信息化觀察網(wǎng)

我們看到的大多數(shù)深度學(xué)習(xí)應(yīng)用程序通常面向市場(chǎng)、銷售、金融等領(lǐng)域，但在使用深度學(xué)習(xí)來(lái)保護(hù)這些領(lǐng)域的產(chǎn)品和業(yè)務(wù)、避免惡意軟件和黑客攻擊方面，則鮮有文章或資源。

像谷歌、臉譜、微軟和SalesForce這樣的大型科技公司已經(jīng)將深度學(xué)習(xí)嵌入他們的產(chǎn)品之中，但網(wǎng)絡(luò)安全行業(yè)仍在迎頭趕上。這是一個(gè)具有挑戰(zhàn)性的領(lǐng)域，需要我們?nèi)﹃P(guān)注。

本文中，我們簡(jiǎn)要介紹深度學(xué)習(xí)（Deep Learning，DL）以及它支持的一些現(xiàn)有信息安全（此處稱為InfoSec）應(yīng)用。然后，我們深入研究匿名TOR流量檢測(cè)這個(gè)有趣的問(wèn)題，并提出一個(gè)基于深度學(xué)習(xí)的TOR流量檢測(cè)方案。

本文的目標(biāo)讀者是已經(jīng)從事機(jī)器學(xué)習(xí)項(xiàng)目的數(shù)據(jù)科學(xué)專業(yè)人員。本文內(nèi)容假設(shè)您具備機(jī)器學(xué)習(xí)的基礎(chǔ)知識(shí)，而且當(dāng)前是深度學(xué)習(xí)和其應(yīng)用案例的初學(xué)者或探索者。

為了能夠充分理解本文，強(qiáng)烈推薦預(yù)讀以下兩篇文章：

《使用數(shù)據(jù)科學(xué)解開(kāi)信息安全的神秘面紗》

《深度學(xué)習(xí)的基礎(chǔ)知識(shí)-激活功能以及何時(shí)使用它們》

目錄

一、信息安全領(lǐng)域中深度學(xué)習(xí)系統(tǒng)的現(xiàn)狀

二、前饋神經(jīng)網(wǎng)絡(luò)概述

三、案例研究：使用深度學(xué)習(xí)檢測(cè)TOR流量

四、數(shù)據(jù)實(shí)驗(yàn)-TOR流量檢測(cè)

一、信息安全領(lǐng)域中深度學(xué)習(xí)系統(tǒng)的現(xiàn)狀

深度學(xué)習(xí)不是解決所有信息安全問(wèn)題的“靈丹妙藥”，因?yàn)樗枰獜V泛的標(biāo)注數(shù)據(jù)集。不幸的是，沒(méi)有這樣的標(biāo)記數(shù)據(jù)集可供使用。但是，有幾個(gè)深度學(xué)習(xí)網(wǎng)絡(luò)對(duì)現(xiàn)有解決方案做出重大改進(jìn)的信息安全案例。惡意軟件檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)恰是兩個(gè)這樣的領(lǐng)域，深度學(xué)習(xí)已經(jīng)顯示出比基于規(guī)則和經(jīng)典機(jī)器學(xué)習(xí)的解決方案有更顯著的改進(jìn)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常是基于規(guī)則和簽名的控件，它們部署在外圍以檢測(cè)已知威脅。攻擊者改變惡意軟件簽名，就可以輕易地避開(kāi)傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。Quamar等[1]在他們的IEEE學(xué)報(bào)論文中指出，有望采用自學(xué)的基于深度學(xué)習(xí)的系統(tǒng)來(lái)檢測(cè)未知的網(wǎng)絡(luò)入侵。基于深度神經(jīng)網(wǎng)絡(luò)的系統(tǒng)已經(jīng)用來(lái)解決傳統(tǒng)安全應(yīng)用問(wèn)題，例如檢測(cè)惡意軟件和間諜軟件[2]。

與傳統(tǒng)的機(jī)器學(xué)習(xí)方法相比，基于深度學(xué)習(xí)的技術(shù)的泛化能力更好。Jung等[3]基于深度學(xué)習(xí)的系統(tǒng)甚至可以檢測(cè)零日惡意軟件。畢業(yè)于巴塞羅那大學(xué)的Daniel已經(jīng)做了大量有關(guān)CNN（Convolutional Neural Networks，卷積神經(jīng)網(wǎng)絡(luò)）和惡意軟件檢測(cè)的工作。他在博士論文中提及，CNNs甚至可以檢測(cè)變形惡意軟件。

現(xiàn)在，基于深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)正在用戶和實(shí)體行為分析（User and Entity Behaviour Analytics，UEBA）中使用。傳統(tǒng)上，UEBA采用異常檢測(cè)和機(jī)器學(xué)習(xí)算法。這些算法提取安全事件以分析和基線化企業(yè)IT環(huán)境中的每一個(gè)用戶和網(wǎng)絡(luò)元素。任何偏離基線的重大偏差都會(huì)被觸發(fā)為異常，進(jìn)一步引發(fā)安全分析師調(diào)查警報(bào)。UEBA強(qiáng)化了內(nèi)部威脅的檢測(cè)，盡管程度有限。

現(xiàn)在，基于深度學(xué)習(xí)的系統(tǒng)被用來(lái)檢測(cè)許多其他類型的異常。波蘭華沙大學(xué)的Pawel Kobojek[4]使用擊鍵動(dòng)力學(xué)來(lái)驗(yàn)證用戶是否使用LSTM網(wǎng)絡(luò)。Capital one安全數(shù)據(jù)工程總監(jiān)JasonTrost 發(fā)表了幾篇博客[5]，其中包含一系列有關(guān)深度學(xué)習(xí)在InfoSec應(yīng)用的技術(shù)論文和演講。

二、前饋神經(jīng)網(wǎng)絡(luò)概述

人工神經(jīng)網(wǎng)絡(luò)的靈感來(lái)自生物神經(jīng)網(wǎng)絡(luò)。神經(jīng)元是生物神經(jīng)系統(tǒng)的基本單元。每一個(gè)神經(jīng)元由樹(shù)突、細(xì)胞核和軸突組成。它通過(guò)樹(shù)突接收信號(hào)，并通過(guò)軸突進(jìn)行傳遞（圖1）。計(jì)算在核中進(jìn)行。整個(gè)網(wǎng)絡(luò)由一系列神經(jīng)元組成。

AI研究人員借用這個(gè)原理設(shè)計(jì)出人工神經(jīng)網(wǎng)絡(luò)（Artificial Neural Network，ANN）。在這樣的設(shè)置下，每個(gè)神經(jīng)元完成三個(gè)動(dòng)作：

它收集來(lái)自其他不同神經(jīng)元的輸入或者經(jīng)過(guò)加權(quán)處理的輸入

它對(duì)所有的輸入進(jìn)行求和

基于求和值，它調(diào)用激活函數(shù)

因此，每個(gè)神經(jīng)元可以把一組輸入歸為一類或者其他類。當(dāng)僅使用單個(gè)神經(jīng)元時(shí)，這種能力會(huì)受到限制。但是，使用一組神經(jīng)元足以使其成為分類和序列標(biāo)記任務(wù)的強(qiáng)大機(jī)制。

圖1：我們能獲得的最大靈感來(lái)自大自然——圖中描繪了一個(gè)生物神經(jīng)元和一個(gè)人工神經(jīng)元

可以使用神經(jīng)元層來(lái)構(gòu)建神經(jīng)網(wǎng)絡(luò)。網(wǎng)絡(luò)需要實(shí)現(xiàn)的目標(biāo)不同，其架構(gòu)也是不同的。常見(jiàn)的網(wǎng)絡(luò)架構(gòu)是前饋神經(jīng)網(wǎng)絡(luò)（Feed ForWard Neural Network，F(xiàn)FN）。神經(jīng)元在無(wú)環(huán)的情況下線性排列，形成FFN。因?yàn)樾畔⒃诰W(wǎng)絡(luò)內(nèi)部向前傳播，它被稱為前饋。信息首先經(jīng)過(guò)輸入神經(jīng)元層，然后經(jīng)過(guò)隱藏神經(jīng)元層和輸出神經(jīng)元層（圖2）。

圖2：具有兩個(gè)隱藏層的前饋網(wǎng)絡(luò)

與任何監(jiān)督學(xué)習(xí)模型一樣，F(xiàn)FN需要使用標(biāo)記的數(shù)據(jù)進(jìn)行訓(xùn)練。訓(xùn)練的形式是通過(guò)減少輸出值和真值之間的誤差來(lái)優(yōu)化參數(shù)。要優(yōu)化的一個(gè)重要參數(shù)是每個(gè)神經(jīng)元賦予其每個(gè)輸入信號(hào)的權(quán)重。對(duì)于單個(gè)神經(jīng)元來(lái)說(shuō)，使用權(quán)重可以很容易地計(jì)算出誤差。

然而，在多層中調(diào)整一組神經(jīng)元時(shí)，基于輸出層算出的誤差來(lái)優(yōu)化多層中神經(jīng)元的權(quán)重是具有挑戰(zhàn)性的。反向傳播算法有助于解決這個(gè)問(wèn)題[6]。反向傳播是一項(xiàng)舊技術(shù)，屬于計(jì)算機(jī)代數(shù)的分支。這里，自動(dòng)微分法用來(lái)計(jì)算梯度。網(wǎng)絡(luò)中計(jì)算權(quán)重的時(shí)候需要用到梯度。

在FFN中，基于每個(gè)連接神經(jīng)元的激活獲得結(jié)果。誤差逐層傳播?；谳敵雠c最終結(jié)果的正確性，計(jì)算誤差。接著，將此誤差反向傳播，以修正內(nèi)部神經(jīng)元的誤差。對(duì)于每個(gè)數(shù)據(jù)實(shí)例來(lái)說(shuō)，參數(shù)是經(jīng)過(guò)多次迭代優(yōu)化出來(lái)的。

三、案例研究：使用深度學(xué)習(xí)檢測(cè)TOR流量

網(wǎng)絡(luò)攻擊的主要目的是竊取企業(yè)用戶數(shù)據(jù)、銷售數(shù)據(jù)、知識(shí)產(chǎn)權(quán)文件、源代碼和軟件秘鑰。攻擊者使用加密流量將被盜數(shù)據(jù)混夾在常規(guī)流量中，傳輸?shù)竭h(yuǎn)程服務(wù)器上。

大多數(shù)經(jīng)常攻擊的攻擊者使用匿名網(wǎng)絡(luò)，使得安全保護(hù)人員難以跟蹤流量。此外，被盜數(shù)據(jù)通常是加密的，這使得基于規(guī)則的網(wǎng)絡(luò)入侵工具和防火墻失效。最近，匿名網(wǎng)絡(luò)以勒索軟件/惡意軟件的變體形式用于C&C。例如，洋蔥勒索[7]使用TOR網(wǎng)絡(luò)和其C&C服務(wù)器進(jìn)行通信。

圖3：Alice與目標(biāo)服務(wù)器之間TOR通信的說(shuō)明。通信開(kāi)始于Alice向服務(wù)器請(qǐng)求一個(gè)地址。TOR網(wǎng)絡(luò)給出AES加密的路徑。路徑的隨機(jī)化發(fā)生在TOR網(wǎng)絡(luò)內(nèi)部。包的加密路徑用紅色顯示。當(dāng)?shù)竭_(dá)TOR網(wǎng)絡(luò)的出口節(jié)點(diǎn)時(shí)，將簡(jiǎn)單分組轉(zhuǎn)發(fā)給服務(wù)器。出口節(jié)點(diǎn)是TOR網(wǎng)絡(luò)的外圍節(jié)點(diǎn)。

匿名網(wǎng)絡(luò)/流量可以通過(guò)多種方式完成，它們大體可分為：

基于網(wǎng)絡(luò)（TOR,I2P,Freenet）

基于自定義系統(tǒng)（子圖操作系統(tǒng)，F(xiàn)reepto）

其中，TOR是比較流行的選擇之一。TOR是一款免費(fèi)軟件，能夠通過(guò)稱為洋蔥路由協(xié)議的專用路由協(xié)議在互聯(lián)網(wǎng)上進(jìn)行匿名通信[9]。該協(xié)議依賴于重定向全球范圍內(nèi)多個(gè)免費(fèi)托管中繼的互聯(lián)網(wǎng)流量。在中繼期間，就像洋蔥皮的層一樣，每個(gè)HTTP包使用接收器的公鑰加密。

在每個(gè)接收點(diǎn)，使用私鑰對(duì)數(shù)據(jù)包進(jìn)行解密。解密后，下一個(gè)目標(biāo)中繼地址就會(huì)披露出來(lái)。這個(gè)過(guò)程會(huì)持續(xù)下去，直到找到TOR網(wǎng)絡(luò)的出口節(jié)點(diǎn)為止。在這里數(shù)據(jù)包解密結(jié)束，一個(gè)簡(jiǎn)單的HTTP數(shù)據(jù)包會(huì)被轉(zhuǎn)發(fā)到原始目標(biāo)服務(wù)器。在圖3中展示了Alice和服務(wù)器之間的一個(gè)示例路由方案。

啟動(dòng)TOR最初的目的是保護(hù)用戶隱私。但是，攻擊者卻用它代替其他不法方式，來(lái)威逼善良的人。截至2016年，約有20%的TOR流量涉及非法活動(dòng)。在企業(yè)網(wǎng)絡(luò)中，通過(guò)不允許安裝TOR客戶端或者攔截保護(hù)或入口節(jié)點(diǎn)的IP地址來(lái)屏蔽TOR流量。

不管怎樣，有許多手段可以讓攻擊者和惡意軟件訪問(wèn)TOR網(wǎng)絡(luò)以傳輸數(shù)據(jù)和信息。IP攔截策略不是一個(gè)合理的策略。一篇來(lái)自Distil網(wǎng)站[5]的自動(dòng)程序情勢(shì)不佳報(bào)告顯示，2017年70%的自動(dòng)攻擊使用多個(gè)IP，20%的自動(dòng)攻擊使用超過(guò)100個(gè)IP。

可以通過(guò)分析流量包來(lái)檢測(cè)TOR流量。這項(xiàng)分析可以在TOR 節(jié)點(diǎn)上進(jìn)行，也可以在客戶端和入口節(jié)點(diǎn)之間進(jìn)行。分析是在單個(gè)數(shù)據(jù)包流上完成的。每個(gè)數(shù)據(jù)包流構(gòu)成一個(gè)元組，這個(gè)元組包括源地址、源端口、目標(biāo)地址和目標(biāo)端口。

提取不同時(shí)間間隔的網(wǎng)絡(luò)流，并對(duì)其進(jìn)行分析。G.He等人在他們的論文“從TOR加密流量中推斷應(yīng)用類型信息”中提取出突發(fā)的流量和方向，以創(chuàng)建HMM（Hidden Markov Model，隱馬爾科夫模型）來(lái)檢測(cè)可能正在產(chǎn)生那些流量的TOR應(yīng)用程序。這個(gè)領(lǐng)域中大部分主流工作都利用時(shí)間特征和其他特征如大小、端口信息來(lái)檢測(cè)TOR流量。

我們從Habibi等人的“利用時(shí)間特征來(lái)發(fā)現(xiàn)TOR流量的特點(diǎn)”論文中得到啟發(fā)，并遵循基于時(shí)間的方法提取網(wǎng)絡(luò)流，用于本文TOR流量的檢測(cè)。但是，我們的架構(gòu)使用了大量可以獲得的其他元信息，來(lái)對(duì)流量進(jìn)行分類。這本質(zhì)上是由于我們已經(jīng)選擇使用深度學(xué)習(xí)架構(gòu)來(lái)解決這個(gè)問(wèn)題。

四、數(shù)據(jù)實(shí)驗(yàn)-TOR流量檢測(cè)

為了完成本文的數(shù)據(jù)實(shí)驗(yàn)，我們從紐布倫斯威克大學(xué)的Habibi Lashkari等人[11]那里獲取了數(shù)據(jù)。他們的數(shù)據(jù)由從校園網(wǎng)絡(luò)流量分析中提取的特征組成。從數(shù)據(jù)中提取的元信息如下表所示：

元信息參數(shù)

參數(shù)解釋

FIAT

前向中間達(dá)到時(shí)間，向前發(fā)送兩個(gè)數(shù)據(jù)包之間的時(shí)間（平均值，最大值，最小值，標(biāo)準(zhǔn)方差）

BIAT

后向中間達(dá)到時(shí)間，向后發(fā)送兩個(gè)數(shù)據(jù)包之間的時(shí)間（平均值，最大值，最小值，標(biāo)準(zhǔn)方差）

FLOWIAT

流中間達(dá)到時(shí)間，向任何一個(gè)方向發(fā)送兩個(gè)數(shù)據(jù)包之間的時(shí)間（平均值，最大值，最小值，標(biāo)準(zhǔn)方差）

ACTIVE

時(shí)間量，在變成空閑之前的活躍時(shí)間

IDLE

時(shí)間量，在變成空閑之前的活躍時(shí)間

FB PSEC

每秒流字節(jié)數(shù)。每秒流量包。持續(xù)時(shí)間：數(shù)據(jù)流的持續(xù)時(shí)間。

表1：從[ 1 ]獲得的元信息參數(shù)

除了這些參數(shù)之外，其他基于流的參數(shù)也包括在內(nèi)。圖4顯示了一個(gè)數(shù)據(jù)集的樣例。

圖4：本文使用的數(shù)據(jù)集實(shí)例

請(qǐng)注意，源IP/端口、目標(biāo)IP/端口和協(xié)議字段已經(jīng)從實(shí)例中刪除，因?yàn)樗鼈儠?huì)導(dǎo)致模型過(guò)擬合。我們使用具有N隱藏層的深度前饋神經(jīng)網(wǎng)絡(luò)來(lái)處理其他所有特征。神經(jīng)網(wǎng)絡(luò)的架構(gòu)如圖5所示。

圖5：用于Tor流量檢測(cè)的深度學(xué)習(xí)網(wǎng)絡(luò)表示。

隱藏層層數(shù)在2和10之間變化。當(dāng)N=5時(shí)是最優(yōu)的。為了激活，線性整流函數(shù)（Rectified Linear Unit, ReLU）用于所有隱藏層。隱藏層每一層實(shí)際上都是密集的，有100個(gè)維度。

Keras中的FFN的Python代碼片段：

model = Sequential()

model.add(Dense(feature_dim, input_dim= feature_dim, kernel_initializer='normal', activation='relu'))

for _ in range(0, hidden_layers-1):

model.add(Dense(neurons_num, kernel_initializer='normal', activation='relu'))

model.add(Dense(1,kernel_initializer='normal', activation='sigmoid'))

model.compile(optimizer='adam', loss='binary_crossentropy', metrics=["accuracy"])

輸出節(jié)點(diǎn)由Sigmoid函數(shù)激活。這被用來(lái)輸出二分類結(jié)果-TOR或非TOR。

我們?cè)诤蠖耸褂脦в蠺ensorFlow的Keras來(lái)訓(xùn)練深度學(xué)習(xí)模塊。使用二元交叉熵?fù)p失來(lái)優(yōu)化FFN。模型會(huì)被訓(xùn)練不同次數(shù)。圖7顯示，在一輪仿真訓(xùn)練中，隨著訓(xùn)練次數(shù)的增加，性能也在增加，損失值也在下降。

圖7：網(wǎng)絡(luò)訓(xùn)練過(guò)程中Tensorboard生成的靜態(tài)圖

我們將深度學(xué)習(xí)系統(tǒng)的結(jié)果與其他預(yù)測(cè)系統(tǒng)進(jìn)行了比較。使用召回率（Recall）、精準(zhǔn)率（Precision）和F-Score這些標(biāo)準(zhǔn)分類指標(biāo)來(lái)衡量預(yù)測(cè)系統(tǒng)性能。我們基于深度學(xué)習(xí)的系統(tǒng)能夠很好地檢測(cè)TOR類。但是，我們更加重視非TOR類?？梢钥闯觯谏疃葘W(xué)習(xí)的系統(tǒng)可以減少非TOR類的假陽(yáng)性情況。結(jié)果如下表：

表2：用于TOR流量檢測(cè)實(shí)驗(yàn)的深度學(xué)習(xí)和機(jī)器學(xué)習(xí)模型結(jié)果

在各種分類器中，隨機(jī)森林和基于深度學(xué)習(xí)的方法比其他方法更好。所示結(jié)果基于5,500個(gè)訓(xùn)練實(shí)例。本實(shí)驗(yàn)中使用數(shù)據(jù)集的大小相對(duì)小于典型的基于深度學(xué)習(xí)的系統(tǒng)。隨著訓(xùn)練數(shù)據(jù)的增加，基于深度學(xué)習(xí)的系統(tǒng)和隨機(jī)森林分類器的性能將會(huì)進(jìn)一步提升。

但是，對(duì)于大型數(shù)據(jù)集來(lái)說(shuō)，基于深度學(xué)習(xí)的分類器通常優(yōu)于其他分類器，并且可以針對(duì)相似類型的應(yīng)用程序進(jìn)行推廣。例如，如果需要訓(xùn)練檢測(cè)使用TOR的應(yīng)用程序，那么只需要重新訓(xùn)練輸出層，并且其他所有層可以保持不變。而其他機(jī)器學(xué)習(xí)分類器則需要在整個(gè)數(shù)據(jù)集上重新訓(xùn)練。請(qǐng)記住，對(duì)于大型數(shù)據(jù)集來(lái)說(shuō)，重新訓(xùn)練模型需要耗費(fèi)巨大的計(jì)算資源。

尾記

每個(gè)企業(yè)面臨的匿名流量檢測(cè)的挑戰(zhàn)是存在細(xì)微差別的。攻擊者使用TOR信道以匿名模式偷竊數(shù)據(jù)。當(dāng)前流量檢測(cè)供應(yīng)商的方法依賴于攔截TOR網(wǎng)絡(luò)的已知入口節(jié)點(diǎn)。這不是一個(gè)可拓展的方法，而且很容易繞過(guò)。一種通用的方法是使用基于深度學(xué)習(xí)的技術(shù)。

本文中，我們提出了一個(gè)基于深度學(xué)習(xí)的系統(tǒng)來(lái)檢測(cè)TOR流量，具有高召回率和高精準(zhǔn)率。請(qǐng)下面的評(píng)論部分告訴我們您對(duì)當(dāng)前深度學(xué)習(xí)狀態(tài)的看法，或者如果您有其他替代方法。

References

[1]: Quamar Niyaz, Weiqing Sun, Ahmad Y Javaid, and Mansoor Alam, “A Deep Learning Approach for Network Intrusion Detection System,” IEEE Transactions on Emerging Topics in Computational Intelligence, 2018.

[2]: Daniel Gibert, “Convolutional Neural Networks for Malware Classification,” Thesis 2016.

[3]: Wookhyun Jung, Sangwon Kim,, Sangyong Choi, “Deep Learning for Zero-day Flash Malware Detection,” IEEE security, 2017.

[4]: Pawe? Kobojek and Khalid Saeed, “Application of Recurrent Neural Networks for User

Verification based on Keystroke Dynamics,” Journal of telecommunications and information technology, 2016.

[5]:Deep Learning Security Papers, http://www.covert.io/the-definitive-security-datascience-and-machinelearning-guide/#deep-learning-and-security-papers, accessed on May 2018.

[6]: “Deep Learning,” Ian Goodfellow, Yoshua Bengio, Aaaron Courville; pp 196, MIT Press, 2016.

[7]: “The Onion Ransomware,” https://www.kaspersky.co.in/resource-center/threats/onion-ransomware-virus-threat, Retrieved on November 29, 2017.

[8]: “5 best alternative to TOR.,” https://fossbytes.com/best-alternatives-to-tor-browser-to-browse-anonymously/, Retrieved on November 29,2017.

[9]: Tor. Wikipedia., https://en.wikipedia.org/wiki/Tor_(anonymity_network), Retrieved on November 24, 2017.

[10]: He, G., Yang, M., Luo, J. and Gu, X., “ Inferring Application Type Information from Tor Encrypted Traffic,” Advanced Cloud and Big Data (CBD), 2014 Second International Conference on (pp. 220-227), Nov. 2014.

[11]: Habibi Lashkari A., Draper Gil G., Mamun M. and Ghorbani A., “Characterization of Tor Traffic using Time based Features,” Proceedings of the 3rd International Conference on Information Systems Security and Privacy – Volume 1, pages 253-262, 2017.

[13]: Juarez, M., Afroz, S., Acar, G., Diaz, C. and Greenstadt, R., “A critical evaluation of website fingerprinting attacks,” Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (pp. 263-274), November 2014

[14]: Bai, X., Zhang, Y. and Niu, X., “Traffic identification of tor and web-mix,” Intelligent Systems Design and Applications, ISDA’08. Eighth International Conference on (Vol. 1, pp. 548-551). IEEE, November 2008（編譯：張玲）