本發(fā)明公開了一種識別SSR流量的方法、系統(tǒng)以及計算機可讀存儲介質(zhì)，方法包括：搭建所有配置的SSR服務(wù)，通過抓包工具抓取不同配置的SSR流量，以及采集普通流量；計算抓取到的不同配置的SSR流量與普通流量的帶有負載的數(shù)據(jù)包的信息熵，并將計算出的信息熵作為樣本數(shù)據(jù)輸入決策樹模型進行二分類訓(xùn)練以提取出流量識別規(guī)則，將提取出的流量識別規(guī)則作為判定規(guī)則用于后續(xù)的流量識別操作；將未知流量作為識別對象，執(zhí)行流量識別操作，包括：計算識別對象的帶有負載的數(shù)據(jù)包的信息熵，依次匹配判定規(guī)則，命中則疑似度增加，否則疑似度減小，當(dāng)疑似度等于閾值時，則判定識別對象為SSR流量，本發(fā)明適用于各種組合配置的SSR服務(wù)識別。

技術(shù)領(lǐng)域

本發(fā)明涉及SSR流量識別領(lǐng)域，尤其涉及一種識別SSR流量的方法、系統(tǒng)以及計算機可讀存儲介質(zhì)。

背景技術(shù)

虛擬專用網(wǎng)(Virtual Private Network，VPN)技術(shù)作為加密網(wǎng)絡(luò)流量的主要使用技術(shù)之一，Shadowsocks(影梭，簡稱SS)屬于目前主流的VPN工具之一，基于TCP加密協(xié)議的代理工具，ShadowsocksR(簡稱SSR)是在SS的基礎(chǔ)上引入?yún)f(xié)議混淆、插件混淆，進一步對數(shù)據(jù)進行偽裝、混淆，成為SS的改進版。

由于VPN加密流量失去了原有流量的報文頭部信息、流量側(cè)信道特征信息，給網(wǎng)絡(luò)流量監(jiān)管帶來新的挑戰(zhàn)。現(xiàn)有的針對VPN加密流量的識別方法主要是基于DPI(深度包檢測)的流量識別及基于機器學(xué)習(xí)的流量識別，對于VPN流量的隨機化特點，機器學(xué)習(xí)(深度學(xué)習(xí))效果更加顯著，機器學(xué)習(xí)主要是對報文的長度、載荷、時間序列、流持續(xù)時間、流方向、速率等進行特征提取，采用隨機森林，SVM等模型進行訓(xùn)練識別，深度學(xué)習(xí)則主要是根據(jù)內(nèi)容特征，采用深度神經(jīng)網(wǎng)絡(luò)(CNN，SAE等)進行模型訓(xùn)練。由于ShadowsocksR支持?jǐn)?shù)據(jù)加密、協(xié)議混淆、插件混淆，其組合方式高達1000余種，目前大部分的識別技術(shù)沒有覆蓋所有配置，同時在真實網(wǎng)絡(luò)環(huán)境中，由于干擾流種類雜多，通過單一流的輸入進行識別，識別效果遠低于實驗室環(huán)境。

總而言之，現(xiàn)有的ShadowsocksR流量識別技術(shù)，存在以下不足：

1)沒有涵蓋ShadowsocksR所有配置，不同協(xié)議加密、插件混淆會導(dǎo)致數(shù)據(jù)流的行為特征和內(nèi)容特征不一樣，現(xiàn)有的機器學(xué)習(xí)模型大多針對特定類型的Shadowsocks流量類型進行識別；

2)是由于模型輸入的單一性，現(xiàn)有識別技術(shù)，都是直接判定單一流是否是Shadowsocks流量，在真實的網(wǎng)絡(luò)環(huán)境中，受干擾因素較多，導(dǎo)致準(zhǔn)確率不夠高。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題在于，針對現(xiàn)有技術(shù)的上述缺陷，提供一種識別SSR流量的方法、系統(tǒng)以及計算機可讀存儲介質(zhì)。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：構(gòu)造一種識別SSR流量的方法，所述方法包括：

搭建所有配置的SSR服務(wù)，通過抓包工具抓取不同配置的SSR流量，以及采集普通流量；

計算抓取到的不同配置的SSR流量與普通流量的帶有負載的數(shù)據(jù)包的信息熵，并將計算出的信息熵作為樣本數(shù)據(jù)輸入決策樹模型進行二分類訓(xùn)練以提取出流量識別規(guī)則，將提取出的流量識別規(guī)則作為判定規(guī)則用于后續(xù)的流量識別操作；

將未知流量作為識別對象，執(zhí)行流量識別操作；

其中，流量識別操作包括：計算識別對象的帶有負載的數(shù)據(jù)包的信息熵，依次匹配判定規(guī)則，命中則疑似度增加，否則疑似度減小，當(dāng)疑似度等于閾值時，則判定識別對象為SSR流量。

優(yōu)選地，所述方法還包括，在提取出流量識別規(guī)則之后、將未知流量作為識別對象執(zhí)行流量識別操作之前，通過以下操作對流量識別規(guī)則進行優(yōu)化：將相似度較高的流量識別規(guī)則進行去重、合并，并統(tǒng)一采取大于/小于某一熵值為標(biāo)準(zhǔn)，生成最終的判定規(guī)則。