[发明专利]一种基于分段熵和时间特征的V2Ray流量识别方法有效
申请号: | 202110560775.4 | 申请日: | 2021-05-21 |
公开(公告)号: | CN113301041B | 公开(公告)日: | 2022-06-14 |
发明(设计)人: | 程光;张家康 | 申请(专利权)人: | 东南大学 |
主分类号: | H04L9/40 | 分类号: | H04L9/40;G06N20/00 |
代理公司: | 南京众联专利代理有限公司 32206 | 代理人: | 杜静静 |
地址: | 210096 *** | 国省代码: | 江苏;32 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 分段 时间 特征 v2ray 流量 识别 方法 | ||
1.一种基于分段熵和时间特征的V2Ray流量识别方法,其特征在于,通过提取流量数据包中有效载荷的信息熵、会话交互时间差等时间特征,并使用随机森林算法对V2Ray流量进行检测和识别;包括如下步骤:
步骤(1)在可控网络环境中通过数据采集设备采集流量作为训练数据;
步骤(2)计算N-截断熵以及置信区间;
步骤(3)以流量会话为基本单位,提取会话中部分报文序列的分段熵、会话交互的时间差等时间特征;
步骤(4)对提取的特征构建数据集,进行随机森林算法分类模型的训练,训练后的模型即为V2Ray流量识别预测模型;
步骤(5)在真实网络环境中通过数据采集设备采集真实流量,并提取流量特征;
步骤(6)利用步骤(4)中训练好的V2Ray流量识别预测模型对步骤(5)中提取出来的特征进行分类,从而实现对V2Ray流量的识别和检测;
所述步骤(3)具体包含如下子步骤:
(3.1)使用指纹识别方法区分TLS会话和非TLS会话,TLS1.2中主要有ClientHello、ServerHello、Certificate、Server Key Exchange、ServerHelloDone、Client KeyExchange、Change Cipher Spec、EncryptedHandshakeMessage和ApplicationData共9种报文,每种报文相应的报文结构如表2、表3和表4所示,TLS中主要有ClientHello、ServerHello、Change Cipher Spec和ApplicationData共4种报文,每种报文相应的报文结构分别如表5、表6所示,由于TLS握手协议是通过明文传输的,通过解析捕获的pcap文件获取数据包的头部信息,与上面几种不同类型消息的报文结构进行比对,从而识别出当前数据包是否为TLS握手协议的特定消息类型;
(3.2)提取会话部分报文序列分段信息熵,并计算分段信息熵与步骤(2)中计算出的置信区间左边界的差值,将该差值作为会话特征;
(3.3)提取会话交互的时间差;
(3.4)提取会话其他时间特征;
表2:TLS1.2的报文格式
表3:TLS1.2的Change Cipher Spec报文格式
表4:TLS1.2的EncryptedHandshakeMessage、ApplicationData报文格式
表5:TLS1.3的报文格式
表6:TLS1.3的Change Cipher Spec报文格式
。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东南大学,未经东南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110560775.4/1.html,转载请声明来源钻瓜专利网。