lgeoAI：46KB 的本地神经网络，精准识别 VPN、代理与 Tor 流量

一个仅 46KB 的 ONNX 模型，通过 10 个工程化特征，在本地实现 99.98% 方差解释率的匿名流量检测，零外部 API 调用，完全保护隐私。

• 原作者/维护者：tutuurg
• 来源平台：github
• 原始标题：lgeoai
• 原始链接：https://github.com/tutuurg/lgeoai
• 来源发布时间/更新时间：2026-05-24T10:15:33Z

原作者与来源

• 原作者/维护者：tutuurg
• 来源平台：github
• 原始标题：lgeoai
• 原始链接：https://github.com/tutuurg/lgeoai
• 来源发布时间/更新时间：2026-05-24T10:15:33Z 原作者与来源\n\n- 原作者/维护者: Cookie:3 (tutuurg)\n- 来源平台: GitHub\n- 原始标题: lgeoAI\n- 原始链接: https://github.com/tutuurg/lgeoai\n- 发布时间: 2026年\n\n---\n\n背景：为什么需要本地匿名流量检测？\n\n在当今互联网环境中，识别用户是否使用 VPN、代理服务器或 Tor 网络已成为许多应用场景的关键需求——从防止欺诈到内容合规，从安全审计到流量分析。然而，传统的检测方法往往依赖外部 API 服务，这不仅引入了网络延迟，更带来了严重的隐私隐患：用户的 IP 地址和访问行为可能被第三方记录。\n\nlgeoAI 的出现正是为了解决这一矛盾：如何在保护隐私的前提下，实现高精度的匿名流量检测？\n\n---\n\n项目概览：轻量级本地神经网络\n\nlgeoAI 是一个专为匿名流量检测设计的神经网络系统，它与配套的 lgeoip 地理位置分析服务器协同工作。这个项目的核心理念可以用三个关键词概括：\n\n- 极致轻量: 模型文件仅 46KB，比一张高清图片还小\n- 完全本地: 基于 ONNX Runtime 运行，零外部 API 调用，零数据泄露\n- 高精度: R² 达到 0.9998，MAE 仅 0.0003\n\n---\n\n核心机制：10 个工程化特征\n\nlgeoAI 的检测能力建立在 10 个精心设计的输入特征之上，这些特征从原始 IP 分析数据中提取：\n\n特征体系详解\n\n1. 启发式概率 (Heuristic Probability)\n 来自传统检测方法的归一化概率值，范围 0-1，为神经网络提供基础判断依据。\n\n2. 时区匹配 (Timezone Match)\n 检测浏览器时区与 IP 所在时区是否一致，不一致往往是使用代理的信号。\n\n3. Tor 节点标识 (Tor Flag)\n 判断 IP 是否为已知的 Tor 出口节点。\n\n4. 可疑主机名 (Suspicious Hostname)\n 反向 DNS 解析结果中是否包含代理/VPN 相关关键词。\n\n5. IP2Proxy 检测结果\n 基于 IP2Proxy 数据库的代理检测状态。\n\n6. 数据中心标识 (Datacenter Flag)\n IP 是否属于数据中心或托管服务商的地址段。\n\n7. 托管服务商检测 (Hosting ISP)\n ISP 名称中是否包含托管、服务器等相关关键词。\n\n8. 已知 VPN 自治系统号 (Known VPN ASN)\n 该 IP 所属的 ASN 是否在已知 VPN 提供商的数据库中。\n\n9. 时区偏移量 (Timezone Offset)\n 浏览器与 IP 时区的标准化时差，范围 [-1, 1] 代表 ±12 小时。\n\n10. 预留占位符 (Placeholder)\n 为未来扩展预留的特征位。\n\n---\n\n技术实现：ONNX 推理引擎\n\n模型规格\n\n- 格式: ONNX (Open Neural Network Exchange)\n- 运行时: ONNX Runtime\n- 输入: 10 个归一化的 float32 特征\n- 输出: 单一概率分数 (float32, 0-1)\n- 模型大小: 46KB\n\n训练数据\n\n模型基于 1,500 个随机 IPv4 地址训练（比 v0.9 版本增加了 3 倍），覆盖所有 IPv4 地址类别，包含均衡的 VPN、代理和正常流量样本。\n\n性能指标\n\n| 指标 | 数值 | 含义 |\n|------|------|------|\n| MAE | 0.0003 | 平均绝对误差，几乎为零 |\n| R² | 0.9998 | 决定系数，99.98% 方差被解释 |\n| 典型误差 | ±0.0% | 可信赖的精度 |\n\n---\n\n集成方式：与 lgeoip 协同工作\n\nlgeoAI 并非独立运行，而是作为 lgeoip 服务器的智能增强模块。集成过程非常简单：\n\n1. 将 lgeoai_model.onnx 和 lgeoai.py 复制到 lgeoip 服务器目录\n2. lgeoip 服务器会自动检测模型存在\n3. 在 API 请求中启用 AI 模式：\n\n\ncurl \"http://localhost:88/json?ip=89.187.179.58&tz=Europe/Minsk&ai_mode=true\"\n\n\n融合算法\n\n最终概率通过加权融合计算：\n\n\nFinal = (Heuristic × 0.7) + (AI × 100 × 0.3)\n\n\n这种设计既保留了传统启发式方法的稳定性，又引入了神经网络的精准判断。\n\n---\n\n隐私优先设计哲学\n\nlgeoAI 体现了与 lgeoip 相同的隐私优先理念：\n\n- 无数据收集: 模型仅执行推理，不收集、传输任何训练数据、IP 地址或个人信息\n- 完全本地: 所有处理在本地硬件完成\n- 零外部依赖: 推理阶段零 API 调用\n- 透明开源: 代码和模型架构均可审查\n\n---\n\n应用场景与实用价值\n\nlgeoAI 适用于多种需要匿名流量检测的场景：\n\n1. 金融风控: 识别使用 VPN/代理的异常交易行为\n2. 内容分发: 根据用户真实地理位置提供合规内容\n3. 安全审计: 检测潜在的恶意匿名访问\n4. 广告欺诈防范: 识别通过代理刷量的虚假流量\n5. 企业网络管理: 监控内部网络的代理使用情况\n\n---\n\n总结与启示\n\nlgeoAI 证明了机器学习模型可以既小巧又强大。46KB 的体积意味着它可以轻松嵌入到资源受限的环境中——从边缘设备到嵌入式系统。更重要的是，它展示了隐私保护与技术能力并非对立：通过完全本地化的设计，我们可以在不牺牲用户隐私的前提下实现企业级的检测精度。\n\n对于开发者而言，lgeoAI 也是一个优秀的学习案例：如何通过精心的特征工程，在极小的模型体积内实现出色的性能。这种"小模型、精特征"的思路，或许正是未来边缘 AI 的发展方向。