针对TorOverVPN匿名网络流量及其服务类型的识别方法技术

本发明专利技术公开了一种针对Tor Over VPN匿名网络流量及其服务类型的识别方法。该方法包括：基于OpenVPN握手阶段的协议指纹、长度序列与心跳交互等特征筛选得到VPN流量；利用Tor网络建立阶段存在的握手长度序列以及心跳交互行为等机制，结合CNN模型识别出Tor Over VPN流量；最后，利用包间时延、包长度、包负载等特征结合Transformer深度学习模型识别Tor Over VPN流量的不同承载服务类型。本发明专利技术通过深入挖掘多维度时空特征、并结合当前主流深度学习模型，可以很好的对Tor Over VPN流量及其承载服务类型进行识别，对于加强Tor流量监管、维护网络安全具有重要意义。网络安全具有重要意义。网络安全具有重要意义。

【技术实现步骤摘要】
针对Tor Over VPN匿名网络流量及其服务类型的识别方法


[0001]本专利技术属于网络安全
，特别是一种针对Tor Over VPN匿名网络流量及其服务类型的识别方法，通过提取Tor Over VPN流量的时空维度特征并结合CNN、Transformer等模型进行识别。

技术介绍

[0002]Tor作为当前应用最广泛的匿名通信软件，通过三重加密转发技术实现代理传输用户数据，从而躲避网络安全机构审查。随着检测识别技术的提高，Tor原生模式以及混淆插件模式的使用体验日趋下降，用户逐渐转向Tor Over VPN模式，通过VPN前置代理的方式加密访问境外资源的同时保证匿名通信的目的。
[0003]Tor浏览器支持PC、Android、Linux等多个平台，可在官网免费下载安装使用，且各大论坛社区提供相关使用教程。此外，OpenVPN作为当前主流VPN，被各大社区推荐与Tor浏览器结合使用，用以更好的躲避ISP监管。
[0004]目前，对Tor Over VPN模式流量的识别研究还较少，因此有必要针对Tor Over VP本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对Tor Over VPN匿名网络流量及其服务类型的识别方法，其特征在于，所述方法包括以下步骤：步骤1，基于五元组信息将输入流量样本分流处理为会话流量，并依据流量类型对其进行标记、分组、编号预处理操作；所述五元组为源地址、目的地址、源端口、目的端口、协议五元组；步骤2，逐流提取序号为0至N1的数据包负载长度、OpenVPN头部协议字段、心跳数据包特征；步骤3，逐流提取序号为N1至N2的数据包的负载长度、负载信息、轮询数据特征，并将这些特征转化为二维灰度图像；步骤4，逐流提取序号为N2至N3数据包的长度、负载信息、包间时延、MSS包占比、交互次数，构成时空特征向量；步骤5，利用步骤2提取的特征对流量进行匹配，识别OpenVPN隧道流量；步骤6，基于所述二维灰度图像和CNN模型构建Tor Over VPN匿名网络流量识别模型；步骤7，基于所述时空特征向量和Transformer模型构建服务类型识别模型；步骤8，针对待检测的流量样本，执行步骤1至步骤4，之后根据步骤5识别OpenVPN隧道流量，利用步骤6和步骤7构建的模型分别识别Tor Over VPN匿名网络流量和服务类型。2.根据权利要求1所述的针对Tor Over VPN匿名网络流量及其服务类型的识别方法，其特征在于，步骤1中对输入流量样本进行分流处理的同时，将MAC、IP、端口这些字节信息均置0。3.根据权利要求1所述的针对Tor Over VPN匿名网络流量及其服务类型的识别方法，其特征在于，步骤1中进行编号之前，需去除负载长度为0的数据包。4.根据权利要求1或3所述的针对Tor Over VPN匿名网络流量及其服务类型的识别方法，其特征在于，步骤1中所述编号遵循PSH标记位进行编号，满载包需与后续第一个非满载且PSH数据包组成一个分片。5.根据权利要求1所述的针对Tor Over VPN匿名网络流量...

【专利技术属性】
技术研发人员：胡梁宏，刘伟伟，曾盛，沈昊，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：