[发明专利]一种基于卷积神经网络的shadowsocks流量检测方法

权利要求书

1.一种基于卷积神经网络的shadowsocks流量检测方法，其特征在于，包括以下步骤：

步骤1、通过抓包工具获取shadowsocks与普通流量；

步骤2、从双方TCP链接的发起到结束作为一个流，把2GB的流量拆分开来，便于进行数据的提取和标注；

步骤3、提取TCP流的有效载荷，并拼接在一起，提取为十进制数，作为训练数据参数；

步骤4、对每个TCP流判断是否为shadowsocks流量，并进行数据标注，作为训练数据的结果；

步骤5、将标注好的训练数据作为卷积神经网络模型的训练输入，对模型进行训练，得出最终的计算模型；

步骤6、利用训练好的模型对实时网络流进行判定，预测是否为shadowsocks流量；

其中，步骤3还包括以下子步骤：

步骤3-1、将获得每个流的实际传输内容，即有效载荷，取前1024位十六进制位；

步骤3-2、以两位16进制数为单位将流数据转化为512个0到255的十进制数，作为卷积神经网络的参数输入。

2.如权利要求1所述的基于卷积神经网络的shadowsocks流量检测方法，其特征在于，所述步骤1中的shadowsocks流量和普通流量均大于1GB。

3.如权利要求1所述的基于卷积神经网络的shadowsocks流量检测方法，其特征在于，所述步骤1还包括以下步骤：

步骤1-1、shadowsocks将网络请求传输到本地服务器；

步骤1-2、经由加密后通过TCP连接与服务端进行通信，捕获到的shadowsocks流量是各个加密后的TCP流的集合。

4.如权利要求1所述的基于卷积神经网络的shadowsocks流量检测方法，其特征在于，所述数据标注是用0代表非shadowsocks流量，用1代表shadowsocks流量。

5.如权利要求1所述的基于卷积神经网络的shadowsocks流量检测方法，其特征在于，所述shadowsocks的客户端与远程服务器之间利用TCP流进行传输。

6.如权利要求1所述的基于卷积神经网络的shadowsocks流量检测方法，其特征在于，所述shadowsocks流量采取不同的加密-解密方式。