[发明专利]一种基于卷积神经网络的shadowsocks流量检测方法

说明书

本发明公开了一种基于卷积神经网络的shadowsocks流量检测方法，涉及计算机网络安全领域，包括以下步骤：通过抓包工具获取shadowsocks与普通流量；以TCP流为单位将流量拆分；提取TCP流的有效载荷，并拼接在一起，提取为十进制数，作为训练数据参数；对每个TCP流判断是否为shadowsocks流量，并进行数据标注，作为训练数据的结果；将标注好的训练数据作为卷积神经网络模型的训练输入，对模型进行训练，得出最终的计算模型。本发明将网络流的有效载荷转化为类似像素点的数据，将网络流量转化为图像，输入到CNN算法中。该方法省去了对流量进行特征提取的步骤，解决了无法找到shadowsocks流量决定性特征的问题。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于卷积神经网络的shadowsocks流量检测方法。

背景技术

Shadowsocks是一种基于SOCKS5的加密代理工具。该工具在SOCK5协议基础上进行了加密和重构，用以隐匿客户端与代理服务器之间的传递内容，实现了高安全性和隐蔽性。目前该工具使用Python、C、C++、C#、Go语言等编程语言开发，分为客户端和服务端两个部分。该工具的运行流程如下：1、本地浏览器将请求通过SOCKS5协议交给本地的服务器的1080端口去代理。2、本地服务器运行local.py并监听1080端口，接受来自浏览器的请求。3、local.py接收到请求后将流量加密，通过TCP连接传输到shadowsocks远程服务器端。4、远程服务器解密请求后，访问浏览器将要请求的目的Ip。5、远程服务器将目的ip返回的内容加密后返回本地服务器。

本地与远程服务器的加密基于服务器设置的用户名和密码进行对称加密，所以在传输过程中不需要进行密钥的交换。双方之间的通信是普通的TCP传输，与普通https流量在内容上没有任何差异，因此具备极高的隐蔽性。此外，由于此代理工具的隐蔽性，国内的上网用户常常通过购买国外服务器后搭建shadowsocks服务端，用于逃过国内的网络监管，从而非法访问境外网站。

由于该工具产生的网络流量与普通加密流量没有本质上的区别，因此很难通过人工设计算法去进行特征识别。目前已有的识别shadowsocks的方式主要基于机器学习中的监督式或半监督式学习。例如利用随机森林算法对网络流的特征进行学习，从而试图找出shadowsocks流量与普通流量的特征差别。然而这些方式得到的识别准确率不高，容易将普通流量误认为shadowsocks流量。因此，这种方法很难应用到实际的网络监管中。

机器学习中，卷积神经网络(Convolutional Neural Network,CNN)是一种基于前馈神经网络的算法，在近年由于其高效性引起了广泛关注。其在大型图像处理中往往有比较优秀的表现。本发明将网络流中的有效载荷(payload)转换为类似图像的输入，然后利用CNN算法训练模型。

因此，本领域的技术人员致力于开发一种基于卷积神经网络的shadowsocks流量检测方法，从而解决常用的机器学习方法无法找到shadowsocks流量决定性特征的问题。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是克服无法找到shadowsocks流量决定性特征的缺陷，目的在于提出一种基于卷积神经网络(CNN)的shadowsocks流量检测方法。采用shadowsocks与非shadowsocks的网络流，利用CNN算法训练模型，随后将该模型应用到实时的流量监测中。

为实现上述目的，本发明提供了一种基于卷积神经网络的shadowsocks流量检测方法，包括以下步骤：

步骤1、通过抓包工具获取shadowsocks与普通流量；

步骤2、以TCP流为单位将流量拆分；

步骤3、提取TCP流的有效载荷，并拼接在一起，提取为十进制数，作为训练数据参数；