[发明专利]一种基于分段熵和时间特征的V2Ray流量识别方法

权利要求书

1.一种基于分段熵和时间特征的V2Ray流量识别方法，其特征在于，通过提取流量数据包中有效载荷的信息熵、会话交互时间差等时间特征，并使用随机森林算法对V2Ray流量进行检测和识别；包括如下步骤：

步骤(1)在可控网络环境中通过数据采集设备采集流量作为训练数据；

步骤(2)计算N-截断熵以及置信区间；

步骤(3)以流量会话为基本单位，提取会话中部分报文序列的分段熵、会话交互的时间差等时间特征；

步骤(4)对提取的特征构建数据集，进行随机森林算法分类模型的训练，训练后的模型即为V2Ray流量识别预测模型；

步骤(5)在真实网络环境中通过数据采集设备采集真实流量，并提取流量特征；

步骤(6)利用步骤(4)中训练好的V2Ray流量识别预测模型对步骤(5)中提取出来的特征进行分类，从而实现对V2Ray流量的识别和检测；

所述步骤(3)具体包含如下子步骤：

(3.1)使用指纹识别方法区分TLS会话和非TLS会话，TLS1.2中主要有ClientHello、ServerHello、Certificate、Server Key Exchange、ServerHelloDone、Client KeyExchange、Change Cipher Spec、EncryptedHandshakeMessage和ApplicationData共9种报文，每种报文相应的报文结构如表2、表3和表4所示，TLS中主要有ClientHello、ServerHello、Change Cipher Spec和ApplicationData共4种报文，每种报文相应的报文结构分别如表5、表6所示，由于TLS握手协议是通过明文传输的，通过解析捕获的pcap文件获取数据包的头部信息，与上面几种不同类型消息的报文结构进行比对，从而识别出当前数据包是否为TLS握手协议的特定消息类型；

(3.2)提取会话部分报文序列分段信息熵，并计算分段信息熵与步骤(2)中计算出的置信区间左边界的差值，将该差值作为会话特征；

(3.3)提取会话交互的时间差；

(3.4)提取会话其他时间特征；

表2：TLS1.2的报文格式

表3：TLS1.2的Change Cipher Spec报文格式

表4：TLS1.2的EncryptedHandshakeMessage、ApplicationData报文格式

表5：TLS1.3的报文格式

表6：TLS1.3的Change Cipher Spec报文格式

。