[发明专利]Tor匿名通信流量应用分类的方法

说明书

技术领域

本发明是一种Tor匿名通信流量应用分类方法，利用了特征选择、样本预处理以及流量建模等相关技术，涉及网络安全特别是匿名通信和流量分析研究领域。

背景技术

随着Internet以及移动互联网的迅猛发展和广泛使用，网络已融入人们日常生活的方方面面。与此同时，网络通信所带来的安全与隐私问题也受到了越来越多的关注。为保护网络用户的隐私信息，研究人员设计了多种匿名通信方案如洋葱路由协议等，并在此基础上开发了一些实用匿名通信系统，如Tor、JAP、I2P等。但匿名通信系统的广泛使用也给网络监管带来了巨大挑战。用户可借助匿名通信系统突破现有的网络访问控制策略以获取非法网络资源、泄露机密信息以及实施匿名攻击等。由于匿名通信流量均为加密流量，为实现对其的有效监管，有必要对匿名通信流量的识别与分析技术展开深入研究。一方面可以有效地规范用户的网络行为，打击并阻止基于匿名通信系统进行的网络犯罪；另一方面随着匿名通信流量识别与分析技术的研究深入，可以揭示现有匿名通信协议和匿名通信系统实现上存在的漏洞，从而能够设计更完善的匿名通信协议以及其系统实现，为网络用户提供更好的隐私保护。

匿名通信技术是由Chaum于1981年首次提出，该技术通过在发送者和接收者的通信路径上插入一个或多个中间节点(Mix节点)来实现用户身份和通信关系的隐藏。用户在发送数据时，首先确定转发路径上Mix节点和接收者的地址信息，然后利用转发路径上各Mix节点的公钥对数据和地址信息进行层层加密，形成“洋葱包”，并将该“洋葱包”发送至转发路径上的第一个Mix节点。收到“洋葱包”后，该Mix节点对其进行解密操作以获得下一跳地址，并将解密后的“洋葱包”发送至下一跳节点，其它节点依次操作直至最后将原始数据转发至接收者。返回数据时则按对应的相反顺序进行，接收者将数据返回至与其直接相连的Mix节点(即转发路径上的最后一个Mix节点)，然后路径上各Mix节点利用自己的私钥对数据进行层层加密并反方向转发，并最终由用户执行多次解密操作得出通信内容。

匿名通信系统的滥用给网络安全带来巨大威胁。例如德国政府在2007年陆续逮捕了多名Tor出口节点的提供者，而实际上这些Tor出口节点的提供者是非法浏览色情信息等此类网络犯罪的替罪羊。当匿名犯罪分子利用Tor网络获取儿童色情信息时，对应的网络流量将首先被发送到Tor出口节点，再由这些出口节点将相关数据经Tor网络转发给匿名罪犯。依据网络流量的IP地址信息仅能追查到这些Tor出口节点，而真正的网络罪犯却无法得知。此外，僵尸网络(Botnet)已开始使用Tor匿名通信网络来隐藏命令与控制(C&C)服务器，各Bot节点通过Tor与C&C服务器进行通信，隐藏了C&C服务器的真实身份和Bot节点之间的关联性，使得对僵尸网络的检测更加困难。更为严重的是，一些流行的网络攻击工具，如针对Web服务器的DoS攻击工具torshammer、SQL注入攻击工具sqlmap等已提供配置选项使得攻击流量经过Tor匿名网络转发从而躲避检测和追踪。原本用于保护用户隐私信息的匿名通信系统正被攻击者滥用，给网络安全带来巨大威胁。因此，为阻止匿名网络犯罪和维护网络安全，有必要对Tor匿名通信流量中包含的上层应用类型进行分类，从而能够确定匿名用户的网络行为。

目前Tor匿名通信流量应用分类研究以提升Tor网络的整体性能为目标，因而应用分类工作是由Tor节点根据其可观察到的协议层信息完成，而并非在网络流中提取特征来进行应用分类。

发明内容

技术问题：应用分类的目标是获取匿名通信流量中隐藏的上层应用类型，即对于匿名通信流f，攻击者需确定其中包含的上层应用的类型T₁,T₂,...,T_n，从而能够推断出目标用户Alice正进行哪项匿名网络活动，如匿名Web浏览、匿名P2P下载等。具体地，匿名通信流量的应用分类问题可表述如下：对于所有可能的应用类型T₁,T₂,...,T_N，如何将匿名通信流f映射至其中的一类或几类？针对上述技术问题，本发明根据Tor的数据包调度机制，定义网络流突发段，并以段体积值和方向为分类特征，提出一种基于Profile隐马尔科夫模型(Profile HMM)的应用分类方法，并使用样本预处理技术对样本数据进行预先处理，便于最终模型的建立。

技术方案：