基于网站指纹的shadowsocks匿名流量识别技术的研究

摘要

随着通信数据隐私保护需求的不断增加，各种匿名通信技术也得到了快速发展，但是，在这项技术保护通信双方个人信息的同时，也使得利用简单数据包检测进行的网络监管变得更加困难。Shadowsocks作为新兴的匿名通信软件，因其速度快，易部署等优点，在国内得到了广泛了使用。现有的匿名流量识别的研究成果大多具有很强的针对性，在流量特征提取，方法建模等软件识别技术方面具有很强的依赖性，而shadowsocks因为使用其自身所带的独特协议，现有的方法很难对其进行识别；同时，当前的大部分学术分析成果还停留在实验阶段，并且高速网络环境下匿名流量的数据集收集与构造、大量混合流下网站指纹的分割等问题仍没有提出很好的解决办法。因此，如何对shadowsocks流量进行建模，如何解决高速网络环境下匿名流量识别，是当前国内网络安全领域亟待解决的问题。
　　本文在对以往相关研究成果进行分析的基础上，针对上述问题，深入分析了shadowsocks匿名软件的运行机制，将其运行过程和HTTP协议相结合，提出了多粒度启发式流量识别方法和基于混合流分割的网站指纹识别算法。多粒度启发式流量识别算法是从主机行为、数据流、隐藏信息等多方面检测shadowsocks流量，达到过滤的目的。该方法可以解决因匿名流量占总数据流量比例小而导致数据集不平衡而带来识别准确性低的问题。基于混合流分割的网站指纹识别算法是在多粒度启发式流量识别方法的基础上，选择区分度高的网站指纹特征，将可疑混合流进行聚类分割，解决混合流中单站点、多站点识别问题，达到降低误报率的目的。
　　接着，本文分析了高速网络环境下匿名流量识别所面临的难点，确定新系统要达到的目标，结合多粒度启发式流量识别算法和基于混合流分割的网站指纹识别算法，设计并实现了高速网络环境下shadowsocks匿名流量识别系统，并详细阐述了识别系统总体设计与详细模块设计。
　　最后，本文利用多组不同的真实数据集，对多粒度启发式流量识别算法和基于混合流分割的网站指纹识别算法分别进行评估，通过和现有的方法，以及系统适应性等方面对运行结果进行分析，验证了该算法的高准确性；同时，在高速网络下，针对具体的模块设计对高速网络下shadowsocks匿名流量识别系统进行测试，证明了该系统具有很高的识别准确率。

目录

声明

第一章 绪 论

1.1 本文研究背景与意义

1.2 匿名流量识别的研究现状

1.3 本文的主要贡献与创新

1.4 本文的组织结构

1.5 本章小结

第二章 匿名流量识别相关技术

2.1 匿名网络和shadowsocks

2.2 网站指纹相关知识

2.3 HTTP上的shadowsocks流量分析

2.4 本章小结

第三章 基于网站指纹的shadowsocks匿名流量识别方法设计

3.1 总体方案设计

3.2 实施模型设计

3.3 多粒度启发式流量识别方法设计

3.4 基于混合流分割的网站指纹识别算法设计

3.5 本章小结

第四章 高速网络下shadowsocks匿名流量识别系统设计与实现

4.1 系统设计目标

4.2 网络部署

4.3 系统架构设计

4.4 模块设计与实现

4.5 本章小结

第五章 算法评估与系统测试

5.1 算法评估环境

5.2 多粒度启发式流量识别算法评估与分析

5.3 基于混合流分割的网站指纹识别算法评估与分析

5.4 高速网络下shadowsocks匿名流量识别系统测试

5.5 本章小结

第六章 论文总结

6.1 论文工作总结

6.2 后续研究工作

致谢

参考文献

攻硕期间取得的成果