[发明专利]一种面向Tor匿名网络的流关联方法与系统

说明书

本发明公开了一种面向Tor匿名网络的流关联方法与系统，方法包括：获取Tor匿名网络中指定中继节点上的流量，初步识别入口流量还是出口流量；对入口和出口流量按照五元组分流；分别提取入口和出口流量的包间延时特征和包大小特征；对两类特征进行短时傅里叶变换和主成分分析法降维，得到包间延时和包大小的主成分时频矩阵，对降维后的特征进行融合重构；将融合的特征向量输入卷积神经网络提取深层次的特征，并由卷积神经网络后的全连接网络完成Tor匿名网络流量关联。本发明通过Tor匿名网络的包间延时和包大小两类特征，可以快速精准地完成Tor匿名流量关联，从而发现利用身份匿名和隐藏服务来躲避网络追踪关联的恶意网络行为。

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种面向Tor匿名网络的流关联方法与系统。

背景技术

近年来，随着匿名网络技术的逐渐普及，更多的网络用户可以使用匿名网络来保护个人通信隐私。匿名通信技术通过隐藏通信过程中通信双方的身份信息，或者隐藏通信双方的联系，从而有效地实现了对通信实体身份信息的保护。Tor（The Onion Router，洋葱路由）作为全球范围使用最广泛的匿名系统，日均用户超过200万。它通过洋葱路由对流量进行混淆以提供匿名性。传统的网络追踪技术，如链路测试方法等由于算法复杂性、无法获取匿名网络拓扑、需要大量数据包构建路径等难题无法应用于匿名网络的流量关联。

目前网络流量关联技术主要可分为两种，主动流水印技术和被动流量分析技术。流水印技术通过在匿名网络入口处改变经过被溯源端网络流的某些特征，使之隐蔽地携带特殊标记信息，即流水印。经过网络传输后，匿名网络出口处捕获的网络流中能够提取出水印信息或符合预期规律的数据包时序特征，从而识别出网络主体间的通信关系。随着对主动网络流水印的研究不断发展，水印方法也呈现多样性，这导致关于流水印的研究也随之增加，主动流水印方法的隐蔽性大幅度降低。被动流量分析技术则是通过部署在网络关键节点上的网络流量采集器捕获流量，直接分析和比较网络流流量中的特征，来对流量进行关联。相比主动流水印技术，被动网络流量分析的流关联方法由于不对网络流施加任何干预，具有极强的隐蔽性。但由于需要采集大量的网络流量加以分析，所以该方法需要巨大的存储空间来保存网络流的特征信息。

因此，存在对面向Tor匿名网络的流量关联技术进一步改进的需要。

发明内容

发明目的：本发明的目的是提供一种面向Tor匿名网络的流关联方法与系统，属于被动流量关联技术，针对目前匿名网络中使用最广泛和用户量最大的Tor网络，较好地解决背景技术中的问题。

技术方案：第一方面，本发明提供一种面向Tor匿名网络的流关联方法，包括以下步骤：

获取Tor匿名网络中指定中继节点上的流量，初步识别入口流量还是出口流量，所述入口流量是指进入Tor网络的流量，所述出口流量是指离开Tor网络的流量；

对入口流量和出口流量按照五元组形式划分网络流并分别保存为F_I和F_J，所述五元组是指：源IP地址、目的IP地址、源端口、目的端口和协议类型，具有相同五元组的流量被认为是同一条流量；

分别提取按照五元组划分后的入口流量F_I的包间延时特征T_I和包大小特征S_I，以及按照五元组划分后的出口流量F_J的包间延时特征T_J和包大小特征S_J；