适用于SDN的Tor流量溯源与应用类型识别方法和系统技术方案

本发明专利技术公开一种适用于SDN的Tor流量溯源与应用类型识别方法和系统，首先对Tor流量进行发现与溯源，并提取多层次双向累积特征和基础的流特征作为基础特征向量，然后使用训练好的特征提取模型对基础特征向量进行特征重提取作为深度特征向量，最后使用训练好的分类器识别深度特征向量，得到Tor流量的应用类别。本发明专利技术能够实现Tor流量的识别与溯源，并提取用于应用类型识别的深度特征，提升识别率。

【技术实现步骤摘要】
适用于SDN的Tor流量溯源与应用类型识别方法和系统
本专利技术属于网络安全技术，具体涉及一种适用于SDN的Tor流量溯源与应用类型识别方法和系统。
技术介绍
Tor是当前最受欢迎的匿名通信系统之一，Tor致力于保护用户在访问网络时的安全性和隐私性，防止窃听者关联用户及其通信对象。然而，Tor良好的匿名性也被犯罪分子加以利用。软件定义网络(SoftwareDefinedNetwork，SDN)作为新兴的网络架构，将网络设备控制面和数据面分离，实现了网络流量的灵活控制，被应用于大型数据中心等场景。大型数据中心是Tor流量汇聚的关键场景，如何在SDN网络架构中打击Tor网络犯罪成为关键问题，当前在SDN网络架构中打击基于Tor网络的匿名犯罪面临以下问题：其一，基于传统网络架构的Tor流量监控方法，监控点的监控范围与溯源能力成反比，随着监控范围的扩大，虽然能够收集到的Tor流量越来越多，但是与此同时也越来越难以找到生成Tor流量的用户；其二，现有针对Tor的攻击，如网站指纹攻击(WebsiteFingerprintingAttack)建立在正确识别Tor流量的应用类型的基础上，现有Tor流量应用类型识别方案往往使用基础流特征，统计数据包大小、时间间隔等信息，实际上Tor流量的前N个数据包中包含了丰富的应用协议握手信息，如何将这部分信息应用于应用类型识别任务成为关键问题；其三，受限于技术人员的知识范围，人工提出的特征并不是最具分离性的特征，如何自动提取能够应用于应用类型识别任务的具备高分离性的特征同样非常重要。
技术实现思路
专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种适用于SDN的Tor流量溯源与应用类型识别方法和系统,实现SDN网络架构中针对Tor流量的大范围发现与溯源，并提升Tor流量应用类型识别任务的准确率。技术方案：本专利技术的一种适用于SDN的Tor流量溯源与应用类型识别方法，依次包括以下步骤：(1)SDN控制器周期性分析Tor网络的入口节点信息，SDN控制器控制SDN交换机依据IP和端口发现待识别Tor流量，并将待识别Tor流量复制转发至SDN域内的服务器，服务器抓取捕获保存所述待识别Tor流量，并确定所述待识别Tor流量与发送者的对应关系，形成待识别Tor流量集，实现Tor流量的发现与溯源；(2)提取步骤(1)所得待识别Tor流量集中每条待识别Tor流量的基础特征集，形成基础特征待识别Tor流量集，所述基础特征集包括：双向累积特征和基础流特征；(3)使用训练好的基于深度学习算法的特征提取模型对步骤(2)所得基础特征待识别Tor流量集中的每条基础特征待识别Tor流量进行特征重提取，得到128维深度特征向量，形成深度特征待识别Tor流量集；(4)使用训练好的基于K近邻算法的集成学习分类器识别步骤(3)所得深度特征待识别Tor流量集，得到对应的应用类型，实现对步骤(1)所述待识别Tor流量集的应用类型的识别。进一步的，所述步骤(1)中SDN控制器周期性分析Tor网络的入口节点信息的方法为：SDN控制器下载匿名通信工具Tor的源码，并从中解析权威目录服务器的IP地址；SDN控制器向任意权威目录服务器发出请求获取共识文件consensus.z；SDN控制器解析所述共识文件，依据fresh-until字段确定下一次请求所述共识文件的时间；SDN控制器解析所述共识文件依据“r”字段识别Tor节点的IP地址、提供服务的端口，依据“s”字段识别Tor节点中的入口节点，得到所有入口节点的IP和端口；进一步的，步骤(1)中SDN交换机发现待识别Tor流量的具体方法为：SDN控制器修改SDN交换机的流表，控制SDN交换机通过IP和端口信息识别用户的通信对象是否是Tor入口节点，并以此发现Tor流量；SDN控制器指示SDN交换机在正常转发Tor流量的同时，将Tor流量复制转发至SDN域内的服务器；进一步的，步骤(1)中服务器捕获所述Tor流量后，将其划分为不同的流量文件，具体方法为：服务器使用捕包分析工具，如Wireshark或tcpdump捕获Tor流量，并依据通信双方的IP和端口为依据保存Tor流量，命名格式为：用户MAC地址-Tor节点IP-时间.pcap，形成待识别Tor流量集。进一步的，所述步骤(2)中基础流特征包括：传输数据包数量、接收数据包数量、接收数据包数量占比、传输字节数量、接收字节数量、接收字节数量占比、数据包大小(最大值、最小值、平均值，标准差)、数据包间隔到达时间(最大值、最小值、平均值，标准差)、每秒传输数据包数量(最大值、最小值、平均值，标准差)、每秒传输字节数量(最大值、最小值、平均值，标准差)、深度包检测分类以及前20个数据包的间隔到达时间；双向累积特征包括前100个数据包、前1000个数据包、前100个TLS记录和前100个TLS记录的加权和非加权双向累积特征；依据需要提取特征的Tor流量序列T、Tor用户的IP地址G、需要提取特征的范围N、需要提取的特征数量S、是否提取TLS层的特征B以及是否加权W，来进行特征提取，所述双向累积特征的具体提取方法如下：如果B为True，则提取Tor流量序列T的前N个TLS记录形成子流量序列T1，否则提取Tor流量序列T的前N个数据包形成子流量序列T1；创建列表M用于存储特征，第一个元素的值为0；对于T1中的每个item，获取item的方向信息d，如果item的源IP为G则d＝1，否则d＝-1，如果W为True则获取item的长度信息i，否则i＝1，获取M的最后一个元素的值l，将d*i+l添加到列表M的尾部；从M中均匀地获取S个特征并输出。如下所示：进一步的，所述步骤(3)的具体过程为：(3.1)训练特征提取模型：服务器调用SDN控制器所辖域内受控制的PC集群主动生成大批量的不同应用类型的Tor流量，然后服务器捕获Tor流量集，并赋予相应的应用类型标签，形成带标签Tor流量集1；对带标签Tor流量集1提取基础特征集，形成带标签Tor流量基础特征训练集1；接着，构建基于深度学习的特征提取模型，并随机初始化深度学习模型的参数；将带标签Tor流量基础特征训练集1输入构建好的特征提取模型，并使用深度度量学习方法指导特征提取模型更新网络参数，训练完毕后获得该特征提取模型的最终参数；(3.2)使用训练好的特征提取模型提取深度特征：将步骤(2)所得的基础特征待识别Tor流量集输入所述特征提取模型，提取深度特征形成深度特征待识别Tor流量集。进一步的，所述步骤(4)的具体方法为：(4.1)训练应用类型分类模型：服务器调用SDN控制器所辖域内PC集群主动生成小批量的不同应用类型的Tor流量，服务器捕获通过步骤(1)所述方法捕获主动生成的Tor流量集，并赋予相应的应用类型标签，形成带标签Tor流量集2；对该带标签Tor流量集2提取步骤(2)所得基础特征集，形成带标签Tor流量基础特征训练集2；将带标签Tor流量基础特征训练集2本文档来自技高网...

【技术保护点】
1.一种适用于SDN的Tor流量溯源与应用类型识别方法，其特征在于：依次包括以下步骤：/n(1)SDN控制器周期性分析Tor网络的入口节点信息，SDN控制器控制SDN交换机依据IP和端口发现待识别Tor流量，并将待识别Tor流量复制转发至SDN域内的服务器，服务器抓取捕获保存所述待识别Tor流量，并确定所述待识别Tor流量与发送者的对应关系，形成待识别Tor流量集；/n(2)提取步骤(1)所得待识别Tor流量集中每条待识别Tor流量的基础特征集，形成基础特征待识别Tor流量集，所述基础特征集包括：双向累积特征和基础流特征；/n(3)使用训练好的基于深度学习算法的特征提取模型对步骤(2)所得基础特征待识别Tor流量集中的每条基础特征待识别Tor流量进行特征重提取，得到128维深度特征向量，形成深度特征待识别Tor流量集；/n(4)使用训练好的基于K近邻算法的集成学习分类器识别步骤(3)所得深度特征待识别Tor流量集，得到对应的应用类型，实现对步骤(1)所述待识别Tor流量集的应用类型的识别。/n

【技术特征摘要】
1.一种适用于SDN的Tor流量溯源与应用类型识别方法，其特征在于：依次包括以下步骤：
(1)SDN控制器周期性分析Tor网络的入口节点信息，SDN控制器控制SDN交换机依据IP和端口发现待识别Tor流量，并将待识别Tor流量复制转发至SDN域内的服务器，服务器抓取捕获保存所述待识别Tor流量，并确定所述待识别Tor流量与发送者的对应关系，形成待识别Tor流量集；
(2)提取步骤(1)所得待识别Tor流量集中每条待识别Tor流量的基础特征集，形成基础特征待识别Tor流量集，所述基础特征集包括：双向累积特征和基础流特征；
(3)使用训练好的基于深度学习算法的特征提取模型对步骤(2)所得基础特征待识别Tor流量集中的每条基础特征待识别Tor流量进行特征重提取，得到128维深度特征向量，形成深度特征待识别Tor流量集；
(4)使用训练好的基于K近邻算法的集成学习分类器识别步骤(3)所得深度特征待识别Tor流量集，得到对应的应用类型，实现对步骤(1)所述待识别Tor流量集的应用类型的识别。


2.根据权利要求1所述的适用于SDN的Tor流量溯源与应用类型识别方法，其特征在于：所述步骤(1)中SDN控制器周期性分析Tor网络的入口节点信息的方法为：SDN控制器下载匿名通信工具Tor的源码，并从中解析权威目录服务器的IP地址；SDN控制器向任意权威目录服务器发出请求获取共识文件consensus.z；SDN控制器解析所述共识文件，依据fresh-until字段确定下一次请求所述共识文件的时间；SDN控制器解析所述共识文件依据“r”字段识别Tor节点的IP地址、提供服务的端口，依据“s”字段识别Tor节点中的入口节点，得到所有入口节点的IP和端口；
步骤(1)中SDN交换机发现待识别Tor流量的具体方法为：SDN控制器修改SDN交换机的流表，控制SDN交换机通过IP和端口信息识别用户的通信对象是否是Tor入口节点，并以此发现Tor流量；SDN控制器指示SDN交换机在正常转发Tor流量的同时，将Tor流量复制转发至SDN域内的服务器；
步骤(1)中服务器捕获所述Tor流量后，将其划分为不同的流量文件，具体方法为：服务器使用捕包分析工具捕获Tor流量，并依据通信双方的IP和端口为依据保存Tor流量，形成待识别Tor流量集。


3.根据权利要求1所述的适用于SDN的Tor流量溯源与应用类型识别方法，其特征在于：所述步骤(2)中基础流特征包括：传输数据包数量、接收数据包数量、接收数据包数量占比、传输字节数量、接收字节数量、接收字节数量占比、数据包大小、数据包间隔到达时间、每秒传输数据包数量、每秒传输字节数量、深度包检测分类以及前20个数据包的间隔到达时间；
双向累积特征包括前100个数据包、前1000个数据包、前100个TLS记录和前100个TLS记录的加权和非加权双向累积特征；
依据需要提取特征的Tor流量序列T、Tor用户的IP地址G、需要提取特征的范围N、需要提取的特征数量S、是否提取TLS层的特征B以及是否加权W，来进行特征提取，所述双向累积特征的具体提取方法如下：如果B为True，则提取Tor流量序列T的前N个TLS记录形成子流量序列T1，否则提取Tor流量序列T的前N个数据包形成子流量序列T1；创建列表M用于存储特征，第一个元素的值为0；对于T1中的每个item，获取item的方向信息d，如果item的源IP为G则d＝1，否则d＝-1，如...

【专利技术属性】
技术研发人员：王良民，王世豪，殷尚男，黄龙霞，申屠浩，余春堂，谢晴晴，
申请(专利权)人：江苏大学，
类型：发明
国别省市：江苏;32