[发明专利]一种识别SSR流量的方法、系统以及计算机可读存储介质

说明书

本发明公开了一种识别SSR流量的方法、系统以及计算机可读存储介质，方法包括：搭建所有配置的SSR服务，通过抓包工具抓取不同配置的SSR流量，以及采集普通流量；计算抓取到的不同配置的SSR流量与普通流量的带有负载的数据包的信息熵，并将计算出的信息熵作为样本数据输入决策树模型进行二分类训练以提取出流量识别规则，将提取出的流量识别规则作为判定规则用于后续的流量识别操作；将未知流量作为识别对象，执行流量识别操作，包括：计算识别对象的带有负载的数据包的信息熵，依次匹配判定规则，命中则疑似度增加，否则疑似度减小，当疑似度等于阈值时，则判定识别对象为SSR流量，本发明适用于各种组合配置的SSR服务识别。

技术领域

本发明涉及SSR流量识别领域，尤其涉及一种识别SSR流量的方法、系统以及计算机可读存储介质。

背景技术

虚拟专用网(Virtual Private Network，VPN)技术作为加密网络流量的主要使用技术之一，Shadowsocks(影梭，简称SS)属于目前主流的VPN工具之一，基于TCP加密协议的代理工具，ShadowsocksR(简称SSR)是在SS的基础上引入协议混淆、插件混淆，进一步对数据进行伪装、混淆，成为SS的改进版。

由于VPN加密流量失去了原有流量的报文头部信息、流量侧信道特征信息，给网络流量监管带来新的挑战。现有的针对VPN加密流量的识别方法主要是基于DPI(深度包检测)的流量识别及基于机器学习的流量识别，对于VPN流量的随机化特点，机器学习(深度学习)效果更加显著，机器学习主要是对报文的长度、载荷、时间序列、流持续时间、流方向、速率等进行特征提取，采用随机森林，SVM等模型进行训练识别，深度学习则主要是根据内容特征，采用深度神经网络(CNN，SAE等)进行模型训练。由于ShadowsocksR支持数据加密、协议混淆、插件混淆，其组合方式高达1000余种，目前大部分的识别技术没有覆盖所有配置，同时在真实网络环境中，由于干扰流种类杂多，通过单一流的输入进行识别，识别效果远低于实验室环境。

总而言之，现有的ShadowsocksR流量识别技术，存在以下不足：

1)没有涵盖ShadowsocksR所有配置，不同协议加密、插件混淆会导致数据流的行为特征和内容特征不一样，现有的机器学习模型大多针对特定类型的Shadowsocks流量类型进行识别；

2)是由于模型输入的单一性，现有识别技术，都是直接判定单一流是否是Shadowsocks流量，在真实的网络环境中，受干扰因素较多，导致准确率不够高。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种识别SSR流量的方法、系统以及计算机可读存储介质。

本发明解决其技术问题所采用的技术方案是：构造一种识别SSR流量的方法，所述方法包括：

搭建所有配置的SSR服务，通过抓包工具抓取不同配置的SSR流量，以及采集普通流量；

计算抓取到的不同配置的SSR流量与普通流量的带有负载的数据包的信息熵，并将计算出的信息熵作为样本数据输入决策树模型进行二分类训练以提取出流量识别规则，将提取出的流量识别规则作为判定规则用于后续的流量识别操作；

将未知流量作为识别对象，执行流量识别操作；

其中，流量识别操作包括：计算识别对象的带有负载的数据包的信息熵，依次匹配判定规则，命中则疑似度增加，否则疑似度减小，当疑似度等于阈值时，则判定识别对象为SSR流量。

优选地，所述方法还包括，在提取出流量识别规则之后、将未知流量作为识别对象执行流量识别操作之前，通过以下操作对流量识别规则进行优化：将相似度较高的流量识别规则进行去重、合并，并统一采取大于/小于某一熵值为标准，生成最终的判定规则。