融合協議信息的TOR匿名網絡流量識別方法
網絡安全與數據治理
楊剛1,姜舟1,張嬌婷1,汪俊永1,王強2,3,張研1
1 三六零數字安全科技集團有限公司,北京100020;2 中國科學院信息工程研究所, 北京100093; 3 中國科學院大學 網絡空間安全學院, 北京100049
摘要: TOR(The Onion Router)匿名網絡流量識別是一項重要的加密流量檢測任務,隨著TOR混淆模式的迭代更新,引入OBFS4(ObjectBased File System4)混淆協議后對TOR的檢測較為困難。詳細研究了TOR行為和混淆協議特性,將關鍵行為特征與OBFS4混淆協議特征進行融合,增強了面向混淆協議的TOR流量的檢出能力。另外構造了包含瀏覽網頁、視頻直播、聊天等多業務數據集進行實驗。結果顯示,該研究方法在基于OBFS4混淆協議的TOR流量檢測任務上效果顯著,其中lightGBM模型檢測效果最佳,在融合協議特征的方法下準確率達到9889%。同時該方法面向不同版本的TOR流量開展復測,在不同版本的TOR流量檢測任務中準確率均高于97%。
中圖分類號:TP393.06文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2023.12.007
引用格式:楊剛,姜舟,張嬌婷,等.融合協議信息的TOR匿名網絡流量識別方法[J].網絡安全與數據治理,2023,42(12):41-47.
引用格式:楊剛,姜舟,張嬌婷,等.融合協議信息的TOR匿名網絡流量識別方法[J].網絡安全與數據治理,2023,42(12):41-47.
TOR anonymity network traffic recognition method integrating protocol information fusion
Yang Gang1,Jiang Zhou1,Zhang Jiaoting1,Wang Junyong1,Wang Qiang2,3,Zhang Yan1
1 360 Digital Security Technology Group Co., Ltd., Beijing 100020, China;2 Institute of Information Engineering, CAS, Beijing 100093, China;3 School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China
Abstract: Traffic analysis in the TOR(The Onion Router) anonymous network has become a challenging task. With the iterative updates of TOR′s obfuscation techniques, the introduction of the OBFS4 obfuscation protocol has made it increasingly difficult to detect TOR traffic. This paper provided a detailed study of TOR′s behavioral features, incorporating features of the OBFS4(ObjectBased File System4) obfuscation protocol algorithm to enhance the capability of detecting obfuscated traffic. In addition, this paper constructed a dataset covering various tunnel types, including web browsing, video streaming, and chat, to conduct experiments.The results show that the proposed method has significant effect on TOR traffic detection tasks based on the OBFS4 obfuscation protocol. The use of the lightGBM model has achieved the best detection performance, with an accuracy of 9889% when combining protocol features. Our approach was tested on various versions of TOR traffic, and the accuracy in detecting different versions of TOR traffic exceeded 97% in all cases.
Key words : TOR; obfuscation protocol features; behavioral features;lightGBM
引言
隨著信息安全和個人隱私保護越來越受到人們的關注,在網絡服務中,保護網絡用戶的隱私成為研究人員關注的重點。因此業界設計了許多匿名通信技術。TOR網絡是目前最廣泛使用的匿名網絡之一,其主要功能在于保護用戶的網絡隱私并增強互聯網訪問安全性。TOR的電路由三個中繼服務器組成,分別是入口中繼服務器用于客戶端通信,轉發中繼服務器用于加密與轉發,出口中繼服務器用于與目的地通信。同時TOR采用標簽交換設計,允許在同一個TOR路由器上復用多個電路,以確保每個電路都能獲得合理的帶寬分配。然而,在TOR上應用程序流量的分布在所有電路上是不均勻的,為此Tang等人[1]提出了一種電路調度優先級方案,使交互電路在批量傳輸電路之前進行優化。隨著TOR網絡的迭代,其產生的流量的隱匿性變得更強,TOR流量變化更大,其中2021年發布的v3版本中,TOR流量變化更加顯著,導致以往TOR的流量識別方法逐漸失效。
作者信息
楊剛1,姜舟1,張嬌婷1,汪俊永1,王強2,3,張研1
(1 三六零數字安全科技集團有限公司,北京100020;2 中國科學院信息工程研究所, 北京100093;
3 中國科學院大學 網絡空間安全學院, 北京100049)
文章下載地址:http://m.xxav2194.com/resource/share/2000005875
此內容為AET網站原創,未經授權禁止轉載。