可检测Tor流量中Android应用活动的模式的新算法面世

意大利学者开发了一种可以检测Tor流量中Android应用活动的模式的算法,其准确率为97%。

该算法不是去匿名化脚本,因为它无法显示用户的真实IP地址或其他识别细节。但是,它将揭示Tor用户是否正在使用Android应用程序。

意大利罗马萨皮恩扎大学(Sapienza University of Rome)的研究人员的研究工作建立在之前的研究基础之上,该研究能够分析Tor流量的TCP数据包流,并区分八种流量类型:浏览、电子邮件、聊天、音频流、视频流、文件传输、VoIP和P2P。

在研究工作中,意大利研究人员应用了类似的概念,分析流经Tor连接的TCP数据包,以检测特定于某些Android应用程序的模式。然后,他们开发了一种机器学习算法,用Tor浏览器的10个应用程序的流量模式进行训练:Android应用程序、Instagram、Facebook、Skype、uTorrent、Spotify、Twitch、YouTube、DailyMotion和Replaio Radio。

通过对算法的不断完善,他们可以将其指向Tor流量,并在用户使用上述程序时进行检测,测试结果显示,算法准确率为97.3%。

然而,他们设计的机制并不像听起来那么完美和有效。首先,它只能在通信通道没有背景交通噪声的情况下使用,这意味着它只能在用户使用一个应用程序的移动设备时使用,而不能在其他情况下使用。如果在手机背景中有太多应用程序同时进行通信,则TCP流量模式会变得混乱,算法的效率就会下降。

其次,某些结果的准确性仍然存在问题。例如,Spotify或YouTube等基于流媒体的应用会产生类似的流量模式,从而导致误报。算法在Facebook,Instagram和Tor浏览器应用程序等应用程序的长时间“闲置”后,难以有效检测到用户对相关应用的访问。

由于未来的实验将会考虑加入对更多应用程序的检测,类似的问题还会出现,从而增加误报概率,降低整体的准确度。上个月,他们发表了一篇名为《Peel the onion: Recognition of Android apps behind the Tor Network》的研究论文,此外,研究者还计划公布算法的代码。