(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111636260.4 (22)申请日 2021.12.28 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 兰亭洋　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 许峰 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 Tor流量检测方法、 装置、 终端设备及存储介 质 (57)摘要 本发明公开了一种Tor流量检测方法、 装置、 终端设备及存储介质， 该方法包括： 抓取现网流 量中的报文数据， 该报文数据中包括多个报文数 据包； 对各报文数据包进行多维特征提取处理， 得到所述报文数据的多维特征数据， 并将所述报 文数据输入至经过预训练的注 意力机制， 得到所 述报文数据的注意力编码数据； 将所述多维特征 数据与所述注 意力编码数据进行拼接整合处理， 得到目标特征数据； 基于所述目标特征数据检测 现网流量中是否存在Tor流量。 本发明通过注意 力机制融合报文数据包的前后信息， 添加对报文 数据不同维度特征数据的注意力， 提高对报文数 据局部特征的注意， 放大正常流量和Tor流量特 征的区别， 提高了对Tor流量的检测精度和检测 效率。 权利要求书2页 说明书11页 附图2页 CN 114499983 A 2022.05.13 CN 114499983 A 1.一种Tor流 量检测方法， 其特 征在于， 所述Tor流 量检测方法包括以下步骤： 抓取现网流 量中的报文数据， 其中， 所述报文数据中包括多个报文数据包； 对所述报文数据中的各所述报文数据包进行多维特征提取处理， 得到所述报文数据的 多维特征数据， 并将所述报文数据输入至经过预训练的注意力机制， 得到所述报文数据的 注意力编码数据； 将所述多维特 征数据与所述注意力编码数据进行拼接整合处 理， 得到目标 特征数据； 基于所述目标 特征数据检测现网流 量中是否存在Tor流 量。 2.如权利要求1所述的Tor流量检测方法， 其特征在于， 所述多维特征数据至少包括各 所述报文 数据包的基本特征数据和统计特征数据， 所述对所述报文数据中的各所述报文 数 据包进行多维特 征提取处 理， 得到所述报文数据的多维特 征数据的步骤， 包括： 对所述报文数据中的各所述报文数据包进行特征提取， 得到各所述报文数据包的基础 特征数据； 基于所述基础特征数据对各所述报文数据包进行特征提取和统计分析处理， 得到各所 述报文数据包的统计特 征数据。 3.如权利要求1所述的Tor流量检测方法， 其特征在于， 所述注意力机制包括编码层、 注 意力层和全连接层， 所述将所述报文数据输入至经过预训练的注意力机制， 得到所述报文 数据的注意力编码数据的步骤， 包括： 将所述报文数据输入至所述编码层， 对所述报文数据进行编码处理， 得到第一编码数 据， 其中， 所述编码处理包括内容编码处理和位置编码处理， 所述第一编 码数据包括多维编 码数据和位置编码数据； 将所述多维编码数据和所述位置编码数据相加后输入至所述注意力层， 以添加对所述 第一编码数据的注意， 得到第二编码数据； 将所述第二编码数据输入至所述全连接层， 对所述第 二编码数据的特征进行加权求和 处理， 得到注意力编码数据。 4.如权利要求3所述的Tor流量检测方法， 其特征在于， 所述将所述多维编码数据和所 述位置编码数据相加后输入至所述注意力层， 以添加对所述第一编码数据的注意， 得到第 二编码数据的步骤， 包括： 利用所述注意力层对所述多维编码数据和所述位置编码数据相加后的数据进行线性 变换， 得到多个特 征向量序列； 对各所述特征向量序列进行分头操作， 得到多个头信 息并基于各所述头信 息进行注意 力打分， 以计算各 所述特征向量序列的注意力分布值； 基于所述注意力分布值对各所述特征向量序列进行信 息加权和拼接处理， 得到第 二编 码数据。 5.如权利要求4所述的Tor流量检测方法， 其特征在于， 所述特征向量序列至少包括查 询向量序列、 键向量序列和值向量序列。 6.如权利要求1所述的Tor流量检测方法， 其特征在于， 所述基于所述目标特征数据检 测现网流 量中是否存在Tor流 量的步骤， 包括： 将所述目标特征数据输入至经过预训练的分类检测模型中， 根据 所述分类检测模型对 所述报文数据进行分类；权　利　要　求　书 1/2 页 2 CN 114499983 A 2根据对所述报文数据的分类结果确定现网流 量中是否存在Tor流 量。 7.如权利要求1所述的Tor流量检测方法， 其特征在于， 所述基于所述目标特征数据检 测现网流 量中是否存在Tor流 量的步骤之后， 还 包括： 输出检测结果， 根据所述检测结果若现网流 量中存在Tor流 量， 则输出告警提 示信息。 8.一种Tor流 量检测装置， 其特 征在于， 所述Tor流 量检测装置包括： 数据抓取模块， 用于抓取现网流量中的报文数据， 其中， 所述报文数据中包括多个报文 数据包； 特征提取模块， 用于对所述报文数据中的各所述报文数据包进行多维特征提取处理， 得到所述报文数据的多维特征数据， 并将所述报文数据输入至经过预训练的注意力机制， 得到所述报文数据的注意力编码数据； 特征拼接模块， 用于将所述多维特征数据与所述注意力编码数据进行拼接整合处理， 得到目标 特征数据； 流量检测模块， 用于基于所述目标 特征数据检测现网流 量中是否存在Tor流 量。 9.一种终端设备， 其特征在于， 所述终端设备包括： 存储器、 处理器及存储在所述存储 器上并可在所述处理器上运行的Tor流量检测程序， 所述Tor 流量检测程序被所述处理器执 行时实现如权利要求1至7中任一项所述的Tor流 量检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有Tor流 量检测程序， 所述Tor流量检测程序被处理器执行时实现如权利要求1至7中任一项所述的 Tor流量检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114499983 A 3