流量混淆方法及装置与流程

1.本发明涉及通信技术领域，尤其涉及一种流量混淆方法及装置。


背景技术：

2.信息技术时代，在传统的pc、服务器之外，智能手机保有量不断增加。新的智能设备在智慧家居、智慧城市、车联网中不断涌现。同时，5g的普及也让应用的流量有着爆炸式的增长。这些应用的流量中包含着大量的用户隐私和行为数据，容易遭受网络攻击者的嗅探和窃听。攻击者可以通过网络流量分析识别和提取用户的隐私和行为数据。
3.流量混淆可以在数据的传输过程中，有效的应对隐私泄露风险，保护用户的隐私和行为数据不被窃取。
4.典型的流量混淆技术有随机化、拟态和隧道三种技术。而对流量混淆技术的识别主要有深度包检查技术(dpi)，基于行为模式的识别技术，基于机器学习的流量识别技术。
5.现有的混淆技术没有综合考虑混淆和加密的应用，综合逆向技术的实施会导致一些明文信息泄露。另外，有些混淆需要携带大量的参数，会引入一些新的数据特征，大量随机数据的引入会导致网络吞吐量的降低和更多的资源开销。


技术实现要素：

6.本发明提供一种流量混淆方法及装置，用以解决现有技术中可能导致明文信息泄露，引入新的数据特征，导致网络吞吐量下降和增加资源开销的缺陷，实现更好的流量混淆效果。
7.本发明提供一种流量混淆方法，包括：
8.对输入流量进行混淆处理，确定第一混淆数据；
9.对所述第一混淆数据添加特征信息，确定第二混淆数据；
10.对所述第二混淆数据进行混淆处理，确定第三混淆数据；
11.对所述第三混淆数据进行加密处理，确定目标数据。
12.在一些实施例中，所述对输入流量进行混淆处理，确定第一混淆数据，包括：
13.基于预设混淆方法列表，对输入流量进行混淆处理，确定第一混淆数据；
14.其中，所述预设混淆方法列表包括混淆方法、混淆方法id以及所述混淆方法对应的混淆参数。
15.在一些实施例中，所述混淆方法包括以下至少一项：
16.随机密钥混淆、流量交织混淆、切割变形混淆或闲时流量伪装。
17.在一些实施例中，所述对所述第一混淆数据添加特征信息，确定第二混淆数据，包括：
18.对所述第一混淆数据添加流量地址、协议、混淆方法id和混淆参数信息，确定第二混淆数据。
19.在一些实施例中，所述对所述第三混淆数据进行加密处理，确定目标数据，包括：
20.基于预设加密方法列表，对所述第三混淆数据进行加密处理，确定目标数据；
21.其中，所述预设加密方法列表包括加密方法、加密方法id以及所述加密方法对应的加密参数。
22.本发明还提供一种流量混淆装置，包括：
23.第一确定模块，用于对输入流量进行混淆处理，确定第一混淆数据；
24.第二确定模块，用于对所述第一混淆数据添加特征信息，确定第二混淆数据；
25.第三确定模块，用于对所述第二混淆数据进行混淆处理，确定第三混淆数据；
26.第四确定模块，用于对所述第三混淆数据进行加密处理，确定目标数据。
27.在一些实施例中，所述第一确定模块具体用于：
28.基于预设混淆方法列表，对输入流量进行混淆处理，确定第一混淆数据；
29.其中，所述预设混淆方法列表包括混淆方法、混淆方法id以及所述混淆方法对应的混淆参数。
30.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述流量混淆方法。
31.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述流量混淆方法。
32.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述流量混淆方法。
33.本发明提供的流量混淆方法及装置，通过对智能设备的流量进行多次混淆处理和加密处理，可以防止明文信息泄露，能够有效抵御对用户数据的分析和提取，实现对用户数据和隐私行为的保护。
附图说明
34.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1是本发明提供的流量混淆方法的流程示意图之一；
36.图2是本发明提供的流量混淆系统的结构示意图；
37.图3是本发明提供的流量混淆方法的流程示意图之二；
38.图4是本发明提供的流量混淆装置的结构示意图；
39.图5是本发明提供的电子设备的结构示意图。
具体实施方式
40.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.下面结合图1-图5描述本发明的提供的流量混淆方法及装置。
42.图1是本发明提供的流量混淆方法的流程示意图之一，参考图1，本发明提供的流量混淆方法，可以包括：
43.步骤110、对输入流量进行混淆处理，确定第一混淆数据；
44.步骤120、对第一混淆数据添加特征信息，确定第二混淆数据；
45.步骤130、对第二混淆数据进行混淆处理，确定第三混淆数据；
46.步骤140、对第三混淆数据进行加密处理，确定目标数据。
47.需要说明的是，本发明提供的流量混淆方法的执行主体可以是电子设备、电子设备中的部件、集成电路、或芯片。该电子设备可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本或者个人数字助理(personal digital assistant，pda)等，非移动电子设备可以为服务器、网络附属存储器(network attached storage，nas)、个人计算机(personal computer，pc)、电视机(television，tv)、柜员机或者自助机等，本发明不作具体限定。
48.在步骤110中，对输入流量进行混淆处理，确定第一混淆数据。
49.输入流量可以是用户使用智能设备时所产生的流量，输入流量中包含着大量的用户隐私和行为数据。
50.对输入流量进行初步的混淆处理，消除输入流量的原始消息特征和行为特征，生成第一混淆数据。
51.在步骤120中，对第一混淆数据添加特征信息，确定第二混淆数据。
52.对第一混淆数据添加特征信息，生成第二混淆数据。特征信息可以是流量的地址、协议、混淆方法id、混淆参数信息等，使得消息可以送达正确的目的地，并被正确的恢复。
53.在步骤130中，对第二混淆数据进行混淆处理，确定第三混淆数据。
54.对第二混淆数据进行进一步的混淆，以消除在步骤120中引入的消息特征，生成第三混淆数据。
55.在步骤140中，对第三混淆数据进行加密处理，确定目标数据。
56.对第三混淆数据进行加密处理，生成目标数据，以消除消息的明文特征。
57.生成的目标数据发送给传输模块连接，最后发送给对端的反混淆器进行相应的逆处理后发送给正确的目的地。
58.本发明实施例提供的流量混淆方法，通过对智能设备的流量进行多次混淆处理和加密处理，可以防止明文信息泄露，能够有效抵御对用户数据的分析和提取，实现对用户数据和隐私行为的保护。
59.在一些实施例中，对输入流量进行混淆处理，确定第一混淆数据，包括：
60.基于预设混淆方法列表，对输入流量进行混淆处理，确定第一混淆数据；
61.其中，预设混淆方法列表包括混淆方法、混淆方法id以及混淆方法对应的混淆参数。
62.预设混淆方法列表中包括一个或多个混淆方法，根据预设混淆方法列表中的混淆方法，依次对输入流量进行混淆处理，得到初步混淆后的第一混淆数据。
63.可理解地，在预设混淆方法列表中，混淆方法按照预设顺序进行排序，预设混淆方
法列表包括混淆方法、混淆方法id以及混淆方法对应的混淆参数。
64.根据预设混淆方法列表中的顺序，依次采用其中的混淆方法输入的流量进行混淆处理，消除输入流量的原始消息特征和行为特征，得到初步混淆后的第一混淆数据。
65.在一些实施例中，混淆方法包括以下至少一项：
66.随机密钥混淆、流量交织混淆、切割变形混淆或闲时流量伪装。
67.随机序列混淆，是将输入数据与一个随机序列进行加密处理，这里不指定随机序列的生成方式。典型的有两种方式：随机序列可以是一个伪随机数生成器和一个随机的种子生成的固定的数值串，随机序列也可以是一个字典和一个随机的偏移量，随机密钥和字典本身不作为流量发送，加密处理可以是任何可逆的运算，可以是异或、加法或循环移位。
68.下面作为一个例子进行更具体的说明：
69.输入为8比特字节序列为：s1，s2，
…
，sn；
70.字典混淆参数：数据文件a.dat；
71.字典从随机偏移量rn开始的8比特字节序列为：d1，d2，
…
，dn；
72.混淆使用的加密处理是模256的加法；
73.生成的8比特字节序列为：(s1+d1)mod 256，(s2+d2)mod 256，
…
，(sn+dn)mod 256。
74.流量交织混淆将用户不同流的数据交织在一起，这些数据可以是不同的协议，对于两个流的数据交织，输出的结果可以是这样的：第一个字节是流a的第一个字节，第二个字节是流b的第一个字节，第三个字节是流a的第二个字节，第四个字节是流b的第二个字节，依次类推。
75.下面作为一个例子进行更具体的说明：
76.三个流：ftp数据流a、http流b、https流c；
77.每个流的数据分成固定大小为m的数据块：
78.a1，a2，
…
，ai，...
79.b1，b2，
…
，bi，
…
80.c1，c2，
…
，ci，
…
81.其中的数据块ai，bi，ci为8比特字节序列：
82.ai1，ai2，
…
aim
83.bi1，bi2，
…
bim
84.ci1，ci2，
…
cim
85.交织后的数据块oi为
86.ai1，bi1，ci1，
…
aim，bim，cim
87.实际中每个流的数据块可能和任意流的数据块进行交织。
88.流量交织混淆通过混淆用户不同流的数据消除数据特征，同时没有引入大量的随机数据，可以避免网络吞吐量降低和资源开销增大。
89.切割变形混淆，是将输入数据排列为x*y的字节矩阵，不足的进行填充，将其切割为m*n个小矩阵，对这些小矩阵进行行列移位处理。
90.下面作为一个例子进行更具体的说明：
91.输入为8比特字节序列为：s1，s2，
…
，sn，其中n为1400；
92.排列为20*70的8比特字节矩阵：
93.s1，
…
，s70
94.……
95.s1331，
…
，s1400
96.切割为2*7个小矩阵，每个小矩阵是10*10；
97.m1，m2，m3，m4，m5，m6，m7
98.m8，m9，m10，m11，m12，m13，m14
99.行列移位处理，从每一行开始交换2个矩阵，生成：
100.m2，m1，m4，m3，m6，m5，m7
101.m9，m8，m11，m10，m13，m12，m14
102.闲时流量伪装，超过时间阈值没有输入数据或单位时间内平均流量速率低于速率阈值时生成随机流量，以掩盖原始数据产生频率。闲时流量伪装只在必要的时候生成随机数据，可以避免影响系统正常使用。
103.混淆方法包括但不限于以上四种混淆方法，各混淆方法可以按预设混淆方法列表制定的顺序进行叠加使用。
104.本发明实施例提供的流量混淆方法，通过预设混淆方法列表中的多种混淆方法对智能设备的流量进行混淆处理，可以消除应用载荷的原始消息和行为特征，能够有效抵御对用户数据的分析和提取，实现对用户数据和隐私行为的保护。
105.在一些实施例中，对第一混淆数据添加特征信息，确定第二混淆数据，包括：
106.对第一混淆数据添加流量地址、协议、混淆方法id和混淆参数信息，确定第二混淆数据。
107.对第一混淆数据添加流量的地址、协议、混淆方法id，流量的地址、协议，可以使用会话id进行关联。混淆方法id，关联着混淆方法和混淆参数。
108.下面作为一个例子进行更具体的说明：
109.某次混淆生成的数据添加信息后如下：
110.会话id1||会话id2||混淆方法id1||混淆后的数据块。
111.本发明实施例提供的流量混淆方法，通过对混淆后的数据添加流量的地址、协议、混淆方法id、混淆参数信息，使得消息可以送达正确的目的地，并被正确的恢复。
112.在一些实施例中，对第三混淆数据进行加密处理，确定目标数据，包括：
113.基于预设加密方法列表，对第三混淆数据进行加密处理，确定目标数据；
114.其中，预设加密方法列表包括加密方法、加密方法id以及加密方法对应的加密参数。
115.预设加密方法列表中包括一个或多个加密方法，根据预设加密方法列表中的加密方法，依次对输入的第三混淆数据进行加密处理，得到最终的目标数据。
116.可理解地，在预设加密方法列表中，加密方法按照预设顺序进行排序，预设加密方法列表包括加密方法、加密方法id以及加密方法对应的加密参数。
117.根据预设加密方法列表中的顺序，依次采用其中的加密方法对第三混淆数据进行加密处理，得到最终的目标数据。
118.本发明实施例提供的流量混淆方法，通过在对输入的流量进行混淆处理后，再进
行加密处理，综合考虑混淆和加密的应用，基于多种混淆和加密手段对用户的数据进行混淆保护，可以应对用户隐私和行为数据的泄露风险。
119.图2是本发明提供的流量混淆系统的结构示意图，参照图2，本发明提供的流量混淆系统，可以包括：
120.第一混淆模块、代理模块、第二混淆模块、加密模块和混淆策略服务器。
121.第一混淆模块与代理模块交互，实现对用户载荷数据的初步混淆；
122.代理模块与第二混淆模块交互，给初步混淆的数据添加特征信息，使得消息可以送达正确的目的地，并被正确的恢复；
123.第二混淆模块和加密模块进行交互，对代理模块生成的输入数据进一步的混淆以消除代理模块引入的消息特征，并将生成的数据发送给加密模块；
124.加密模块和混淆策略服务器进行交互，对第二混淆模块生成的数据进行加密处理，以消除消息的明文特征；
125.混淆策略服务器和第一混淆模块、第二混淆模块和加密模块进行交互，将混淆方法、混淆参数、加密方法、加密参数进行下发。
126.本发明提供的流量混淆系统可以分为混淆策略同步阶段和数据处理阶段。
127.1.在混淆策略同步阶段，混淆策略服务器与第一混淆模块、第二混淆模块、加密模块进行通信，同步混淆策略。
128.混淆策略包括一个有序的混淆或加密方法列表，每个混淆方法包括混淆方法id、对应的混淆参数；每个加密方法包括加密方法id、对应的加密参数。
129.第一混淆模块、第二混淆模块、加密模块根据这个列表执行一系列的混淆或加密处理。
130.第一混淆模块、代理模块、第二混淆模块、加密模块组成混淆客户端。混淆客户端位于靠近用户设备的一端，对应的混淆服务器位于远离用户设备的另一端。
131.混淆客户端对上行数据进行混淆处理，对下行数据进行相应的解混淆处理。混淆服务器和混淆客户端完成的工作类似，对上行数据进行解混淆处理，对于下行数据进行混淆处理。
132.混淆客户端和混淆策略服务器有着初始同步的混淆策略。
133.混淆策略服务器可以按照用户的需求更改混淆策略。新的混淆策略会下发到混淆客户端和混淆服务器，同步完成后即可使用新的混淆策略。
134.混淆策略服务器还可以周期性的变更混淆策略，以增加流量识别的难度。
135.2.在数据处理阶段，用户的载荷数据首先进入第一混淆模块，经过随机加密混淆、流量交织混淆、切割变形混淆、闲时流量伪装这些混淆操作。
136.代理模块给第一混淆模块生成的数据添加流量的地址、协议、混淆方法id，使得消息可以送达正确的目的地。
137.第二混淆模块对代理模块生成的输入数据进行进一步的混淆，以消除代理模块引入的消息特征。
138.加密模块对第二混淆模块生成的数据进行加密处理，以消除消息的明文特征。
139.本发明实施例提供的流量混淆系统，通过综合考虑混淆和加密的应用，通过第一混淆模块、第二混淆模块、加密模块处理，防止明文信息泄露。使用混淆策略服务器同步大
部分混淆和加密参数，已同步的参数不用在流量中携带，只需要携带即使生成的参数。
140.此外，流量交织混淆通过混淆用户不同流的数据消除数据特征，没有引入大量的随机数据，闲时流量伪装只在必要的时候生成随机数据，避免影响系统正常使用，避免网络吞吐量降低和资源开销增大。
141.图3是本发明提供的流量混淆方法的流程示意图之二，参照图3，本发明提供的流量混淆方法，可以包括：
142.步骤310、接收混淆策略服务器的混淆策略，对输入流量进行混淆处理，包括随机密钥混淆、流量交织混淆、切割变形混淆、闲时流量伪装中的一种或多种；
143.步骤320、对输入数据添加流量的地址、协议、混淆方法id、混淆参数信息；
144.步骤330、接收混淆策略服务器的混淆策略，对输入数据进行二次混淆以消除代理模块引入的消息特征；
145.步骤340、对输入数据进行加密处理，以消除消息的明文特征。
146.本发明实施例提供的流量混淆方法，通过对智能设备的流量进行多次混淆处理和加密处理，可以防止明文信息泄露，能够有效抵御对用户数据的分析和提取，实现对用户数据和隐私行为的保护。
147.下面对本发明提供的流量混淆装置进行描述，下文描述的流量混淆装置与上文描述的流量混淆方法可相互对应参照。
148.图4是本发明提供的流量混淆装置的结构示意图，参照图4，本发明提供的流量混淆装置，可以包括：
149.第一确定模块410，用于对输入流量进行混淆处理，确定第一混淆数据；
150.第二确定模块420，用于对第一混淆数据添加特征信息，确定第二混淆数据；
151.第三确定模块430，用于对第二混淆数据进行混淆处理，确定第三混淆数据；
152.第四确定模块440，用于对第三混淆数据进行加密处理，确定目标数据。
153.本发明实施例提供的流量混淆装置，通过对智能设备的流量进行多次混淆处理和加密处理，可以防止明文信息泄露，能够有效抵御对用户数据的分析和提取，实现对用户数据和隐私行为的保护。
154.在一些实施例中，第一确定模块410具体用于：
155.基于预设混淆方法列表，对输入流量进行混淆处理，确定第一混淆数据；
156.其中，预设混淆方法列表包括混淆方法、混淆方法id以及混淆方法对应的混淆参数。
157.在一些实施例中，混淆方法包括以下至少一项：
158.随机密钥混淆、流量交织混淆、切割变形混淆或闲时流量伪装。
159.在一些实施例中，第二确定模块420具体用于：
160.对第一混淆数据添加流量地址、协议、混淆方法id和混淆参数信息，确定第二混淆数据。
161.在一些实施例中，第四确定模块440具体用于：
162.基于预设加密方法列表，对第三混淆数据进行加密处理，确定目标数据；
163.其中，预设加密方法列表包括加密方法、加密方法id以及加密方法对应的加密参数。
164.图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(communications interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行流量混淆方法，该方法包括：
165.对输入流量进行混淆处理，确定第一混淆数据；
166.对第一混淆数据添加特征信息，确定第二混淆数据；
167.对第二混淆数据进行混淆处理，确定第三混淆数据；
168.对第三混淆数据进行加密处理，确定目标数据。
169.此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
170.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的流量混淆方法，该方法包括：
171.对输入流量进行混淆处理，确定第一混淆数据；
172.对第一混淆数据添加特征信息，确定第二混淆数据；
173.对第二混淆数据进行混淆处理，确定第三混淆数据；
174.对第三混淆数据进行加密处理，确定目标数据。
175.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的流量混淆方法，该方法包括：
176.对输入流量进行混淆处理，确定第一混淆数据；
177.对第一混淆数据添加特征信息，确定第二混淆数据；
178.对第二混淆数据进行混淆处理，确定第三混淆数据；
179.对第三混淆数据进行加密处理，确定目标数据。
180.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
181.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指
令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
182.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。