[发明专利]开放网络模式下FreeNet匿名流量检测方法及系统

权利要求书

1.一种开放网络模式下FreeNet匿名流量检测方法，其特征在于，包括：

数据采集：使用网络抓包工具采集流量数据，获取待识别的流量文件，并存为pcap格式的流量文件；

数据预处理：过滤广播流量和ICMP协议流量，提取出会话的五元组信息与有效载荷数据，存为json格式的会话数据；

特征提取：基于所述会话数据，提取会话中的特征并形成特征数据集，所述特征包括最大包长度、最小包长度、传输协议、端口个数和报文熵值；

FreeNet流量检测：基于所述特征数据集，筛选出可能的FreeNet流量，输出其五元组信息；

所述特征提取包括以下步骤：

步骤101：对于json格式的会话数据中的一条记录，即一个完整会话，提取该会话中所有数据包有效载荷的最大长度IP_length_max与最小长度IP_length_min；

步骤102：提取该会话中前200字节有效载荷的熵值entropy，若有效载荷不足200，则取最长有效载荷；

步骤103：将该会话的源IP地址与源端口作为key值，计算这个json格式的会话数据中该key值对应的不同目的IP与目的端口的数量ports；

步骤104：将该会话的源IP地址与源端口作为key值，计算这个json格式的会话数据中该key值对应的发送数据包有效载荷的最大长度spayload_max/最小长度spayload_min以及接收数据包有效载荷的最大长度dpayload_max/最小长度dpayload_min；

步骤105：将原始的会话数据以及步骤101-步骤104提取的特征写入特征数据集中；

步骤102中，将每个数据包的内容载荷视为256个ASCII码组成的集合，因此定义报文载荷熵的计算公式为：

其中m为ASCII码组成的字符集合的样本数256，x_i为字符i的在数据包中出现的次数，n为数据包中所有字符的总数。

2.根据权利要求1所述的开放网络模式下FreeNet匿名流量检测方法，其特征在于，所述数据采集中使用的网络抓包工具包括TCPDump。

3.根据权利要求1所述的开放网络模式下FreeNet匿名流量检测方法，其特征在于，所述数据预处理后得到的json格式的会话数据包括源IP地址、目的IP地址、源端口、目的端口、传输层协议、数据包载荷、数据包载荷长度、会话开始时间和会话结束时间。

4.根据权利要求1所述的开放网络模式下FreeNet匿名流量检测方法，其特征在于，所述FreeNet流量检测包括以下步骤：

步骤201：输入所述特征数据集中的特征；

步骤202：判断传输层协议是否为UDP；若是，则进入步骤203；否则结束；

步骤203：判断IP_length_min是否小于20或者IP_length_max是否大于1232；若不是，则进入步骤204；否则结束；

步骤204：判断entropy是否小于3.8；若不是，则进入步骤205；否则结束；

步骤205：若ports大于等于3.8且spayload_max 等于1232且dpayload_max 等于 1232且spayload_min 等于 20且dpayload_min 等于 20，进入步骤206；否则结束；

步骤206：输出该会话的五元组信息，即源IP地址、目的IP地址、源端口、目的端口、传输层协议。