[发明专利]Tor匿名通信流量应用分类的方法

权利要求书

1.一种Tor匿名通信流量应用分类的方法，其特征是包括步骤：

1)利用Tor的数据包调度机制，定义流突发段概念，并以流突发段的体积值和方向作为分类特征；

2)基于K-均值聚类算法和多序列比对算法对分类特征的数据样本进行预处理，通过数值符号化和插入空隙的方式来解决数据样本过拟合和长度不一致问题；经过数据样本预处理，数值已经符号化，是由字母和空位组成，且长度是相同的；

3)使用Profile隐马尔科夫模型对不同应用的上行和下行Tor匿名通信流量分别进行建模；

4)最后，将待分类网络流量的特征代入不同应用的Profile隐马尔可夫模型中，分别计算出上行和下行流量模型对应的概率，并以最大联合概率值来决定待分类的Tor匿名通信流量所包含的上层应用类型；

所述步骤3)中，使用启发式方法建立Tor匿名通信流量的Profile隐马尔可夫模型，方法如下：

Tor匿名通信流量的Profile隐马尔可夫模型由Match、Insert、Delete三种状态组成；为确定Match、Insert、Delete状态，首先对数据样本进行排列，分类特征的每一特征向量为一行，构成样本矩阵；

考察样本矩阵的每一列，每一列即对应Profile隐马尔可夫模型中的一个Match或Insert状态；确定每一列对应的具体的状态的方法为：如果该列中字母出现的数量超过一半，则为Match状态，如果该列中字母出现的数量没有超过一半，为Insert状态；Delete状态则由Match状态对应的列中的空位决定，空位越多，则表示从前一个状态转移到此Delete状态的概率越大；

由于Delete状态不产生输出，因而无需计算其对应的输出概率，而Insert状态的输出为随机输出，其可观察字符集包括样本中所有出现的字符，且输出概率为等概率分布，即对于所有的可观察字符，其产生的概率均为1/C，C为字符集合大小；所以确定Match、Insert和Delete状态后，仅计算状态间的转移概率以及Match状态的输出概率，方法为：

首先统计状态间的转移次数和Match状态对应的列中各字符出现的数量；

转移概率计算为：状态i转移到状态j的次数除以状态i转移的总次数；

输出概率计算为：第i个Match状态输出字符a的次数除以该状态输出的所有字符的总数量。

2.根据权利要求1所述的Tor匿名通信流量应用分类的方法，其特征是所述步骤1)中，将网络流中相反方向报文间的数据长度大于0即不包括报文头部字段的连续报文定义为流突发段，并将流突发段的体积值定义为该流突发段中所有报文长度的总和，流突发段的方向定义为流突发段中报文的方向，即入流方向或出流方向；分类特征选择为流突发段的体积值和方向。

3.根据权利要求2所述的Tor匿名通信流量应用分类的方法，其特征是所述步骤1)中，

Tor匿名通信系统利用libevent事件实现输入缓冲区和输出缓冲区中数据的处理调度，表示为隐式的轮询调度；当Tor节点从TLS/Socks接口接收到信元数据后，将其存入相对应的输入缓冲区中；对于存在输入缓冲区中的信元，Tor采用轮询调度策略对其进行解密或加密处理；

轮询调度策略的方法为：

首先处理第一个输入缓冲区中的信元，处理完一定数量的信元后，接着处理第二个输入缓冲区中的信元，以此类推，直至最后一个输入缓冲区；然后再返回第一个输入缓冲区处理，如此循环反复；

对于输入缓冲区中的信元，处理完毕后，再存入相对应的输出缓冲区中；对于输出缓冲区队列，与输入缓冲区队列类似，Tor同样采用轮询策略来进行调度，将不同缓冲区中的信元通过TLS/Socks接口发送至网络；

对于流突发段，设c1,c2,s1,s2,s3,s4,c3,c4为客户端与服务器之间的交互报文且报文长度大于0，其中，ci代表客户端发出的报文，si为服务器端返回的响应报文，i为自然数；则{c1,c2}、{s1,s2,s3,s4}和{c3,c4}为三个不同流突发段；则将流突发段体积值定义为段中所有报文长度的总和，突发段的方向定义为段中报文的方向，即入流方向或出流方向。