基于支持向量机Freegate软件流量检测探究.docVIP

基于支持向量机Freegate软件流量检测探究【 摘 要 】 近年来出现了可以突破网络过滤，访问国外被禁止信息的破网行为。针对破网行为的研究与控制，具有十分重要的现实意义。流量分类技术一直是国内外网络测量方向的研究热点，并在P2P检测领域中取得了很好的效果。本文将流量分类领域中的支持向量机技术应用于破网软件freegate的行为检测。实验结果表明，该方法对于破网行为产生的流量具有较高的检测率，为有效监测破网行为提供了一种新思路。 【 关键词 】 破网行为；流量分类；支持向量机 【 中图分类号 】 TP273.2 Identification of Freegate Flow Based on Support Vector Jia Zi-long (Beijing University of Aeronautics and Astronautics Beijing 100191) 【 Abstract 】 In recent years，there has been a behavior that can break through the Internet filtering, access to foreign nets ,and get forbidden information . To research and control this behavior, have very important real sense. Flow classification technology at home and abroad has been the research hotspot in network measurement direction, and the application of the P2P detection achieved very good results. This paper is to flow classification technology applied to breakthrough Internet behavior monitoring. Experimental results show that the method has a high detection rate for the flow and provides a new way for effective monitoring of this behavior. 【 Keywords 】 breakthrough internet block; flow classification; support vector machine 0 引言 以freegate为代表的破网软件为我国的互联网安全带来了很大威胁，由于其使用加密代理技术达到突破我国网络审查的目的，目前对此类软件的破网行为的检测与监控一直没有行之有效的解决办法。基于支持向量机的流量分类技术广泛应用于P2P行为检测，取得了较好的效果。本文将此技术应用于对破网软件freegate的流量检测上，并通过实验证明该方法的有效性。 1 运行机制 为了分析破网软件freegate的运行机制，在虚拟机环境中里运行软件然后分析其在主机和网络中的行为。通过观察本地系统的变化情况（如注册表修改、本地文件生成等），结合捕获破网行为产生的数据进行分析，得知破网软件freegate的加密传输均使用udp协议，运行机制如图1所示。 （1）首先通过向“Windows操作系统”自动更新服务器发送ping命令，确认当前所在网络的连通情况，如果当前网络不通或者不在中国境内则停止运行软件。 （2）确认网络环境良好后，与“亚马逊在线存储”服务器建立连接，取得保存在上面的国外代理服务器地址。 （3）同时连接四个代理服务器，测试服务器的忙闲、连接速度等情况，选择其中一个速度较快的访问境外网站。 （4）代理服务器将得到的网站内容加密后回传给国内使用者，并再通过freegate软件解密还原，供使用者浏览。 2 相关工作 国内有关破网行为的研究主要是针对早期的破网软件进行研究分析，所发表的研究成果较为有限。一种思路是是采用IP跟踪法和数据包筛选法分析破网软件“无界浏览”的工作原理，提出了一种从网络出口探测和监控该软件使用者的方法，并针对其他破网软件给出了通用探测方法。由于破网软件的内部结构和源代码一直没有公开，并采用了软件防破解技术，另一种思路是利用动态反汇编工具对早期的破网软件进行逆向分析，确定软件的工作流程、加密算法以及网络拓扑结构，还原软件内部的秘密信息，并通过黑盒测试对分析结果进行验证。 虽然以上两种方法针对早期的破网软件进行了