CN113949576B - 一种基于混合泄露信息的零网通信流量的检测方法及装置 - Google Patents

一种基于混合泄露信息的零网通信流量的检测方法及装置 Download PDF

Info

Publication number
CN113949576B
CN113949576B CN202111216822.XA CN202111216822A CN113949576B CN 113949576 B CN113949576 B CN 113949576B CN 202111216822 A CN202111216822 A CN 202111216822A CN 113949576 B CN113949576 B CN 113949576B
Authority
CN
China
Prior art keywords
session
zeronet
data
flow
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111216822.XA
Other languages
English (en)
Other versions
CN113949576A (zh
Inventor
丁建伟
李航
谢相菊
李欣泽
陈周国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202111216822.XA priority Critical patent/CN113949576B/zh
Publication of CN113949576A publication Critical patent/CN113949576A/zh
Application granted granted Critical
Publication of CN113949576B publication Critical patent/CN113949576B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于混合泄露信息的零网通信流量的检测方法及装置,其中检测方法包括:数据采集:使用网络抓包工具采集流量数据,获取并存储待识别的流量文件;数据预处理:过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据以及传输层协议解析后的字段,存为会话数据;明文泄露特征提取:基于会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本并判断其中是否存在零网相关文本;隐式泄露特征提取:基于会话数据中的传输层协议解析字段,根据特征生成流量指纹并依据流量指纹来提取隐式泄露特征;零网流量检测:基于明文和隐式泄露特征,筛选出可能的零网流量并输出其五元组信息。本发明可提升网络空间治理能力。

Description

一种基于混合泄露信息的零网通信流量的检测方法及装置
技术领域
本发明涉及匿名通信技术领域,尤其涉及一种基于混合泄露信息的零网通信流量的检测方法及装置。
背景技术
随着网络信息数据的深化暗化,不法分子利用匿名通信技术,如暗网网络,隐藏个人身份,匿名发布及传播非法信息,给网络安全带来了巨大威胁。
ZeroNet(即零网)作为主流的暗网匿名通信系统,采用完全分布式的网络架构,利用区块链技术对站点内容和用户信进行签名验证。网络中任何用户节点既可以作为客户端,也为其他节点提供网络服务。用户构建的服务站点一旦被其他在线节点访问或者分享,即使创建者下线,也依然可被其他用户访问。同时,ZeroNet网络提供Tor网络的支持,使得其用户更加隐蔽,所以亟需提供一种识别ZeroNet流量的方法与装置,为网络空间安全治理提供辅助。
目前针对暗网的检测主要集中在Tor与I2P匿名通信系统流量,对ZeroNet相关的检测技术也大多集中在对ZeroNet节点进行测绘,鲜少有对ZeroNet流量进行检测的系统或装置。
发明内容
由于ZeroNet是主流暗网匿名通信网络之一,而现在很少有方法或装置直接对ZeroNet流量进行检测,本发明提出一种基于混合泄露信息的零网通信流量的检测方法及装置,利用网络传输协议中泄露的明文信息与隐藏信息,提出明文规则匹配方法与隐式指纹构建方法,基于规则匹配与指纹匹配,实现对ZeroNet流量的快速检测,从而实现对匿名通信系统的管控。
本发明采用的技术方案如下:
一种基于混合泄露信息的零网通信流量的检测方法,包括:
数据采集:使用网络抓包工具采集流量数据,获取并存储待识别的流量文件;
数据预处理:过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据;
明文泄露特征提取:基于所述会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本;
隐式泄露特征提取:基于所述会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征;
ZeroNet流量检测:基于所述明文泄露特征和所述隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息。
进一步地,所述数据采集中,所述网络抓包工具包括TCPDump,获取的待识别的流量文件存为pcap格式的流量文件。
进一步地,所述数据预处理中,一条会话数据即为一个完整会话,包括源IP地址、目的IP地址、源端口、目的端口、传输层协议、数据包载荷、数据包载荷长度、会话开始时间、会话结束时间和各传输协议解析后的字段。
进一步地,所述隐式泄露特征提取中,根据特征生成流量指纹中的特征包括但不限于版本、加密套件、加密算法和扩展列表。
进一步地,所述明文泄露特征提取包括以下步骤:
步骤101:提取会话中前n个数据包的16进制有效载荷数据,若该会话不足n个数据包,则取所有数据包;
步骤102:将步骤101的16进制有效载荷数据进行转码,转为字符串文本格式;
步骤103:判断步骤102中的字符串文本中是否同时包含ZeroNet特征词,所述特征词包括cmd handsharkreq_idparams version、peer_id;若是则令明文泄露特征值为1,且将该会话的源IP地址加入ZeroNet节点信息中,否则为0;
步骤104:输出原有的会话数据、明文泄露特征以及ZeroNet节点信息。
进一步地,所述隐式泄露特征提取包括以下步骤:
步骤201:输入会话数据和ZeroNet流量指纹库;
步骤202:判断传输层协议是否为TLS协议;若是,则进入步骤203;否则结束;
步骤203:提取特征,并将特征用‘-’串联后,利用md5生成流量指纹;所述特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤204:判断该流量指纹是否在ZeroNet流量指纹库中,若是,则令隐式泄露特征值为1,否则为0;
步骤205:输出原有的会话数据以及隐式泄露特征。
进一步地,步骤201中ZeroNet流量指纹库的构建包括以下子步骤:
步骤201a:在一段时间内,通过在局域网中采集ZeroNet匿名通信系统产生的流量,即在仅运行了ZeroNet软件的本地机器上采集其发送与接收的ZeroNet流量,同时在局域网中采集其余不含有ZeroNet软件的机器上发送与接收的流量,并作为输入数据;
步骤201b:通过源IP地址与源端口进行标记,标记出会话是否为ZeroNet;
步骤201c:在会话数据列表中,选择传输协议为TLS的会话列表;
步骤201d:针对会话列表中的每一条会话数据,提取特征并将特征用‘-’串联后,利用md5生成流量指纹;所述特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤201e:基于会话标记信息,将会话分为ZeroNet会话、非ZeroNet会话两个列表;对每一个ZeroNet会话的流量指纹,计算该流量指纹在ZeroNet会话列表中的聚合度,并计算其在非ZeroNet会话中的聚合度;
步骤201f:对每一个ZeroNet会话的流量指纹,若流量指纹在ZeroNet会话列表的聚合程度>p%,且在非ZeroNet会话列表的聚合度<q%,其中p远大于q,则将该流量指纹添加至ZeroNet流量指纹库中。
进一步地,步骤201e中,聚合度计算方法为:样本x的聚合度=(列表中样本x的个数)/列表的总样本数,即:
流量指纹x在ZeroNet会话列表中的聚合度=(ZeroNet会话列表中流量指纹x的个数)/ZeroNet会话列表的总样本数;
流量指纹x在非ZeroNet会话列表中的聚合度=(非ZeroNet会话列表中流量指纹x的个数)/非ZeroNet会话列表的总样本数。
进一步地,所述ZeroNet流量检测包括以下步骤:
步骤301:输入会话数据、明文泄露特征、隐式泄露特征以及ZeroNet节点信息;
步骤302:判断明文泄露特征是否为1,若是跳入步骤304,否则进入步骤303;
步骤303:判断该会话的源IP地址是否在ZeroNet节点信息中,且隐式泄露特征是否为1,若是,进入步骤304,否则结束;
步骤304:标记该会话为ZeroNet会话;
步骤305:输出该会话的五元组信息,包括源IP地址、源端口、目的Ip、目的端口和传输协议。
一种基于混合泄露信息的零网通信流量的检测装置,用于实现权上述一种基于混合泄露信息的零网通信流量的检测方法,所述检测装置包括:
数据采集模块,用于通过网络抓包工具采集流量数据,获取并存储待识别的流量文件;
数据预处理模块,用于过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据;
明文泄露特征提取模块,用于基于所述会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本;
隐式泄露特征提取模块,用于基于所述会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征;
ZeroNet流量检测模块,用于基于所述明文泄露特征和所述隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息。
本发明的有益效果在于:
(1)本发明结合传输过程中泄露的明文信息,以及加密传输中泄露的隐式指纹信息,来识别ZeroNet流量及节点,从而提升网络空间治理能力;
(2)本发明利用明文信息提高ZeroNet流量检测的准确性,利用间接的隐含的泄露信息提高ZeroNet流量检测的覆盖性;
(3)本发明的零网通信流量检测装置采用旁路部署的方式,不会对正常网络通信与业务产生影响。
附图说明
图1是本发明实施例1的一种基于混合泄露信息的零网通信流量的检测方法流程图。
图2是本发明实施例1的明文泄露特征提取流程图。
图3是本发明实施例1的隐式泄露特征提取流程图。
图4是本发明实施例1的ZeroNet流量指纹库构建流程图。
图5是本发明实施例1的ZeroNet流量检测流程图。
图6是本发明实施例2的一种基于混合泄露信息的零网通信流量的检测装置的部署拓扑图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
由于ZeroNet是主流暗网匿名通信网络之一,而现在很少有方法或装置直接对ZeroNet流量进行检测,本实施例提供了一种基于混合泄露信息的零网通信流量的检测方法,针对核心交换机出入口的镜像流量数据进行分析,通过分析流量数据包中泄露的明文信息与隐式泄露的指纹信息,从而实现对ZeroNet流量的快速检测。如图1所示,该检测方法包括:
数据采集:使用网络抓包工具采集流量数据,获取并存储待识别的流量文件。优选地,网络抓包工具可采用TCPDump,且获取的待识别的流量文件存为pcap格式的流量文件。
数据预处理:过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据。其中,一条会话数据即为一个完整会话,具体的,包括源IP地址、目的IP地址、源端口、目的端口、传输层协议、数据包载荷、数据包载荷长度、会话开始时间、会话结束时间和各传输协议解析后的字段。
明文泄露特征提取:基于会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本;
隐式泄露特征提取:基于会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征。优选地,根据特征生成流量指纹中的特征包括但不限于版本、加密套件、加密算法和扩展列表。
ZeroNet流量检测:基于明文泄露特征和隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息。
优选地,如图2所示,明文泄露特征提取包括以下步骤:
步骤101:提取会话中前n个数据包的16进制有效载荷数据,若该会话不足n个数据包,则取所有数据包;更为优选地,n可设置为20;
步骤102:将步骤101的16进制有效载荷数据进行转码,转为字符串文本格式;
步骤103:判断步骤102中的字符串文本中是否同时包含ZeroNet特征词,特征词包括cmd handsharkreq_idparams version、peer_id;若是则令明文泄露特征值为1,且将该会话的源IP地址加入ZeroNet节点信息中,否则为0;
步骤104:输出原有的会话数据、明文泄露特征以及ZeroNet节点信息。
优选地,如图3所示,隐式泄露特征提取包括以下步骤:
步骤201:输入会话数据和ZeroNet流量指纹库;
步骤202:判断传输层协议是否为TLS协议;若是,则进入步骤203;否则结束;
步骤203:提取特征,并将特征用‘-’串联后,利用md5生成流量指纹;特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤204:判断该流量指纹是否在ZeroNet流量指纹库中,若是,则令隐式泄露特征值为1,否则为0;
步骤205:输出原有的会话数据以及隐式泄露特征。
优选地,如图4所示,步骤201中ZeroNet流量指纹库的构建包括以下子步骤:
步骤201a:在一段时间内,通过在局域网中采集ZeroNet匿名通信系统产生的流量,即在仅运行了ZeroNet软件的本地机器上采集其发送与接收的ZeroNet流量,同时在局域网中采集其余不含有ZeroNet软件的机器上发送与接收的流量,并作为输入数据;
步骤201b:通过源IP地址与源端口进行标记,标记出会话是否为ZeroNet;
步骤201c:在会话数据列表中,选择传输协议为TLS的会话列表;
步骤201d:针对会话列表中的每一条会话数据,提取特征并将特征用‘-’串联后,利用md5生成流量指纹;特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤201e:基于会话标记信息,将会话分为ZeroNet会话、非ZeroNet会话两个列表;对每一个ZeroNet会话的流量指纹,计算该流量指纹在ZeroNet会话列表中的聚合度,并计算其在非ZeroNet会话中的聚合度;更为优选地,聚合度计算方法为:样本x的聚合度=(列表中样本x的个数)/列表的总样本数,即:流量指纹x在ZeroNet会话列表中的聚合度=(ZeroNet会话列表中流量指纹x的个数)/ZeroNet会话列表的总样本数;流量指纹x在非ZeroNet会话列表中的聚合度=(非ZeroNet会话列表中流量指纹x的个数)/非ZeroNet会话列表的总样本数;
步骤201f:对每一个ZeroNet会话的流量指纹,若流量指纹在ZeroNet会话列表的聚合程度>p%,且在非ZeroNet会话列表的聚合度<q%,其中p远大于q,则将该流量指纹添加至ZeroNet流量指纹库中。更为优选地,p%可设置为90%,q%可设置为5%。
优选地,如图5所示,ZeroNet流量检测包括以下步骤:
步骤301:输入会话数据、明文泄露特征、隐式泄露特征以及ZeroNet节点信息;
步骤302:判断明文泄露特征是否为1,若是跳入步骤304,否则进入步骤303;
步骤303:判断该会话的源IP地址是否在ZeroNet节点信息中,且隐式泄露特征是否为1,若是,进入步骤304,否则结束;
步骤304:标记该会话为ZeroNet会话;
步骤305:输出该会话的五元组信息,包括源IP地址、源端口、目的Ip、目的端口和传输协议。
实施例2
本实施例在实施例1的基础上:
本实施例提供了一种基于混合泄露信息的零网通信流量的检测装置,该检测装置采用旁路方式部署,其部署拓扑图如图6所示。具体的,该检测装置包括:
数据采集模块,用于通过网络抓包工具采集流量数据,获取并存储待识别的流量文件。优选地,网络抓包工具可采用TCPDump,且获取的待识别的流量文件存为pcap格式的流量文件。
数据预处理模块,用于过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据。其中,一条会话数据即为一个完整会话,具体的,包括源IP地址、目的IP地址、源端口、目的端口、传输层协议、数据包载荷、数据包载荷长度、会话开始时间、会话结束时间和各传输协议解析后的字段。
明文泄露特征提取模块,用于基于会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本。
隐式泄露特征提取模块,用于基于会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征优选地,根据特征生成流量指纹中的特征包括但不限于版本、加密套件、加密算法和扩展列表。
ZeroNet流量检测模块,用于基于明文泄露特征和隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息。
需要说明的是,对于前述的方法实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。

Claims (8)

1.一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,包括:
数据采集:使用网络抓包工具采集流量数据,获取并存储待识别的流量文件;
数据预处理:过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据;
明文泄露特征提取:基于所述会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本;
隐式泄露特征提取:基于所述会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征;
ZeroNet流量检测:基于所述明文泄露特征和所述隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息;
所述明文泄露特征提取包括以下步骤:
步骤101:提取会话中前n个数据包的16进制有效载荷数据,若该会话不足n个数据包,则取所有数据包;
步骤102:将步骤101的16进制有效载荷数据进行转码,转为字符串文本格式;
步骤103:判断步骤102中的字符串文本中是否同时包含ZeroNet特征词,所述特征词包括cmd handsharkreq_idparams version、peer_id;若是则令明文泄露特征值为1,且将该会话的源IP地址加入ZeroNet节点信息中,否则为0;
步骤104:输出原有的会话数据、明文泄露特征以及ZeroNet节点信息;
所述隐式泄露特征提取包括以下步骤:
步骤201:输入会话数据和ZeroNet流量指纹库;
步骤202:判断传输层协议是否为TLS协议;若是,则进入步骤203;否则结束;
步骤203:提取特征,并将特征用‘-’串联后,利用md5生成流量指纹;所述特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤204:判断该流量指纹是否在ZeroNet流量指纹库中,若是,则令隐式泄露特征值为1,否则为0;
步骤205:输出原有的会话数据以及隐式泄露特征。
2.根据权利要求1所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,所述数据采集中,所述网络抓包工具包括TCPDump,获取的待识别的流量文件存为pcap格式的流量文件。
3.根据权利要求1所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,所述数据预处理中,一条会话数据即为一个完整会话,包括源IP地址、目的IP地址、源端口、目的端口、传输层协议、数据包载荷、数据包载荷长度、会话开始时间、会话结束时间和各传输协议解析后的字段。
4.根据权利要求1所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,所述隐式泄露特征提取中,根据特征生成流量指纹中的特征包括但不限于版本、加密套件、加密算法和扩展列表。
5.根据权利要求1所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,步骤201中ZeroNet流量指纹库的构建包括以下子步骤:
步骤201a:在一段时间内,通过在局域网中采集ZeroNet匿名通信系统产生的流量,即在仅运行了ZeroNet软件的本地机器上采集其发送与接收的ZeroNet流量,同时在局域网中采集其余不含有ZeroNet软件的机器上发送与接收的流量,并作为输入数据;
步骤201b:通过源IP地址与源端口进行标记,标记出会话是否为ZeroNet;
步骤201c:在会话数据列表中,选择传输协议为TLS的会话列表;
步骤201d:针对会话列表中的每一条会话数据,提取特征并将特征用‘-’串联后,利用md5生成流量指纹;所述特征包括Cipher Suites、Compression、Methods、renegotiation_info、signature_algorithms、status_request、ec_point_formats、supported_group;
步骤201e:基于会话标记信息,将会话分为ZeroNet会话、非ZeroNet会话两个列表;对每一个ZeroNet会话的流量指纹,计算该流量指纹在ZeroNet会话列表中的聚合度,并计算其在非ZeroNet会话中的聚合度;
步骤201f:对每一个ZeroNet会话的流量指纹,若流量指纹在ZeroNet会话列表的聚合程度>p%,且在非ZeroNet会话列表的聚合度<q%,其中p远大于q,则将该流量指纹添加至ZeroNet流量指纹库中。
6.根据权利要求5所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,步骤201e中,聚合度计算方法为:样本x的聚合度 = (列表中样本x的个数)/列表的总样本数,即:
流量指纹x在ZeroNet会话列表中的聚合度= (ZeroNet会话列表中流量指纹x的个数)/ZeroNet会话列表的总样本数;
流量指纹x在非ZeroNet会话列表中的聚合度= (非ZeroNet会话列表中流量指纹x的个数)/非ZeroNet会话列表的总样本数。
7.根据权利要求1或6所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,所述ZeroNet流量检测包括以下步骤:
步骤301:输入会话数据、明文泄露特征、隐式泄露特征以及ZeroNet节点信息;
步骤302:判断明文泄露特征是否为1,若是跳入步骤304,否则进入步骤303;
步骤303:判断该会话的源IP地址是否在ZeroNet节点信息中,且隐式泄露特征是否为1,若是,进入步骤304,否则结束;
步骤304:标记该会话为ZeroNet会话;
步骤305:输出该会话的五元组信息,包括源IP地址、源端口、目的Ip、目的端口和传输协议。
8.一种基于混合泄露信息的零网通信流量的检测装置,用于实现权利要求1-6任一项所述的一种基于混合泄露信息的零网通信流量的检测方法,其特征在于,所述检测装置包括:
数据采集模块,用于通过网络抓包工具采集流量数据,获取并存储待识别的流量文件;
数据预处理模块,用于过滤广播流量和ICMP协议流量,提取出会话的五元组信息与有效载荷数据,以及提取传输层协议解析后的字段,存为会话数据;
明文泄露特征提取模块,用于基于所述会话数据中的有效载荷信息,将16进制载荷数据转为字符串文本,并判断其中是否存在ZeroNet相关文本;
隐式泄露特征提取模块,用于基于所述会话数据中的传输层协议解析字段,根据特征生成流量指纹,并依据流量指纹来提取隐式泄露特征;
ZeroNet流量检测模块,用于基于所述明文泄露特征和所述隐式泄露特征,筛选出可能的ZeroNet流量,并输出其五元组信息。
CN202111216822.XA 2021-10-19 2021-10-19 一种基于混合泄露信息的零网通信流量的检测方法及装置 Active CN113949576B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111216822.XA CN113949576B (zh) 2021-10-19 2021-10-19 一种基于混合泄露信息的零网通信流量的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111216822.XA CN113949576B (zh) 2021-10-19 2021-10-19 一种基于混合泄露信息的零网通信流量的检测方法及装置

Publications (2)

Publication Number Publication Date
CN113949576A CN113949576A (zh) 2022-01-18
CN113949576B true CN113949576B (zh) 2023-05-12

Family

ID=79331377

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111216822.XA Active CN113949576B (zh) 2021-10-19 2021-10-19 一种基于混合泄露信息的零网通信流量的检测方法及装置

Country Status (1)

Country Link
CN (1) CN113949576B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154917A (zh) * 2016-03-03 2017-09-12 华为技术有限公司 数据传输方法及服务器
CN107204965A (zh) * 2016-03-18 2017-09-26 阿里巴巴集团控股有限公司 一种密码破解行为的拦截方法及系统
CN109918921A (zh) * 2018-12-18 2019-06-21 国网浙江桐乡市供电有限公司 一种网络通信数据涉密检测方法
CN112242898A (zh) * 2020-10-14 2021-01-19 北京理工大学 一种针对洋葱网络系统共识文件的加密方法
CN112800045A (zh) * 2021-02-23 2021-05-14 青岛海科虚拟现实研究院 一种基于大数据的数据信息分析系统
CN112822189A (zh) * 2021-01-04 2021-05-18 中国电力科学研究院有限公司 一种流量识别方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018154581A1 (en) * 2017-02-22 2018-08-30 Kindite Ltd. Encrypting data records and processing encrypted records without exposing plaintext

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154917A (zh) * 2016-03-03 2017-09-12 华为技术有限公司 数据传输方法及服务器
CN107204965A (zh) * 2016-03-18 2017-09-26 阿里巴巴集团控股有限公司 一种密码破解行为的拦截方法及系统
CN109918921A (zh) * 2018-12-18 2019-06-21 国网浙江桐乡市供电有限公司 一种网络通信数据涉密检测方法
CN112242898A (zh) * 2020-10-14 2021-01-19 北京理工大学 一种针对洋葱网络系统共识文件的加密方法
CN112822189A (zh) * 2021-01-04 2021-05-18 中国电力科学研究院有限公司 一种流量识别方法及装置
CN112800045A (zh) * 2021-02-23 2021-05-14 青岛海科虚拟现实研究院 一种基于大数据的数据信息分析系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于深度学习的加密流量识别研究综述及展望;郭宇斌;《通信技术》;全文 *

Also Published As

Publication number Publication date
CN113949576A (zh) 2022-01-18

Similar Documents

Publication Publication Date Title
CN102045363B (zh) 网络流量特征识别规则的建立方法、识别控制方法及装置
Draper-Gil et al. Characterization of encrypted and vpn traffic using time-related
Dong et al. CETAnalytics: Comprehensive effective traffic information analytics for encrypted traffic classification
Dyer et al. Protocol misidentification made easy with format-transforming encryption
US20210258791A1 (en) Method for http-based access point fingerprint and classification using machine learning
Sija et al. A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view
US20040064537A1 (en) Method and apparatus to enable efficient processing and transmission of network communications
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
CN104320304A (zh) 一种易扩展的多方式融合的核心网用户流量应用识别方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN114124467B (zh) 开放网络模式下FreeNet匿名流量检测方法及系统
Erlacher et al. How to test an IDS? GENESIDS: An automated system for generating attack traffic
Canini et al. GTVS: Boosting the collection of application traffic ground truth
CN103780501A (zh) 一种不可分小波支持向量机的对等网络流量识别方法
Mazhar Rathore et al. Exploiting encrypted and tunneled multimedia calls in high-speed big data environment
Yoon et al. Behavior signature for fine-grained traffic identification
Shamsimukhametov et al. Is encrypted clienthello a challenge for traffic classification?
Bai et al. Refined identification of hybrid traffic in DNS tunnels based on regression analysis
CN113949576B (zh) 一种基于混合泄露信息的零网通信流量的检测方法及装置
Shamsimukhametov et al. Are neural networks the best way for encrypted traffic classification?
CN109347696B (zh) 一种基于分级变异的网络协议模糊测试方法
Xiao et al. Automatic protocol reverse engineering using grammatical inference
US20200162339A1 (en) Extending encrypted traffic analytics with traffic flow data
CN116340814A (zh) 加密流量分类方法、装置、电子设备和计算机可读介质
Oudah et al. Using burstiness for network applications classification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant