一种基于部分数据的多级剪枝Obfs4混淆流量识别方法

• Published in: 计算机科学 Vol. 51; no. 4; pp. 39 - 47
• Main Authors: 徐宸涵, 黄河, 孙玉娥, 杜扬
• Format: Journal Article
• Language: Chinese
• Published: 苏州大学计算机科学与技术学院 江苏苏州 215006%苏州大学轨道交通学院 江苏苏州 215131 2024
• Subjects: Obfuscated traffic recognition; Multi-level pruning; Obfs4; 间隔到达时间反检测; 极致梯度提升; 多级剪枝; XGBoost; Inter-arrival time reverse detection; 混淆流量识别
• ISSN: 1002-137X
• DOI: 10.11896/jsjkx.231000118

TP391; Obfs4混淆流量是匿名通信网络Tor的一种承载流量,因其强匿名的特性而被滥用于非法网络活动,因此识别Obfs4混淆流量对预防利用Tor网络进行的网络犯罪具有重要作用.现有识别策略往往侧重于分析Obfs4流量特征,将完整流样本利用机器学习或深度学习技术进行精细化识别,但处于在线流识别的应用场景下时间开销偏高,且识别准确度在O b fs 4应用间隔到达时间反检测技术(Inter-arrival Timing,I AT)后有所下降.为此,提出了一种基于部分数据的多级剪枝Obfs4混淆流量识别方法,仅收集每个流最先到达的少量数据包进行多轮快速过滤,并重点针对IAT模式特性设计识别方法,提升了 Obfs4流量识别的效率和鲁棒性.该方法将识别过程分为握手阶段和加密通信阶段.在握手阶段,充分挖掘Obfs4握手数据包的隐含语义,进行随机性、时序和长度分布特征的粗粒度快速剪枝;在加密通信阶段,先对每个流的前若干数据包进行特征提取,并提高IAT相关特征的权重,最后利用XGBoost分类方法进行细粒度识别.实验结果表明,在包括了应用IAT技术的混淆流量的数据集上,使用流的前30～50个数据包能达到99％的正确率和精确度,平均每条流的处理时间在毫秒级.