[发明专利]基于协议属性的Shadowsocks(R)识别方法

权利要求书

1.一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：

流量采集后基于Shadowsocks(R)协议属性分析提取识别特征，形成自创特征；

将所述自创特征进行基于机器学习的模型训练后，输出识别结果；

所述基于Shadowsocks(R)协议属性分析提取识别特征包括步骤：基于载荷维度的随机性测度提取Shadowsocks流量的识别特征；

所述基于载荷维度的随机性测度提取Shadowsocks流量的识别特征包括步骤：利用基于熵估计的随机性测度来实现提取Shadowsocks流量的识别特征；

所述利用基于熵估计的随机性测度来实现提取Shadowsocks流量的识别特征包括步骤：利用熵的估计值实现对Shadowsocks流量的TCP载荷包的随机性的判断，包括步骤：

构造N-截断熵H_N(P)，其定义是根据概率分布P产生的所有长度为N的样本序列的熵的平均值，构造公式如下：

通过上述构造的H_N(P)的公式得到是H_N的无偏估计；当P为均匀分布U时，按照如下公式得到长度为N的序列的N-截断熵H_N(U)：

在对Shadowsocks流量的TCP载荷包的序列进行检测时，通过对和H_N(U)的近似程度而判断得出序列是否随机序列的结论。

2.根据权利要求1所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：对输出的识别结果进行二次识别后，输出二次识别结果。

3.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：在所述基于Shadowsocks(R)协议属性分析提取前，对采集的流量进行前期处理；所述前期处理包括步骤：训练集采集：分别对Shadowsocks流量、ShadowsocksR流量及白流量进行采集；采集训练集后进行打标签；以流为单位对打标签后的流量进行切割。

4.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：基于形成的所述自创特征建立自创特征库。

5.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：将所述自创特征输入到机器学习模型前对自创特征进行标准化处理或进行异常特征处理。

6.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，包括步骤：将基于机器学习的模型训练后输出的识别结果以会话为单位进行转化后进行二次识别。

7.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，所述基于Shadowsocks(R)协议属性分析提取识别特征包括步骤：对基于常用协议模式的ShadowsocksR流量，且在加密算法没有选择none的情况下提取的识别特征与基于载荷维度的随机性测度提取到的Shadowsocks流量的识别特征一致。

8.根据权利要求1或2任一所述的一种基于协议属性的Shadowsocks(R)识别方法，其特征在于，所述基于Shadowsocks(R)协议属性分析提取识别特征包括步骤：对基于常用混淆模式的ShadowsocksR流量提取识别特征；在该步骤中，对基于常用混淆模式的ShadowsocksR流量中的TCP数据包提取的识别特征与基于载荷维度的随机性测度提取到的Shadowsocks流量的识别特征一致；对基于常用混淆模式的ShadowsocksR流量中的HTTP、TLS数据包提取的识别特征来自伪包的报文格式提取。