[发明专利]一种面向高速网络的VPN流量快速识别方法

说明书

本发明提供了一种面向高速网络的VPN流量快速识别方法，方法的具体步骤分为模型训练和模型使用两个场景。模型训练时，在可控的网络环境中进行流量抽样采集，选择能够用于抽样后VPN流量识别分类的相关特征，构建小规模的流量数据训练集进行模型训练。使用该模型时，在高速网络中进行流量抽样，通过Count Bloom Filter算法过滤出长流流量，使用链接法散列表存储统计信息，并根据记录的统计信息提取特征值，得到流量特征记录，用于流量检测。本发明能够快速精确地识别出高速网络中存在的VPN流量，并对VPN流量使用的代理工具进行分类，有效提高了网络流量的检测能力。

技术领域

本发明属于网络空间安全技术领域，涉及一种面向高速网络的VPN流量快速识别方法。

背景技术

随着信息技术的飞速发展，互联网规模快速扩张，各种类型的网络服务不断增多，信息的安全性问题日益受到关注。为了保障数据传输的安全性，越来越多的流量都在加密后进行传输。加密技术为用户提供了很多好处，以确保端到端的保密性和数据的保密性。在保障信息安全的同时，加密技术也使得恶意用户通过这种方式来隐藏自己的信息和行踪，这给流量的审计带来了新的挑战。

虚拟专用网(VPN)技术作为加密网络流量的主要技术之一，被广泛应用于网络通信中，依靠加密隧道等手段，向用户提供便利、隐秘的远程访问等操作，以满足不同的安全要求。然而，被VPN工具(V2Ray等)掩盖下的流量，失去了原有流量的报文头部信息、流量侧信道等特征信息，给网络监管带来了巨大的挑战。同时，各类基于VPN技术的通信服务迅速发展，使信息安全问题日益突出。因此，针对VPN加密流量的识别分析刻不容缓。

国内外近年来针对VPN流量进行识别研究基本都围绕特征选择和机器学习算法的改进展开。基于时域特征和握手协议特征的SSL VPN流量识别方法将连续的持续时间作为流量特征，基于特征增强的VPN流量识别方法根据流量密度完成激增周期的特征提取，这类特征都具有很强的时间相关性，由于不同的网络状态会导致不同的流量特征，易受到样本流量的网络状态的影响从而影响识别的准确率。基于密度数据提取的流量特征的方法，不涉及具体的协议内容，对VPN流量的识别缺乏较强的针对性，导致其准确性和实用性较差。也有的方法采用Bit级DPI指纹生成技术，然而，该方法涉及对数据包的有效负载中的明文进行分析，在计算上效率不高，不适用于高速网络的海量流量检测，并且随着加密协议的发展，TLS1.3协议的普遍应用，可以进行DPI分析的明文指纹特征已经很少出现了，导致该方法无法适用。此外，还有方法针对VPN内加密流量协议的识别研究，使用了深度学习技术，但该方法没有给出VPN流量的识别过程的描述，没有给出如何获得VPN流量的特征，识别效果不明确。此外，上述方法都是针对完整的数据流进行检测，而在高速网络中，将完整流量全部镜像保存并分析在资源耗费上是不现实的，现有的高速网络管理系统对一般性的流量监控需求都是通过保留抽样数据分析的方法，这导致上述方法不能应用于高速网络。

综上，现有的方法存在如下主要问题：(1)目前的方法都基于完整流量数据进行研究，选取的特征只适用于完整流量的识别数据；(2)高速网络中的海量数据处理需要消耗大量的计算和存储资源，只能通过抽样流量进行分析，因此目前对完整流量进行识别的方法不适用于高速网络中的抽样流量数据检测；(3)目前的方法受到时间因素和网络服务质量的影响，对VPN流量的识别缺乏针对性和稳定性；(4)现有的方法涉及数据包的有效负载分析，在计算上效率不高，不适用于高速网络的海量流量数据检测。上述问题导致现有的方法无法实现高速网络环境的VPN流量快速识别。

因此，本发明提出了一种面向高速网络的VPN流量快速识别方法。本发明基于抽样的思想从高速网络中获得流量，并根据抽样数据下的VPN流量特征完成识别分类过程。

发明内容