《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 一種基于機(jī)器學(xué)習(xí)的Tor網(wǎng)絡(luò)識(shí)別探測(cè)技術(shù)
一種基于機(jī)器學(xué)習(xí)的Tor網(wǎng)絡(luò)識(shí)別探測(cè)技術(shù)
2021年電子技術(shù)應(yīng)用第4期
張 玲1,衛(wèi)傳征1,林臻彪1,段琳琳2
1.北京賽博興安科技有限公司,北京102200;2.鄭州大學(xué) 信息工程學(xué)院,河南 鄭州450001
摘要: Tor是一種基于洋蔥路由通信協(xié)議建立的隱蔽加密通信系統(tǒng)。該系統(tǒng)基于互聯(lián)網(wǎng)現(xiàn)有路由、數(shù)據(jù)加密等協(xié)議,構(gòu)建了一套保護(hù)通信實(shí)體的身份隱匿機(jī)制,使得經(jīng)過(guò)Tor網(wǎng)絡(luò)傳播的數(shù)據(jù)難以被有效追蹤和分析。然而近年來(lái)這項(xiàng)隱蔽通信技術(shù)被罪犯大量使用,已成為網(wǎng)絡(luò)犯罪和非法交易的溫床。為有效應(yīng)對(duì)該問(wèn)題,提出一項(xiàng)基于機(jī)器學(xué)習(xí)的Tor網(wǎng)絡(luò)識(shí)別檢測(cè)技術(shù),通過(guò)主動(dòng)生成Tor網(wǎng)絡(luò)流量,基于機(jī)器學(xué)習(xí)技術(shù)實(shí)施流特征提取與檢測(cè),從而發(fā)現(xiàn)參與Tor通信的網(wǎng)絡(luò)實(shí)體及其通信類型,進(jìn)而檢出潛在的惡意暗網(wǎng)用戶。實(shí)驗(yàn)表明,該方法可有效識(shí)別Tor通信實(shí)體以及通信行為,如電子郵件和FTP應(yīng)用等。
中圖分類號(hào): TN918
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.200759
中文引用格式: 張玲,衛(wèi)傳征,林臻彪,等. 一種基于機(jī)器學(xué)習(xí)的Tor網(wǎng)絡(luò)識(shí)別探測(cè)技術(shù)[J].電子技術(shù)應(yīng)用,2021,47(4):54-58.
英文引用格式: Zhang Ling,Wei Chuanzheng,Lin Zhenbiao,et al. A method for identifying Tor hosts based on machine learning techniques[J]. Application of Electronic Technique,2021,47(4):54-58.
A method for identifying Tor hosts based on machine learning techniques
Zhang Ling1,Wei Chuanzheng1,Lin Zhenbiao1,Duan Linlin2
1.Beijing Cyber XingAn Technology Co.,Ltd.,Beijing 102200,China; 2.School of Information Engineering,Zhengzhou University,Zhengzhou 450001,China
Abstract: Tor is an anonymous Internet communication system based on onion routing network protocol. Network traffics generated by normal applications become hard to trace when they are delivered by Tor system. However, an increasing number of cyber criminals are utilizing Tor to remain anonymous while carrying out their crimes or make illegal transactions. As a countermeasure, this paper presents a method able to identify Tor traffics and thereby recognize related Tor hosts. The method proposes several groups of features extracted from network traffic and resort to machine learning algorithm to evaluate feature effectiveness. Experiments in real world dataset demonstrate that the proposed method is able to distinguish Tor flows from normal traffics as well as recognize the kind of activity in Tor generated by different normal applications.
Key words : darknet detection;Tor;communication entity recognition;machine learning

0 引言

    Tor匿名網(wǎng)絡(luò)是一個(gè)由全球志愿者維護(hù)的各自匿名網(wǎng)絡(luò)所組成的大型分布式匿名通信網(wǎng)絡(luò),其核心技術(shù)是美國(guó)海軍研究室開(kāi)發(fā)的洋蔥路由系統(tǒng),設(shè)計(jì)初衷是保護(hù)政府機(jī)關(guān)的數(shù)據(jù)通信隱私。

    Tor用戶通過(guò)連接一系列虛擬通道在通信的源端與目的端之間建立間接的數(shù)據(jù)鏈路,使得包括個(gè)人和機(jī)構(gòu)在內(nèi)的用戶在互聯(lián)網(wǎng)中的數(shù)據(jù)傳輸行為匿名化[1]。由于該技術(shù)能夠有效規(guī)避網(wǎng)絡(luò)監(jiān)管,成為訪問(wèn)受限網(wǎng)段的有效措施。

    洋蔥路由技術(shù)提供的身份匿名性和數(shù)據(jù)安全性使得Tor網(wǎng)絡(luò)成為網(wǎng)絡(luò)內(nèi)容犯罪的溫床。同時(shí),區(qū)塊鏈、虛擬數(shù)字貨幣等技術(shù)的發(fā)展為網(wǎng)上非法交易帶來(lái)便利,更使得包括Tor網(wǎng)絡(luò)在內(nèi)的暗網(wǎng)成為互聯(lián)網(wǎng)中的法外之地,產(chǎn)生越來(lái)越多涉及黃、暴、恐的非法信息和非法交易。鑒于此,本文研究Tor網(wǎng)絡(luò)流量的分析和識(shí)別。對(duì)于給定的真實(shí)網(wǎng)絡(luò)數(shù)據(jù),本研究的目標(biāo)是鑒別其中流量是通過(guò)普通網(wǎng)絡(luò)通信數(shù)據(jù)還是Tor流量。在有效識(shí)別Tor流量基礎(chǔ)上,本文進(jìn)一步研究Tor通信行為分類,包括瀏覽網(wǎng)頁(yè)、郵件服務(wù)、即時(shí)通信、流媒體、FTP、VoIP和P2P通信等。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000003463




作者信息:

張  玲1,衛(wèi)傳征1,林臻彪1,段琳琳2

(1.北京賽博興安科技有限公司,北京102200;2.鄭州大學(xué) 信息工程學(xué)院,河南 鄭州450001)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。