《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > 融合協(xié)議信息的TOR匿名網(wǎng)絡(luò)流量識別方法
融合協(xié)議信息的TOR匿名網(wǎng)絡(luò)流量識別方法
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
楊剛1,姜舟1,張嬌婷1,汪俊永1,王強(qiáng)2,3,張研1
1 三六零數(shù)字安全科技集團(tuán)有限公司,北京100020;2 中國科學(xué)院信息工程研究所, 北京100093; 3 中國科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院, 北京100049
摘要: TOR(The Onion Router)匿名網(wǎng)絡(luò)流量識別是一項重要的加密流量檢測任務(wù),隨著TOR混淆模式的迭代更新,引入OBFS4(ObjectBased File System4)混淆協(xié)議后對TOR的檢測較為困難。詳細(xì)研究了TOR行為和混淆協(xié)議特性,將關(guān)鍵行為特征與OBFS4混淆協(xié)議特征進(jìn)行融合,增強(qiáng)了面向混淆協(xié)議的TOR流量的檢出能力。另外構(gòu)造了包含瀏覽網(wǎng)頁、視頻直播、聊天等多業(yè)務(wù)數(shù)據(jù)集進(jìn)行實驗。結(jié)果顯示,該研究方法在基于OBFS4混淆協(xié)議的TOR流量檢測任務(wù)上效果顯著,其中l(wèi)ightGBM模型檢測效果最佳,在融合協(xié)議特征的方法下準(zhǔn)確率達(dá)到9889%。同時該方法面向不同版本的TOR流量開展復(fù)測,在不同版本的TOR流量檢測任務(wù)中準(zhǔn)確率均高于97%。
中圖分類號:TP393.06文獻(xiàn)標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2023.12.007
引用格式:楊剛,姜舟,張嬌婷,等.融合協(xié)議信息的TOR匿名網(wǎng)絡(luò)流量識別方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(12):41-47.
TOR anonymity network traffic recognition method integrating protocol information fusion
Yang Gang1,Jiang Zhou1,Zhang Jiaoting1,Wang Junyong1,Wang Qiang2,3,Zhang Yan1
1 360 Digital Security Technology Group Co., Ltd., Beijing 100020, China;2 Institute of Information Engineering, CAS, Beijing 100093, China;3 School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China
Abstract: Traffic analysis in the TOR(The Onion Router) anonymous network has become a challenging task. With the iterative updates of TOR′s obfuscation techniques, the introduction of the OBFS4 obfuscation protocol has made it increasingly difficult to detect TOR traffic. This paper provided a detailed study of TOR′s behavioral features, incorporating features of the OBFS4(ObjectBased File System4) obfuscation protocol algorithm to enhance the capability of detecting obfuscated traffic. In addition, this paper constructed a dataset covering various tunnel types, including web browsing, video streaming, and chat, to conduct experiments.The results show that the proposed method has significant effect on TOR traffic detection tasks based on the OBFS4 obfuscation protocol. The use of the lightGBM model has achieved the best detection performance, with an accuracy of 9889% when combining protocol features. Our approach was tested on various versions of TOR traffic, and the accuracy in detecting different versions of TOR traffic exceeded 97% in all cases.
Key words : TOR; obfuscation protocol features; behavioral features;lightGBM

引言

隨著信息安全和個人隱私保護(hù)越來越受到人們的關(guān)注,在網(wǎng)絡(luò)服務(wù)中,保護(hù)網(wǎng)絡(luò)用戶的隱私成為研究人員關(guān)注的重點(diǎn)。因此業(yè)界設(shè)計了許多匿名通信技術(shù)。TOR網(wǎng)絡(luò)是目前最廣泛使用的匿名網(wǎng)絡(luò)之一,其主要功能在于保護(hù)用戶的網(wǎng)絡(luò)隱私并增強(qiáng)互聯(lián)網(wǎng)訪問安全性。TOR的電路由三個中繼服務(wù)器組成,分別是入口中繼服務(wù)器用于客戶端通信,轉(zhuǎn)發(fā)中繼服務(wù)器用于加密與轉(zhuǎn)發(fā),出口中繼服務(wù)器用于與目的地通信。同時TOR采用標(biāo)簽交換設(shè)計,允許在同一個TOR路由器上復(fù)用多個電路,以確保每個電路都能獲得合理的帶寬分配。然而,在TOR上應(yīng)用程序流量的分布在所有電路上是不均勻的,為此Tang等人[1]提出了一種電路調(diào)度優(yōu)先級方案,使交互電路在批量傳輸電路之前進(jìn)行優(yōu)化。隨著TOR網(wǎng)絡(luò)的迭代,其產(chǎn)生的流量的隱匿性變得更強(qiáng),TOR流量變化更大,其中2021年發(fā)布的v3版本中,TOR流量變化更加顯著,導(dǎo)致以往TOR的流量識別方法逐漸失效。


作者信息

楊剛1,姜舟1,張嬌婷1,汪俊永1,王強(qiáng)2,3,張研1

(1 三六零數(shù)字安全科技集團(tuán)有限公司,北京100020;2 中國科學(xué)院信息工程研究所, 北京100093;

3 中國科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院, 北京100049)


文章下載地址:http://ihrv.cn/resource/share/2000005875


weidian.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。