【技术实现步骤摘要】
本专利技术属于网络安全,特别涉及一种基于nprintml模型的shadowsocksr流量检测方法及装置。
技术介绍
1、翻墙是指绕过相应的网际互连协议(internet protocol,ip)封锁、内容过滤、域名劫持、流量限制等,实现对网络内容的访问。随着互联网的不断发展,采用不同类型的翻墙协议来进行翻墙的行为逐渐增多。为了提高网络管理和安全性,需要一种高效准确的方法来识别和监测这些shadowsocksr流量。
2、现有技术中,通过被动流量解析的角度,识别加密翻墙协议上线行为;被动流量的解析主要是基于域名的判断,若流量中存在被阻止的域名,则阻断本次访问。
3、现有技术至少存在如下问题:
4、1.通过使用简单的端口及特征码识别检测shadowsocksr流量上线行为,存在局限性。
5、2.通过域名判断翻墙行为,由于目标网站的访问量大,且目标网站的域名更新较快,此方法监管的工作量大,监管成本高。
技术实现思路
1、本专利技术提供了一种基于nprintml模型的shadowsocksr流量检测方法及装置,旨在解决上述现有技术中存在的通过使用简单的端口及特征码识别检测shadowsocksr流量上线行为,存在局限性;以及通过域名判断翻墙行为,由于目标网站的访问量大,且目标网站的域名更新较快,此方法监管的工作量大,监管成本高的技术问题。
2、本专利技术解决上述技术问题的技术方案如下:一种基于nprintml模型的shadows
3、获取shadowsocksr节点服务器的shadowsocksr流量数据和节点配置数据,基于所述shadowsocksr流量数据和节点配置数据对nprintml模型进行训练学习,得到训练好的nprintml模型,并通过训练好的nprintml模型对获取的shadowsocksr流量数据和节点配置数据进行处理,输出shadowsocksr流量特征关联参数;
4、采集所有节点服务器的未知流量数据,并对所述未知流量数据进行预处理,得到待分析数据;
5、将所述待分析数据输入协议特征模型,利用所述协议特征模型对所述待分析数据进行特征分析,得到特征数据,并基于shadowsocksr流量特征关联参数计算所述特征数据的准确率数值,并通过所述准确率数值判断所述待分析数据是否需要进行主动探测;
6、当所述待分析数据判断为需要进行主动探测时,利用主动探测模块对判断为需要进行主动探测的待分析数据对应的目标节点服务器进行主动发包探测,得到探测结果,基于探测结果判断所述待分析数据是否为shadowsocksr流量数据。
7、本专利技术的有益效果是:本专利技术结合主动探测和被动收集的手段,有效提高了识别的准确性和实时性。
8、在上述技术方案的基础上,本专利技术还可以做如下改进。
9、进一步,上述判断所述待分析数据是否为shadowsocksr流量数据之后还包括:
10、当所述待分析数据为shadowsocksr流量数据时,定期将判定为shadowsocksr流量数据的待分析数据输入训练好的nprintml模型,继续对训练好的nprintml模型进行迭代训练。
11、采用上述进一步方案的有益效果是:本专利技术通过不断进行更新,使其具有较强的适应性,能够应对不断演变的翻墙协议和网络环境。
12、进一步,上述得到待分析数据的具体步骤为:
13、通过网口配合网卡驱动模块对所有网站节点进行未知流量数据的采集;
14、基于tcp/ip的4层协议,对所述未知流量数据进行解析,得到未知流量数据对应的标准协议字段;
15、对所述未知流量数据按照所述标准协议字段进行字段提取,并通过多元组的方式对提取的字段进行存储,得到待分析数据。
16、采用上述进一步方案的有益效果是:本专利技术通过获取需要分析的未知的pcap流量数据,再对其进行字段的提取并存储,便于后续进行分析。
17、进一步,上述所述标准协议字段包括:tcp、udp、http和https。
18、进一步,上述计算所述特征数据的准确率数值具体为:
19、分析所述待分析数据中ip字段、port字段和sni字段的出现情况,得到特征数据;
20、基于shadowsocksr流量特征关联参数,配置特征数据分析过程中的比重参数,通过配置的比重参数对所述特征数据进行分析,得到所述特征数据的准确率数值;
21、通过所述准确率数值判断所述待分析数据是否需要进行主动探测。
22、采用上述进一步方案的有益效果是:本专利技术通过不同的特征数据,配置不同的分析过程中的比重参数,不同比重参数计算得到的准确率数值也不相同,因此可以针对不同的特征数据生成对应的准确率数值。
23、进一步,上述通过所述准确率数值判断所述待分析数据是否需要进行主动探测具体为:
24、若所述准确率数值小于准确率阈值,则输出所述准确率数值对应的待分析数据不为shadowsocksr流量数据的判定结果;
25、若所述准确率数值不小于准确率阈值,则输出所述准确率数值对应的待分析数据需要主动探测的判定结果。
26、采用上述进一步方案的有益效果是:本专利技术在被动获取到流量数据后,初次判断该流量数据是否为shadowsocksr流量数据,若判断疑似为shadowsocksr流量数据,则通过主动探测的方法进一步确认,保证了结果的准确性。
27、进一步,上述得到探测结果具体为:
28、基于所述待分析数据对应的目标节点服务器,生成目标数据包;
29、基于多种通信协议,更改所述目标数据包的payload字段数据,得到多个更改数据包;
30、通过发包程序分别对所述目标节点服务器发送各个更改数据包,并对应接受所述目标节点服务器返回的多个目标流量数据;
31、对所述多个目标流量数据进行分析,得到探测结果。
32、采用上述进一步方案的有益效果是:本专利技术通过主动发包的方式,对目标节点服务器进行探测,判断目标节点服务器是否为shadowsocksr节点服务器。
33、第二方面,本专利技术为了解决上述技术问题还提供了一种基于nprintml模型的shadowsocksr流量检测装置,包括:
34、模型训练模块,用于获取shadowsocksr节点服务器的shadowsocksr流量数据和节点配置数据,基于所述shadowsocksr流量数据和节点配置数据对nprintml模型进行训练学习,得到训练好的nprintml模型,并通过训练好的nprintml模型对获取的shadowsocksr流量数据和节点配置数据进行处理,输出shadowsocksr流量特征关联参数;
35、数据获取模块,用于采集所有节点服务器的未知流量数据,并对所述本文档来自技高网...
【技术保护点】
1.一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,包括:
2.根据权利要求1所述的一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,判断所述待分析数据是否为ShadowsocksR流量数据之后还包括:
3.根据权利要求1所述的一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,得到待分析数据的具体步骤为:
4.根据权利要求3所述的一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,所述标准协议字段包括:TCP、UDP、HTTP和HTTPS。
5.根据权利要求3所述的一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,计算所述特征数据的准确率数值具体为:
6.根据权利要求1所述的一种基于nPrintML模型的ShadowsocksR流量检测方法,其特征在于,通过所述准确率数值判断所述待分析数据是否需要进行主动探测具体为:
7.根据权利要求1所述的一种基于nPrint
8.一种基于nPrintML模型的ShadowsocksR流量检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的方法。
...【技术特征摘要】
1.一种基于nprintml模型的shadowsocksr流量检测方法,其特征在于,包括:
2.根据权利要求1所述的一种基于nprintml模型的shadowsocksr流量检测方法,其特征在于,判断所述待分析数据是否为shadowsocksr流量数据之后还包括:
3.根据权利要求1所述的一种基于nprintml模型的shadowsocksr流量检测方法,其特征在于,得到待分析数据的具体步骤为:
4.根据权利要求3所述的一种基于nprintml模型的shadowsocksr流量检测方法,其特征在于,所述标准协议字段包括:tcp、udp、http和https。
5.根据权利要求3所述的一种基于nprintml模型的shadowsocksr流量检测方法,其特征在于,计算所述特征数据的准确率数值具体为:
【专利技术属性】
技术研发人员:蔡晶晶,陈俊,张雪峰,李旭,孙威,陈一洋,刘欢,康传鹏,于秋梅,
申请(专利权)人:永信至诚科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。