂流量中识别出目标数据流，并进一步关联到与之对应的出口流，从而确认通信关系、达到溯源目的。

发明内容

本发明的目的是提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

本发明采用的技术方案如下：

一种嵌套在加密隧道中的匿名服务流量关联识别方法，包括以下步骤：

S1：获取加密隧道内匿名混淆流量数据；

S2：流量预处理为单向流；