محمد نصیری

شناسایی و دسته‎بندی ترافیک‎های شبکه بر اساس نوع نرم‎افزار برای کارهای مختلف کنترلی و نظارتی شبکه همانند ایجاد صورت‎حساب، کیفیت خدمات، نظارت بر ترافیک شبکه و مهندسی ترافیک بسیار اهمیت دارد. این موارد کنترلی و نظارتی نیازمند این هستند که بدانند چه نوع ترافیکی در حال عبور از شبکه است تا با توجه به خط مشی از پیش تعریف شده ای، قانون یا قوانینی را بر ترافیک موردنظر اعمال نمایند. امروزه بسیاری از نرم‎افزارهای شبکه به دلایل مختلفی همچون محرمانگی داده، احراز هویت و مواردی دیگر از رمزنگاری استفاده می‎کنند. این نرم‎افزارها علاوه بر رمز کردن داده‎هایشان، معمولا از درگاه‎های تصادفی غیر مشهور بهره می‎برند. ازاین جهت، روش‎های شناسایی و دسته‎بندی ترافیک‎های اینترنتی همانند روش‎های مبتنی بر درگاه و مبتنی بر محتوا نمی‎توانند برای شناسایی این ترافیک‎ها مورد استفاده قرار بگیرند. بنابراین ضروری است از روش‎های دیگری بهره گرفته شود که روش‎های یادگیری ماشین می‎توانند در این زمینه بسیار سودمند باشند. روش‎های یادگیری ماشین برای شناسایی نرم‎افزارهای شبکه، بر اساس اطلاعات آماری در هر جریان عمل می‎کنند. این اطلاعات آماری از ویژگی‎های مستقل از محتوا همانند اندازه بسته، فاصله زمانی بین ورود بسته‎ها و غیره نشات می‎گیرند. در این پژوهش، ترافیک رمز شده TOR (ترافیک‎ افزونه‎های Obfs3 و Scramblesuit) با استفاده از این روش‎ها مورد شناسایی و دسته‎بندی قرار می‎گیرد. بدین منظور از شش الگوریتم یادگیری ماشین و 40 ویژگی آماری استفاده شده است. برای این‎که بتوانیم به صورت آنلاین ترافیک TOR را از ترافیک‎های پس‎زمینه شناسایی کنیم، از چند بسته ابتدایی جریان استفاده می‎کنیم. در ابتدا جریان‎ها را با استفاده از 40 ویژگی آماری دسته‎بندی می‎کنیم و سپس به منظور کاهش تعداد ویژگی‎های استفاده‎شده، دسته‎بندی با استفاده از حداقل 8 و حداکثر 12 ویژگی انجام می‎شود. نتایج به دست آمده حاکی از آن است که می‎توان به خوبی ترافیک TOR را با استفاده از چند بسته ابتدایی جریان شناسایی کرد.