(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113630367A(43)申请公布日2021.11.09(21)申请号202010377109.2(22)申请日2020.05.07(71)申请人北京观成科技有限公司地址100093北京市海淀区中关村软件园二期中关村信息谷102室(72)发明人邢明(74)专利代理机构北京集佳知识产权代理有限公司11227代理人柳欣(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书13页附图3页(54)发明名称一种匿名流量的识别方法、装置及电子设备(57)摘要本发明提供了一种匿名流量的识别方法、装置及电子设备，其中，该方法包括：获取待处理的、包含握手信息的目标TLS流量，握手信息包括服务名标识和TLS指纹特征；在服务名标识与预设的服务器域名相匹配、且TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定目标TLS流量的包长特征；在包长特征符合预设条件时，确定目标TLS流量为匿名流量。通过本发明实施例提供的匿名流量的识别方法、装置及电子设备，不需要大量运算，可以高效准确地识别Tor匿名流量。同时，首先基于服务名标识和TLS指纹特征筛选出具有匿名嫌疑的TLS流量，可以降低包长特征比对时的处理量，能够进一步提高处理效率。CN113630367ACN113630367A权利要求书1/2页1.一种匿名流量的识别方法，其特征在于，包括：获取待处理的、包含握手信息的目标TLS流量，所述握手信息包括服务名标识和TLS指纹特征；在所述服务名标识与预设的服务器域名相匹配、且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；在所述包长特征符合预设条件时，确定所述目标TLS流量为匿名流量。2.根据权利要求1所述的方法，其特征在于，所述获取待处理的、包含握手信息的目标TLS流量包括：获取目标流量，并对所述目标流量进行TLS识别处理，确定所述目标流量是否为TLS流量；在所述目标流量为TLS流量时，将所述目标流量作为目标TLS流量。3.根据权利要求1所述的方法，其特征在于，在所述获取待处理的、包含握手信息的目标TLS流量之后，还包括：判断所述服务名标识与预设的服务器域名是否相匹配；在所述服务名标识与预设的服务器域名相匹配时，判断所述TLS指纹特征与预设浏览器的指纹特征是否相匹配；在所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；其中，所述TLS指纹特征包括加密套件和/或扩展项。4.根据权利要求3所述的方法，其特征在于，还包括：在所述服务名标识与预设的服务器域名相匹配时，确定所述目标TLS流量的连接时长；在所述连接时长大于预设阈值，且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征。5.根据权利要求1-4任意一项所述的方法，其特征在于，所述统计确定所述目标TLS流量的包长特征包括：统计所述目标TLS流量的上行包长度和下行包长度，在所述上行包长度符合第一条件，且所述下行包长度符合第二条件时，确定所述目标TLS流量的包长特征符合预设条件；其中，所述第一条件为：所述上行包长度与第一预设长度相匹配和/或多个所述上行包长度相同的数量超过第一数量阈值；所述第二条件为：所述下行包长度与第二预设长度相匹配和/或多个所述下行包长度相同的数量超过第二数量阈值。6.一种匿名流量的识别装置，其特征在于，包括：获取模块，用于获取待处理的、包含握手信息的目标TLS流量，所述握手信息包括服务名标识和TLS指纹特征；预处理模块，用于在所述服务名标识与预设的服务器域名相匹配、且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；处理模块，用于在所述包长特征符合预设条件时，确定所述目标TLS流量为匿名流量。7.根据权利要求6所述的装置，其特征在于，还包括：连接时长判断模块；所述连接时长判断模块用于，在所述服务名标识与预设的服务器域名相匹配时，确定所述目标TLS流量的连接时长；2CN113630367A权利要求书2/2页在所述连接时长大于预设阈值，且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，所述预处理模块统计确定所述目标TLS流量的包长特征。8.根据权利要求6或7所述的装置，其特征在于，所述预处理模块统计确定所述目标TLS流量的包长特征包括：统计所述目标TLS流量的上行包长度和下行包长度，在所述上行包长度符合第一条件，且所述下行包长度符合第二条件时，确定所述目标TLS流量的包长特征符合预设条件；其中，所述第一条件为：所述上行包长度与第一预设长度相匹配和/或多个所述上行包长度相同的数量超过第一数量阈值；所述第二条件为：所述下行包长度与第二预设长度相匹配