Tor流量检测方法、装置、终端设备及存储介质制造方法及图纸

本发明专利技术公开了一种Tor流量检测方法、装置、终端设备及存储介质，该方法包括：抓取现网流量中的报文数据，该报文数据中包括多个报文数据包；对各报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据，并将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据；将所述多维特征数据与所述注意力编码数据进行拼接整合处理，得到目标特征数据；基于所述目标特征数据检测现网流量中是否存在Tor流量。本发明专利技术通过注意力机制融合报文数据包的前后信息，添加对报文数据不同维度特征数据的注意力，提高对报文数据局部特征的注意，放大正常流量和Tor流量特征的区别，提高了对Tor流量的检测精度和检测效率。效率。效率。

【技术实现步骤摘要】
Tor流量检测方法、装置、终端设备及存储介质


[0001]本专利技术涉及通信
，尤其涉及一种Tor流量检测方法、装置、终端设备及存储介质。

技术介绍

[0002]1995年，美国海军研究实验室(NRL)为了保护船只之间的通讯网络安全、避免信号被跟踪，开发出了一项旨在通过代理服务器进行加密数据传输的技术，即被称为“洋葱路由”的Tor(The second generation Onion Routing)技术。一般情况下，当终端与远程服务器建立连接的时候，会将自己的IP地址泄漏给服务器。而Tor是一种“代理节点快速动态变化的加密三重代理”，可以在一定程度上做到匿名，正是基于Tor技术的匿名性，产生了越来越多的恶意软件和非法交易，所以在网络安全中对Tor流量的检测具有重要意义。
[0003]由于Tor流量在各个代理节点的传输是以加密的方式进行的，无法检测其传输内容，又由于Tor技术的数据传输特性，即经过三重代理节点传输，其报文数据包和普通报文数据包区别不明显，因此，现有的对Tor流量的检测方式，大多只能基于传输时间间隔构造大量时间相关的特征，根据构造的时序特征构建机器学习模型实现对Tor流量的检测。但是，基于时序特征构建的模型在线上的流量检测中难以进行测试，因为无法以数据包中的原速率回放流量数据包，由于无法进行回包测试，基于构造的时序特征构建的机器学习模型，在线上流量检测时的性能较差，检测精度不高。同时，基于构造的大量时序特征进行检测时，需要从每个通信节点中提取相同的时序特征并与构造的时序特征进行匹配，检测效率较低。

技术实现思路

[0004]本专利技术的主要目的在于提供一种Tor流量检测方法、装置、终端设备及存储介质，旨在解决现有的Tor流量检测方法检测精度和检测效率低的技术问题。
[0005]此外，为实现上述目的，本专利技术还提供一种Tor流量检测方法，所述Tor流量检测方法方法包括以下步骤：
[0006]抓取现网流量中的报文数据，其中，所述报文数据中包括多个报文数据包；
[0007]对所述报文数据中的各所述报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据，并将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据；
[0008]将所述多维特征数据与所述注意力编码数据进行拼接整合处理，得到目标特征数据；
[0009]基于所述目标特征数据检测现网流量中是否存在Tor流量。
[0010]可选地，所述多维特征数据至少包括各所述报文数据包的基本特征数据和统计特征数据，所述对所述报文数据中的各所述报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据的步骤，包括：
[0011]对所述报文数据中的各所述报文数据包进行特征提取，得到各所述报文数据包的基础特征数据；
[0012]基于所述基础特征数据对各所述报文数据包进行特征提取和统计分析处理，得到各所述报文数据包的统计特征数据。
[0013]可选地，所述注意力机制包括编码层、注意力层和全连接层，所述将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据的步骤，包括：
[0014]将所述报文数据输入至所述编码层，对所述报文数据进行编码处理，得到第一编码数据，其中，所述编码处理包括内容编码处理和位置编码处理，所述第一编码数据包括多维编码数据和位置编码数据；
[0015]将所述多维编码数据和所述位置编码数据相加后输入至所述注意力层，以添加对所述第一编码数据的注意，得到第二编码数据；
[0016]将所述第二编码数据输入至所述全连接层，对所述第二编码数据的特征进行加权求和处理，得到注意力编码数据。
[0017]可选地，所述将所述多维编码数据和所述位置编码数据相加后输入至所述注意力层，以添加对所述第一编码数据的注意，得到第二编码数据的步骤，包括：
[0018]利用所述注意力层对所述多维编码数据和所述位置编码数据相加后的数据进行线性变换，得到多个特征向量序列；
[0019]对各所述特征向量序列进行分头操作，得到多个头信息并基于各所述头信息进行注意力打分，以计算各所述特征向量序列的注意力分布值；
[0020]基于所述注意力分布值对各所述特征向量序列进行信息加权和拼接处理，得到第二编码数据。
[0021]可选地，所述特征向量序列至少包括查询向量序列、键向量序列和值向量序列。
[0022]可选地，所述基于所述目标特征数据检测现网流量中是否存在Tor流量的步骤，包括：
[0023]将所述目标特征数据输入至经过预训练的分类检测模型中，根据所述分类检测模型对所述报文数据进行分类；
[0024]根据对所述报文数据的分类结果确定现网流量中是否存在Tor流量。
[0025]可选地，所述基于所述目标特征数据检测现网流量中是否存在Tor流量的步骤之后，还包括：
[0026]输出检测结果，根据所述检测结果若现网流量中存在Tor流量，则输出告警提示信息。
[0027]此外，为实现上述目的，本专利技术还提供一种Tor流量检测方法装置，所述Tor流量检测方法装置包括：
[0028]数据抓取模块，用于抓取现网流量中的报文数据，其中，所述报文数据中包括多个报文数据包；
[0029]特征提取模块，用于对所述报文数据中的各所述报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据，并将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据，其中，所述注意力机制是基于所述报文数据的历史数据对基础注意力机制模型进行迭代训练得到的；
[0030]特征拼接模块，用于将所述多维特征数据与所述注意力编码数据进行拼接整合处理，得到目标特征数据；
[0031]流量检测模块，用于基于所述目标特征数据检测现网流量中是否存在Tor流量。
[0032]此外，为实现上述目的，本专利技术还提供一种设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的Tor流量检测方法程序，所述Tor流量检测方法程序被所述处理器执行时实现如上述的Tor流量检测方法方法的步骤。
[0033]此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有Tor流量检测方法程序，所述Tor流量检测方法程序被处理器执行时实现如上述的Tor流量检测方法方法的步骤。
[0034]此外，为实现上述目的，本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的Tor流量检测方法方法的步骤。
[0035]本专利技术实施例提出的一种Tor流量检测方法方法、装置、终端设备及存储介质。现有技术基于构造的时序特征对Tor流量进行检测，由于无法进行回包测试，导致对Tor流量的检测精度不该高，本专利技术实施例中，通过抓取现网流量中的报文数据，其中，所述报文数据中包括多个报文数据包；对所述报文数据中的各所述报文数据包进行多维本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Tor流量检测方法，其特征在于，所述Tor流量检测方法包括以下步骤：抓取现网流量中的报文数据，其中，所述报文数据中包括多个报文数据包；对所述报文数据中的各所述报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据，并将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据；将所述多维特征数据与所述注意力编码数据进行拼接整合处理，得到目标特征数据；基于所述目标特征数据检测现网流量中是否存在Tor流量。2.如权利要求1所述的Tor流量检测方法，其特征在于，所述多维特征数据至少包括各所述报文数据包的基本特征数据和统计特征数据，所述对所述报文数据中的各所述报文数据包进行多维特征提取处理，得到所述报文数据的多维特征数据的步骤，包括：对所述报文数据中的各所述报文数据包进行特征提取，得到各所述报文数据包的基础特征数据；基于所述基础特征数据对各所述报文数据包进行特征提取和统计分析处理，得到各所述报文数据包的统计特征数据。3.如权利要求1所述的Tor流量检测方法，其特征在于，所述注意力机制包括编码层、注意力层和全连接层，所述将所述报文数据输入至经过预训练的注意力机制，得到所述报文数据的注意力编码数据的步骤，包括：将所述报文数据输入至所述编码层，对所述报文数据进行编码处理，得到第一编码数据，其中，所述编码处理包括内容编码处理和位置编码处理，所述第一编码数据包括多维编码数据和位置编码数据；将所述多维编码数据和所述位置编码数据相加后输入至所述注意力层，以添加对所述第一编码数据的注意，得到第二编码数据；将所述第二编码数据输入至所述全连接层，对所述第二编码数据的特征进行加权求和处理，得到注意力编码数据。4.如权利要求3所述的Tor流量检测方法，其特征在于，所述将所述多维编码数据和所述位置编码数据相加后输入至所述注意力层，以添加对所述第一编码数据的注意，得到第二编码数据的步骤，包括：利用所述注意力层对所述多维编码数据和所述位置编码数据相加后的数据进行线性变换，得到多个特征向量序列；对各所述特征向量序...

【专利技术属性】
技术研发人员：兰亭洋，
申请(专利权)人：北京六方云科技有限公司，
类型：发明
国别省市：