本發明公開一種面向隧道封裝的Tor流量識別方法，屬于流量分析和匿名網絡技術領域。該方法首先通過隧道封裝的Tor流量自動化采集；然后判斷自動化采集的Tor流量是否為UDP協議，如果為UDP協議，則從UDP流單個方向上提取Tor流量特征；如果僅為代理工具下的流量，則分別在Shadowsocks、V2ray、Trojan三種應用層代理轉發Tor流量時提取Tor流量特征，如果為代理工具加網橋混淆下的Tor流量，則從一段時間窗口內多個TCP連接的狀態信息中提取代理加網橋混淆的Tor流量特征；最后根據提取的Tor流量特征，利用機器學習訓練SVM分類器實現從真實網絡流量中自動化識別Tor流量。

技術領域

本發明涉及一種Tor流量識別技術，屬于流量分析（Traffic?Analysis）和匿名網絡(Anonymity?Network)技術領域，具體涉及一種面向隧道封裝的Tor流量識別方法。

背景技術

隨著互聯網及移動通信技術的不斷發展，個人隱私與上網安全問題越發受到重視，不少用戶開始使用匿名通信系統來接入互聯網。其中Tor是使用最廣泛的匿名通信系統，據統計顯示，截至2022年10月整個Tor網絡中在線用戶數已經達到約250萬，其中包含大量帶有非法目的的用戶，因此針對Tor的可識別性研究一直是流量識別領域的熱點方向。當前已經有大量基于原始Tor流量進行的流量識別研究，通過對原始的Tor流量提取特征并訓練對應的分類器可以從真實網絡流量中以極高的準確率識別出Tor流量。為了掩蓋原始Tor流量的特征以提高接入Tor網絡的安全性，近年來有不少用戶開始使用Shadowsocks、V2ray、OpenVPN、Obfs4網橋等多種隧道工具將Tor流量偽裝成常見協議的流量。然而目前還缺乏相應的研究工作來探討這些經過隧道偽裝的Tor流量與正常流量的可區分性，因此設計一種面向隧道封裝的Tor流量識別方法有重要作用。

發明內容

發明目的：針對大量帶有非法目的的用戶通過Shadowsocks、V2ray、OpenVPN、Obfs4網橋等多種隧道工具將Tor流量偽裝成常見協議的流量來逃避審查的問題，本發明提出一種面向隧道封裝的Tor流量識別方法，該方法首先自動化大量采集Tor流量，然后對采集的Tor流量進行協議判斷，進而分別從使用UDP協議的Tor流量、僅在代理工具場景下使用TCP協議的Tor流量、在代理工具加網橋場景下使用TCP協議的Tor流量中提取特征，最后訓練模型自動化識別經隧道偽裝后的Tor流量。

本發明采用如下技術方案：

一種面向隧道封裝的Tor流量識別方法，該方法包括如下步驟：

S1.通過隧道封裝的Tor流量自動化采集：用Tcpdump流量抓取工具捕獲Tor瀏覽器通過隧道工具訪問流行站點的流量，所述隧道工具包括Shadowsocks、V2ray、Trojan、OpenVPN、Obfs4網橋中的任意一個或多個；

S2.Tor流量的使用協議判斷和特征提取：判斷自動化采集的Tor流量是否為UDP協議，如果為UDP協議，則從UDP流單個方向上提取Tor流量特征；如果為TCP協議，則進一步判斷是否為代理工具加網橋下的流量，如果僅為代理工具下的流量，則分別在Shadowsocks、V2ray、Trojan三種應用層代理轉發Tor流量時提取TCP連接單個方向上包長數量占比、頻率的Tor流量特征，如果為代理工具加網橋混淆下的Tor流量，則從一段時間窗口內一群TCP連接的狀態信息中提取代理加網橋混淆的Tor流量特征；

S3.自動化識別Tor流量：根據S2中提取的Tor流量特征，利用機器學習訓練SVM分類器實現從真實網絡流量中自動化識別Tor流量。

進一步地，所述步驟S1具體包括：

S11.Tor瀏覽器及隧道工具的Docker容器封裝：將Tor瀏覽器和Shadowsock、V2ray、Trojan、OpenVPN、Obfs4網橋這些隧道工具封裝在Docker容器中，通過Docker容器在進程上實行網絡空間層面的隔離；