基于LightGBM的Telegram流量识别研究

Telegram作为一款即时加密通信软件,越来越受到不法分子的欢迎。准确识别Telegram网络流量对网络监控与管理具有重要意义。通过对Telegram在MTProto 2.0协议模式、SSL/TLS与MTProto 2.0协议混合模式这两种情况下的网络流量进行研究,提出了两类特征,即SSL/TLS协议特征和流统计特征。结合LightGBM算法,构造两支路检测模型实现对Telegram流量的准确识别。利用Tcpdump和Wireshark开源工具构建了一份包含Windows、Android等多个平台下的多种场景Telegram流量数据集Telegram_data。实验结果表明,SSL/TLS协议特征和流统计特征及本文检测方案能够充分表征Telegram网络流量特性,并实现对Telegram流量的准确检测。

融合协议信息的TOR匿名网络流量识别方法

TOR(The Onion Router)匿名网络流量识别是一项重要的加密流量检测任务,随着TOR混淆模式的迭代更新,引入OBFS4(Object-Based File System4)混淆协议后对TOR的检测较为困难。详细研究了TOR行为和混淆协议特性,将关键行为特征与OBFS4混淆协议特征进行融合,增强了面向混淆协议的TOR流量的检出能力。另外构造了包含浏览网页、视频直播、聊天等多业务数据集进行实验。结果显示,该研究方法在基于OBFS4混淆协议的TOR流量检测任务上效果显著,其中lightGBM模型检测效果最佳,在融合协议特征的方法下准确率达到98.89%。同时该方法面向不同版本的TOR流量开展复测,在不同版本的TOR流量检测任务中准确率均高于97%。