欢迎光临小豌豆知识网!
当前位置:首页 > 电学技术 > 电通讯技术> Tor网络通信流量识别分析方法独创技术12038字

Tor网络通信流量识别分析方法

2021-02-04 01:19:19

Tor网络通信流量识别分析方法

  技术领域

  本发明涉及信息安全技术领域,具体涉及一种Tor网络通信流量识别分析方法。

  背景技术

  匿名网络的出现可有效保护互联网使用者的个人隐私,但同样为犯罪分子隐藏真实网络地址实施网络犯罪提供了便利。另一方面,暗网等匿名网络中包含大量价值价较高的信息,对个人学习、企业发展、案件侦破等有着重要的推动作用。

  TOR作为一款主流的匿名网络,用户量超过1000万,在暗网中超过百分之七十的服务采用TOR网络。与表层网络中可以通过URL和域名解析服务器获得目标网站的IP地址不同,暗网中的服务器IP地址是不能够暴露的。由于Tor网络的匿名性,监管者无法确定监管对象通过Tor网络中哪些网站,但可以通过技术手段快速检测并阻断Tor流量,及时切断通信链路,发现受控环境中的潜在犯罪分子,因此急需研究一种高效准确的检测方法,发现潜在的可疑人员。

  发明内容

  (一)要解决的技术问题

  本发明要解决的技术问题是:如何提供一种高效的Tor网络通信流量识别分析方法。

  (二)技术方案

  为了解决上述技术问题,本发明提供了一种Tor网络通信流量识别分析方法,该方法基于对TOR网络通信协议的分析,确定通信协议的数据包特征,通过特征提取及比对确定协议类型。

  优选地,该方法采用基于SSL/TLS握手特征识别Tor流量的方式实现Tor网络通信流量识别分析。

  优选地,该方法采用基于报文长度特征识别Tor流量的方式实现Tor网络通信流量识别分析。

  优选地,所述基于SSL/TLS握手特征识别Tor流量具体为:

  1)输入采集的pcap流量包;

  2)判断是否为SSL数据包或TLS数据包;若是,则执行下一步,否则输出非Tor流量的结果;

  3)判断Server Hello报文中密码套件类型;若符合对应的特征类型,则执行下一步;否则输出非Tor流量的结果;

  4)提取Certificate报文中的信息,然后判断证书颁发机构和拥有者是否符合对应的特征类型;若是,则执行下一步,否则输出非Tor流量的结果;

  5)判断目的地址是否在在线列表中,若是,则输出是Tor流量的结果,否则输出非Tor流量的结果。

  优选地,步骤3中,判断密码套件类型是否为

  DHE_RSA_WITH_AES_256_SHA、

  DHE_RSA_WITH_AES_128_SHA、

  EDH_RSA_DES_192_CBC3_SHA,

  以及TLS1_TXT_ECDHE_RSA_WITH_AES_256_CBC_SHA中的一种。

  优选地,步骤4中,判断证书颁发机构和拥有者名称是否满足www.xyz.net结构,且xyz的长度在8~20该范围内。

  优选地,所述基于报文长度特征识别Tor流量的流程如下:

  1)输入采集的pcap流量包;

  2)判断是否为SSL数据包或TLS数据包;若是,则执行下一步,否则输出非Tor流量的结果;

  3)过滤出TLS数据包;

  4)判断TLS数据包是否处于握手阶段,若是,则执行下一步,否则判断通信报文长度是否符合Tor通信下行长度特征;若判断为符合,则输出是Tor流量的结果;否则输出非Tor流量的结果;

  5)根据TLS报文头部特征确定TLS版本;

  6)确定TLS握手报文长度;

  7)判断报文长度是否符合Tor握手阶段的长度特征;若是,则输出是Tor流量的结果;否则输出非Tor流量的结果。

  根据TLS版本对应不同的Tor流量特征判断是否为Tor流量;

  优选地,步骤4中,若判断TLS数据包不处于握手阶段,则确定TLS数据包处于数据传输阶段。

  优选地,步骤4中,根据Tor流量统计分析特征判断通信报文长度是否符合Tor通信下行长度特征。

  本发明还提供了一种所述的方法在信息安全技术领域中的应用。

  (三)有益效果

  本发明基于利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别的原理,基于对TOR网络通信协议的分析,确定通信协议的数据包特征,通过特征提取及比对确定协议类型,实现了一种高效的Tor网络通信流量识别分析方法。

  附图说明

  图1是本发明的基于SSL/TLS握手特征识别Tor流量流程图;

  图2为本发明对通信场景进行统计分析得到的统计结果;

  图3为本发明的基于报文长度特征识别Tor流量流程图。

  具体实施方式

  为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。

  Tor采用TLS安全协议对转发链路进行加密,首先,客户端发送Client Hello报文,此报文包括有客户端支持的密码套件和用于产生会话密钥的随机数。服务器端接收到Client Hello报文后,发送Server Hello、Certificate、Server Key Change和ServerHello Done这4个报文。其中,Server Hello报文包含有服务器端产生的随机数和选择的密码套件,协商使用DH对称密钥交换协议生成预主密钥,签名算法选用RSA,会话阶段的对称加密算法为AES;Certificate报文为服务器的证书信息,该证书由Tor程序每隔2小时更新1次;Server Key Change报文包含DH密钥交互协议中服务器端的公开参数部分和对应的签名;Server Hello Done表示服务器端发送结束.客户端在接收到Server Hello Done报文后,生成预主密钥和会话密钥,DH密钥交互协议中客户端的公开参数由Client Key Change报文发送,同时发送Change Cipher Spec报文,表明后续报文均将用刚刚协商的会话密码进行加密.Finished报文则包含了客户端整个连接过程的校验,用于握手过程验证。服务器端根据预主密钥、Client Hello和Server Hello报文中的随机数生成相同的会话密钥,发送Change Cipher Spec和Finished报文,至此,TLS连接建立结束。

  通过以上分析,利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别。本发明基于利用Tor通信协议中TLS建立于传输过程的特征可实现对Tor通信协议的识别的原理,基于对TOR网络通信协议的分析,确定通信协议的数据包特征,通过特征提取及比对确定协议类型。

  本发明具体采用以下两种方式之一实现Tor网络通信流量识别分析:

  1)基于SSL/TLS握手特征识别Tor流量

  Tor协议的开始阶段存在一定数量的SSL/TLS(握手过程),且在之后的通信过程中存在大量的SSL/TLS(通信数据包)。基于此可通过识别分析握手过程确定Tor协议。通过对Tor发起连接过程的逆向分析,确定Tor协议具有以下特征:

  ·首先Tor采用的SSL协议一般为TLS或SSLV3流量(为支持低版本的OpenSSL,Tor也会采用SSL V3协议进行链路层加密);

  ·其次,Tor Server Hello报文中密码套件为DHE_RSA_WITH_AES_256_SHA,DHE_RSA_WITH_AES_128_SHA,EDH_RSA_DES_192_CBC3_SHA,最新版本还增加了一些其他的密码套件,例如TLS1_TXT_ECDHE_RSA_WITH_AES_256_CBC_SHA;

  ·证书颁发机构和拥有者名称满足www.xyz.net结构,且xyz的长度在8~20该范围内;

  ·SSL连接目的地址始终属于在线列表集合中的某一个路由。

  通过以上特征,基于SSL/TLS握手特征的Tor协议的识别流程如图1所示,包括以下步骤:

  1)输入采集的pcap流量包;

  2)判断是否为SSL数据包或TLS数据包;若是,则执行下一步,否则输出非Tor流量的结果;

  3)判断Server Hello报文中密码套件类型;若符合特征类型,则执行下一步;否则输出非Tor流量的结果;

  4)提取Certificate报文中的信息,然后判断证书颁发机构和拥有者是否满足符合特征类型;若是,则执行下一步,否则输出非Tor流量的结果;

  5)判断目的地址是否在在线列表中,若是,则输出是Tor流量的结果,否则输出非Tor流量的结果。

  2)基于报文长度特征识别Tor流量

  Tor流量的TLS1.0报文结构如下图所示:

  

  TCP发送缓冲区中包含一个或多个TLS报文,每个TLS报文中有一个或多个Tor信元报文。这些TLS报文经一个或多个TCP报文发送。设TCP发送缓冲区中共有k个TLS报文,而k个TLS报文中共有m个Tor信元报文,则TCP发送缓冲区中数据总长度为:

  512×m+(5+20+12)×2×k=512m+74k (1)

  记网络最大报文段长度为M,则网络层观察到的典型报文长度为:

  (512m+74k)mod M (2)

  由公式(1)、(2)及相关分析得出Tor典型报文长度如下:

  1)m=1,k=1:报文长度为586字节;

  2)m=2,k=1:报文长度为1098字节;

  3)m=2,k=2:报文长度为1172字节;

  4)m=3,k=3:报文长度为410字节;

  针对TLS1.1,TLS1.2做同样分析,则网络层观察到的典型报文长度分别为:

  1)版本为TLS1.1,报文长度为565字节;

  2)版本为TLS1.1,报文长度为1130字节;

  3)版本为TLS1.2,报文长度为543字节;

  4)版本为TLS1.2,报文长度为565字节;

  5)版本为TLS1.2,报文长度为1086字节。

  将以上报文长度作为Tor报文的基础特征,出现在TLS握手阶段可用于检测Tor流量。

  另外,在Tor连接建立成功后,会产生大量报文,报文长度由于上层应用不同、读写事件调度的不确定性以及网络环境的不同而产生差异,但可通过对大量Tor报文进行统计分析,从数据包长度分布角度识别Tor流量,经过大量数据包的试验分析,这里定义由客户端发出的流量为上行流量,接收到的流量为下行流量。在统计分析阶段,针对数据集中所有Tor下行流量,将典型长度报文按出现的频率由高到低排序,并选取频率和值大于设定的门限值(自定义)前X位(取决于和值)频率组成Tor流量的报文长度分布。为了发现Tor流量在通信过程中报文长度得分布,设计web访问、p2p下载、ftp下载、即时通信等通信场景,统计分析,得出图3的统计结果。

  通过以上统计分析,可通过识别特定长度的TLS报文(1460)来识别Tor通信。

  综上,参考图3,基于报文长度特征识别Tor的流程如下:

  1)输入采集的pcap流量包;

  2)判断是否为SSL数据包或TLS数据包;若是,则执行下一步,否则输出非Tor流量的结果;

  3)过滤出TLS数据包;

  4)判断TLS数据包是否处于握手阶段,若是,则执行下一步,否则判断通信报文长度是否符合Tor通信下行长度特征;若判断为符合,则输出是Tor流量的结果;否则输出非Tor流量的结果;

  5)根据TLS报文头部特征确定TLS版本;

  6)确定TLS握手报文长度;

  7)判断报文长度是否符合Tor握手阶段的长度特征;若是,则输出是Tor流量的结果;否则输出非Tor流量的结果。

  根据TLS版本对应不同的Tor流量特征判断是否为Tor流量;

  步骤4中,若判断TLS数据包不处于握手阶段,则确定TLS数据包处于数据传输阶段。进一步,根据Tor流量统计分析特征判断通信报文长度是否符合Tor通信下行长度特征。

  以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

【Tor网络通信流量识别分析方法】相关文章:

1.治疗CASTOR相关疾病的方法

2.采出流量调节方法、存储介质及电子设备

3.基于深度强化学习中Actor-Critic框架的策略选择方法

4.修正视讯串流流量的方法、机顶盒及计算机可读存储介质

5.一种跨网络通信方法、装置、系统和代理服务器

6.一种基于线性拟合的负压波拐点识别方法

7.基于高速工况识别的混合动力汽车发动机启停控制方法

8.一种基于三维地震资料表征的地下火山通道识别方法

9.一种基于流量补偿法的微型风扇气动性能测试方法及装置

10.基于一维自步卷积神经网络的复杂雷达辐射源识别方法

《Tor网络通信流量识别分析方法.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式(或pdf格式)