CN109104426B - 一种基于发包速率的加密流量分析防御方法 - Google Patents

一种基于发包速率的加密流量分析防御方法 Download PDF

Info

Publication number
CN109104426B
CN109104426B CN201810953642.1A CN201810953642A CN109104426B CN 109104426 B CN109104426 B CN 109104426B CN 201810953642 A CN201810953642 A CN 201810953642A CN 109104426 B CN109104426 B CN 109104426B
Authority
CN
China
Prior art keywords
data
packet
sending
sequence
sending rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810953642.1A
Other languages
English (en)
Other versions
CN109104426A (zh
Inventor
马小博
焦洪山
师马玮
安冰玉
赵延康
彭嘉豪
李剑锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201810953642.1A priority Critical patent/CN109104426B/zh
Publication of CN109104426A publication Critical patent/CN109104426A/zh
Application granted granted Critical
Publication of CN109104426B publication Critical patent/CN109104426B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于发包速率的加密流量分析防御方法,着眼于基于发包速率的防御方法,在互联网飞速发展与网络安全、个人隐私愈加被重视的背景下,基于发包速率的概率分布,提出一种在减少发包速率差异化的同时保证***哑包所带来的额外带宽开销最小化,使得加密流量分析技术不能准确识别某一流量数据所代表的网络行为的防御方法。本发明充分挖掘发包速率的统计特性,应用于不同安全协议下的加密流量防御,具有很强的适应性和可行性。

Description

一种基于发包速率的加密流量分析防御方法
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种基于发包速率的加密流量分析防御方法。
背景技术
近年来频繁发生的用户隐私泄露事件受到全世界的广泛关注,企业和个人在网络上传输信息时也十分重视信息的隐私性和安全性。据调查统计,目前已有超过60%的网络流量采用TLS/SSL进行加密通信,对信息进行加密可以保证传输内容的安全性,但是用户在访问网站时与该网站之前进行的流量通信行为却不能被加密,加密流量识别技术(WebsiteFingerprinting)就能在未知通信内容的情况下,在网络数据包层面统计发现不同网站请求行为产生的通信流量之间的差异性,借助机器学习模型对这些加密流量进行分类。可见,尽管安全协议的使用保证了用户的通信内容不被泄露,但是用户的行为极有可能被特定的组织或个人识别。如何减小通信流量之间的差异性,即数据包大小或发包速率等,使得用户的行为不能被加密流量分析技术准确识别是非常值得关注的问题。
选择一种合理有效的基于发包速率的防御方法,是一个非常重要的问题,理由包括:(1)网络传输的数据量越来越大,防御需要额外的带宽开销,而带宽资源有限。(2)额外的哑包发送,加重通信双方的负载,会带来不可忽略的时间延迟。
国内外相关的基于发包速率的防御方法是以固定速率发送数据包。这种防御策略会带来很高的时间延迟,导致用户的请求不能被及时响应,严重影响用户的上网体验,且中间***的哑包也会增加额外的带宽开销。
由此可见,现有的基于发包速率的防御方法为了达到较好的防御效果付出了高额的代价。而另一方面,协调防御效果和防御代价二者的平衡性,大大提高了防御手段在真实网络环境下的可行性。
发明内容
本发明的目的在于提供一种基于发包速率的加密流量分析防御方法,以解决上述问题。
为实现上述目的,本发明采用以下技术方案:
一种基于发包速率的加密流量分析防御方法,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10(x)并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi(i=1,2,3,4,5);
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕。
进一步的,步骤3中,xmax为xi(i=1,2,3,4,5)中最大值的2倍。
进一步的,步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
与现有技术相比,本发明有以下技术效果:
本发明独立于匿名网络和加密代理,是从数据本质出发,基于发包率的统计分布特性,在不改变原有数据包发送时间的基础上,在发送过程中选择特定的时间间隔***哑包,并使用定时器排除了连续发送大量哑包的隐患,解决现有技术采取固定间隔发送数据包带来的时间延迟不可接受和大量发送哑包带来的额外带宽开销不可接受的问题。
附图说明
图1为本发明的流程图;
具体实施方式
以下结合附图对本发明进一步说明:
请参阅图1,一种基于发包速率的加密流量分析防御方法,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10(x)并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi(i=1,2,3,4,5);
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕。
步骤3中,xmax为xi(i=1,2,3,4,5)中最大值的2倍。
步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
实施例1:
步骤1,给定在某一匿名网络或加密代理(如Shadowsocks)传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列。
步骤2,根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列。
步骤3,在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数(log10(x))并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值记为{x1,x2,x3,x4,x5},如{10-5,10-4,10-3,10-2,10-1}。设置最大间隔值为xmax,要求xmax略大于xi(i=1,2,3,4,5),如0.2。
步骤4,当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包。否则,就继续抽样选择xi连续发送哑包直到定时器超时。
步骤5,重复步骤4,直至需要传输的数据包发送完毕。

Claims (2)

1.一种基于发包速率的加密流量分析防御方法,其特征在于,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10x并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi,i=1,2,3,4,5;
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕;
步骤3中,xmax为xi,i=1,2,3,4,5中最大值的2倍。
2.根据权利要求1所述的一种基于发包速率的加密流量分析防御方法,其特征在于,步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
CN201810953642.1A 2018-08-21 2018-08-21 一种基于发包速率的加密流量分析防御方法 Active CN109104426B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810953642.1A CN109104426B (zh) 2018-08-21 2018-08-21 一种基于发包速率的加密流量分析防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810953642.1A CN109104426B (zh) 2018-08-21 2018-08-21 一种基于发包速率的加密流量分析防御方法

Publications (2)

Publication Number Publication Date
CN109104426A CN109104426A (zh) 2018-12-28
CN109104426B true CN109104426B (zh) 2020-05-22

Family

ID=64850532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810953642.1A Active CN109104426B (zh) 2018-08-21 2018-08-21 一种基于发包速率的加密流量分析防御方法

Country Status (1)

Country Link
CN (1) CN109104426B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101969371A (zh) * 2010-10-19 2011-02-09 高杰 一种基于用户数据包协议实现网络数据高速可靠传输的方法
CN103281213A (zh) * 2013-04-18 2013-09-04 西安交通大学 一种网络流量内容提取和分析检索方法
CN104253863A (zh) * 2014-09-15 2014-12-31 重庆邮电大学 一种基于Hadoop平台和分布式处理编程模型的TCP流重组方法
CN106571978A (zh) * 2016-10-28 2017-04-19 东软集团股份有限公司 数据包捕获方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104601583B (zh) * 2015-01-21 2017-11-10 国家计算机网络与信息安全管理中心 一种ip流数据在线实时匿名化***和方法
CN104702469B (zh) * 2015-03-27 2019-02-12 北京奇虎科技有限公司 监控网络数据的方法、实体机虚拟设备及网络***
US10536472B2 (en) * 2016-08-15 2020-01-14 International Business Machines Corporation Cognitive analysis of security data with signal flow-based graph exploration

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101969371A (zh) * 2010-10-19 2011-02-09 高杰 一种基于用户数据包协议实现网络数据高速可靠传输的方法
CN103281213A (zh) * 2013-04-18 2013-09-04 西安交通大学 一种网络流量内容提取和分析检索方法
CN104253863A (zh) * 2014-09-15 2014-12-31 重庆邮电大学 一种基于Hadoop平台和分布式处理编程模型的TCP流重组方法
CN106571978A (zh) * 2016-10-28 2017-04-19 东软集团股份有限公司 数据包捕获方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《局域网网络流量捕获方法的分析与研究》;鲁晓帆等;《安全模型、算法与编程》;20170315;全文 *
《网络实时分析***数据釆集与传输分析模块的设计与实现》;熊坚;《中国优秀硕士学位论文全文库 信息科技辑》;20150831;全文 *

Also Published As

Publication number Publication date
CN109104426A (zh) 2018-12-28

Similar Documents

Publication Publication Date Title
CN111865815B (zh) 一种基于联邦学习的流量分类方法及***
CN103220164B (zh) 数据完整性计分和网络可视化及用户体验监控
CN108156056A (zh) 网络质量测量方法及其装置
CN105100675A (zh) 一种终端视频通信的质量调节方法及***
CN107071399B (zh) 一种加密视频流的质量评估方法及装置
WO2012106861A1 (zh) 终端分布信息获取方法、数据获取装置以及通信***
CN108881305B (zh) 一种面向加密流量识别的样本自动标定方法
CN109982068B (zh) 合成视频质量评估方法、装置、设备及介质
CN105306246A (zh) 一种自动应答网络类投诉的方法、装置和服务器
CN110691007A (zh) 一种精确测量quic连接丢包率的方法
CN109275045A (zh) 基于dfi的移动端加密视频广告流量识别方法
CN108881306B (zh) 一种基于数据包大小序列的加密流量分析防御方法
CN101635720A (zh) 一种未知流量过滤方法和一种带宽管理设备
CN112291506B (zh) 一种视频会议场景下流数据安全漏洞溯源方法及***
CN109104426B (zh) 一种基于发包速率的加密流量分析防御方法
Mori et al. Flow analysis of internet traffic: World Wide Web versus peer‐to‐peer
CN109981550B (zh) 一种游戏业务质量评估方法及装置
CN104065490B (zh) 基于在线计费环境实现模拟收发设备信令的***及方法
Dubin et al. Video quality representation classification of encrypted http adaptive video streaming
CN105282050B (zh) 聚合数据流的方法和装置
CN113949653A (zh) 一种基于深度学习的加密协议识别方法及***
CN107786997A (zh) 一种将kpi映射到kqi的通用处理方法及***
CN101783748A (zh) 数据流监控方法及装置
WO2013034007A1 (zh) 一种反馈分析方法及***
Khaunte et al. Statistical characterization of a world wide web browsing session

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant