机会真的太少了，到底该如何判断抓住？

时间来不及了，目前就这样吧。等我先把简单的模型搓出来，然后自己搭建服务器打流量再优化思路算法。

特征亦或者思路？

前置条件：白名单过滤

非标端口，端口编号可能大可能小

境外服务器

端口会话量较大或端口流量较大，上下行会话数量和数据量

相似会话多

威胁情报，域名

如果走 https， 证书非法

以前全部都是长会话，现在基本都不是长会话，长会话也可以作为检测特征之一。

复杂情况：走国内 CDN 然后到国外 或者 bgp

主动探测（是 GFW 的常规思路，但是在产品里是不能主动探测的）

某些软件有头部结构（可能？但是貌似没看见）

Sock5 HTTP隧道 TCP转发

tls in tls 检测

服务器 ip 属地检查，只要是中国的直接排除掉，如果是正常的地址，服务端 IP 属地是国内那就不是翻墙（不考虑走 CDN 情况），如果是公网地址私用，那服务端 IP 一定是属于客户自己的服务器，也是白流量。

第一次运行的时候，抽取客户公司的白流量，然后自己添加黑流量进行训练？？问题是客户的流量不一定是纯白流量

检测思路 1

  排除服务器是客户业务网段，排除服务器的 IP 属地是国内的（如果走国内 CDN 再出去就没法了）。然后筛选出长会话，如果误报还是多的话，再排除（80，443，3389等常用端口即可）