融合协议信息的TOR匿名网络流量识别方法
网络安全与数据治理
杨刚1,姜舟1,张娇婷1,汪俊永1,王强2,3,张研1
1 三六零数字安全科技集团有限公司,北京100020;2 中国科学院信息工程研究所, 北京100093; 3 中国科学院大学 网络空间安全学院, 北京100049
摘要: TOR(The Onion Router)匿名网络流量识别是一项重要的加密流量检测任务,随着TOR混淆模式的迭代更新,引入OBFS4(ObjectBased File System4)混淆协议后对TOR的检测较为困难。详细研究了TOR行为和混淆协议特性,将关键行为特征与OBFS4混淆协议特征进行融合,增强了面向混淆协议的TOR流量的检出能力。另外构造了包含浏览网页、视频直播、聊天等多业务数据集进行实验。结果显示,该研究方法在基于OBFS4混淆协议的TOR流量检测任务上效果显著,其中lightGBM模型检测效果最佳,在融合协议特征的方法下准确率达到9889%。同时该方法面向不同版本的TOR流量开展复测,在不同版本的TOR流量检测任务中准确率均高于97%。
中图分类号:TP393.06文献标识码:ADOI:10.19358/j.issn.2097-1788.2023.12.007
引用格式:杨刚,姜舟,张娇婷,等.融合协议信息的TOR匿名网络流量识别方法[J].网络安全与数据治理,2023,42(12):41-47.
引用格式:杨刚,姜舟,张娇婷,等.融合协议信息的TOR匿名网络流量识别方法[J].网络安全与数据治理,2023,42(12):41-47.
TOR anonymity network traffic recognition method integrating protocol information fusion
Yang Gang1,Jiang Zhou1,Zhang Jiaoting1,Wang Junyong1,Wang Qiang2,3,Zhang Yan1
1 360 Digital Security Technology Group Co., Ltd., Beijing 100020, China;2 Institute of Information Engineering, CAS, Beijing 100093, China;3 School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China
Abstract: Traffic analysis in the TOR(The Onion Router) anonymous network has become a challenging task. With the iterative updates of TOR′s obfuscation techniques, the introduction of the OBFS4 obfuscation protocol has made it increasingly difficult to detect TOR traffic. This paper provided a detailed study of TOR′s behavioral features, incorporating features of the OBFS4(ObjectBased File System4) obfuscation protocol algorithm to enhance the capability of detecting obfuscated traffic. In addition, this paper constructed a dataset covering various tunnel types, including web browsing, video streaming, and chat, to conduct experiments.The results show that the proposed method has significant effect on TOR traffic detection tasks based on the OBFS4 obfuscation protocol. The use of the lightGBM model has achieved the best detection performance, with an accuracy of 9889% when combining protocol features. Our approach was tested on various versions of TOR traffic, and the accuracy in detecting different versions of TOR traffic exceeded 97% in all cases.
Key words : TOR; obfuscation protocol features; behavioral features;lightGBM
引言
随着信息安全和个人隐私保护越来越受到人们的关注,在网络服务中,保护网络用户的隐私成为研究人员关注的重点。因此业界设计了许多匿名通信技术。TOR网络是目前最广泛使用的匿名网络之一,其主要功能在于保护用户的网络隐私并增强互联网访问安全性。TOR的电路由三个中继服务器组成,分别是入口中继服务器用于客户端通信,转发中继服务器用于加密与转发,出口中继服务器用于与目的地通信。同时TOR采用标签交换设计,允许在同一个TOR路由器上复用多个电路,以确保每个电路都能获得合理的带宽分配。然而,在TOR上应用程序流量的分布在所有电路上是不均匀的,为此Tang等人[1]提出了一种电路调度优先级方案,使交互电路在批量传输电路之前进行优化。随着TOR网络的迭代,其产生的流量的隐匿性变得更强,TOR流量变化更大,其中2021年发布的v3版本中,TOR流量变化更加显著,导致以往TOR的流量识别方法逐渐失效。
作者信息
杨刚1,姜舟1,张娇婷1,汪俊永1,王强2,3,张研1
(1 三六零数字安全科技集团有限公司,北京100020;2 中国科学院信息工程研究所, 北京100093;
3 中国科学院大学 网络空间安全学院, 北京100049)
文章下载地址:https://www.chinaaet.com/resource/share/2000005875
此内容为AET网站原创,未经授权禁止转载。