基于時隙組的網(wǎng)絡(luò)流追蹤研究與實(shí)現(xiàn)

郭曉軍, 王 亮, 宋俊芳, 何 磊

(1. 西藏民族學(xué)院 信息工程學(xué)院, 陜西 咸陽 712082;2. 東南大學(xué) 計算機(jī)科學(xué)與工程學(xué)院, 江蘇 南京 210096)

基于時隙組的網(wǎng)絡(luò)流追蹤研究與實(shí)現(xiàn)

郭曉軍1,2, 王 亮1, 宋俊芳1, 何 磊1

(1. 西藏民族學(xué)院 信息工程學(xué)院, 陜西 咸陽 712082;2. 東南大學(xué) 計算機(jī)科學(xué)與工程學(xué)院, 江蘇 南京 210096)

當(dāng)前網(wǎng)絡(luò)流追蹤技術(shù)存在魯棒性差、同步機(jī)制脆弱問題,提出了一種基于時隙組的網(wǎng)絡(luò)流追蹤方法。該方法將流持續(xù)時間劃分為若干相同長度時隙,每相鄰3個時隙構(gòu)成1組,通過清空該組中第1或第2個時隙內(nèi)數(shù)據(jù)包來表示0或1,以實(shí)現(xiàn)特殊標(biāo)記信息在流內(nèi)的隱藏,同時,采用時間偏移量指示同步位置,以便接收端準(zhǔn)確恢復(fù)出該特殊標(biāo)記信息。實(shí)驗(yàn)結(jié)果表明,該方法不僅能呈現(xiàn)準(zhǔn)確的同步性,而且與其他方法相比,在大流量網(wǎng)絡(luò)環(huán)境下表現(xiàn)出更強(qiáng)的魯棒性。

網(wǎng)絡(luò)安全； 網(wǎng)絡(luò)流追蹤； 時隙組； 魯棒性

近年來，伴隨著以Internet為依托的各種經(jīng)濟(jì)模式飛速崛起,相應(yīng)的網(wǎng)絡(luò)安全問題也日益突出,各種網(wǎng)絡(luò)攻擊手段層出不窮,給用戶造成很大經(jīng)濟(jì)損失。為逃避檢測和隱藏身份,攻擊者使用跳板節(jié)點(diǎn)主機(jī)[1]、匿名通信系統(tǒng)[2](如Tor、Mixmaster等)等來掩護(hù)自己主機(jī)真實(shí)位置,給攻擊源定位、網(wǎng)絡(luò)監(jiān)控與管理帶來極大困難。網(wǎng)絡(luò)流追蹤技術(shù)通過主動調(diào)整或改變來自可疑發(fā)送端網(wǎng)絡(luò)流[3]的特征來秘密嵌入特殊標(biāo)記信息,若在可疑接收端的網(wǎng)絡(luò)流中提取出該標(biāo)記信息,則可確認(rèn)可疑發(fā)送端與接收端存在通信過程,為攻擊源跟蹤、匿名通信關(guān)聯(lián)、網(wǎng)絡(luò)犯罪行為取證及審查等提供了重要的技術(shù)保障。

以調(diào)整網(wǎng)絡(luò)流時間特征來嵌入特殊標(biāo)記信息的方法是目前網(wǎng)絡(luò)流追蹤技術(shù)的研究熱點(diǎn)。此類方法主要通過改變流內(nèi)單個數(shù)據(jù)包間延遲(inter packet delay,IPD)來代表特殊標(biāo)記信息。Cabuk等[4]提出在固定時間內(nèi)是否發(fā)送數(shù)據(jù)包來表示0和1,使流內(nèi)IPD呈現(xiàn)出兩種不同長度,但存在明顯統(tǒng)計規(guī)律,難逃統(tǒng)計方法檢測。Archibald等[5]在收發(fā)端借用Luby-Transform噴泉碼及引入防護(hù)頻帶方式在IPD調(diào)制幅度與隱蔽性之間取得平衡,但易受網(wǎng)絡(luò)丟包、延遲抖動等因素影響,魯棒性較差。為改善同步機(jī)制,牛小鵬等[6]采用隱蔽存儲信道來同步收發(fā)端,但含同步信息的數(shù)據(jù)包發(fā)生重傳、亂序或丟失[7-8]時,此同步機(jī)制被破壞,導(dǎo)致無法恢復(fù)流攜帶的特殊標(biāo)記信息。Wang等[9]通過調(diào)整流持續(xù)時間間隔(即時隙)內(nèi)數(shù)據(jù)包發(fā)送時刻均值來完成特殊標(biāo)記信息的嵌入,雖隱蔽性較好,但嵌入和提取過程時空復(fù)雜度較高。Luo等[10]將特殊標(biāo)記信息擴(kuò)頻后再用文獻(xiàn)[9]方法嵌入流中,增強(qiáng)了隱蔽性和抗干擾能力,但嵌入特殊標(biāo)記信息長度較短,不適用于持續(xù)時間較短的網(wǎng)絡(luò)流。

本文提出了基于時隙組的網(wǎng)絡(luò)流追蹤方法NFTIG,將網(wǎng)絡(luò)流持續(xù)時間從某個隨機(jī)偏移開始分割成若干相同長度時隙并分組,通過改變組中兩時隙內(nèi)的包數(shù)量來編碼特殊標(biāo)記信息,接收端僅通過簡單的解碼操作即可恢復(fù)該標(biāo)記信息,在同步性和魯棒性方面都得到較大改善。

1 基于時隙組的網(wǎng)絡(luò)流追蹤技術(shù)

1.1 NFTIG通信模型

如圖1所示，NFTIG通信模式由編碼器(Encoder),共享密鑰和解碼器(Decoder)組成。其中M為特殊標(biāo)記信息；T為時隙長度，T>0；θ為時間偏移量，θ>0,Φ為距離閾值，Φ>0。共享密鑰事先通過其他安全通信信道分發(fā)給Encoder和Decoder。Encoder首先捕獲來自網(wǎng)絡(luò)A中可疑Sender產(chǎn)的網(wǎng)絡(luò)流F,并根據(jù)M、T及θ主動改變F持續(xù)時間內(nèi)時隙組中兩時隙的包數(shù)量,以實(shí)現(xiàn)M在F中的嵌入。F在通信網(wǎng)絡(luò)傳輸過程中受網(wǎng)絡(luò)噪聲(如擁塞、抖動等)影響形成流F′。Decoder截獲到達(dá)網(wǎng)絡(luò)B中可疑Receiver的F′,并根據(jù)共享密鑰T、θ及M的長度從F′中提取特殊標(biāo)記信息M′。若M′與M距離小于閾值Φ,則認(rèn)為M′與M相同,從而確定網(wǎng)絡(luò)A中可疑Sender與網(wǎng)絡(luò)B中可疑Receiver存在通信關(guān)系,反之則認(rèn)為可疑Sender與Receiver間不存在通信過程。

圖1 NFTIG機(jī)制通信模式

1.2 Encoder工作過程

Encoder主要工作是捕獲來自網(wǎng)絡(luò)A中可疑Sender產(chǎn)的網(wǎng)絡(luò)流F,在密鑰T和θ的控制下,根據(jù)特殊標(biāo)記信息M來調(diào)整流F的時隙特征,以完成M在流F的嵌入,并將調(diào)整過的流F發(fā)送到通信網(wǎng)絡(luò)中。設(shè)M=(m1,m2,… ,mn)為二進(jìn)制串,|M|=n(n>0),mi{0,1}。Encoder執(zhí)行如下步驟:

(1) 利用iptables[11]捕獲來自網(wǎng)絡(luò)A中可疑Sender產(chǎn)的網(wǎng)絡(luò)流F,并記錄每個包捕獲時刻。

(2) 從距流F第一個數(shù)據(jù)包捕獲時刻偏移θ處起,選取一段持續(xù)時間D,將D劃分為3n個長度為T的時隙:I1,I2,…I3n,且每3個相鄰時隙構(gòu)成一組(I3i-2,I3i-1,I3i)(i=1 ,…,n),A1,A2,…,A3n表示落在各時隙內(nèi)的包數(shù)量。

(3) 根據(jù)M中mi的取值,對第i個時隙組中I3i-2或I3i-1內(nèi)的數(shù)據(jù)包執(zhí)行清空Clear操作,如式(1)所示。其中,Clear(I3i-2)表示將時隙I3i-2內(nèi)的所有數(shù)據(jù)包延遲到下一個相鄰時隙I3i-1內(nèi)發(fā)送,Clear(I3i-1)表示將時隙I3i-1內(nèi)的所有數(shù)據(jù)包延遲到下一個相鄰時隙I3i內(nèi)發(fā)送。

(4) 再次借用iptables將流F中的數(shù)據(jù)包按照新的發(fā)送時刻依次發(fā)送。

(1)

Clear操作的偽代碼如圖2所示,其中x=3i-1或x=3i-2,PQ[]記錄了Encoder捕獲流F每個數(shù)據(jù)包的時刻。圖3給出了Encoder一個工作過程例子。例如,當(dāng)m1=0(此時i=1),根據(jù)步驟(3)和式(1)對時隙I1內(nèi)的數(shù)據(jù)包進(jìn)行Clear(I1)操作(即清空I1內(nèi)所有數(shù)據(jù)包),Clear(I1)是通過將I1內(nèi)所有數(shù)據(jù)包延遲到時隙I2內(nèi)發(fā)送來實(shí)現(xiàn)的,最終效果如圖3中紅色虛線圈所示。

function Clear(Ix)c←SI[x]/?SI[]記錄各時隙首個數(shù)據(jù)包在PQ[]的索引?/n←SI[x+1]δ=T/(Ax+Ax+1+1)forj=0toAxdo tp=xT+(j+1)δ /?tp為新的數(shù)據(jù)包發(fā)送時刻?/ PQ[c+j]=tpendforforj=0toAx+1do tp=xT+(Ax+j+1)δ PQ[n+j]=tpendfor Ax+1=Ax+Ax+1SI[x+1]=SI[x]endfunction

圖2 Clear操作偽代碼

圖3 Encoder工作過程示例

1.3 Decoder工作過程

Decoder在得到共享密鑰后,捕獲目的地址為網(wǎng)絡(luò)B中可疑Receiver的流F′,并根據(jù)密鑰T、θ、Φ及M長度從流F′中提取出M′,并通過計算M′與M的距離關(guān)系來確定F′與F是否為對應(yīng)關(guān)系,從而來判斷可疑Sender與Receiver間是否存在通信行為。Decoder是Encoder逆過程,其處理流程見圖4。

圖4 Decoder處理流程

(2)

Dist(M′,M)作用是判斷M′與M之間的距離,用于衡量M′與M的相似度,此處距離計算可采用歐氏距離、曼哈頓距離、漢明距離[12]等。

2 實(shí)驗(yàn)與分析

本文為測試NFTIG性能,在Linux系統(tǒng)下利用C語言和iptables分別實(shí)現(xiàn)了Encoder和Decoder,并將它們分別部署在兩臺處于不同地理位置校園網(wǎng)內(nèi)的主機(jī)上進(jìn)行實(shí)驗(yàn),表1是兩臺主機(jī)軟硬件配置參數(shù)。

表1 兩臺主機(jī)軟硬件配置參數(shù)

T、θ及Φ的取值對Encoder和Decoder成功完成M的嵌入和提取非常重要。本文在固定|M|=32 bit和θ=50 ms下對T和Φ不同值組合進(jìn)行實(shí)驗(yàn),測試結(jié)果見表2?？煽闯?Decoder端檢測正確率會隨著T、Φ取值增大而提高。主要因?yàn)門、Φ增大可有效增加攜帶M的流對通信網(wǎng)絡(luò)干擾因素的抵抗力,有利于Decoder準(zhǔn)確恢復(fù)特殊標(biāo)記信息M。然而考慮傳輸效率、算法時空開銷等因素,T、Φ不能取值過大。因此本文綜合考慮后設(shè)置T=60 ms,Φ=4。

表2 Decoder在不同T和Φ閾值下的檢測準(zhǔn)確率

2.1 同步性

NFTIG通過θ提供同步信號,即指示流F中M的起始位置,由于NFTIG是對流F持續(xù)時間上的若干時隙內(nèi)進(jìn)行調(diào)整,對包的時延和抖動敏感性較弱,從整體上能有效平衡延遲、抖動等干擾因素對θ的影響,具備較好同步性。圖5給出了在Encoder設(shè)置|M|=32 bit,θ=50 ms時,Decoder在嘗試不同θ值時的檢測準(zhǔn)確率情況。很顯然,僅在θ=50 ms附近時,檢測準(zhǔn)確率最高,對M恢復(fù)效果最佳,而其他值時效果較差。

2.2 魯棒性對比

魯棒性指攜帶特殊標(biāo)記信息M的流F在經(jīng)過通信網(wǎng)絡(luò)到達(dá)目的后,M能被恢復(fù)的程度,主要用于衡量基于時間特征的網(wǎng)絡(luò)流追蹤方法對網(wǎng)絡(luò)噪聲的抵抗能力。本文在|M|=32 bit,θ=50 ms,T=60 ms,Φ=4下,將NFTIG分別與Cabuk[4],Archibald[5],Rncc[6],Wang[8]算法在不同網(wǎng)絡(luò)流量下的魯棒性進(jìn)行了測試對比,測試結(jié)果見圖6。

圖6 不同網(wǎng)絡(luò)流量下5種算法的魯棒性

很顯然,隨著網(wǎng)絡(luò)流量增大,5種算法對M的檢測準(zhǔn)確率均為下降趨勢。其中,Cabuk,Archibald及Rncc算法下降最為嚴(yán)重,這是因?yàn)榫W(wǎng)絡(luò)流量增大時會嚴(yán)重改變這3種算法原先設(shè)定好的流F內(nèi)的單個IPD值,導(dǎo)致Decoder很難準(zhǔn)確檢測流F所攜帶的M。Wang算法由于采用了擴(kuò)頻機(jī)制,在一定程度上可以抵抗傳輸網(wǎng)絡(luò)噪聲的干擾,所以下降趨勢較緩和。而NFTIG采用了時隙組策略,能有效平衡網(wǎng)絡(luò)流量增加帶來的各種干擾,雖然檢測準(zhǔn)確率也有所下降,但基本都保持在90%以上,表現(xiàn)出比其他4種算法更好的魯棒性,能更好地適應(yīng)大流量網(wǎng)絡(luò)環(huán)境。

3 結(jié)論

網(wǎng)絡(luò)流追蹤技術(shù)可用于確認(rèn)可疑發(fā)送端與接收端是否存在通信行為,應(yīng)用于攻擊源跟蹤、匿名通信關(guān)聯(lián)、網(wǎng)絡(luò)犯罪行為取證等場景。本文提出了一種基于時隙組的網(wǎng)絡(luò)流追蹤方法,通過時間偏移量和調(diào)整時隙組內(nèi)的數(shù)據(jù)包數(shù)目來有效保證嵌入在網(wǎng)絡(luò)流內(nèi)特殊標(biāo)記信息的同步性和魯棒性,實(shí)驗(yàn)測試也取得了較好地效果。下一步將在提高該方案的隱藏信息容量、與其他網(wǎng)絡(luò)攻擊檢測方法融合等方面展開研究。

References)

[1] Hsiao H W,Sun H M,Fan W C.Detecting stepping-stone intrusion using association rule mining[J].Security and Communication Networks,2013,6(10):1225-1235.

[2] Hoang N P,Pishva D.Anonymous communication and its importance in social networking[C]// Proceedings of the 16th International Conference on Advanced Communication Technology. New Jersey:IEEE CPS,2014:34-39.

[3] Thomas M,Metcalf L,Spring J,et al.SiLK:A Tool Suite for Unsampled Network Flow Analysis at Scale[C]// Proceedings of the 2014 IEEE International Congress on Big Data. New Jersey:IEEE CPS,2014:184-191.

[4] Cabuk S,Brodley C E,Shields C,et al.IP covert timing channels:design and detection[C]// Proceedings of the ACM Conference on Computer and Communications Security. New York:ACM,2004:178-187.

[5] Archibald R ,Ghosal D.A covert timing channel based on Fountain codes[C]// Proceedings of the IEEE Conference on Trust,Security and Privacy in Computing and Communications. New Jersey:IEEE CPS,2012:970-977.

[6] 牛小鵬,李清寶,王煒.一種基于擴(kuò)頻編碼的可靠網(wǎng)絡(luò)隱蔽信道設(shè)計方法[J].電子與信息學(xué)報,2013,35(4):1012-1016.

[7] Narasiodeyar R M,Jayasumana A P.Improvement in packet-reordering with limited re-sequencing buffers:An analysis[C]// Proceedings of the IEEE Conference on Local Computer Networks. New Jersey:IEEE CPS,2013:416-424.

[8] Zhang Z,Guo Z,Yang Y.Bounded-reorder packet scheduling in optical cut-through switch[C]// Proceedings of the IEEE Conference on Computer Communications.New Jersey:IEEE CPS,2013:701-709.

[9] Wang X Y,Chen S P,Jajodia S S.Network flow watermarking attack on low-latency anonymous communication systems[C]// Proceedings of the 2007 IEEE Symposium on Security and Privacy. New Jersey:IEEE,2007:116-130.

[10] Luo J Z,Wang X G,Yang M.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J].Journal of Network and Computer Applications,2012,35(1):60-71.

[11] Netfilter Iptables[CP/OL].[2014-5-8].http://www.netfilter.org.

[12] Vijay K,Jitender K,Chhabra,D K.Performance Evaluation of Distance Metrics in the Clustering Algorithms[J].Infocomp Journal of Computer Science,2014,13(1):38-51.

Research on network flow tracking method based on time interval group

Guo Xiaojun1,2, Wang Liang1, Song Junfang1， He Lei1

(1. School of Information Engineering ,Tibet Institute for Nationalities,Xianyang 712082, China; 2. School of Computer Science and Engineering,Southeast University,Nanjing 210096, China)

In order to solve the problem of poor robustness and vulnerable synchronization of current network flow tracking techniques,a network flow tracking scheme based on the time interval group(NFTIG) is proposed.The duration of network flow is divided into many time intervals with equal length,then three adjacent time intervals constitute one group.0 or 1 can be indicated by clearing all packets in the first or second time interval of the group.Through doing this ,the special mark information can be hidden in the network flow.Meanwhile,an offset from the starting moment of the flow is used to indicate synchronous position.This offset can help receiver decode the special mark information easily and accurately.The experimental results show that,compared with other existing methods, the NFTIG presents not only exact synchronization,but also better robustness even under heavy network traffic load.

network security; network flow tracking; time interval group; robustness

2014- 12- 09 修改日期：2015- 01- 19

教育部科技研究重點(diǎn)項(xiàng)目(212168);西藏自治區(qū)2013自然科學(xué)基金項(xiàng)目“藏區(qū)Web站點(diǎn)流量信息泄露機(jī)理與態(tài)勢評估研究”(2015ZR-13-17)；西藏自治區(qū)2014自然科學(xué)基金項(xiàng)目“基于WSN的西藏生態(tài)環(huán)境遠(yuǎn)程監(jiān)測關(guān)鍵技術(shù)研究”(2015ZR-14-18)

郭曉軍(1983—)，男，山西長治，碩士，講師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全和網(wǎng)絡(luò)測量.

E-mail：gxj_0617@163.com

TP393.08

A

1002-4956(2015)7- 0054- 04