基于SDN的实际网络流中Tor网页复合特征提取方法

基于网站指纹（WF）攻击的Tor网页流量识别方法往往建立在分离好的Tor流量甚至是分离好的Tor网页流量的基础上，但从实际网络的原始流中分离出Tor流量，再从Tor流量中分离出Tor网页流量，其计算量和困难程度远高于Tor网页流量的WF攻击本身。根据目前互联网的体系结构，利用网络流量汇聚到区域中心节点的特点，通过中心节点的SDN结构所提供的域内全局视角，结合Tor网络公开的节点信息提出了一种区分Tor流量的双向统计特征（BSF），可以有效分离Tor流量；进而提出了一种基于LSF技术的网页流量隐藏特征提取方法，从而获得了基于BSF和LSF的复合流量特征（CTTF）；在此基础上，针对当前Tor流量训练数据较少的问题，提出了一种基于平移的流量数据增强方法，使增强后的流量数据与真实工作环境中捕获的Tor流量数据分布尽量一致。实验结果表明，基于CTTF与仅使用原始数据特征相比，识别率提高了4%左右，在训练数据较少时，使用流量数据增强方法后分类效果提升更加明显，并且可以有效降低误报率。