基于虚拟专用服务器的匿名代理系统在保护用户隐私和数据安全的同时也为违法犯罪活动提供了便利。作为一种典型且被广泛使用的匿名代理系统Shadowsocks,具有方便部署、通信质量良好、匿名性强、安全性高、不易被监测等特点,常被用来穿透防火墙,绕过监管和审查,这给犯罪分子从事非法网络活动提供了便利。为了有效地对网络犯罪活动进行监管、溯源以及取证等,需要有效的针对Shadowsocks的流量识别方法,更进一步地需要更加细粒度地识别Shadowsocks代理的App的流量。由于Shadowsocks协议所具有的特殊机制,包括双重加密机制、透明数据传输机制和隐形密钥协商机制,现有的普通加密流量识别方法和基于IPSec的VPN流量识别方法不能有效地识别Shadowsocks及其代理的App流量。现有的Shadowsocks流量识别方法也存在算法复杂度高导致的识别效率低下问题,难以直接应用于现实中的Shadowsocks流量监测系统。此外,未见有关Shadowsocks代理的App流量识别这种细粒度的识别工作,而实现这种识别将更加有效和方便的对网络犯罪活动进行监管、溯源以及取证工作。本文首先分析了Shadowsocks协议的工作原理,探究了Shadowsocks产生的匿名代理流量的特点。为了更加细粒度地识别Shadowsocks流量,本文将该流量识别工作分为两部分:Shadowsocks流量识别和Shadowsocks代理的App流量识别。在Shadowsocks流量识别部分,针对Shadowsocks流量在流上下文的相关性方面较普通流量更强,在IP地址集的分布上更为集中,以及在流突发方面更为频繁的特点,采用了基于滑动窗口的流上下文特征和主机流行为特征。其中采用滑动窗口方法能够提取出多条流之间相互联系的特征。并且根据Shadowsocks目的IP地址和端口绑定的特点,提取出IP地址和端口映射特征以提高跨设备识别准确率。之后,在实验评估部分,通过同设备数据集测试和跨设备数据集交叉测试,验证了所采用方法的有效性。为了测试该方法在实际应用中的效果,在校园网的流量总进出口网关上建立了一个能够实时进行监测的Shadowsocks流量监测实验系统,该系统通过大规模的IP和端口过滤、多核并行计算等手段,极大地提高了识别效率,实现了几乎实时的流量识别,现有的被检测数据损失量降低到7%。之后通过收敛性测试,表明该系统能够在对大量设备的流量监测中收敛于一小批高度可疑的设备上;通过准确性量化测试,验证了该系统的识别准确率达78.11%,说明该系统初步达到实用性要求。在Shadowsocks代理的App流量识别部分,本文首先采取了对于App识别较为普遍的包长度统计特征、包长度分布特征、时间统计特征和时间分布特征,然后提出了滑动窗口相似度特征,该特征的直观性演示表明其对跨设备识别具有更好的效果。之后通过利用特征相似度分析手段定量研究了现有特征在识别Shadowsocks下不同App流量,及跨设备识别时准确率下降的原因。最后通过对不同特征集的同设备数据集测试和跨设备数据集交叉测试,验证了滑动窗口相似度特征在跨设备识别方面比数据包长度和时间特征更好的结论。最终测试结果显示综合所有的特征能在相同设备数据集测试上取得94.5%的准确率,在不同品牌跨设备识别方面相比现有的较为普遍的包长度统计和分布特征以及时间统计和分布特征提高了21%的准确率。