本發明公開一種適用于SDN的Tor流量溯源與應用類型識別方法和系統，首先對Tor流量進行發現與溯源，并提取多層次雙向累積特征和基礎的流特征作為基礎特征向量，然后使用訓練好的特征提取模型對基礎特征向量進行特征重提取作為深度特征向量，最后使用訓練好的分類器識別深度特征向量，得到Tor流量的應用類別。本發明能夠實現Tor流量的識別與溯源，并提取用于應用類型識別的深度特征，提升識別率。

技術領域

本發明屬于網絡安全技術，具體涉及一種適用于SDN的Tor流量溯源與應用類型識別方法和系統。

背景技術

Tor是當前最受歡迎的匿名通信系統之一，Tor致力于保護用戶在訪問網絡時的安全性和隱私性，防止竊聽者關聯用戶及其通信對象。然而，Tor良好的匿名性也被犯罪分子加以利用。

軟件定義網絡(Software Defined Network，SDN)作為新興的網絡架構，將網絡設備控制面和數據面分離，實現了網絡流量的靈活控制，被應用于大型數據中心等場景。

大型數據中心是Tor流量匯聚的關鍵場景，如何在SDN網絡架構中打擊Tor網絡犯罪成為關鍵問題，當前在SDN網絡架構中打擊基于Tor網絡的匿名犯罪面臨以下問題：其一，基于傳統網絡架構的Tor流量監控方法，監控點的監控范圍與溯源能力成反比，隨著監控范圍的擴大，雖然能夠收集到的Tor流量越來越多，但是與此同時也越來越難以找到生成Tor流量的用戶；其二，現有針對Tor的攻擊，如網站指紋攻擊(Website FingerprintingAttack)建立在正確識別Tor流量的應用類型的基礎上，現有Tor流量應用類型識別方案往往使用基礎流特征，統計數據包大小、時間間隔等信息，實際上Tor流量的前N個數據包中包含了豐富的應用協議握手信息，如何將這部分信息應用于應用類型識別任務成為關鍵問題；其三，受限于技術人員的知識范圍，人工提出的特征并不是最具分離性的特征，如何自動提取能夠應用于應用類型識別任務的具備高分離性的特征同樣非常重要。

發明內容

發明目的：本發明的目的在于解決現有技術中存在的不足，提供一種適用于SDN的Tor流量溯源與應用類型識別方法和系統,實現SDN網絡架構中針對Tor流量的大范圍發現與溯源，并提升Tor流量應用類型識別任務的準確率。

技術方案：本發明的一種適用于SDN的Tor流量溯源與應用類型識別方法，依次包括以下步驟：

(1)SDN控制器周期性分析Tor網絡的入口節點信息，SDN控制器控制SDN交換機依據IP和端口發現待識別Tor流量，并將待識別Tor流量復制轉發至SDN域內的服務器，服務器抓取捕獲保存所述待識別Tor流量，并確定所述待識別Tor流量與發送者的對應關系，形成待識別Tor流量集，實現Tor流量的發現與溯源；

(2)提取步驟(1)所得待識別Tor流量集中每條待識別Tor流量的基礎特征集，形成基礎特征待識別Tor流量集，所述基礎特征集包括：雙向累積特征和基礎流特征；

(3)使用訓練好的基于深度學習算法的特征提取模型對步驟(2)所得基礎特征待識別Tor流量集中的每條基礎特征待識別Tor流量進行特征重提取，得到128維深度特征向量，形成深度特征待識別Tor流量集；

(4)使用訓練好的基于K近鄰算法的集成學習分類器識別步驟(3)所得深度特征待識別Tor流量集，得到對應的應用類型，實現對步驟(1)所述待識別Tor流量集的應用類型的識別。

進一步的，所述步驟(1)中SDN控制器周期性分析Tor網絡的入口節點信息的方法為：SDN控制器下載匿名通信工具Tor的源碼，并從中解析權威目錄服務器的IP地址；SDN控制器向任意權威目錄服務器發出請求獲取共識文件consensus.z；SDN控制器解析所述共識文件，依據fresh-until字段確定下一次請求所述共識文件的時間；SDN控制器解析所述共識文件依據“r”字段識別Tor節點的IP地址、提供服務的端口，依據“s”字段識別Tor節點中的入口節點，得到所有入口節點的IP和端口；