加密流量如何识别它的特征？

实时解密应该行不通？

流量特征。
还有就是加密前协商的时候会暴露一些信息。比如 https 可以通过 SNI 去判断你访问的是什么网站。
再就是探测，发现疑似特征后，模拟客户端行为去探测。根据返回来判断。

检测协议、端口、IP 特征、DNS 解析、模拟测试

要有良知
可以去看看 用来加密流量的程序 的逻辑和代码

这要向最先进的流量识别产品学习，
据说墙都用上 AI 识别了。

墙吗，知道也不说🙊

枪口抬高一寸
战犯名单有你
横批：

我的 hostdare 两台昨天开始都凉了。

软件,系统, 芯片全面落后, 但是流量识别这方面我敢说, 我国绝对是业界顶级, 你应该去咨询相关人士

之前 GitHub 不是有篇论文讲用随机森林识别特殊流量么，找找看

随机森林，支持向量机

@wzzzx 菜鸡本科生弱弱地说一句，数学基础不好，决策树随机森林是啥都搞不懂啊。。

@godblessumilk #12 这个不难啊。而且只是给你个思路，你可以去了解一下

之所以提出这个疑问，是因为最近工作内容涉及到恶意流量过滤，很疑惑之前自己用 shadowsock 的时候为什么小飞机的 ip 那么快就被关小黑屋。。（是因为小飞机的目的地特征被识别到了，还是说这台 ssr 服务器就是网警放下的蜜罐）

@wzzzx 好哒好哒，感谢大佬指路，实乃人肉防火墙的精神导师

@smileawei 北京理工大学教授罗森林和两名学生王帅鹏、潘丽敏，于 2019 年 3 月 25 日申请名为“基于长短期记忆网络的 V2ray 流量识别方法”的专利。2019 年 10 月 25 日，该专利的法律状态修改为“发明专利申请公布后的撤回”。

V2Ray 项目组表示，专利并不会保证方法的有效性，专利仅仅是保护方法本身。其次，该专利的描述存在一些问题。

专利中提到：“V2ray 服务端与客户端进行每次通信时需要预先交换密钥，因而每次通信较为靠前的数据包具有显著特征”。实际上，VMess 协议并不存在“预先交换密钥”这个步骤。即使将 V2Ray 与需要进行“预先交换密钥”的协议配合使用，那么进行“预先交换密钥”时的数据包也不会有 V2Ray 的数据特征，因为此时还没有开始发送有效数据，即使有特征也是配合使用的协议的特征

Great Firewall Report 网站中的 How China Detects and Blocks Shadowsocks 有比较详细的解释。

@zk8802 记下了，老哥这是来自十年编程老汉的正道之光

祝各位 GFW 相关单位 人员，全家死清光，五马分尸



唯一最想骂的人。就是这群逼，骂完舒服多了

居然还有人献计献策，傻傻分不清？自掘坟墓？
搭的梯子上 V2EX 再贡献如何识别加密流量的计策？