近年来,随着互联网的不断发展,越来越多的人开始使用VPN工具来保护自己的网络安全和隐私。然而,不法分子也通过VPN工具来隐匿自己的犯罪行为,从事病毒传播、网络钓鱼等网络公害活动。不仅如此,为了进一步躲避检测,不法分子会使用TLS加密技术,通过隧道化和协议模仿的方式将VPN流量伪装为HTTPS流量,这种多层加密混淆了流量的统计特征和行为特征,使得传统方法难以检测。因此,对HTTPS隧道下的VPN流量进行检测对于保护网络安全和优化网络管理都具有重要意义。本文以使用TLS协议加密后的VPN流量为研究对象,提出了一种基于流量比率统计特征的VPN流量检测方法。该方法以本文提出的流量检测框架为基础,首先从持续的流量中抽取多个特征通信片段,接着从特征通信片段内提取多维比率统计特征序列对流量的行为模式进行表征,最后将多个片段组成的比率特征矩阵输入深度学习模型CNN完成训练和检测。在此框架下,本文针对VPN流量识别和VPN流量分类,挖掘了两种对应的流量表征方法:（1）针对HTTPS隧道下的VPN流量识别场景,提出了三维比率统计特征识别序列:TCRF。此序列综合上下行数据包交错频率等因素,利用片段内统计窗口和整个特征片段的统计比率来降低VPN隧道内不同服务类型流量特征模式和网络抖动带来的影响,强化VPN自身隧道行为模式。实验结果表明,TCRF方法的Accuracy和F 1-Score达到90%以上,且FPR较低,AUC值超过0.95,相较于FlowPic方法和1D-CNN方法的Accuracy提升10%左右,F1-Score提升15%左右。（2）针对HTTPS隧道下的VPN流量分类场景,提出了三维比率统计特征分类序列:TCRF-cla。该序列综合上下行数据包字节分布等因素,利用统计窗口内部的统计比率来扩大VPN隧道内不同服务类型流量特征模式差异,并采用流量字节分布相对距离降低网络因素带来的干扰。实验结果表明,TCRF-cla 方法的 Accuracy 和 F1-Score 达到 95%以上,相较于 FlowPic方法、1D-CNN方法和Time-related方法的Accuracy提升12%左右,Fl-Score提升20%左右。本文方法通过选取多个特征片段兼顾了 VPN流量识别的实时性和准确性,在特征片段内利用比率特征序列来体现流量的整体行为模式,并通过不同的维度来强化VPN自身隧道行为特性和VPN隧道内流量服务类型特性。此外,使用比率特征避免了应用深度学习模型过程中对常规统计特征进行归一化引入的误差。最后,本文在上述研究的基础上构建了 HTTPS隧道下的VPN流量检测系统。该系统基于Flask框架实现,包含流量获取、流量预处理和流量检测三个模块。系统经过了测试验证,能够在线提供可疑PCAP文件的VPN流量检测服务,通过Web页面形式对VPN流量的识别结果和分类结果进行可视化展示。