[发明专利]一种抗特征不稳定的Tor App流量分析方法与系统

权利要求书

1.一种抗特征不稳定的Tor App流量分析方法，其特征在于：包括以下步骤：

步骤(1)、获得Tor网络下目标应用产生的网络流量形成目标流量集，并将目标流量保存为五元组格式，提取各目标流量的基础特征和常用特征；然后利用候选特征选择策略对基础特征和常用特征提取候选特征集合；

步骤(2)、通过混淆特征分离层从步骤(1)所得候选特征集合中选择一个子集作为流量的表征，通过解决应用类型组合优化问题，过滤出N种特定应用类型的流量；

步骤(3)、通过最优特征与模型组合层从步骤(1)所得候选特征集合中选择N个子集，接收来自步骤(2)的特定应用类型的流量，通过解决特征与模型组合优化问题，来迭代选择适合该应用类型的机器学习模型和特征集合，获得特定应用类型最优的分类器；

步骤(4)、使用步骤(3)所得特定应用类型最优的分类器，对Tor app流量进行识别，得到app的识别结果，实现对Tor app的流量分析。

2.根据权利要求1所述的抗特征不稳定的Tor App流量分析方法，其特征在于：所述步骤(1)的具体过程如下：

首先，将目标流量集中的目标流量保存五元组特定格式：时间、源IP、目的IP、通信协议、包长度；

然后，对目标流量提取常用特征，这些常用特征包括包大小、方向、时间、个数基础特征以及对基础特征多个维度获得的统计特征；

接着，建立常用机器学习模型集合，从模型集合中选定一个模型，利用信息增益技术评估在该模型下贡献较大的特征，重复该步骤，直到模型集合中的所有模型都选择好对应的特征；

最后，对于根据信息增益技术选择的特征，去除重复的特征以及对其他模型有副作用的特征，获得具有代表性同时不乏多样性的特征作为候选特征集合。

3.根据权利要求2所述的获得候选特征集合的过程，其特征在于：对目标流量利用专家知识提取5511个常用特征；并且利用信息增益技术评估在该模型下贡献最大的前70个特征，重复该步骤，直到模型集合中的所有模型都选择好对应的前70个特征；

最后，对于贡献最大的前70个特征，去除重复的特征以及对其他模型有副作用的特征，获得98个具有代表性同时不乏多样性的特征作为候选特征集合。