Obfs4流量识别方法及相关设备

本技术涉及，尤其涉及一种可覆盖多混淆模式的obfs4流量识别方法及相关设备。

背景技术：

1、tor第二代洋葱路由，是基于reed等人的匿名通讯技术，进行改进并一直沿用至今的一种匿名通讯系统。由于tor本身的匿名性，大量的暗网访问者使用tor作为访问工具，以期防止被追踪。同时，在暗网上一些交易等等，也在大量利用tor作为工具进行。随着人们对匿名网络的关注程度日渐提高，tor受到了来自各个方向的封堵。为了绕过封堵，tor也不断对自己的抗检测能力进行升级。tor使用一种网桥机制来提高抗检测能力，tor的网桥有很多种，包括obfs4、meek、snowflake、screamblesuit、fte等。obfsproxy是一款tor使用时间最长的插件，而obfs4是其第四代也是最新一代版本，根据tor metric官方的统计，截至2023年12月，obfs4是当前最流行的网桥插件。

2、检测obfs4的工作集中在对obfs4流量的识别方面，当前识别obfs4流量的技术中，对于obfs4流量在不同混淆模式下的检测不够全面。

技术实现思路

1、有鉴于此，本技术的目的在于提出一种obfs4流量识别方法及相关设备。

2、基于上述目的，本技术提供了obfs4流量识别方法，包括：

3、获取待检测流量中的tcp流的关键特征序列，得到待检测流量中的多个关键特征序列；其中，所述关键特征序列用于区分obfs4流量与其他流量；每条tcp流包括一个关键特征序列，包括最多一种混淆模式；

4、对每条tcp流的关键特征序列进行统一化处理，得到统一化的关键特征序列，以统一obfs4流量在多种混淆模式下的关键特征序列；其中，所述多种混淆模式包括obfs4客户端的多种iat-mode值与obfs4桥节点的多种iat-mode值的排列组合的混淆模式；

5、通过深度学习模型，确定所述待检测流量中的tcp流是否为obfs4流量。

6、在其中一些实施例中，所述获取待检测流量中的tcp流的关键特征序列，得到待检测流量中的多个关键特征序列包括：

7、获取待检测流量，切分所述待检测流量为多条tcp流；

8、提取每条tcp流的关键特征区间内的多个tcp有效负载包的关键特征值，得到每条tcp流的关键特征序列。

9、在其中一些实施例中，所述方法还包括通过以下方法确定所述关键特征区间：

10、根据obfs4与tor通信原理，划分obfs4通信过程为多个阶段；所述多个阶段包括初始化过程的阶段、加载目录信息的阶段和tor建立多跳链路的阶段；

11、根据流量的稳定性确定所述多个阶段中的目标阶段，得到每条tcp流的关键特征区间；

12、通过日志辅助分析确定所述关键特征区间的开始位置在日志文件中对应的第一字段，和所述关键特征区间的结束位置在日志文件中对应的第二字段；

13、比对日志中关键特征区间对应的起始时间戳和obfs4流量中的起始时间戳，以及比对日志中关键特征区间对应的终止时间戳和obfs4流量中的终止时间戳，得到obfs4流量中每条tcp流的关键特征区间内的tcp有效负载包数量的cdf统计图；

14、根据所述cdf统计图确定obfs4流量中每条tcp流的关键特征区间的起始位置和结束位置。

15、在其中一些实施例中，所述目标阶段为所述初始化过程的阶段，包括tcp三次握手、obfs4两次握手、tls握手和tor协议握手；

16、所述每条tcp流的关键特征区间的起始位置为每条tcp流的开始位置，所述obfs4流量中每条tcp流的关键特征区间的结束位置为自所述开始位置开始的第预设数量个tcp有效负载包处。

17、在其中一些实施例中，所述关键特征序列包括tcp有效负载包时间序列、tcp有效负载包方向序列和tcp有效负载包长度序列；所述关键特征序列包括多个burst，每个burst包括多个连续的tcp有效负载包；所述对每条tcp流的关键特征序列进行统一化处理，得到统一化的关键特征序列包括：

18、将每条tcp流的关键特征序列中的每个burst中的所有tcp有效负载包长度序列进行合并和再切片处理；所述再切片处理按照预设切片大小进行再切片；

19、确定预设时间单位；依次选取每条tcp流的关键特征序列中，每个burst中的所有tcp有效负载包中首次被再切片的目标tcp有效负载包的时间值，得到多个时间值，组成统一化后的时间序列；

20、依次选取合并前的每条tcp流的关键特征序列中，每个burst中的所有tcp有效负载包中首次被再切片的目标tcp有效负载包的方向值，得到多个方向值，组成统一化后的方向序列。

21、在其中一些实施例中，通过深度学习模型，确定所述待检测流量中的tcp流是否为obfs4流量包括：

22、对所述统一化的关键特征序列进行预处理；

23、将预处理后的所述统一化的关键特征序列输入预先训练好的深度学习模型，输出所述待检测流量中的tcp流的流量类型，所述流量类型包括obfs4流量或非obfs4流量。

24、本技术实施例还提供一种obfs4流量识别装置，包括：

25、提取模块，用于获取待检测流量中的tcp流的关键特征序列，得到待检测流量中的多个关键特征序列；其中，所述关键特征序列用于区分obfs4流量与其他流量；每条tcp流包括一个关键特征序列，包括最多一种混淆模式；

26、处理模块，用于对每条tcp流的关键特征序列进行统一化处理，得到统一化的关键特征序列，以统一obfs4流量在多种混淆模式下的关键特征序列；其中，所述多种混淆模式包括obfs4客户端的多种iat-mode值与obfs4桥节点的多种iat-mode值的排列组合的混淆模式；

27、模型预测模块，用于通过深度学习模型，确定所述待检测流量中的tcp流是否为obfs4流量。

28、本技术实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如前任意一项所述的方法。

29、本技术实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如前任一所述方法。

30、本技术实施例还提供一种计算机程序产品，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行如前任一项所述的方法。

31、从上面所述可以看出，本技术提供的obfs4流量识别方法，通过获取待检测流量中的tcp流的关键特征序列，得到待检测流量中的多个关键特征序列；所述关键特征序列用于区分obfs4流量与其他流量；所述每条tcp流的多个关键特征序列包括多种混淆模式；对所述每条tcp流的多个关键特征序列进行统一化处理，得到统一化的关键特征序列，以统一obfs4在多种iat-mode下的关键特征序列；所述多种混淆模式包括obfs4客户端的多种iat-mode值与obfs4桥节点的多种iat-mode值的排列组合的混淆模式；通过深度学习模型，确定所述待检测流量是否为obfs4流量，能够识别obfs4客户端的多种iat-mode值与obfs4桥节点的多种iat-mode值的排列组合的混淆模式下的obfs4流量。