Tor网络通信流量识别分析方法

Tor网络通信流量识别分析方法

　　技术领域

　　本发明涉及信息安全技术领域，具体涉及一种Tor网络通信流量识别分析方法。

　　背景技术

　　匿名网络的出现可有效保护互联网使用者的个人隐私，但同样为犯罪分子隐藏真实网络地址实施网络犯罪提供了便利。另一方面，暗网等匿名网络中包含大量价值价较高的信息，对个人学习、企业发展、案件侦破等有着重要的推动作用。

　　TOR作为一款主流的匿名网络，用户量超过1000万，在暗网中超过百分之七十的服务采用TOR网络。与表层网络中可以通过URL和域名解析服务器获得目标网站的IP地址不同，暗网中的服务器IP地址是不能够暴露的。由于Tor网络的匿名性，监管者无法确定监管对象通过Tor网络中哪些网站，但可以通过技术手段快速检测并阻断Tor流量，及时切断通信链路，发现受控环境中的潜在犯罪分子，因此急需研究一种高效准确的检测方法，发现潜在的可疑人员。

　　发明内容

　　(一)要解决的技术问题

　　本发明要解决的技术问题是：如何提供一种高效的Tor网络通信流量识别分析方法。

　　(二)技术方案

　　为了解决上述技术问题，本发明提供了一种Tor网络通信流量识别分析方法，该方法基于对TOR网络通信协议的分析，确定通信协议的数据包特征，通过特征提取及比对确定协议类型。

　　优选地，该方法采用基于SSL/TLS握手特征识别Tor流量的方式实现Tor网络通信流量识别分析。

　　优选地，该方法采用基于报文长度特征识别Tor流量的方式实现Tor网络通信流量识别分析。

　　优选地，所述基于SSL/TLS握手特征识别Tor流量具体为：

　　1)输入采集的pcap流量包；

　　2)判断是否为SSL数据包或TLS数据包；若是，则执行下一步，否则输出非Tor流量的结果；

　　3)判断Server Hello报文中密码套件类型；若符合对应的特征类型，则执行下一步；否则输出非Tor流量的结果；

　　4)提取Certificate报文中的信息，然后判断证书颁发机构和拥有者是否符合对应的特征类型；若是，则执行下一步，否则输出非Tor流量的结果；

　　5)判断目的地址是否在在线列表中，若是，则输出是Tor流量的结果，否则输出非Tor流量的结果。

　　优选地，步骤3中，判断密码套件类型是否为

　　DHE_RSA_WITH_AES_256_SHA、

　　DHE_RSA_WITH_AES_128_SHA、

　　EDH_RSA_DES_192_CBC3_SHA，

　　以及TLS1_TXT_ECDHE_RSA_WITH_AES_256_CBC_SHA中的一种。

　　优选地，步骤4中，判断证书颁发机构和拥有者名称是否满足www.xyz.net结构，且xyz的长度在8～20该范围内。

　　优选地，所述基于报文长度特征识别Tor流量的流程如下：

　　1)输入采集的pcap流量包；

　　2)判断是否为SSL数据包或TLS数据包；若是，则执行下一步，否则输出非Tor流量的结果；

　　3)过滤出TLS数据包；

　　4)判断TLS数据包是否处于握手阶段，若是，则执行下一步，否则判断通信报文长度是否符合Tor通信下行长度特征；若判断为符合，则输出是Tor流量的结果；否则输出非Tor流量的结果；

　　5)根据TLS报文头部特征确定TLS版本；

　　6)确定TLS握手报文长度；

　　7)判断报文长度是否符合Tor握手阶段的长度特征；若是，则输出是Tor流量的结果；否则输出非Tor流量的结果。

　　根据TLS版本对应不同的Tor流量特征判断是否为Tor流量；

　　优选地，步骤4中，若判断TLS数据包不处于握手阶段，则确定TLS数据包处于数据传输阶段。

　　优选地，步骤4中，根据Tor流量统计分析特征判断通信报文长度是否符合Tor通信下行长度特征。

　　本发明还提供了一种所述的方法在信息安全技术领域中的应用。

　　(三)有益效果

　　本发明基于利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别的原理，基于对TOR网络通信协议的分析，确定通信协议的数据包特征，通过特征提取及比对确定协议类型，实现了一种高效的Tor网络通信流量识别分析方法。

　　附图说明

　　图1是本发明的基于SSL/TLS握手特征识别Tor流量流程图；

　　图2为本发明对通信场景进行统计分析得到的统计结果；

　　图3为本发明的基于报文长度特征识别Tor流量流程图。

　　具体实施方式

　　为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

　　Tor采用TLS安全协议对转发链路进行加密，首先，客户端发送Client Hello报文，此报文包括有客户端支持的密码套件和用于产生会话密钥的随机数。服务器端接收到Client Hello报文后，发送Server Hello、Certificate、Server Key Change和ServerHello Done这4个报文。其中，Server Hello报文包含有服务器端产生的随机数和选择的密码套件，协商使用DH对称密钥交换协议生成预主密钥，签名算法选用RSA，会话阶段的对称加密算法为AES；Certificate报文为服务器的证书信息，该证书由Tor程序每隔2小时更新1次；Server Key Change报文包含DH密钥交互协议中服务器端的公开参数部分和对应的签名；Server Hello Done表示服务器端发送结束.客户端在接收到Server Hello Done报文后，生成预主密钥和会话密钥，DH密钥交互协议中客户端的公开参数由Client Key Change报文发送，同时发送Change Cipher Spec报文,表明后续报文均将用刚刚协商的会话密码进行加密.Finished报文则包含了客户端整个连接过程的校验，用于握手过程验证。服务器端根据预主密钥、Client Hello和Server Hello报文中的随机数生成相同的会话密钥，发送Change Cipher Spec和Finished报文，至此，TLS连接建立结束。

　　通过以上分析，利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别。本发明基于利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别的原理，基于对TOR网络通信协议的分析，确定通信协议的数据包特征，通过特征提取及比对确定协议类型。

　　本发明具体采用以下两种方式之一实现Tor网络通信流量识别分析：

　　1)基于SSL/TLS握手特征识别Tor流量

　　Tor协议的开始阶段存在一定数量的SSL/TLS(握手过程)，且在之后的通信过程中存在大量的SSL/TLS(通信数据包)。基于此可通过识别分析握手过程确定Tor协议。通过对Tor发起连接过程的逆向分析，确定Tor协议具有以下特征：

　　·首先Tor采用的SSL协议一般为TLS或SSLV3流量(为支持低版本的OpenSSL，Tor也会采用SSL V3协议进行链路层加密)；

　　·其次，Tor Server Hello报文中密码套件为DHE_RSA_WITH_AES_256_SHA，DHE_RSA_WITH_AES_128_SHA，EDH_RSA_DES_192_CBC3_SHA，最新版本还增加了一些其他的密码套件，例如TLS1_TXT_ECDHE_RSA_WITH_AES_256_CBC_SHA；

　　·证书颁发机构和拥有者名称满足www.xyz.net结构，且xyz的长度在8～20该范围内；

　　·SSL连接目的地址始终属于在线列表集合中的某一个路由。

　　通过以上特征，基于SSL/TLS握手特征的Tor协议的识别流程如图1所示，包括以下步骤：

　　1)输入采集的pcap流量包；

　　2)判断是否为SSL数据包或TLS数据包；若是，则执行下一步，否则输出非Tor流量的结果；

　　3)判断Server Hello报文中密码套件类型；若符合特征类型，则执行下一步；否则输出非Tor流量的结果；

　　4)提取Certificate报文中的信息，然后判断证书颁发机构和拥有者是否满足符合特征类型；若是，则执行下一步，否则输出非Tor流量的结果；

　　5)判断目的地址是否在在线列表中，若是，则输出是Tor流量的结果，否则输出非Tor流量的结果。

　　2)基于报文长度特征识别Tor流量

　　Tor流量的TLS1.0报文结构如下图所示：

　　

　　TCP发送缓冲区中包含一个或多个TLS报文，每个TLS报文中有一个或多个Tor信元报文。这些TLS报文经一个或多个TCP报文发送。设TCP发送缓冲区中共有k个TLS报文，而k个TLS报文中共有m个Tor信元报文，则TCP发送缓冲区中数据总长度为：

　　512×m+(5+20+12)×2×k＝512m+74k (1)

　　记网络最大报文段长度为M，则网络层观察到的典型报文长度为：

　　(512m+74k)mod M (2)

　　由公式(1)、(2)及相关分析得出Tor典型报文长度如下：

　　1)m＝1，k＝1：报文长度为586字节；

　　2)m＝2，k＝1：报文长度为1098字节；

　　3)m＝2，k＝2：报文长度为1172字节；

　　4)m＝3，k＝3：报文长度为410字节；

　　针对TLS1.1，TLS1.2做同样分析，则网络层观察到的典型报文长度分别为：

　　1)版本为TLS1.1，报文长度为565字节；

　　2)版本为TLS1.1，报文长度为1130字节；

　　3)版本为TLS1.2，报文长度为543字节；

　　4)版本为TLS1.2，报文长度为565字节；

　　5)版本为TLS1.2，报文长度为1086字节。

　　将以上报文长度作为Tor报文的基础特征，出现在TLS握手阶段可用于检测Tor流量。

　　另外，在Tor连接建立成功后，会产生大量报文，报文长度由于上层应用不同、读写事件调度的不确定性以及网络环境的不同而产生差异，但可通过对大量Tor报文进行统计分析，从数据包长度分布角度识别Tor流量，经过大量数据包的试验分析，这里定义由客户端发出的流量为上行流量，接收到的流量为下行流量。在统计分析阶段，针对数据集中所有Tor下行流量，将典型长度报文按出现的频率由高到低排序，并选取频率和值大于设定的门限值(自定义)前X位(取决于和值)频率组成Tor流量的报文长度分布。为了发现Tor流量在通信过程中报文长度得分布，设计web访问、p2p下载、ftp下载、即时通信等通信场景，统计分析，得出图3的统计结果。

　　通过以上统计分析，可通过识别特定长度的TLS报文(1460)来识别Tor通信。

　　综上，参考图3，基于报文长度特征识别Tor的流程如下：

　　1)输入采集的pcap流量包；

　　2)判断是否为SSL数据包或TLS数据包；若是，则执行下一步，否则输出非Tor流量的结果；

　　3)过滤出TLS数据包；

　　4)判断TLS数据包是否处于握手阶段，若是，则执行下一步，否则判断通信报文长度是否符合Tor通信下行长度特征；若判断为符合，则输出是Tor流量的结果；否则输出非Tor流量的结果；

　　5)根据TLS报文头部特征确定TLS版本；

　　6)确定TLS握手报文长度；

　　7)判断报文长度是否符合Tor握手阶段的长度特征；若是，则输出是Tor流量的结果；否则输出非Tor流量的结果。

　　根据TLS版本对应不同的Tor流量特征判断是否为Tor流量；

　　步骤4中，若判断TLS数据包不处于握手阶段，则确定TLS数据包处于数据传输阶段。进一步，根据Tor流量统计分析特征判断通信报文长度是否符合Tor通信下行长度特征。

　　以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。