具体实施方式

在本发明实施例的描述中，所属技术领域的技术人员应当知道，本发明实施例可以实现为方法、装置、电子设备及计算机可读存储介质。因此，本发明实施例可以具体实现为以下形式：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、硬件和软件结合的形式。此外，在一些实施例中，本发明实施例还可以实现为在一个或多个计算机可读存储介质中的计算机程序产品的形式，该计算机可读存储介质中包含计算机程序代码。

上述计算机可读存储介质可以采用一个或多个计算机可读存储介质的任意组合。计算机可读存储介质包括：电、磁、光、电磁、红外或半导体的系统、装置或器件，或者以上任意的组合。计算机可读存储介质更具体的例子包括：便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、闪存(Flash Memory)、光纤、光盘只读存储器(CD-ROM)、光存储器件、磁存储器件或以上任意组合。在本发明实施例中，计算机可读存储介质可以是任意包含或存储程序的有形介质，该程序可以被指令执行系统、装置、器件使用或与其结合使用。

上述计算机可读存储介质包含的计算机程序代码可以用任意适当的介质传输，包括：无线、电线、光缆、射频(Radio Frequency，RF)或者以上任意合适的组合。

可以以汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路配置数据或以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言，例如：Java、Smalltalk、C++，还包括常规的过程式程序设计语言，例如：C语言或类似的程序设计语言。计算机程序代码可以完全的在用户计算机上执行、部分的在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行以及完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括：局域网(LAN)或广域网(WAN)，可以连接到用户计算机，也可以连接到外部计算机。

本发明实施例通过流程图和/或方框图描述所提供的方法、装置、电子设备。

应当理解，流程图和/或方框图的每个方框以及流程图和/或方框图中各方框的组合，都可以由计算机可读程序指令实现。这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而生产出一种机器，这些计算机可读程序指令通过计算机或其他可编程数据处理装置执行，产生了实现流程图和/或方框图中的方框规定的功能/操作的装置。

也可以将这些计算机可读程序指令存储在能使得计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储介质中。这样，存储在计算机可读存储介质中的指令就产生出一个包括实现流程图和/或方框图中的方框规定的功能/操作的指令装置产品。

也可以将计算机可读程序指令加载到计算机、其他可编程数据处理装置或其他设备上，使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机或其他可编程数据处理装置上执行的指令能够提供实现流程图和/或方框图中的方框规定的功能/操作的过程。

下面结合本发明实施例中的附图对本发明实施例进行描述。

由于Tor在4.0版本中增加了Meek传输插件，Meek作为一种特殊的网桥模式，把Tor流量伪装成了基于HTTPS加密的云服务流量，可以有效的规避网络监管和审查。国内由于受到国家防火墙的限制无法直接连接Tor网络，用户主要采用Meek方式进行连接。本发明实施例主要识别基于Meek方式进行Tor匿名通信时生成的流量。如图1所示，本发明实施例提供的匿名流量的识别方法包括：

步骤101：获取待处理的、包含握手信息的目标TLS流量，握手信息包括服务名标识和TLS指纹特征。

本发明实施例中，由于Tor匿名流量属于一种TLS(Transport Layer Security,传输层安全协议)流量，故本实施例中将包含握手信息的TLS流量作为待处理的目标TLS流量。其中，该目标TLS流量具体可以为从大量网络流量中识别出的TLS流量。

本实施例中，该匿名流量的识别方法的执行主体设置在网络出口处，可以采集或拦截所有的网络流量，该执行主体将采集或拦截到的网络流量作为目标流量，并对该目标流量进行TLS识别处理，从而可以确定该目标流量是否为TLS流量。若该目标流量为TLS流量，则可以将将目标流量作为目标TLS流量。其中，可以基于源地址、目的地址、源端口号、目的端口号和IP协议等对目标流量进行分流预处理，进而识别出该目标流量是否为TLS流量。例如，一般TLS流量的目的端口为443，此时可以将目的端口为443的目标流量识别为TLS流量。

此外，客户端生成TLS流量时会进行握手，其会发送ClientHello消息，故目标TLS流量中包含相应的握手信息，该握手信息至少包括包括服务名标识(Server NameIndication,SNI)和TLS指纹特征。其中，服务名标识是TLS中客户端握手协议的一个扩展项，用来解决一个服务器拥有多个域名的情况。允许客户端在发起TLS握手请求时直接提交请求的Host信息，使得服务器能够切换到正确的域并返回相应的证书。TLS指纹特征包括ClientHello阶段客户端提供的加密套件(ciphersuites)和/或扩展项(extensions)，该扩展项指的是可支持的扩展项。

步骤102：在服务名标识与预设的服务器域名相匹配、且TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定目标TLS流量的包长特征。

本发明实施例中，由于Tor采用的Meek混淆方式，需要通过特定的服务器(例如微软的Azure云服务等)对Tor流量进行转发，此时需要利用特定的前置域名对Tor网桥域名进行保护。域前置技术是一种规避审查的技术，主要用于隐蔽通信中的远程端点，Meek混淆方式的核心思想是在不同的通信层使用了不同的域名，同时也使得传统依靠域名的检测方法也不能检测Tor流量。以Azure与服务器为例，Tor在一个TLS请求中，通信外层使用的域名和SNI为ajax.aspnetcdn.com。此时，若目标TLS流量中的服务器标识也为ajax.aspnetcdn.com，则说明该目标TLS流量是来自微软Azure云的流量，其有可能是Tor匿名流量。同时，由于Tor内置了预设浏览器(例如Firefox浏览器，即火狐浏览器)，本实施例中可以将提取出的TLS指纹特征与Firefox指纹库进行匹配，如果二者相匹配，则说明该目标TLS流量是基于预设浏览器发出的，其也存在是Tor匿名流量的嫌疑。

本发明实施例中，通过服务名标识和TLS指纹特征对目标TLS流量进行筛选，可以从大量目标TLS流量中筛选出具有匿名嫌疑的TLS流量，之后只确定具有嫌疑的目标TLS流量的包长特征，可以降低计算量，提高处理效率。其中，该包长特征为客户端发送的数据包长度特征和/或客户端接收到的数据包长度特征，该包长特征具体可以包含上行包长度和/或下行包长度。

步骤103：在包长特征符合预设条件时，确定目标TLS流量为匿名流量。

本发明实施例中，由于Tor客户端为了保持与服务端的连接状态，会不断发送心跳数据到服务端，而心跳数据的长度存在着明显的特征，故Tor客户端间隔随机时间发送固定长度的流量包，并且服务端返回的流量包长度也固定。以Tor9.0.1为例，保持连接时，Tor客户端会不断的连续发送包长为92的上行包，服务端返回包长为116的下行包。本实施例中，预先设置能够表征Tor匿名流量的包长特征的预设条件，若该目标TLS流量的包长特征符合该预设条件，则说明该目标TLS流量极有可能是Tor匿名流量。

可选的，该预设条件包括与上行包长度相对应的第一条件，以及与下行包长度相对应的第二条件，通过判断包长特征中的上行包长度和下行包长度是否符合该预设条件，即可确定该目标TLS流量是否为Tor匿名流量。具体的，上述步骤“统计确定目标TLS流量的包长特征”包括：

统计目标TLS流量的上行包长度和下行包长度，在上行包长度符合第一条件，且下行包长度符合第二条件时，确定目标TLS流量的包长特征符合预设条件。

其中，第一条件为：上行包长度与第一预设长度相匹配和/或多个上行包长度相同的数量超过第一数量阈值；第二条件为：下行包长度与第二预设长度相匹配和/或多个下行包长度相同的数量超过第二数量阈值。

本发明实施例中，若目标TLS流量的上行包长度符合第一条件，即上行包长度与第一预设长度(如92)相匹配和/或多个上行包长度相同的数量超过第一数量阈值(例如4次、6次等)，则说明发送目标TLS流量的客户端在间隔发送固定长度的数据包；同理，若下行包长度符合第二条件，即下行包长度与第二预设长度(如116)相匹配和/或多个下行包长度相同的数量超过第二数量阈值(例如4次、6次等)，此时可以说明相应的客户端间隔性接收到服务端发送的固定长度的数据包。一般的网络流量不会具有这种包长特征，故若目标TLS流量的包长特征符合该预设条件，则基本可以确定该目标TLS流量为Tor匿名流量。

本发明实施例提供的一种匿名流量的识别方法，基于Meek方式Tor流量的特点，综合TLS流量握手阶段的服务名标识和TLS指纹特征，并基于TLS流量的包长特征综合识别出Tor匿名流量。该方式不需要大量运算，可以高效准确地识别Tor匿名流量。同时，首先基于服务名标识和TLS指纹特征筛选出具有匿名嫌疑的TLS流量，可以降低包长特征比对时的处理量，能够进一步提高处理效率。

在上述实施例的基础上，本实施例中首先以参数简单的服务名标识进行匹配比较，之后再对TLS指纹特征进行比较，以筛选出具有嫌疑的目标TLS流量。具体的，在步骤获取待处理的、包含握手信息的目标TLS流量之后，该方法还包括：

步骤A1：判断服务名标识与预设的服务器域名是否相匹配。

步骤A2：在服务名标识与预设的服务器域名相匹配时，判断TLS指纹特征与预设浏览器的指纹特征是否相匹配；在TLS指纹特征与预设浏览器的指纹特征相匹配时，执行上述的步骤102中的“统计确定目标TLS流量的包长特征”。

本发明实施例中，如上所述，TLS指纹特征包括加密套件和/或扩展项，且一般情况下需要对比加密套件和扩展项，以能够更准确地识别出具有嫌疑的网络流量。以Tor 9.0.1为例进行说明，Tor客户端支持的加密套件包括：

TLS_AES_128_GCM_SHA256(0x1301)

TLS_CHACHA20_POLY1305_SHA256(0x1303)

TLS_AES_256_GCM_SHA384(0x1302)

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256(0xc02f)

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256(0xcca9)

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256(0x cca8)

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384(0xc02c)

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384(0xc030)

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA(0xc00a)

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA(0xc009)

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA(0xc014)

TLS_DHE_RSA_WITH_AES_128_CBC_SHA(0x0033)

TLS_DHE_RSA_WITH_AES_256_CBC_SHA(0x0039)

TLS_DHE_RSA_WITH_AES_256_CBC_SHA(0x002f)

TLS_RSA_WITH_AES_256_CBC_SHA(0x0035)

TLS_RSA_WITH_3DES_EDE_CBC_SHA(0x000a)

Tor客户端采用的扩展项包括：

server_name(0x0000)

extended_master_secret(0x0017)

renegotiation_info(0xff01)

supported_groups(0x000a)

ec_point_formats(0x000b)

session_ticket(0x0023)

application_layter_protocol_negotiation(0x0010)

status_request(0x0005)

key_share(0x0033)

supported_versions(0x002b)

signature_algorithms(0x000d)

psk_key_exchange_modes(0x002d)

record_size_limit(0x001c)

padding(0x0015)

由于一般将预设服务器(如微软的Azure云服务等)作为域名的流量占比较小，本实施例中通过先对比服务名标识、再对比TLS指纹特征的方式，能够更加快速地从大量TLS流量中筛选出具有嫌疑的流量。

可选的，还可以基于连接时长对流量进行筛选。本发明实施例中，该方法还包括：

步骤B1：在服务名标识与预设的服务器域名相匹配时，确定目标TLS流量的连接时长。

步骤B2：在连接时长大于预设阈值，且TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定目标TLS流量的包长特征。

本发明实施例中，由于Tor采用Meek方式的一个显著特征是连接时间较长，若待处理的目标TLS流量的连接时间大于预设阈值(例如30秒，2分钟，20分钟等)，则说明该目标TLS流量有可能是匿名流量。Tor匿名流量的连接时长过程的原因在于，一个是由于建立TLS连接，再经过Tor网络的中继节点进行三跳握手本身就耗费时间；另一个是由于Tor客户端会保持与服务端的连接状态，且会不断发送心跳数据到服务端。因此，Tor客户端与服务端(如微软云平台)的TLS连接可能会保持较长时间。若服务名标识与预设的服务器域名相匹配、目标TLS流量的连接时长大于预设阈值、且TLS指纹特征与预设浏览器的指纹特征相匹配时，可以认为该目标TLS流量具有是匿名流量的嫌疑。

其中，可以先基于连接时长进行判断、再基于TLS指纹特征进行判断，也可以先基于TLS指纹特征进行判断、再基于连接时长进行判断，本实施例对此不做限定。

下面通过一个实施例详细介绍该匿名流量的识别方法的过程。参见图2所示，该方法包括：

步骤201：采集或拦截所有的网络流量。

步骤202：将采集或拦截到的网络流量作为目标流量，并对该目标流量进行TLS识别处理，确定该目标流量是否为TLS流量。

步骤203：若该目标流量是TLS流量，将该目标流量作为目标TLS流量，确定该目标TLS流量所包含的服务名标识和TLS指纹特征。

步骤204：判断服务名标识预设的服务器域名是否相匹配，若是，则继续步骤205，否则说明该目标TLS流量只是正常的加密流量，流程结束。

步骤205：确定目标TLS流量的连接时长，并判断连接时长是否大于预设阈值，若是，则继续步骤206，否则可以该目标TLS流量作为正常的加密流量，流程结束。

步骤206：判断TLS指纹特征与预设浏览器的指纹特征是否相匹配，若是，则继续步骤207，否则说明该目标TLS流量只是正常的加密流量，流程结束。

本发明实施例中，对于目标TLS流量，其服务名标识和TLS指纹特征是固定的，故在步骤204和步骤206的判断结果为否时，可以将该目标TLS流量归为正常的加密流量。而随着时间的推移，目标TLS流量的连接时长可能是增加的，故在步骤205中，若当前的连接时长不大于预设阈值，则可以将目标TLS流量作为正常的加密流量；或者，可以在预设时间段之后再次确定该目标TLS流量的连接时长，若重新确定的连接时长仍小于预设阈值，则说明该目标TLS流量是正常的加密流量，否则该目标TLS流量仍然是可疑的。

步骤207：统计确定目标TLS流量的包长特征。

步骤208：判断包长特征是否符合预设条件，若是，则继续步骤209，否则流程结束。

其中，该包长特征包括上行包长度和下行包长度。相应的，判断上行包长度是否与第一预设长度相匹配和/或多个上行包长度相同的数量是否超过第一数量阈值，同时判断下行包长度是否与第二预设长度相匹配和/或多个下行包长度相同的数量是否超过第二数量阈值。

步骤209：确定所述目标TLS流量为匿名流量。

本发明实施例提供的一种匿名流量的识别方法，基于Meek方式Tor流量的特点，综合TLS流量握手阶段的服务名标识和TLS指纹特征，并基于TLS流量的包长特征综合识别出Tor匿名流量。该方式不需要大量运算，可以高效准确地识别Tor匿名流量。同时，首先基于服务名标识和TLS指纹特征筛选出具有匿名嫌疑的TLS流量，可以降低包长特征比对时的处理量，能够进一步提高处理效率。基于连接时长可以进一步筛选出可以的TLS流量；将上行包长度和下行包长度作为包长特征，能够简单准确地定位到Tor匿名流量，识别精度高。

上文结合图1至图2，详细描述了本发明实施例提供的匿名流量的识别方法，该方法也可以通过相应的装置实现，下面将结合图3详细描述本发明实施例提供的匿名流量的识别装置。

图3示出了本发明实施例所提供的一种匿名流量的识别装置的结构示意图。如图3所示，该匿名流量的识别装置包括：

获取模块31，用于获取待处理的、包含握手信息的目标TLS流量，所述握手信息包括服务名标识和TLS指纹特征；

预处理模块32，用于在所述服务名标识与预设的服务器域名相匹配、且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；

处理模块33，用于在所述包长特征符合预设条件时，确定所述目标TLS流量为匿名流量。

本发明实施例提供的一种匿名流量的识别装置，基于Meek方式Tor流量的特点，综合TLS流量握手阶段的服务名标识和TLS指纹特征，并基于TLS流量的包长特征综合识别出Tor匿名流量。该方式不需要大量运算，可以高效准确地识别Tor匿名流量。同时，首先基于服务名标识和TLS指纹特征筛选出具有匿名嫌疑的TLS流量，可以降低包长特征比对时的处理量，能够进一步提高处理效率。

在上述实施例的基础上，所述获取模块31包括：

获取单元，用于获取目标流量，并对所述目标流量进行TLS识别处理，确定所述目标流量是否为TLS流量；

确定单元，用于在所述目标流量为TLS流量时，将所述目标流量作为目标TLS流量。

在上述实施例的基础上，该装置还包括第一判断模块和第二判断模块；

在所述获取模块31获取待处理的、包含握手信息的目标TLS流量之后，所述第一判断模块用于：判断所述服务名标识与预设的服务器域名是否相匹配；

在所述服务名标识与预设的服务器域名相匹配时，所述第二判断模块用于判断所述TLS指纹特征与预设浏览器的指纹特征是否相匹配；在所述TLS指纹特征与预设浏览器的指纹特征相匹配时，所述预处理模块32统计确定所述目标TLS流量的包长特征；

其中，所述TLS指纹特征包括加密套件和/或扩展项。

在上述实施例的基础上，该装置还包括：连接时长判断模块；

所述连接时长判断模块用于，在所述服务名标识与预设的服务器域名相匹配时，确定所述目标TLS流量的连接时长；

在所述连接时长大于预设阈值，且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，所述预处理模块32统计确定所述目标TLS流量的包长特征。

在上述实施例的基础上，所述预处理模块32统计确定所述目标TLS流量的包长特征包括：

统计所述目标TLS流量的上行包长度和下行包长度，在所述上行包长度符合第一条件，且所述下行包长度符合第二条件时，确定所述目标TLS流量的包长特征符合预设条件；

其中，所述第一条件为：所述上行包长度与第一预设长度相匹配和/或多个所述上行包长度相同的数量超过第一数量阈值；

所述第二条件为：所述下行包长度与第二预设长度相匹配和/或多个所述下行包长度相同的数量超过第二数量阈值。

本发明实施例提供的一种匿名流量的识别方法，基于Meek方式Tor流量的特点，综合TLS流量握手阶段的服务名标识和TLS指纹特征，并基于TLS流量的包长特征综合识别出Tor匿名流量。该方式不需要大量运算，可以高效准确地识别Tor匿名流量。同时，首先基于服务名标识和TLS指纹特征筛选出具有匿名嫌疑的TLS流量，可以降低包长特征比对时的处理量，能够进一步提高处理效率。基于连接时长可以进一步筛选出可以的TLS流量；将上行包长度和下行包长度作为包长特征，能够简单准确地定位到Tor匿名流量，识别精度高。

此外，本发明实施例还提供了一种电子设备，包括总线、收发器、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该收发器、该存储器和处理器分别通过总线相连，计算机程序被处理器执行时实现上述匿名流量的识别方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

具体的，参见图4所示，本发明实施例还提供了一种电子设备，该电子设备包括总线1110、处理器1120、收发器1130、总线接口1140、存储器1150和用户接口1160。

在本发明实施例中，该电子设备还包括：存储在存储器1150上并可在处理器1120上运行的计算机程序，计算机程序被处理器1120执行时实现以下步骤：

获取待处理的、包含握手信息的目标TLS流量，所述握手信息包括服务名标识和TLS指纹特征；

在所述服务名标识与预设的服务器域名相匹配、且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；

在所述包长特征符合预设条件时，确定所述目标TLS流量为匿名流量。

可选地，计算机程序被处理器1120执行“获取待处理的、包含握手信息的目标TLS流量”步骤时，使得处理器具体实现以下步骤：

获取目标流量，并对所述目标流量进行TLS识别处理，确定所述目标流量是否为TLS流量；

在所述目标流量为TLS流量时，将所述目标流量作为目标TLS流量。

可选地，计算机程序被处理器1120执行所述获取待处理的、包含握手信息的目标TLS流量之后，还可实现以下步骤：

判断所述服务名标识与预设的服务器域名是否相匹配；

在所述服务名标识与预设的服务器域名相匹配时，判断所述TLS指纹特征与预设浏览器的指纹特征是否相匹配；在所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；

其中，所述TLS指纹特征包括加密套件和/或扩展项。

可选地，计算机程序被处理器1120执行时还可实现以下步骤：

在所述服务名标识与预设的服务器域名相匹配时，确定所述目标TLS流量的连接时长；

在所述连接时长大于预设阈值，且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征。

可选地，计算机程序被处理器1120执行“统计确定所述目标TLS流量的包长特征”步骤时，使得处理器具体实现以下步骤：

统计所述目标TLS流量的上行包长度和下行包长度，在所述上行包长度符合第一条件，且所述下行包长度符合第二条件时，确定所述目标TLS流量的包长特征符合预设条件；

其中，所述第一条件为：所述上行包长度与第一预设长度相匹配和/或多个所述上行包长度相同的数量超过第一数量阈值；

所述第二条件为：所述下行包长度与第二预设长度相匹配和/或多个所述下行包长度相同的数量超过第二数量阈值。

收发器1130，用于在处理器1120的控制下接收和发送数据。

本发明实施例中，总线架构(用总线1110来代表)，总线1110可以包括任意数量互联的总线和桥，总线1110将包括由处理器1120代表的一个或多个处理器与存储器1150代表的存储器的各种电路连接在一起。

总线1110表示若干类型的总线结构中的任何一种总线结构中的一个或多个，包括存储器总线以及存储器控制器、外围总线、加速图形端口(Accelerate Graphical Port，AGP)、处理器或使用各种总线体系结构中的任意总线结构的局域总线。作为示例而非限制，这样的体系结构包括：工业标准体系结构(Industry Standard Architecture，ISA)总线、微通道体系结构(Micro Channel Architecture，MCA)总线、扩展ISA(Enhanced ISA，EISA)总线、视频电子标准协会(Video Electronics Standards Association，VESA)、外围部件互连(Peripheral Component Interconnect，PCI)总线。

处理器1120可以是一种集成电路芯片，具有信号处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中硬件的集成逻辑电路或软件形式的指令完成。上述的处理器包括：通用处理器、中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)、复杂可编程逻辑器件(Complex Programmable LogicDevice，CPLD)、可编程逻辑阵列(Programmable Logic Array，PLA)、微控制单元(Microcontroller Unit，MCU)或其他可编程逻辑器件、分立门、晶体管逻辑器件、分立硬件组件。可以实现或执行本发明实施例中公开的各方法、步骤及逻辑框图。例如，处理器可以是单核处理器或多核处理器，处理器可以集成于单颗芯片或位于多颗不同的芯片。

处理器1120可以是微处理器或任何常规的处理器。结合本发明实施例所公开的方法步骤可以直接由硬件译码处理器执行完成，或者由译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory，RAM)、闪存(FlashMemory)、只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、寄存器等本领域公知的可读存储介质中。所述可读存储介质位于存储器中，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

总线1110还可以将，例如外围设备、稳压器或功率管理电路等各种其他电路连接在一起，总线接口1140在总线1110和收发器1130之间提供接口，这些都是本领域所公知的。因此，本发明实施例不再对其进行进一步描述。

收发器1130可以是一个元件，也可以是多个元件，例如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。例如：收发器1130从其他设备接收外部数据，收发器1130用于将处理器1120处理后的数据发送给其他设备。取决于计算机系统的性质，还可以提供用户接口1160，例如：触摸屏、物理键盘、显示器、鼠标、扬声器、麦克风、轨迹球、操纵杆、触控笔。

应理解，在本发明实施例中，存储器1150可进一步包括相对于处理器1120远程设置的存储器，这些远程设置的存储器可以通过网络连接至服务器。上述网络的一个或多个部分可以是自组织网络(ad hoc network)、内联网(intranet)、外联网(extranet)、虚拟专用网(VPN)、局域网(LAN)、无线局域网(WLAN)、广域网(WAN)、无线广域网(WWAN)、城域网(MAN)、互联网(Internet)、公共交换电话网(PSTN)、普通老式电话业务网(POTS)、蜂窝电话网、无线网络、无线保真(Wi-Fi)网络以及两个或更多个上述网络的组合。例如，蜂窝电话网和无线网络可以是全球移动通信(GSM)系统、码分多址(CDMA)系统、全球微波互联接入(WiMAX)系统、通用分组无线业务(GPRS)系统、宽带码分多址(WCDMA)系统、长期演进(LTE)系统、LTE频分双工(FDD)系统、LTE时分双工(TDD)系统、先进长期演进(LTE-A)系统、通用移动通信(UMTS)系统、增强移动宽带(Enhance Mobile Broadband，eMBB)系统、海量机器类通信(massive Machine Type of Communication，mMTC)系统、超可靠低时延通信(UltraReliable Low Latency Communications，uRLLC)系统等。

应理解，本发明实施例中的存储器1150可以是易失性存储器或非易失性存储器，或可包括易失性存储器和非易失性存储器两者。其中，非易失性存储器包括：只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存(Flash Memory)。

易失性存储器包括：随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如：静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DRRAM)。本发明实施例描述的电子设备的存储器1150包括但不限于上述和任意其他适合类型的存储器。

在本发明实施例中，存储器1150存储了操作系统1151和应用程序1152的如下元素：可执行模块、数据结构，或者其子集，或者其扩展集。

具体而言，操作系统1151包含各种系统程序，例如：框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序1152包含各种应用程序，例如：媒体播放器(Media Player)、浏览器(Browser)，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序1152中。应用程序1152包括：小程序、对象、组件、逻辑、数据结构以及其他执行特定任务或实现特定抽象数据类型的计算机系统可执行指令。

此外，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述匿名流量的识别方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

具体而言，计算机程序被处理器执行时可实现以下步骤：

获取待处理的、包含握手信息的目标TLS流量，所述握手信息包括服务名标识和TLS指纹特征；

在所述服务名标识与预设的服务器域名相匹配、且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；

在所述包长特征符合预设条件时，确定所述目标TLS流量为匿名流量。

可选地，计算机程序被处理器执行“获取待处理的、包含握手信息的目标TLS流量”步骤时，使得处理器具体实现以下步骤：

获取目标流量，并对所述目标流量进行TLS识别处理，确定所述目标流量是否为TLS流量；

在所述目标流量为TLS流量时，将所述目标流量作为目标TLS流量。

可选地，计算机程序被处理器执行所述获取待处理的、包含握手信息的目标TLS流量之后，还可实现以下步骤：

判断所述服务名标识与预设的服务器域名是否相匹配；

在所述服务名标识与预设的服务器域名相匹配时，判断所述TLS指纹特征与预设浏览器的指纹特征是否相匹配；在所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征；

其中，所述TLS指纹特征包括加密套件和/或扩展项。

可选地，计算机程序被处理器执行时还可实现以下步骤：

在所述服务名标识与预设的服务器域名相匹配时，确定所述目标TLS流量的连接时长；

在所述连接时长大于预设阈值，且所述TLS指纹特征与预设浏览器的指纹特征相匹配时，统计确定所述目标TLS流量的包长特征。

可选地，计算机程序被处理器执行“统计确定所述目标TLS流量的包长特征”步骤时，使得处理器具体实现以下步骤：

统计所述目标TLS流量的上行包长度和下行包长度，在所述上行包长度符合第一条件，且所述下行包长度符合第二条件时，确定所述目标TLS流量的包长特征符合预设条件；

其中，所述第一条件为：所述上行包长度与第一预设长度相匹配和/或多个所述上行包长度相同的数量超过第一数量阈值；

所述第二条件为：所述下行包长度与第二预设长度相匹配和/或多个所述下行包长度相同的数量超过第二数量阈值。

计算机可读存储介质包括：永久性和非永久性、可移动和非可移动媒体，是可以保留和存储供指令执行设备所使用指令的有形设备。计算机可读存储介质包括：电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备以及上述任意合适的组合。计算机可读存储介质包括：相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带存储、磁带磁盘存储或其他磁性存储设备、记忆棒、机械编码装置(例如在其上记录有指令的凹槽中的穿孔卡或凸起结构)或任何其他非传输介质、可用于存储可以被计算设备访问的信息。按照本发明实施例中的界定，计算机可读存储介质不包括暂时信号本身，例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如穿过光纤电缆的光脉冲)或通过导线传输的电信号。

在本申请所提供的几个实施例中，应该理解到，所披露的装置、电子设备和方法，可以通过其他的方式实现。例如，以上描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的、机械的或其他的形式连接。

所述作为分离部件说明的单元可以是或也可以不是物理上分开的，作为单元显示的部件可以是或也可以不是物理单元，既可以位于一个位置，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或全部单元来解决本发明实施例方案要解决的问题。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术作出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(包括：个人计算机、服务器、数据中心或其他网络设备)执行本发明各个实施例所述方法的全部或部分步骤。而上述存储介质包括如前述所列举的各种可以存储程序代码的介质。

以上所述，仅为本发明实施例的具体实施方式，但本发明实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明实施例披露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明实施例的保护范围之内。因此，本发明实施例的保护范围应以权利要求的保护范围为准。