[发明专利]一种面向隧道封装的Tor流量识别方法

说明书

本发明公开一种面向隧道封装的Tor流量识别方法，属于流量分析和匿名网络技术领域。该方法首先通过隧道封装的Tor流量自动化采集；然后判断自动化采集的Tor流量是否为UDP协议，如果为UDP协议，则从UDP流单个方向上提取Tor流量特征；如果仅为代理工具下的流量，则分别在Shadowsocks、V2ray、Trojan三种应用层代理转发Tor流量时提取Tor流量特征，如果为代理工具加网桥混淆下的Tor流量，则从一段时间窗口内多个TCP连接的状态信息中提取代理加网桥混淆的Tor流量特征；最后根据提取的Tor流量特征，利用机器学习训练SVM分类器实现从真实网络流量中自动化识别Tor流量。

技术领域

本发明涉及一种Tor流量识别技术，属于流量分析（Traffic Analysis）和匿名网络(Anonymity Network)技术领域，具体涉及一种面向隧道封装的Tor流量识别方法。

背景技术

随着互联网及移动通信技术的不断发展，个人隐私与上网安全问题越发受到重视，不少用户开始使用匿名通信系统来接入互联网。其中Tor是使用最广泛的匿名通信系统，据统计显示，截至2022年10月整个Tor网络中在线用户数已经达到约250万，其中包含大量带有非法目的的用户，因此针对Tor的可识别性研究一直是流量识别领域的热点方向。当前已经有大量基于原始Tor流量进行的流量识别研究，通过对原始的Tor流量提取特征并训练对应的分类器可以从真实网络流量中以极高的准确率识别出Tor流量。为了掩盖原始Tor流量的特征以提高接入Tor网络的安全性，近年来有不少用户开始使用Shadowsocks、V2ray、OpenVPN、Obfs4网桥等多种隧道工具将Tor流量伪装成常见协议的流量。然而目前还缺乏相应的研究工作来探讨这些经过隧道伪装的Tor流量与正常流量的可区分性，因此设计一种面向隧道封装的Tor流量识别方法有重要作用。

发明内容

发明目的：针对大量带有非法目的的用户通过Shadowsocks、V2ray、OpenVPN、Obfs4网桥等多种隧道工具将Tor流量伪装成常见协议的流量来逃避审查的问题，本发明提出一种面向隧道封装的Tor流量识别方法，该方法首先自动化大量采集Tor流量，然后对采集的Tor流量进行协议判断，进而分别从使用UDP协议的Tor流量、仅在代理工具场景下使用TCP协议的Tor流量、在代理工具加网桥场景下使用TCP协议的Tor流量中提取特征，最后训练模型自动化识别经隧道伪装后的Tor流量。

本发明采用如下技术方案：

一种面向隧道封装的Tor流量识别方法，该方法包括如下步骤：

S1.通过隧道封装的Tor流量自动化采集：用Tcpdump流量抓取工具捕获Tor浏览器通过隧道工具访问流行站点的流量，所述隧道工具包括Shadowsocks、V2ray、Trojan、OpenVPN、Obfs4网桥中的任意一个或多个；

S2.Tor流量的使用协议判断和特征提取：判断自动化采集的Tor流量是否为UDP协议，如果为UDP协议，则从UDP流单个方向上提取Tor流量特征；如果为TCP协议，则进一步判断是否为代理工具加网桥下的流量，如果仅为代理工具下的流量，则分别在Shadowsocks、V2ray、Trojan三种应用层代理转发Tor流量时提取TCP连接单个方向上包长数量占比、频率的Tor流量特征，如果为代理工具加网桥混淆下的Tor流量，则从一段时间窗口内一群TCP连接的状态信息中提取代理加网桥混淆的Tor流量特征；

S3.自动化识别Tor流量：根据S2中提取的Tor流量特征，利用机器学习训练SVM分类器实现从真实网络流量中自动化识别Tor流量。

进一步地，所述步骤S1具体包括：

S11.Tor浏览器及隧道工具的Docker容器封装：将Tor浏览器和Shadowsock、V2ray、Trojan、OpenVPN、Obfs4网桥这些隧道工具封装在Docker容器中，通过Docker容器在进程上实行网络空间层面的隔离；