本发明专利技术公开了一种JAP匿名流量检测方法及系统,属于匿名流量监测和网络安全技术领域,解决现有技术中通过时间间隔为特征找出用户隐藏的真实IP,需要较多的流量数据,从而不能实时的检测出匿名流量。本发明专利技术获取收集的JAP匿名流量和正常用户流量中的TCP流量和HTTP流量;根据源IP和目的IP对中的TCP流量和HTTP流量进行分类处理,对分类后的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包;提取重组流量包中用户分别与、infoService服务器和Mix服务器的通信特征,并以向量形式进行存储;对向量形式存储的通信特征进行处理后,训练多种机器学习模型,并对模型进行测试,选取结果最好的模型作为测试模型;将待检测的流量输入测试模型完成JAP匿名流量检测。本发明专利技术用于检测JAP匿名流量的真实IP。
JAP Anonymous Traffic Detection Method and System
【技术实现步骤摘要】
JAP匿名流量检测方法及系统
一种JAP匿名流量检测方法及系统,用于检测JAP匿名流量的真实IP,属于匿名流量监测和网络安全
技术介绍
随着计算机信息技术的高速发展,越来越多的网络用户开始有了隐私保护的意识.为了防止自己的隐私信息被泄露、通信信息被拦截,越来越多的人开始使用匿名通信软件(例如Tor洋葱路由、VPN、JAP)来保护自己的隐私信息,使用这些匿名通信软件可以有效地伪装自己并且防止自己的机密信息被泄露,但是这些匿名通信软件也同样在被不法分子所使用,他们通过使用这些匿名通信软件来加密自己的通信信息和隐藏自己的真实位置,这给审查机构对犯罪分子的追踪和监控带来了极大地不便。JAP是一种跨平台的基于Mix加密技术的匿名通信软件,用于为Web流量器提供匿名代理的服务。整个匿名通信系统主要由JAP客户端、lnfoservice服务器和Mix节点三部分组成。lnfoService服务器是一个分布式的存储服务器,它存储了Mix节点状态信息、用户信息和网络信息,可以将它看成一个分布式的数据库。Mix节点是一台提供了存储转发的服务器,三个或多于三个Mix节点构成一个级联,一个级联就是一条除去起始点和终点的中间通信链路,一个Mix节点至多处于一个级联中,JAP就是通过这种添加中间链路的方式来对目标服务器隐藏自己的真实IP,并且对于一个级联可以供多个用户作为通信链路使用.因此就很难查找出真实的客户端IP地址。最接近的现有技术CN201410535015中,是通过检测时间特征进行检测,即需要记录的是GET请求和POST请求的时间间隔,这个时间间隔为特征,并未对匿名流量中的具体内容进行分析,对满足这个时间特征的流量误报率较高,并且此现有技术由于采用了时间间隔的方式,所以需要较多的流量数据才能统计间隔性的特征,不能在匿名网络开始阶段检测到流量数据,在实际应用中可能会出现匿名网络已经完成的一部分操作后才能检测到该流量,不具有实时性。
技术实现思路
针对上述研究的问题,本专利技术的目的在于提供一种JAP匿名流量检测方法及系统,解决现有技术中通过时间间隔为特征找出用户隐藏的真实IP,需要较多的流量数据,从而不能够实时的检测出匿名网络流量,并且现有方法不能检测匿名网络搭建时用户与infoService服务器通信的流量等问题。为了达到上述目的,本专利技术采用如下技术方案:一种JAP匿名流量检测方法,其特征在于,包括以下步骤:步骤1、获取收集的JAP匿名流量和正常用户流量中的TCP流量和HTTP流量;步骤2、根据源IP和目的IP对收集的TCP流量和HTTP流量进行分类处理,对分类后的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包;步骤3、提取重组流量包中用户分别与infoService服务器和Mix服务器的通信特征,并以向量形式进行存储;步骤4、对向量形式存储的通信特征进行处理后,训练多种机器学习模型,并对训练后的各机器学习模型进行测试,选取结果最好的机器学习模型作为测试模型;步骤5、将待检测的流量输入测试模型完成JAP匿名流量检测。进一步,所述步骤1的具体步骤为:步骤1.1、模拟JAP匿名代理软件的真实使用环境;步骤1.2、使用JAP匿名代理软件访问网络,收集使用匿名网络时的JAP匿名流量;步骤1.3、关闭JAP匿名代理软件,收集正常访问网络时的正常用户流量;步骤1.4、筛选步骤1.2和步骤1.3中收集的流量中的TCP流量和HTTP流量。进一步,所述步骤2的具体步骤如下:步骤2.1:根据IP地址提取出相同通信双方数据包,得到相同通信双方的TCP流量和HTTP流量,相同通信即指相同通信IP;步骤2.2:根据JAP匿名流量和正常用户流量中各流量的通信顺序对相同通信的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包。进一步,所述步骤3的具体步骤如下:步骤3.1、按照协议结构,对重组流量包进行分析寻找用户分别与infoService服务器和Mix服务器的通信特征,即分析各个通信特征在重组流量包中的位置;步骤3.2、提取出重组流量包中的infoService服务器和Mix服务器的通信特征,通信特征包括端口号、特殊字段占比、统计信息、特殊端口号占比以及是否是国内IP,将提取出的infoService服务器和Mix服务器的通信特征分别以向量形式存储。进一步,所述步骤4的具体步骤如下:步骤4.1、将向量形式存储的通信特征按照infoService服务器的IP和Mix服务器的IP进行打标签处理,将打好标签后的通信特征集合随机划分为测试集和训练集,即抽取一部分通信双方的特征作为训练集,另外一部分的作为测试集;步骤4.2、采用训练集训练多种机器学习模型,得到训练好的多种机器学习模型,其中,多种机器学习模型包括逻辑回归模型、高斯贝叶斯模型、层次贝叶斯模型、伯努利贝叶斯模型、决策树模型、SVM分类器、knn分类器和多层感知机8种;步骤4.3、采用测试集分别对8种训练好的机器学习模型进行测试,查看是否有一个训练好的机器学习模型达到预期的期望值,若达到,得到8种最终训练好的机器学习模型,否则,通过调整不同标签数据所占比例或添加噪音数据重新更改训练集,并重复步骤4.2-步骤4.3;步骤4.4、将得到的8种最终训练好的机器学习模型进行比较选取结果最好的模型,作为最终的测试模型。进一步,所述期望值为90%。一种JAP匿名流量检测系统,其特征在于,包括多个检测网络端口的JAP流量检测模块,JAP流量检测模块基于测试模型对网络端口流量对匿名流量进行检测。本专利技术同现有技术相比,其有益效果表现在:1.本专利技术的JAP匿名网络流量检测方法及系统,首先根据收集的JAP匿名流量和正常用户流量的TCP流量和HTTP流量,将收集的流量根据通信双方IP进行分类,然后重组数据包,即得到分类后的重组流量包;分析重组流量包中的特征包括用户和infoService服务器的通信特征,用户和Mix服务器的通信特征,然后根据通信双方分好类的pcap文件(即保存的重组流量包)中提取出12维的特征(包括主机1使用端口数量、主机2使用端口数、数据段998字节数据包占比、出现Mix字段的数据包占比、出现infoService字段的数据包占比、出现cascade字段的数据包占比、出现jondonym字段的数据包占比、使用443端口占比、使用80端口占比、使用6554端口占比、是否出现国外ip、text/xml字段出现占比)。再根据事先分析的infoService服务器ip和Mix服务器ip对上述通信特征打上标签用于区分正常流量,打上标签后的通信特征用用机器学习模型的训练,选取测试结果最好的一个模型作为最后的检测模型。本方法通过JAP进行匿名的网络流量,可检测出使用JAP匿名通信软件的用户的真实IP和第一个Mix节点的IP地址,分类效果好,分类精度高,其中分类精确度可达98%以上。2.本专利技术用的JAP匿名代理软件为开源软件,用户可以自身搭建服务器,不使用官方指定的服务器,对于这种形式,本方法采用的是通信特征,并不是直接指定某个静态IP为匿名流量,所以对于自定义的JAP匿名网络也有很好的检测效果;3.本专利技术是通过收集匿名流量,分析的是匿名流量包中的具体内容,并且包含了一些统计信息本文档来自技高网...
【技术保护点】
1.一种JAP匿名流量检测方法,其特征在于,包括以下步骤:步骤1、获取收集的JAP匿名流量和正常用户流量中的TCP流量和HTTP流量;步骤2、根据源IP和目的IP对收集的TCP流量和HTTP流量进行分类处理,对分类后的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包;步骤3、提取重组流量包中用户分别与infoService服务器和Mix服务器的通信特征,并以向量形式进行存储;步骤4、对向量形式存储的通信特征进行处理后,训练多种机器学习模型,并对训练后的各机器学习模型进行测试,选取结果最好的机器学习模型作为测试模型;步骤5、将待检测的流量输入测试模型完成JAP匿名流量检测。
【技术特征摘要】
1.一种JAP匿名流量检测方法,其特征在于,包括以下步骤:步骤1、获取收集的JAP匿名流量和正常用户流量中的TCP流量和HTTP流量;步骤2、根据源IP和目的IP对收集的TCP流量和HTTP流量进行分类处理,对分类后的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包;步骤3、提取重组流量包中用户分别与infoService服务器和Mix服务器的通信特征,并以向量形式进行存储;步骤4、对向量形式存储的通信特征进行处理后,训练多种机器学习模型,并对训练后的各机器学习模型进行测试,选取结果最好的机器学习模型作为测试模型;步骤5、将待检测的流量输入测试模型完成JAP匿名流量检测。2.根据权利要求书1所述的JAP匿名流量检测方法,其特征在于,所述步骤1的具体步骤为:步骤1.1、模拟JAP匿名代理软件的真实使用环境;步骤1.2、使用JAP匿名代理软件访问网络,收集使用匿名网络时的JAP匿名流量;步骤1.3、关闭JAP匿名代理软件,收集正常访问网络时的正常用户流量;步骤1.4、筛选步骤1.2和步骤1.3中收集的流量中的TCP流量和HTTP流量。3.根据权利要求书1或2所述的一种JAP匿名流量检测方法,其特征在于:所述步骤2的具体步骤如下:步骤2.1:根据IP地址提取出相同通信双方数据包,得到相同通信双方的TCP流量和HTTP流量,相同通信即指相同通信IP;步骤2.2:根据JAP匿名流量和正常用户流量中各流量的通信顺序,对相同通信的TCP流量和HTTP流量进行流量重组,得到分类后的重组流量包。4.根据权利要求书3所述的一种JAP匿名流量检测方法,其特征在于:所述步骤3的具体步骤如下:步...
【专利技术属性】
技术研发人员:张小松,牛伟纳,赵艺宾,刘宪,葛洪麟,巫长勇,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。