[发明专利]流量混淆方法、装置和设备

说明书

本发明的实施例提供了一种流量混淆方法、装置和设备。所述方法包括获取流量数据；分析所述流量数据中包含的特征信息；所述特征信息包括IP层信息、流元数据、字节分布信息和未加密的TSL头信息中的一种或多种；根据所述特征信息生成干扰包，对所述流量数据进行混淆。以此方式，可以对网络流量进行混淆，隐藏流量的主要特征，在不改变流量正常传输的前提下，通过适当增加流量的冗余，有效地提高了流量复杂程度，使攻击者难以获得流量的真实特征，从而保护用户的隐私信息，提高网络流量的安全性。

技术领域

本发明一般涉及网络安全领域，并且更具体地，涉及一种流量混淆方法、装置和设备。

背景技术

对网络流量的分析是网络攻击中最经常使用的手段。通过对流量的分析，可以对目标的主要特性有一定的了解，即使是加密的数据，通过对流量特征的分析，也可以在一定程度上了解目标的信息。例如，即使数据是加密的，攻击者通过对流量的信息进行分析，如起止IP，通信时长，流字节分布，通信频率等，仍然可以找到一定的规律，从而被利用而形成有效的网络攻击。

发明内容

根据本发明的实施例，提供了一种流量混淆方案。本方案对网络流量进行混淆，隐藏流量的主要特征，从而保护用户的隐私信息。

在本发明的第一方面，提供了一种流量混淆方法。该方法包括：

获取流量数据；

分析所述流量数据中包含的特征信息；所述特征信息包括IP层信息、流元数据、字节分布信息和未加密的TSL头信息中的一种或多种；

根据所述特征信息生成干扰包，对所述流量数据进行混淆。

进一步地，所述根据所述特征信息生成干扰包，对所述流量数据进行混淆，包括：

若所述流量数据的特征信息中包含IP层信息，则在IP层随机生成第一干扰包，并发送包含所述第一干扰包的流量数据；所述第一干扰包中包含与所述流量数据中IP层信息不同的IP层信息。

进一步地，所述根据所述特征信息生成干扰包，对所述流量数据进行混淆，包括：

若所述流量数据的特征信息中包含流元数据，则：

生成包含相同起止IP和端口的第二干扰包，并在随机时间段发送包含所述第二干扰包的流量数据；或

生成包含相同起止IP和不同目标端口的第三干扰包，并在随机时间段发送包含所述第三干扰包的流量数据。

进一步地，所述根据所述特征信息生成干扰包，对所述流量数据进行混淆，包括：

若所述流量数据的特征信息中包含字节分布信息，则根据所述字节分布信息计算所述流量数据中每个字符的出现次数以及平均出现次数；若所述流量数据中存在出现次数小于预设最大出现次数阈值且不等于平均出现次数的字符，则生成第四干扰包，并发送包含所述第四干扰包的流量数据；

对于出现次数大于所述平均出现次数且小于最大出现次数阈值的字符，将出现次数超过所述平均出现次数的部分字符添加到所述第四干扰包的数据字段中；

对于出现次数小于所述平均出现次数的字符，在所述第四干扰包的数据字段中添加所述字符，使所述字符的出现次数达到所述平均出现次数。

进一步地，所述方法还包括：对所述第四干扰包添加延时函数，延时发送包含所述第四干扰包的流量数据。

进一步地，所述根据所述特征信息生成干扰包，对所述流量数据进行混淆，包括：

若从所述流量数据的特征信息中匹配出未加密的TSL头，则生成第五干扰包，所述第五干扰包包括添加虚假信息的TSL头，并发送包含第五干扰包的流量数据。

进一步地，所述方法还包括：

若所述流量数据的特征信息中包含包信息，则将所述流量数据拆分成若干数据段，并对所述数据段中的一个或多个进行延时发送。

进一步地，所述方法还包括：