網(wǎng)絡(luò)加密流量側(cè)信道攻擊研究綜述

李玎，祝躍飛，蘆斌，林偉

網(wǎng)絡(luò)加密流量側(cè)信道攻擊研究綜述

李玎1,2，祝躍飛1,2，蘆斌1,2，林偉1,2

（1. 信息工程大學(xué)，河南 鄭州 450001；2. 數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001）

網(wǎng)絡(luò)加密流量側(cè)信道攻擊通過分析、提取網(wǎng)絡(luò)應(yīng)用通信過程中泄露的數(shù)據(jù)包長度、時(shí)間等側(cè)信道信息，能夠識別用戶的身份和行為，甚至還原用戶輸入的原始數(shù)據(jù)?；谛畔⒄摻⒘司W(wǎng)絡(luò)加密流量側(cè)信道攻擊模型，使用統(tǒng)一的模型框架分析了代表性的指紋攻擊、擊鍵攻擊和語音攻擊的方法和效果，討論了基于隱藏?cái)?shù)據(jù)包長度和時(shí)間信息的防御方法，結(jié)合技術(shù)發(fā)展前沿對未來可能的研究方向進(jìn)行了展望。

網(wǎng)絡(luò)應(yīng)用；加密流量；側(cè)信道攻擊；信息增益

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，應(yīng)用程序逐漸擺脫主機(jī)端的限制，通過網(wǎng)絡(luò)向用戶提供服務(wù)。與傳統(tǒng)的主機(jī)應(yīng)用相比，網(wǎng)絡(luò)應(yīng)用（web application）通常以瀏覽器作為載體，可以在不需要安裝或升級的前提下，為用戶提供多樣化的便捷服務(wù)，如信息索引[1]、協(xié)同編輯[2]、音視頻通話[3-4]等。由于網(wǎng)絡(luò)應(yīng)用分為瀏覽器和服務(wù)器兩個(gè)部分，用戶的敏感數(shù)據(jù)不可避免地會在網(wǎng)絡(luò)中傳輸，這給了攻擊者竊取用戶隱私信息的可乘之機(jī)。為了保護(hù)用戶數(shù)據(jù)在網(wǎng)絡(luò)上進(jìn)行安全傳輸，開發(fā)者通常采用安全外殼（SSH，secure shell）協(xié)議、傳輸層安全（TLS，transport layer security）協(xié)議等網(wǎng)絡(luò)安全協(xié)議加密應(yīng)用層數(shù)據(jù)，從而保證用戶數(shù)據(jù)的機(jī)密性。在此基礎(chǔ)上，用戶還可以使用虛擬專用網(wǎng)絡(luò)、洋蔥路由等匿名網(wǎng)絡(luò)隧道加密技術(shù)，進(jìn)一步保證數(shù)據(jù)的安全性和身份的隱秘性。由于加密后的網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)隱藏了原始的明文特征，傳統(tǒng)基于特征匹配的深度包檢測等流量檢測方法不再適用。因此，研究者開始將目光轉(zhuǎn)向加密流量側(cè)信道攻擊方法。

側(cè)信道攻擊又稱旁路攻擊，其概念最早來源于密碼學(xué)，是指繞過傳統(tǒng)的暴力破解或密碼分析方法，利用密碼系統(tǒng)實(shí)現(xiàn)中泄露的硬件執(zhí)行時(shí)間差異、功率消耗、電磁泄露等物理信息攻擊密碼系統(tǒng)[5-6]。這些物理信息往往包含與密鑰、明文相關(guān)的額外信息，攻擊者利用這些額外信息，通過統(tǒng)計(jì)學(xué)分析方法，可以推斷出部分原始數(shù)據(jù)或密鑰。這些泄露的物理信息并不來源于密碼系統(tǒng)算法邏輯中的缺陷，因此很難被設(shè)計(jì)者發(fā)現(xiàn)。網(wǎng)絡(luò)加密流量側(cè)信道攻擊借鑒了傳統(tǒng)側(cè)信道攻擊的思想，繞過攻擊數(shù)據(jù)加密算法本身，利用網(wǎng)絡(luò)加密流量可見的數(shù)據(jù)包長度、到達(dá)時(shí)間、傳輸方向和各層協(xié)議元數(shù)據(jù)，以及數(shù)據(jù)流的統(tǒng)計(jì)信息，試圖推斷出用戶敏感信息。近年來，研究者提出了多種網(wǎng)絡(luò)加密流量側(cè)信道攻擊方法，該領(lǐng)域成為學(xué)術(shù)界研究的熱點(diǎn)。例如，指紋攻擊[7-8]能夠判斷用戶正在瀏覽的敏感網(wǎng)站或使用的手機(jī)應(yīng)用，擊鍵攻擊[9-10]能夠推測用戶鍵盤輸入的口令或搜索的查詢，語音攻擊[11-12]能夠識別用戶使用網(wǎng)絡(luò)電話交談的內(nèi)容或說話人的身份等。

網(wǎng)絡(luò)加密流量容易遭受側(cè)信道攻擊的原因主要有3個(gè)。①網(wǎng)絡(luò)應(yīng)用一般分為客戶端和服務(wù)端，因而應(yīng)用程序的部分?jǐn)?shù)據(jù)流和控制流必須通過網(wǎng)絡(luò)進(jìn)行傳輸。其中，數(shù)據(jù)流包含用戶個(gè)性化的請求數(shù)據(jù)和服務(wù)器返回的相關(guān)應(yīng)答數(shù)據(jù)，由此可以推斷用戶身份或隱私信息；控制流一般包含網(wǎng)絡(luò)應(yīng)用特有的通信特征（如定期查詢、更新同步等），由此可以識別具體的網(wǎng)絡(luò)應(yīng)用。②側(cè)信道攻擊者利用互聯(lián)網(wǎng)服務(wù)提供商、自治系統(tǒng)、無線接入點(diǎn)等天然的中間人位置，可以在用戶無感的情況下被動竊聽流經(jīng)的網(wǎng)絡(luò)流量。③雖然加密后的數(shù)據(jù)包隱藏了應(yīng)用層數(shù)據(jù)載荷，但加密流量不可能完全消除原始數(shù)據(jù)的所有特征，如網(wǎng)絡(luò)資源大小在數(shù)據(jù)包長度和數(shù)量上的體現(xiàn)、用戶行為所引發(fā)的網(wǎng)絡(luò)請求及應(yīng)答的時(shí)間信息和數(shù)據(jù)方向等。

當(dāng)前基于網(wǎng)絡(luò)加密流量的側(cè)信道攻擊目標(biāo)類型繁多，攻擊和評價(jià)方法各異，在學(xué)術(shù)界缺乏統(tǒng)一的模型框架對現(xiàn)有攻擊方法進(jìn)行系統(tǒng)總結(jié)。針對該問題，本文建立了網(wǎng)絡(luò)加密流量側(cè)信道攻擊模型，通過理論分析和實(shí)例驗(yàn)證的方式，詳細(xì)分析了幾種有代表性的網(wǎng)絡(luò)加密流量側(cè)信道攻擊方法的原理及效果，討論了針對性的對抗防御方法，對未來技術(shù)發(fā)展方向進(jìn)行了展望。本文的貢獻(xiàn)主要有以下幾點(diǎn)：

1) 基于信息論構(gòu)建了網(wǎng)絡(luò)加密流量側(cè)信道攻擊模型，為相關(guān)問題研究提供理論幫助；

2) 使用統(tǒng)一的模型框架對多種類型的加密流量側(cè)信道攻擊進(jìn)行分析歸納，方便后續(xù)的研究應(yīng)用；

3) 討論網(wǎng)絡(luò)加密流量側(cè)信道攻擊的限制和防御方法，提出未來的改進(jìn)方向。

2 網(wǎng)絡(luò)加密流量側(cè)信道攻擊模型

網(wǎng)絡(luò)流量由網(wǎng)絡(luò)數(shù)據(jù)流組成，一個(gè)網(wǎng)絡(luò)數(shù)據(jù)流通常由包含相同五元組（源IP、源端口、目的IP、目的端口和協(xié)議號）的連續(xù)數(shù)據(jù)包組成。網(wǎng)絡(luò)流量是網(wǎng)絡(luò)終端之間數(shù)據(jù)通信的載體，即抽象的信息傳輸信道。對于未加密的網(wǎng)絡(luò)流量，由于原始應(yīng)用數(shù)據(jù)作為數(shù)據(jù)包載荷在網(wǎng)絡(luò)中傳遞，攻擊者可以直接攻擊信息傳輸?shù)闹餍诺?，即流量載荷數(shù)據(jù)。而對于網(wǎng)絡(luò)加密流量，由于應(yīng)用數(shù)據(jù)被加密隱藏在數(shù)據(jù)包載荷中，攻擊者僅能獲得網(wǎng)絡(luò)流量側(cè)信道中包含的信息，即流量中連續(xù)數(shù)據(jù)包的長度、到達(dá)時(shí)間和數(shù)據(jù)包各層協(xié)議頭部的元數(shù)據(jù)，包括IP地址、端口號、TLS協(xié)議中的服務(wù)器名稱等。利用基本的數(shù)據(jù)包特征，可以進(jìn)一步得到其他統(tǒng)計(jì)特征，如累計(jì)上行數(shù)據(jù)包數(shù)、平均數(shù)據(jù)包時(shí)間間隔、每秒下行字節(jié)數(shù)等，從而建立側(cè)信道攻擊模型。

為了進(jìn)一步刻畫攻擊者獲得的信息增益對于原始不確定性的比重，即相對信息增益，通常利用歸一化的方法得到標(biāo)準(zhǔn)化互信息（NMI，normalized mutual information），即

仍以擊鍵攻擊為例，時(shí)識別準(zhǔn)確率與相對信息增益之間的關(guān)系如圖1所示。當(dāng)攻擊者獲得的相對信息增益為0.5時(shí)，識別的準(zhǔn)確率僅為0.196；而當(dāng)相對信息增益為0.9時(shí)，識別的準(zhǔn)確率可以達(dá)到0.722。

3 網(wǎng)絡(luò)加密流量側(cè)信道攻擊研究進(jìn)展

3.1 指紋攻擊

指紋攻擊是一種通過被動監(jiān)聽網(wǎng)絡(luò)加密流量，分析推斷用戶訪問的網(wǎng)站或應(yīng)用的攻擊方法。在計(jì)算機(jī)領(lǐng)域中，傳統(tǒng)的指紋算法是指數(shù)字認(rèn)證中的哈希算法，目的是將任意長度的數(shù)據(jù)用一個(gè)較小的定長比特串表示。在不考慮哈希碰撞的情況下，該比特串可以唯一地標(biāo)識原始數(shù)據(jù)。隨著越來越多的網(wǎng)絡(luò)應(yīng)用使用加密技術(shù)保護(hù)自身網(wǎng)絡(luò)數(shù)據(jù)，攻擊者無法直接從網(wǎng)絡(luò)流量中獲取原始數(shù)據(jù)的相關(guān)信息。因此，研究者借鑒傳統(tǒng)指紋的思想，試圖從網(wǎng)絡(luò)加密流量側(cè)信道中提取出能夠唯一標(biāo)識網(wǎng)絡(luò)應(yīng)用的指紋信息。

圖2 網(wǎng)站指紋攻擊和手機(jī)應(yīng)用指紋攻擊場景

Figure 2 Scenarios of website fingerprinting attack and mobile App fingerprinting attack

3.1.1 網(wǎng)站指紋攻擊

隨著計(jì)算能力和網(wǎng)絡(luò)性能的提升，目前絕大多數(shù)網(wǎng)站支持通過安全套接字（SSL，secure sockets layer）協(xié)議、TLS等加密方式保護(hù)用戶隱私信息。根據(jù)統(tǒng)計(jì)顯示，當(dāng)前互聯(lián)網(wǎng)上有超過80%的網(wǎng)站通過HTTPS加密[15]。傳統(tǒng)的基于內(nèi)容模式匹配的方法已經(jīng)無法直接從網(wǎng)絡(luò)流量中獲取用戶信息，因此大量的研究者開始將目光轉(zhuǎn)向側(cè)信道攻擊，嘗試從網(wǎng)絡(luò)加密流量中提取網(wǎng)站特有的指紋信息。

網(wǎng)站指紋攻擊的原理主要依賴于用戶訪問網(wǎng)站時(shí)瀏覽器的行為。當(dāng)用戶在瀏覽器中訪問一個(gè)網(wǎng)站的Web頁面時(shí)，瀏覽器首先向服務(wù)器請求該網(wǎng)站主頁的HTML頁面文件，然后檢查頁面文件中引用的相應(yīng)資源文件。當(dāng)本地沒有緩存的資源文件時(shí)，瀏覽器按照順序向服務(wù)器請求對應(yīng)的資源文件。根據(jù)HTTP Archive網(wǎng)站統(tǒng)計(jì)顯示，當(dāng)前訪問一個(gè)網(wǎng)站平均需要加載超過70個(gè)資源文件，包括字體、圖像、JavaScript腳本、CSS樣式等[16]。不同網(wǎng)站的資源文件在類型、數(shù)量、大小和加載順序上一般存在明顯差異，并且SSL/TLS加密不會隱藏?cái)?shù)據(jù)包長度和時(shí)間信息，使攻擊者可以通過分析網(wǎng)絡(luò)加密流量中隱含的網(wǎng)站資源序列化特征，識別用戶瀏覽的網(wǎng)站。

（1）基于簡單指紋匹配的攻擊方法

早期網(wǎng)站指紋攻擊主要針對網(wǎng)站自身SSL/TLS加密的流量，由于傳輸層安全協(xié)議只加密應(yīng)用層數(shù)據(jù)，傳輸數(shù)據(jù)的流量特征得以保留。因此，攻擊者通過監(jiān)聽網(wǎng)絡(luò)流量可以直接統(tǒng)計(jì)出網(wǎng)站請求資源的大小、數(shù)量等網(wǎng)站指紋。Cheng等[17]最早發(fā)現(xiàn)不同網(wǎng)站請求的HTML文件大小和其他資源大小存在特異性，構(gòu)建了包含HTML和其他所有資源大小的二維網(wǎng)站指紋，并通過指紋庫匹配的方式識別未知指紋。Hintz等[18]通過對SSL代理軟件SafeWeb的研究，提出了一種比Cheng等更加精細(xì)化的網(wǎng)站指紋攻擊方法，將包括HTML在內(nèi)的所有請求文件的大小序列作為網(wǎng)站指紋信息。Sun等[19]也在Cheng研究的基礎(chǔ)上，在開放世界中測試了指紋攻擊方法的魯棒性。文獻(xiàn)[19]首先基于網(wǎng)頁請求的資源數(shù)量和各個(gè)資源的大小構(gòu)建網(wǎng)頁指紋，然后利用Jaccard系數(shù)衡量兩個(gè)網(wǎng)頁指紋的相似度，并根據(jù)一個(gè)預(yù)設(shè)的相似度閾值對未知網(wǎng)頁進(jìn)行預(yù)測。Feghhi等[20]注意到之前基于請求資源大小特征的指紋攻擊方法雖然識別準(zhǔn)確率高，但通過簡單的數(shù)據(jù)包填充防御方法就可以使攻擊失效。為此，文獻(xiàn)[20]提出了一種僅利用上行數(shù)據(jù)包時(shí)間信息的網(wǎng)站指紋攻擊方法，使用動態(tài)時(shí)間規(guī)整（DTW，dynamic time warping）算法計(jì)算兩個(gè)數(shù)據(jù)包時(shí)間序列的最佳規(guī)整路徑，并通過定義的F距離衡量不同網(wǎng)站的相似度。

（2）基于數(shù)據(jù)流統(tǒng)計(jì)特征的攻擊方法

隨著隧道加密技術(shù)的發(fā)展，很多用戶選擇使用SSH、VPN等單跳網(wǎng)絡(luò)代理來隱藏自身網(wǎng)絡(luò)活動。由于隧道隱藏了網(wǎng)絡(luò)連接的狀態(tài)及目的IP地址等協(xié)議頭部字段，側(cè)信道攻擊者無法直接區(qū)分請求不同資源的TCP連接。同時(shí)，普及的HTTP/1.1支持流水線技術(shù)，使網(wǎng)站請求資源時(shí)流量的上下行邊界特征變得模糊。2005年，Bissias等[21]首次提出針對SSH隧道加密保護(hù)下的網(wǎng)站指紋攻擊方法，不再使用網(wǎng)站單個(gè)資源的大小特征，而是基于服務(wù)器應(yīng)答數(shù)據(jù)包的長度序列和時(shí)間間隔序列的分布特征建立網(wǎng)站指紋。預(yù)測未知網(wǎng)站時(shí)，簡單地使用信號處理中的互相關(guān)函數(shù)量化兩個(gè)序列的相關(guān)度，從而對指紋庫中的網(wǎng)站進(jìn)行排序。Liberatore等[22]隨后提出一種改進(jìn)的SSH隧道網(wǎng)站指紋攻擊方法，將訪問網(wǎng)站時(shí)具有相同方向和長度的數(shù)據(jù)包統(tǒng)計(jì)值作為指紋特征向量，并分別使用Jaccard系數(shù)相似性度量和樸素貝葉斯（NB，naive Bayes）監(jiān)督分類模型進(jìn)行預(yù)測，前者只比較數(shù)據(jù)包出現(xiàn)的種類，后者以每種數(shù)據(jù)包的數(shù)量作為輸入。Herrmann等[23]在其研究基礎(chǔ)上，對特征提取和模型構(gòu)建進(jìn)行了改進(jìn)，提出了一種基于多項(xiàng)式樸素貝葉斯（MNB，multinomial naive Bayes）模型的攻擊方法，并使用TF-IDF（term frequency-inverse document frequency）變換和余弦歸一化（cosine normalization）強(qiáng)化特征向量的表示能力。顧曉丹等[24]利用訪問網(wǎng)站時(shí)上下行流量的特征差異，分別構(gòu)建SSH匿名流量的上下行指紋，然后通過NB算法對網(wǎng)站指紋進(jìn)行相似度匹配。

為了進(jìn)一步滿足人們對匿名訪問的需求，以Tor匿名網(wǎng)絡(luò)為代表的多跳隧道網(wǎng)絡(luò)開始興起。除了保障用戶鏈路的匿名性，Tor還采用了多種抵抗傳統(tǒng)指紋攻擊的方法，如采用固定長度為512 byte的信元作為數(shù)據(jù)傳輸單元，隱藏原始數(shù)據(jù)的長度信息；使用令牌桶機(jī)制限制讀取數(shù)據(jù)和發(fā)送的速率，混淆數(shù)據(jù)請求的時(shí)序特征。為了實(shí)現(xiàn)針對Tor網(wǎng)絡(luò)的網(wǎng)站指紋攻擊，研究者相繼提出了多種基于精細(xì)化關(guān)聯(lián)特征的識別方法。2009年，Hermann等[23]首次嘗試基于數(shù)據(jù)包長度特征對Tor網(wǎng)絡(luò)進(jìn)行網(wǎng)站指紋攻擊，但收效甚微。Panchenko等[25]在其基礎(chǔ)上設(shè)計(jì)了一組精細(xì)化的流量統(tǒng)計(jì)特征，并使用支持向量機(jī)（SVM，support vector machine）分類器代替此前的NB分類模型。Cai等[26]注意到網(wǎng)絡(luò)數(shù)據(jù)包重傳、丟包和亂序的特點(diǎn)與文本中插入、刪除和換位的操作非常類似，因此將帶方向數(shù)據(jù)包長度序列轉(zhuǎn)化為字符串，使用能夠容忍字符串間細(xì)微差異的Damerau-Levenshtein編輯距離作為比較數(shù)據(jù)流之間相似性的核函數(shù)，并據(jù)此構(gòu)建了DLSVM分類模型。Wang等[27]對Cai等采用的DL編輯距離進(jìn)行了改進(jìn)，提出了一種新的基于最佳字符串對齊距離（OSAD，optimal string alignment distance）的SVM核函數(shù)。隨后，Wang和Cai等[28]合作提出了一種適應(yīng)開放世界場景的網(wǎng)站指紋攻擊方法，使用帶有權(quán)重調(diào)節(jié)的改進(jìn)kNN分類模型有效訓(xùn)練了超過3 000個(gè)混合類型的流量特征。Panchenko等[29]利用可視化方法設(shè)計(jì)了基于累加長度（CUMUL）的指紋特征向量，并將前100個(gè)值與4個(gè)傳統(tǒng)的流量統(tǒng)計(jì)值合并，共同作為SVM分類模型的輸入。為了改進(jìn)Wang等[28]特征集合過于龐大導(dǎo)致的訓(xùn)練困難，Hayes等[30]提出了一種基于隨機(jī)森林（DF，random forest）的特征選擇方法，將決策樹中最重要的葉子節(jié)點(diǎn)作為新的指紋特征訓(xùn)練一個(gè)kNN分類模型。

（3）基于深度學(xué)習(xí)特征自動化提取的攻擊方法

隨著深度學(xué)習(xí)在計(jì)算機(jī)視覺和自然語言處理等領(lǐng)域不斷取得成功，研究者嘗試將深度學(xué)習(xí)的思想應(yīng)用在網(wǎng)站指紋攻擊方法中。通過訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型從原始數(shù)據(jù)中自動提取隱藏的關(guān)聯(lián)特征，可以代替?zhèn)鹘y(tǒng)方法中人工設(shè)計(jì)微調(diào)特征的繁復(fù)過程。2016年，Abe等[31]最早嘗試使用棧式去噪自編碼器（SDAE，stacked denoising autoencoders）模型自動提取Tor網(wǎng)絡(luò)流量的指紋特征。在構(gòu)造神經(jīng)網(wǎng)絡(luò)輸入時(shí)，直接使用前5 000個(gè)信元的方向組成特征向量，上下行分別記作1和?1，長度不足的填充0。這種模型輸入構(gòu)造方法目前在學(xué)術(shù)界被廣泛認(rèn)可，并在后續(xù)的研究中一直被沿用。為了彌補(bǔ)Abe等訓(xùn)練模型時(shí)數(shù)據(jù)量較小的問題，Rimmer等[32]構(gòu)建了大規(guī)模的流量數(shù)據(jù)集，并細(xì)致比較了SDAE、卷積神經(jīng)網(wǎng)絡(luò)（CNN，convolutional neural network）和長短期記憶（LSTM，long short-term memory）網(wǎng)絡(luò)3種深度學(xué)習(xí)模型提取網(wǎng)站指紋特征的效果。文獻(xiàn)[32]還通過復(fù)現(xiàn)傳統(tǒng)的kNN[28]、SVM[29]和RF[30]方法，證明了深度學(xué)習(xí)方法的檢測效率更高，所提取特征抵抗概念漂移的能力更強(qiáng)。為了進(jìn)一步提高深度學(xué)習(xí)模型識別的準(zhǔn)確率，Sirinam等[33]基于Rimmer等使用的3層CNN模型，訓(xùn)練了一個(gè)包含8個(gè)卷積層、2個(gè)全連接層的CNN模型，同時(shí)進(jìn)行了防止過擬合和精細(xì)化參數(shù)調(diào)優(yōu)。隨后，Bhat等[34]在Sirinam研究的基礎(chǔ)上，為了適應(yīng)小規(guī)模的訓(xùn)練數(shù)據(jù)，使用數(shù)據(jù)包間隔時(shí)間代替原有只包含方向的特征向量，然后以ResNet-18作為基礎(chǔ)模型，使用具有長時(shí)間理解能力的擴(kuò)展因果卷積（dilated causal convolutions）代替原有卷積操作。Rahman等[35]提出一種利用數(shù)據(jù)包時(shí)間特征強(qiáng)化攻擊效果的方法，對方向特征向量中的每個(gè)值乘以數(shù)據(jù)包到達(dá)時(shí)間得到新的神經(jīng)網(wǎng)絡(luò)輸入向量。馬陳城等[36]為了更好地提取Tor流量的上層特征，提出將Tor網(wǎng)絡(luò)突發(fā)流量（即方向相同的信元序列）作為網(wǎng)站指紋深度分析的特征。

近年來，學(xué)術(shù)界對網(wǎng)站指紋攻擊的研究數(shù)量眾多，一方面是基于加強(qiáng)網(wǎng)絡(luò)監(jiān)管、打擊網(wǎng)絡(luò)犯罪的現(xiàn)實(shí)需求，另一方面得益于相關(guān)研究成果的公開性。研究者通常會公開模型源碼和實(shí)驗(yàn)數(shù)據(jù)集，在保證實(shí)驗(yàn)結(jié)果可復(fù)現(xiàn)的同時(shí)，方便后續(xù)研究者進(jìn)一步研究。表1從現(xiàn)有網(wǎng)站指紋攻擊方法中選取了不同技術(shù)發(fā)展階段中有代表性的方法，并從多個(gè)角度進(jìn)行了分析對比。

3.1.2 手機(jī)應(yīng)用指紋攻擊

針對手機(jī)應(yīng)用指紋的側(cè)信道攻擊方法隨著智能手機(jī)的技術(shù)發(fā)展而出現(xiàn)。早期的手機(jī)應(yīng)用指紋分析主要集中在明文的HTTP，通過提取流量中HTTP頭部中的請求URL、Host等特征字段構(gòu)建應(yīng)用指紋，從而識別用戶使用的應(yīng)用[37]。這類方法屬于深度包檢測技術(shù)，優(yōu)點(diǎn)是簡單高效、檢測率高，但無法識別HTTPS加密流量。為了滿足人們對隱私保護(hù)的需求，主流的手機(jī)操作系統(tǒng)強(qiáng)制采用加密方式建立連接，如iOS 9開始為應(yīng)用默認(rèn)開啟應(yīng)用傳輸安全（ATS，App transport security）功能，Android 9開始默認(rèn)禁止應(yīng)用發(fā)起未加密的連接。根據(jù)統(tǒng)計(jì)資料顯示，截至2019年，全球超過80%的安卓應(yīng)用默認(rèn)使用加密的網(wǎng)絡(luò)連接通信[38]。

對于攻擊者而言，手機(jī)應(yīng)用的指紋攻擊通常比網(wǎng)站指紋更加復(fù)雜，這主要基于兩個(gè)原因。①網(wǎng)站指紋攻擊很大限度上利用了不同網(wǎng)站加載資源數(shù)量、大小的差異性，而手機(jī)應(yīng)用請求的資源數(shù)量一般較少，且大部分在安裝時(shí)預(yù)置在本地。②手機(jī)應(yīng)用通信的加密流量中不僅包含應(yīng)用資源的請求數(shù)據(jù)，而用包含很多公共服務(wù)數(shù)據(jù)（如位置同步、廣告信息等），使手機(jī)應(yīng)用可能同時(shí)訪問多種類型的服務(wù)，或多個(gè)應(yīng)用同時(shí)訪問同一個(gè)服務(wù)器的資源，這進(jìn)一步減弱了應(yīng)用之間的差異性?？紤]到手機(jī)應(yīng)用產(chǎn)生流量的復(fù)雜性，研究者在提取流量指紋特征時(shí)，通常會先將流量分解為較小的基本單元，一般使用突發(fā)（burst）和數(shù)據(jù)流（flow）的概念進(jìn)行描述。其中，burst描述了短時(shí)間內(nèi)出現(xiàn)的大量數(shù)據(jù)包，通常隨著應(yīng)用啟動、后臺同步或用戶操作等過程而產(chǎn)生。使用burst描述突發(fā)流量的難點(diǎn)在于確定burst閾值（即時(shí)間范圍），該值作為模型的超參數(shù)，一般根據(jù)經(jīng)驗(yàn)選取[39-40]。flow描述了一個(gè)burst中具有相同五元組的數(shù)據(jù)包序列，并且可以根據(jù)選取的特征進(jìn)一步細(xì)分為上行序列、下行序列和雙向序列。flow區(qū)別于傳統(tǒng)TCP/IP數(shù)據(jù)流的概念，其起止時(shí)間取決于burst的時(shí)間范圍。

表1 網(wǎng)站指紋攻擊方法比較

注：“√”表示攻擊利用了該流量特征。[*]對于開放世界場景，結(jié)果為準(zhǔn)確率；對于封閉世界場景，結(jié)果為真陽率和假陽率。

（1）基于burst統(tǒng)計(jì)特征的攻擊方法

早期的研究者注意到不同手機(jī)應(yīng)用產(chǎn)生的加密流量在burst的統(tǒng)計(jì)特征上存在差異，因此，通過提取burst統(tǒng)計(jì)特征可以建立起識別不同手機(jī)應(yīng)用的指紋。St?ber等[41]最早提出一種基于kNN和支持向量機(jī)（SVM，support vector machines）分類模型的識別方法。由于手機(jī)應(yīng)用在無用戶交互的情況下會在后臺定期產(chǎn)生更新或同步請求的加密流量，文獻(xiàn)[41]設(shè)計(jì)了針對后臺burst流量的23個(gè)數(shù)據(jù)流統(tǒng)計(jì)特征作為應(yīng)用指紋，并使用信息增益量化了每個(gè)特征的重要程度，發(fā)現(xiàn)數(shù)據(jù)包長度的絕對中位差（MAD，median absolute deviation）可以獲得最高16.6%的相對信息增益。Wang等[42]通過研究應(yīng)用中用戶行為所產(chǎn)生的加密流量，提出了基于數(shù)據(jù)包長度和時(shí)間模式的手機(jī)應(yīng)用指紋攻擊方法。與St?ber等的方法不同，文獻(xiàn)[42]去除了非用戶行為產(chǎn)生的后臺流量，將每個(gè)用戶行為產(chǎn)生的流量描述為burst，然后從雙向數(shù)據(jù)包的長度和時(shí)間信息中提取了20個(gè)流量統(tǒng)計(jì)特征，用來構(gòu)建RF分類模型。Alan等[43]通過對大量安卓應(yīng)用流量數(shù)據(jù)的研究，發(fā)現(xiàn)僅通過應(yīng)用啟動時(shí)的前64個(gè)數(shù)據(jù)包的長度模式就能夠較好區(qū)分不同的應(yīng)用。文獻(xiàn)[43]借鑒了Herrmann等[23]的網(wǎng)站指紋攻擊的方法，對特征向量進(jìn)行TF-IDF變換和歸一化處理，然后通過MNB算法構(gòu)建一個(gè)分類模型。

（2）基于flow相似性比對的攻擊方法

基于burst統(tǒng)計(jì)特征的指紋攻擊方法雖然能夠識別應(yīng)用類型，但難以進(jìn)一步識別用戶的特定行為。為了提取更加精細(xì)化的手機(jī)應(yīng)用指紋，研究者相繼提出了多種基于flow相似性比對的攻擊方法。Conti等[39]提出一種識別用戶特定行為的指紋攻擊方法。數(shù)據(jù)預(yù)處理階段利用目的IP地址過濾屬于目標(biāo)應(yīng)用的流量，并截取前4.5 s的burst限制flow的時(shí)間范圍。模型以數(shù)據(jù)包長度的DTW最佳規(guī)整路徑作為聚類算法的距離測度，使用無監(jiān)督的層次聚類（HC，hierarchical clustering）算法將flow聚合成不同的簇。模型訓(xùn)練階段以不同簇的大小作為分類特征，衡量用戶行為與各個(gè)簇的相關(guān)度，并為每個(gè)應(yīng)用訓(xùn)練一個(gè)RF模型。Saltaformaggio等[44]改進(jìn)了Conti等通過目的地址過濾應(yīng)用流量的方法。文獻(xiàn)[44]首先將flow劃分為5 ms的用戶行為測量單元，針對測量單元設(shè)計(jì)了26個(gè)統(tǒng)計(jì)特征，然后利用-means算法對測量單元進(jìn)行無監(jiān)督聚類，將聚類結(jié)果作為用戶行為的特征向量訓(xùn)練一個(gè)SVM分類模型。Taylor等[40]同樣在Conti研究的基礎(chǔ)上，提出了一種擴(kuò)展性更好的手機(jī)應(yīng)用指紋攻擊方法。文獻(xiàn)[40]將burst的時(shí)間范圍從4.5 s縮短到1 s以適應(yīng)網(wǎng)絡(luò)性能的提升，并在訓(xùn)練階段使用了6種不同要素組合的分類模型，即分類方式為多分類或二分類，分類算法為SVM或RF，分類特征為flow的數(shù)據(jù)包長度序列或40個(gè)數(shù)據(jù)流統(tǒng)計(jì)特征。模型預(yù)測階段，為了防止壞結(jié)果的產(chǎn)生，采用概率閾值的方式得到預(yù)測的結(jié)果。6個(gè)月后，Taylor等在不同安卓設(shè)備上再次進(jìn)行了實(shí)驗(yàn)[45]，驗(yàn)證了模型的泛化能力。朱迪等[46]在Taylor研究的基礎(chǔ)上，提出了一種使用密度聚類算法過濾干擾樣本，然后使用RF分類模型識別手機(jī)應(yīng)用加密流量的攻擊方法。

表2從多個(gè)角度對比了當(dāng)前手機(jī)應(yīng)用指紋攻擊中有代表性的方法。這些方法普遍利用加密流量的數(shù)據(jù)流統(tǒng)計(jì)特征，通過機(jī)器學(xué)習(xí)算法訓(xùn)練分類模型，可以準(zhǔn)確區(qū)分不同的手機(jī)應(yīng)用，甚至可以識別用戶的特定行為。因此，手機(jī)應(yīng)用指紋攻擊方法可以作為網(wǎng)絡(luò)監(jiān)管的有效手段。

3.2 擊鍵攻擊

擊鍵攻擊又稱擊鍵記錄側(cè)信道攻擊，是一種利用側(cè)信道泄露的信息跟蹤鍵盤或鼠標(biāo)活動，試圖還原用戶輸入或選擇內(nèi)容的攻擊方法。隨后研究人員發(fā)現(xiàn)，通過監(jiān)聽該裝置每次擊鍵發(fā)出的電磁波峰值，可以在很遠(yuǎn)的地方恢復(fù)出高達(dá)75%的明文。此后，研究者開始從多個(gè)側(cè)信道展開對擊鍵攻擊的研究，如用戶手指或手部動作、擊鍵引起的物理震動、電磁或聲音信號、CPU負(fù)載峰值等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，應(yīng)用程序逐漸擺脫主機(jī)端限制，開始基于網(wǎng)絡(luò)傳輸為用戶提供高交互、低時(shí)延的服務(wù)。同時(shí)，計(jì)算能力的提升使網(wǎng)絡(luò)應(yīng)用普遍采用SSH、TLS等加密方式保護(hù)用戶隱私信息。因此，針對網(wǎng)絡(luò)加密流量的擊鍵攻擊方法通過分析數(shù)據(jù)包長度和時(shí)間等側(cè)信道信息，試圖推測用戶原始的擊鍵內(nèi)容。

表2 手機(jī)應(yīng)用指紋攻擊方法比較

（1）基于用戶擊鍵時(shí)間模式的攻擊方法

早期研究者提出的擊鍵攻擊方法主要基于網(wǎng)絡(luò)流量泄露的用戶擊鍵模式（typing pattern），即擊鍵時(shí)的時(shí)間間隔特征。擊鍵模式包含人的生物學(xué)行為特征，因此還被廣泛用作身份驗(yàn)證的生物測定方法[47-50]。Dhakal等[51]通過收集分析超過16萬人的鍵盤記錄，發(fā)現(xiàn)用戶的擊鍵時(shí)間間隔（IKI，inter-key interval）具有明顯生物特征。例如，快速打字者的平均IKI為122 ms，標(biāo)準(zhǔn)差為12 ms，而慢速打字者的平均IKI為481 ms，標(biāo)準(zhǔn)差為123 ms。此外，對于快速打字者，不同手部組合下的雙字符對（bigram）IKI有穩(wěn)定的分布差異。例如，雙手交替字母對的平均IKI為109 ms，同一手指字母對的平均IKI為145 ms。因此，在穩(wěn)定的擊鍵模式下，攻擊者可以利用側(cè)信道泄露的IKI信息獲得關(guān)于原始輸入的信息增益。Song等[9]提出一種利用SSH連接數(shù)據(jù)包泄露的擊鍵時(shí)間信息推測用戶口令的攻擊方法。由于SSH連接屬于實(shí)時(shí)交互的網(wǎng)絡(luò)應(yīng)用，用戶的每次擊鍵會立即產(chǎn)生一次數(shù)據(jù)交換。文獻(xiàn)[9]首先利用SSH登錄時(shí)特殊的數(shù)據(jù)包長度確定用戶輸入口令的起始位置（即口令長度），然后通過分析數(shù)據(jù)包的時(shí)間間隔信息推測可能的雙字符對。為了研究用戶的擊鍵模式，文獻(xiàn)[9]收集了字母和數(shù)字雙字符對的IKI值，并通過高斯分布參數(shù)估計(jì)發(fā)現(xiàn)攻擊者可以從每次擊鍵泄露的時(shí)間信息中獲得約1 bit的信息增益，大大縮減了口令暴力搜索的范圍。文獻(xiàn)[9]進(jìn)一步設(shè)計(jì)了基于隱馬爾可夫模型（HMM，hidden Markov model）和-Viterbi算法的分類預(yù)測模型，對于給定的IKI序列，模型通過預(yù)測輸出個(gè)可能的字符序列。

（2）基于AJAX交互數(shù)據(jù)長度特征的攻擊方法

雖然SSH加密流量泄露的擊鍵時(shí)間信息可以有效減少暴力搜索猜測的次數(shù)，但僅靠少量的時(shí)間信息還不足以推斷用戶輸入的內(nèi)容，攻擊者試圖從網(wǎng)絡(luò)應(yīng)用加密流量中獲取更多關(guān)于用戶輸入的信息。為此，研究者開始關(guān)注基于AJAX（asynchronous Javascript and XML）技術(shù)的實(shí)時(shí)交互網(wǎng)絡(luò)應(yīng)用，如網(wǎng)絡(luò)會診、在線地圖、增量搜索等。使用AJAX技術(shù)的網(wǎng)絡(luò)應(yīng)用支持通過異步更新方式對用戶擊鍵（如鼠標(biāo)點(diǎn)擊、鍵盤輸入等）進(jìn)行實(shí)時(shí)應(yīng)答，而不需要重新加載新的頁面。以增量搜索為例，典型的基于AJAX技術(shù)的增量搜索應(yīng)用如圖3所示。當(dāng)用戶在增量搜索框中輸入字符時(shí)，后臺JavaScript程序會發(fā)送包含查詢字符串的HTTP請求，接收服務(wù)器返回的查詢建議列表，并將列表顯示在增量搜索下拉框中。在用戶搜索的過程中，不同請求和應(yīng)答的大小特征被保留在數(shù)據(jù)包長度模式中，攻擊者可以通過分析加密流量推斷用戶原始輸入，收集用戶的政治傾向、醫(yī)療狀況、身份標(biāo)志等敏感信息。

（3）基于多維度流量特征的攻擊方法

隨著網(wǎng)絡(luò)應(yīng)用普遍采用隨機(jī)化策略，傳統(tǒng)基于通信數(shù)據(jù)長度特征的攻擊方法不再被使用，研究者開始利用多維度的流量特征實(shí)現(xiàn)用戶擊鍵攻擊。Oh等[54]提出了一種針對Tor匿名網(wǎng)絡(luò)保護(hù)下的搜索查詢攻擊方法。服務(wù)器返回的查詢建議列表和結(jié)果使攻擊者通過下行流量特征能夠區(qū)分不同的查詢關(guān)鍵字，因此文獻(xiàn)[54]借鑒指紋攻擊的思想，構(gòu)造了以下行流量為主的247個(gè)統(tǒng)計(jì)和序列特征作為關(guān)鍵字指紋，然后利用分類模型實(shí)現(xiàn)對用戶輸入關(guān)鍵字的識別。文獻(xiàn)[55]使用深度學(xué)習(xí)方法重復(fù)了上述實(shí)驗(yàn)，并選擇下行數(shù)據(jù)包長度序列作為神經(jīng)網(wǎng)絡(luò)輸入特征。Monaco等[56]考慮到Oh等的方法只能識別特殊的關(guān)鍵字，并且增量搜索服務(wù)器返回的結(jié)果會隨時(shí)間和位置等因素發(fā)生變化，因此提出一種基于上行AJAX請求數(shù)據(jù)包特征的擊鍵攻擊方法。該方法首先利用接收數(shù)據(jù)包長度增量的確定有窮自動機(jī)（DFA，deterministic finite automaton）檢測用戶擊鍵數(shù)據(jù)包，然后利用搜索請求URL中百分號編碼空格字符的特殊長度劃分英文單詞，同時(shí)通過匹配HAPCK靜態(tài)霍夫曼編碼后單詞長度的增長模式裁剪字典規(guī)模，最后使用識別數(shù)據(jù)包時(shí)間間隔序列的RNN模型預(yù)測可能的單詞，并借助語言模型對預(yù)測單詞進(jìn)行集束搜索（beam search），得到候選的查詢字符串。文獻(xiàn)[57]分析了5個(gè)知名網(wǎng)站的增量搜索AJAX模型，發(fā)現(xiàn)采用keydown事件觸發(fā)請求的模型可以在加密流量中保留原始的擊鍵信息，而采用keyup或計(jì)時(shí)器超時(shí)事件會合并緊鄰的搜索請求，導(dǎo)致加密流量損失被合并的擊鍵信息。

圖3 基于AJAX技術(shù)的增量搜索應(yīng)用

Figure 3 Incremental search application based on AJAX technologies

表3對當(dāng)前加密流量擊鍵攻擊方法進(jìn)行了橫向?qū)Ρ?。由于擊鍵攻擊的目標(biāo)范圍非常大，現(xiàn)有攻擊方法一般針對目標(biāo)集合的子集，并且對攻擊場景進(jìn)行了適當(dāng)?shù)募僭O(shè)。雖然擊鍵攻擊結(jié)果無法達(dá)到指紋攻擊的準(zhǔn)確率，但攻擊者通過網(wǎng)絡(luò)加密流量泄露的側(cè)信道信息，可以有效減小猜測用戶擊鍵輸入的范圍。

3.3 語音攻擊

網(wǎng)絡(luò)技術(shù)的發(fā)展使人們逐漸從傳統(tǒng)電話轉(zhuǎn)向網(wǎng)絡(luò)通話服務(wù)，即VoIP（voice over Internet protocol）。語音攻擊主要針對基于網(wǎng)絡(luò)的在線語音通話技術(shù)，是一種通過分析用戶語音通信的網(wǎng)絡(luò)加密流量，試圖還原語音通話內(nèi)容或鑒別用戶身份的攻擊方法。由于網(wǎng)絡(luò)傳輸?shù)牧髁烤哂虚_放性，網(wǎng)絡(luò)通話技術(shù)通常在傳輸語音數(shù)據(jù)前，通過加密技術(shù)保證數(shù)據(jù)的機(jī)密性。語音流量加密雖然有助于保護(hù)用戶隱私，但同時(shí)可能被不法分子用來隱匿犯罪活動。因此，針對網(wǎng)絡(luò)加密流量的語音攻擊技術(shù)對于網(wǎng)絡(luò)監(jiān)管具有重要意義。

在傳統(tǒng)VoIP服務(wù)的通信協(xié)議中，語音數(shù)據(jù)和控制信息通常是在單獨(dú)的通道中傳輸。其中，控制信息一般通過應(yīng)用層協(xié)議傳輸，如標(biāo)準(zhǔn)的公開協(xié)議會話發(fā)起協(xié)議（SIP，session initiation protocol）、可擴(kuò)展通信和表示協(xié)議（XMPP，extensible messaging and presence protocol），以及特殊應(yīng)用的控制協(xié)議如Skype等。而語音數(shù)據(jù)是通過基于UDP的應(yīng)用層協(xié)議實(shí)時(shí)傳輸協(xié)議（RTP，real-time transport protocol）進(jìn)行傳輸。語音攻擊主要針對數(shù)據(jù)通道，利用數(shù)據(jù)通道加密流量泄露的側(cè)信道信息對原始語音內(nèi)容進(jìn)行攻擊。

表3 針對加密流量的擊鍵攻擊方法比較

注：“√”表示攻擊利用了該流量特征。

在VoIP語音數(shù)據(jù)被加密封裝之前，都會通過專門針對人聲的語音編碼器進(jìn)行編碼壓縮處理。不同編碼方式之間雖然有細(xì)微差異，但一般基于基本的碼激勵(lì)線性預(yù)測（CELP，code-excited linear prediction）編碼模型，如圖4所示。CELP以8 kHz至32 kHz的頻率對語音采樣，以20 ms的時(shí)間間隔為單位將樣本劃分為幀。編碼器首先計(jì)算每個(gè)幀的線性預(yù)測系數(shù)（LPC，linear prediction coefficients），并將幀分別與固定碼本和自適應(yīng)碼本中的編碼進(jìn)行匹配，找到最能代表原始語音內(nèi)容的編碼；然后將編碼索引和線性預(yù)測系數(shù)及增益一起作為輸出，組成RTP的載荷數(shù)據(jù)。由于語音通信中一方大部分時(shí)間是靜默狀態(tài)，CELP通常采用可變碼率（VBR，variable bit rate）來自適應(yīng)地選擇對應(yīng)比特率的碼本，即講話時(shí)選擇高比特率的碼本以表達(dá)復(fù)雜的幀。而在高比特率的碼本中，編碼索引的位數(shù)更多。因此，VBR模式下VoIP加密數(shù)據(jù)包的長度能夠體現(xiàn)通話信息的特征，語音攻擊正是利用了該側(cè)信道泄露的信息。

圖4 CELP語音編碼器

Figure 4 CELP speech encoder

（1）基于編碼音素長度模式比對的攻擊方法

傳統(tǒng)的語音識別技術(shù)首先將語音幀標(biāo)記為狀態(tài)，然后將狀態(tài)組合成發(fā)音的基本單元——音素。根據(jù)CMU發(fā)音詞典[60]，所有的英文單詞都可以由39個(gè)基本音素組合而成。研究者借鑒語音識別的思想，以音素為單位劃分語音加密流量，然后建立不同音素與數(shù)據(jù)包長度模式的關(guān)系。Wright等[61]提出一種基于-gram模型的VoIP講話者語言識別方法，通過衡量同一種語言的講話者之間和不同語言的講話者之間的概率分布差異，定義了語言之間概率分布的可區(qū)分性。文獻(xiàn)[11]以音素為基本單元得到對應(yīng)的VoIP數(shù)據(jù)包長度模式，通過訓(xùn)練Profile HMM模型來識別加密流量中符合特定模式的語句。White等[62]在Wright研究的基礎(chǔ)上，實(shí)現(xiàn)了對VoIP加密流量中任意音素的建模和識別。文獻(xiàn)[62]首先利用最大熵（max-entropy）模型識別音素邊界數(shù)據(jù)包，將加密數(shù)據(jù)包按照音素分組，然后使用最大熵和Profile HMM模型識別數(shù)據(jù)包分組具體屬于哪個(gè)音素，并利用音素約束模型將音素序列劃分成英文單詞，最后通過比較語音編輯距離識別音素分組，并在trigram語言模型的糾正下得到原始語音內(nèi)容。Dupasquier等[63]研究了針對Skype加密流量的語音攻擊方法，發(fā)現(xiàn)Skype語音加密流量的獨(dú)立音素可以良好地被區(qū)分，進(jìn)而通過音素的組合可以識別出完整的語句。為了屏蔽噪聲和不同講話者帶來的影響，文獻(xiàn)[63]使用卡爾曼濾波器來提取語音信號的核，并利用DTW算法較好地解決了兩個(gè)存在時(shí)間差異的相同語句的相似性度量問題。

（2）基于說話人語音模式特征的攻擊方法

除了識別還原語音內(nèi)容，用戶身份鑒別即說話人識別是語音攻擊的另一個(gè)重要領(lǐng)域。 Khan等[64]提出一種利用VoIP語音加密流量識別說話人身份的方法，為每個(gè)說話人建立一個(gè)基于數(shù)據(jù)包長度的嵌套二分集合（END，ensemble of nested dichotomie）模型，然后利用訓(xùn)練好的模型對數(shù)據(jù)包長度模式進(jìn)行識別。在另一項(xiàng)識別用戶身份的工作中，Backes等[12]發(fā)現(xiàn)VoIP語音加密流量中的停頓模式能夠反映出講話者的身份特征，利用語音端點(diǎn)檢測（VAD，voice activity detection）濾波器將加密流量按照數(shù)據(jù)包長度劃分為講話狀態(tài)和靜默狀態(tài)，然后利用“靜默?講話?靜默”三元組的相對頻率構(gòu)建說話人的特征模型，通過L1最近鄰分類器對說話人進(jìn)行檢測。

表4分析對比了當(dāng)前針對網(wǎng)絡(luò)加密流量的語音攻擊方法?，F(xiàn)有方法主要針對開源的語音編碼系統(tǒng)Speex，實(shí)驗(yàn)結(jié)果中對語言、用戶身份和特定語句的準(zhǔn)確率可以達(dá)到50%以上。雖然對任意語句內(nèi)容的識別準(zhǔn)確率相對較低，但任何側(cè)信道泄露都會給攻擊者帶來一定的信息增益，有助于識別用戶的敏感信息。

4 網(wǎng)絡(luò)加密流量側(cè)信道攻擊防御方法

由于網(wǎng)絡(luò)加密流量側(cè)信道攻擊能夠給用戶行為和隱私信息帶來巨大威脅，相應(yīng)的防御方法應(yīng)運(yùn)而生。攻擊者通過監(jiān)聽網(wǎng)絡(luò)加密流量實(shí)現(xiàn)側(cè)信道攻擊，本質(zhì)上是利用了加密流量泄露的數(shù)據(jù)包長度、時(shí)間、方向等基本特征。這些特征經(jīng)過分析組合可以形成高維的序列特征和統(tǒng)計(jì)特征，作為機(jī)器學(xué)習(xí)等模型的輸入。因此，網(wǎng)絡(luò)加密流量側(cè)信道攻擊防御方法的基本思想是隱藏?cái)?shù)據(jù)包的長度和時(shí)間信息。

為了隱藏?cái)?shù)據(jù)包長度信息，研究者提出了多種基于數(shù)據(jù)長度混淆的防御方法。Sun等[19]針對網(wǎng)站指紋攻擊提出了3種基本的數(shù)據(jù)包填充方式，即線性填充（固定長度的整數(shù)倍）、指數(shù)填充（2的冪次）和隨機(jī)填充，并且提出數(shù)據(jù)包變形的思想，即使用HTTP流水線技術(shù)和比特范圍請求隨機(jī)化數(shù)據(jù)包的長度和數(shù)量。隨后，Liberatore等[22]在其基礎(chǔ)上補(bǔ)充了二值填充和MTU填充方法。Wright等[11,61]針對其實(shí)現(xiàn)的VoIP語音攻擊，采用線性填充方式驗(yàn)證了防御方法的有效性，隨后又提出一種流量變形防御方法[65]，通過動態(tài)填充特殊長度的數(shù)據(jù)包，使之符合其他類型目標(biāo)的特征。Luo等[66]借鑒長度混淆的思想，提出了一種基于數(shù)據(jù)包變形的防御方法HTTPOS，在客戶端通過HTTP Range頭部字段實(shí)現(xiàn)對數(shù)據(jù)的切分，動態(tài)改變數(shù)據(jù)包的長度和數(shù)量。Panchenko等[25]針對網(wǎng)站指紋攻擊提出了一種引入背景噪聲流量的誘騙防御方法，在用戶加載網(wǎng)站時(shí)，隨機(jī)加載另一個(gè)網(wǎng)站，使其混淆真實(shí)網(wǎng)站的流量特征。Wang等[67]借鑒Decoy誘騙的思想，提出了一種名為Walkie-Talkie的防御方法。該方法在瀏覽器半雙工模式下學(xué)習(xí)網(wǎng)站特有的數(shù)據(jù)包突發(fā)指紋，并在用戶訪問網(wǎng)站時(shí)按照其他網(wǎng)站的指紋塑造數(shù)據(jù)包序列。Monaco等[56]在其實(shí)現(xiàn)的增量搜索擊鍵攻擊中測試了數(shù)據(jù)包填充防御方法，結(jié)果以50%的概率填充1個(gè)字節(jié)就可以有效降低攻擊成功率。此外，Schwarz等[68]提出的偽造用戶擊鍵方法可以有效防御擊鍵攻擊。

為了進(jìn)一步隱藏?cái)?shù)據(jù)包的時(shí)間信息，現(xiàn)有防御方法一般采取調(diào)整數(shù)據(jù)發(fā)送時(shí)間和插入偽造數(shù)據(jù)的做法。Song等[9]提出一種隱藏SSH加密流量中擊鍵時(shí)間信息的防御方法。該方法在SSH客戶端設(shè)置一個(gè)固定周期為50 ms的發(fā)送計(jì)時(shí)器：若周期內(nèi)沒有擊鍵，則客戶端發(fā)送一個(gè)偽造數(shù)據(jù)包；若周期內(nèi)有多次擊鍵，則客戶端合并數(shù)據(jù)后發(fā)送一個(gè)數(shù)據(jù)包。Dyer等[69]注意到針對網(wǎng)站指紋攻擊的防御方法都無法隱藏加密流量的持續(xù)時(shí)間、數(shù)據(jù)總量和突發(fā)數(shù)量等“粗糙”特征，理論上只有發(fā)送固定長度和時(shí)間間隔的數(shù)據(jù)包，并且持續(xù)固定的時(shí)間，才能完全抵抗側(cè)信道攻擊。為此，文獻(xiàn)[69]提出了一種名為BuFLO的防御方法，使通信雙方不論實(shí)際數(shù)據(jù)量大小，都以恒定的時(shí)間間隔發(fā)送固定長度的數(shù)據(jù)包，并且持續(xù)一定的最短時(shí)間。該方法雖然從理論上實(shí)現(xiàn)了防御側(cè)信道攻擊，但帶來了巨大的帶寬消耗和網(wǎng)絡(luò)時(shí)延，難以在實(shí)際中應(yīng)用。隨后，Cai等[70]通過分析指紋攻擊利用的流量特征以及防御方法需要的帶寬下界，提出了一種較好平衡帶寬消耗和安全性的Tamaraw防御方法。Juarez等[71]為了降低BuFLO以恒定速率發(fā)送數(shù)據(jù)包的方式帶來的網(wǎng)絡(luò)開銷，提出了一種基于自適應(yīng)填充算法的防御方法WTF-PAD。該方法根據(jù)數(shù)據(jù)包到達(dá)時(shí)間間隔將當(dāng)前網(wǎng)絡(luò)狀態(tài)分為突發(fā)和空閑狀態(tài)，并且只在空閑狀態(tài)下插入偽造突發(fā)狀態(tài)的數(shù)據(jù)包，實(shí)現(xiàn)隱藏真實(shí)的突發(fā)狀態(tài)。

表4 針對加密流量的語音攻擊方法比較

表5分析對比了當(dāng)前針對網(wǎng)絡(luò)側(cè)信道攻擊有代表性的防御方法。現(xiàn)有方法雖然可以有效地防范特定的側(cè)信道攻擊，但往往存在以下問題。①簡單的防御方法如數(shù)據(jù)包填充、定時(shí)發(fā)送等雖然適用性強(qiáng)，但會帶來嚴(yán)重的帶寬消耗和時(shí)間開銷，給實(shí)際應(yīng)用部署造成困難。②復(fù)雜的防御方法如HTTPOS、WTF-PAD等雖然效果明顯，但一般針對特殊的攻擊方法，對于未知側(cè)信道攻擊的防御效果具有不確定性。Li等[72]通過量化網(wǎng)站指紋攻擊中各個(gè)特征帶來的信息增益，揭示了識別準(zhǔn)確率與側(cè)信道泄露信息量之間的關(guān)系，表明不能單從降低識別準(zhǔn)確率來衡量網(wǎng)站指紋攻擊防御方法的有效性。

表5 加密流量側(cè)信道攻擊的防御方法比較

5 結(jié)束語

網(wǎng)絡(luò)加密流量側(cè)信道攻擊和防御方法在過去20年經(jīng)歷了螺旋式的發(fā)展，其內(nèi)生動力一方面源于用戶保護(hù)自身隱私的需求，另一方面來自政府、安全部門對打擊網(wǎng)絡(luò)犯罪的需要。當(dāng)前網(wǎng)絡(luò)加密流量側(cè)信道攻擊研究有了較好的成果，并且一些成果具有良好的實(shí)際應(yīng)用價(jià)值，成為加強(qiáng)網(wǎng)絡(luò)監(jiān)管、防范網(wǎng)絡(luò)威脅的重要手段。然而，現(xiàn)有研究中還有一些不足，仍然有很大的發(fā)展空間。結(jié)合近年來網(wǎng)絡(luò)側(cè)信道攻擊方法的技術(shù)發(fā)展前沿理論，本文提出以下幾個(gè)值得深入研究的方向。

（1）指紋攻擊中機(jī)器學(xué)習(xí)模型的可解釋性。近年來以網(wǎng)站指紋為代表的指紋攻擊方法充分利用神經(jīng)網(wǎng)絡(luò)的特征學(xué)習(xí)能力，突破了Tor匿名網(wǎng)絡(luò)的側(cè)信道安全防御措施。雖然監(jiān)督式的機(jī)器學(xué)習(xí)模型具有強(qiáng)大的預(yù)測能力，但模型分類提取的特征一般缺乏可解釋性，因此無法證明分類特征在實(shí)際應(yīng)用中的有效性。如何準(zhǔn)確地度量分類特征在側(cè)信道泄露的信息量，是未來值得研究的重要方向。

（2）增量搜索擊鍵攻擊的可擴(kuò)展性。雖然現(xiàn)有研究提出了多種針對搜索引擎的擊鍵攻擊方法，但目前的方法與具體應(yīng)用高度相關(guān)，沒有從系統(tǒng)角度提出增量搜索模型與側(cè)信道信息泄露之間的量化關(guān)系。此外，當(dāng)前研究中假設(shè)的擊鍵攻擊對象都是英文輸入，缺乏對中文輸入及相關(guān)生物特征的深入研究。相比指紋攻擊能夠監(jiān)管用戶訪問敏感網(wǎng)站的行為，擊鍵攻擊可以進(jìn)一步實(shí)現(xiàn)對用戶輸入內(nèi)容的分析檢測，因此具有更深遠(yuǎn)的研究價(jià)值和實(shí)際意義。

（3）面向新型編碼加密語音的攻擊方法?，F(xiàn)有VoIP語音的側(cè)信道攻擊方法主要針對Speex語音編碼器，并且假設(shè)每個(gè)數(shù)據(jù)包包含單個(gè)幀。目前新型語音編碼器Opus由IETF工作組設(shè)計(jì)，融合了Skype的SILK和Xiph.Org的CELT技術(shù)，前者采用與CELP類似的線性預(yù)測編碼，用于8 kHz以下的語音頻率范圍，后者基于改進(jìn)型離散余弦變換，用于8 kHz以上的音樂頻率范圍。如何設(shè)計(jì)面向新型編碼加密語音的攻擊方法，成為網(wǎng)絡(luò)側(cè)信道語音攻擊的一個(gè)研究趨勢。

[1] JANSEN B J, RIEH S Y. The seventeen theoretical constructs of information searching and information retrieval[J]. Journal of the American Society for Information Science and Technology, 2010, 61(8): 1517-1534.

[2] JUNG Y, LIM Y, KIM M. Possibilities and limitations of online document tools for design collaboration: the case of google docs[C]//Proceedings of the 2017 ACM Conference on Computer Supported Cooperative Work and Social Computing. 2017: 1096-1108.

[3] SULAIMAN N, CARRASCO R A, CHESTER E G. Performance evaluation of voice call over an IP based network[C]//Proceedings of the 41st Annual Conference on Information Sciences and Systems. 2007: 392-395.

[4] JANA S, PANDE A, CHAN A, et al. Mobile video chat: issues and challenges[J]. IEEE Communications Magazine, 2013, 51(6).

[5] BRUMLEY B B, TUVERI N. Remote timing attacks are still practical[C]//16th European Symposium on Research in Computer Security. 2011: 355-371.

[6] YAROM Y, FALKNER K. FLUSH+RELOAD: a high resolution, low noise, L3 cache side-channel attack[C]//Proceedings of the 23rd USENIX Security Symposium. USENIX Association. 2014: 719-732.

[7] WANG T, GOLDBERG I. On realistically attacking tor with website fingerprinting[J]. Privacy Enhancing Technologies, 2016, 2016(4): 21-36.

[8] AL-NAAMI K, CHANDRA S, MUSTAFA A M, et al. Adaptive encrypted traffic fingerprinting with bi-directional dependence[C]//Proceedings of the 32nd Annual Conference on Computer Security Applications. 2016: 177-188.

[9] SONG D X, WAGNER D A, TIAN X. Timing analysis of keystrokes and timing attacks on SSH[C]//Proceedings of 10th USENIX Security Symposium. 2001.

[10] CHEN S, WANG R, WANG X, et al. Side-channel leaks in web applications: a reality today, a challenge tomorrow[C]//IEEE Symposium on Security and Privacy. 2010: 191-206.

[11] WRIGHT C V, BALLARD L, COULL S E, et al. Spot me if you can: uncovering spoken phrases in encrypted VoIP conversations[C]//IEEE Symposium on Security and Privacy. 2008: 35-49.

[12] BACKES M, DOYCHEV G, DüRMUTH M, et al. Speaker recognition in encrypted voice streams[C]//15th European Symposium on Research in Computer Security. 2010: 508-523.

[13] SHANNON C E. A mathematical theory of communication[J]. The Bell System Technical Journal, 1948, 27(3): 379-423.

[14] BACKES M, DOYCHEV G, K?PF B. Preventing side-channel leaks in web traffic: a formal approach[C]//20th Annual Network and Distributed System Security Symposium. 2013.

[15] Let's Encrypt. Percentage of Web pages loaded by firefox using HTTPS[EB].

[16] HTTP Archive. Page weight[EB].

[17] CHENG H, AVNUR R. Traffic analysis of ssl encrypted web browsing[R]. 1998.

[18] HINTZ A. Fingerprinting websites using traffic analysis[C]//Privacy Enhancing Technologies. 2002: 171-178.

[19] SUN Q, SIMON D R, WANG Y, et al. Statistical identification of encrypted web browsing traffic[C]//IEEE Symposium on Security and Privacy. 2002: 19-30.

[20] FEGHHI S, LEITH D J. A Web traffic analysis attack using only timing information[J]. IEEE Transactions Information Forensics and Security, 2016, 11(8): 1747-1759.

[21] BISSIAS G D, LIBERATORE M, JENSEN D D, et al. Privacy vulnerabilities in encrypted HTTP streams[C]//Privacy Enhancing Technologies. 2005: 1-11.

[22] LIBERATORE M, LEVINE B N. Inferring the source of encrypted HTTP connections[C]//Proceedings of the 13th ACM Conference on Computer and Communications Security. 2006: 255-263.

[23] HERRMANN D, WENDOLSKY R, FEDERRATH H. Website fingerprinting: attacking popular privacy enhancing technologies with the multinomial na??ve-Bayes classifier[C]//Proceedings of the first ACM Cloud Computing Security Workshop. 2009: 31-42.

[24] 顧曉丹, 楊明, 羅軍舟, 等. 針對SSH匿名流量的網(wǎng)站指紋攻擊方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(4): 135-147.

GU X, YANG M, LUO J, et al. Website fingerprinting attack based on hyperlink relations[J]. Chinese Journal of Computers, 2015, 38(4): 135-147.

[25] PANCHENKO A, NIESSEN L, ZINNEN A, et al. Website fingerprinting in onion routing based anonymization networks[C]//Proceedings of the 10th Annual ACM Workshop on Privacy in the Electronic Society. 2011: 103-114.

[26] CAI X, ZHANG X C, JOSHI B, et al. Touching from a distance: website fingerprinting attacks and defenses[C]//Proceedings of the 2012 ACM Conference on Computer and Communications Security. 2012: 605-616.

[27] WANG T, GOLDBERG I. Improved website fingerprinting on Tor[C]//Proceedings of the 12th Annual ACM Workshop on Privacy in the Electronic Society. 2013: 201-212.

[28] WANG T, CAI X, NITHYANAND R, et al. Effective attacks and provable defenses for website fingerprinting[C]//Proceedings of the 23rd USENIX Security Symposium. USENIX Association. 2014: 143-157.

[29] PANCHENKO A, LANZE F, PENNEKAMP J, et al. Website fingerprinting at internet scale[C]//23rd Annual Network and Distributed System Security Symposium. 2016.

[30] HAYES J, DANEZIS G. K-fingerprinting: a robust scalable website fingerprinting technique[C]//Proceedings of the 25rd USENIX Security Symposium. 2016: 1187-1203.

[31] ABE K, GOTO S. Fingerprinting attack on tor anonymity using deep learning[J]. Proceedings of the Asia-Pacific Advanced Network, 2016, 42: 15-20.

[32] RIMMER V, PREUVENEERS D, JUáREZ M, et al. Automated website fingerprinting through deep learning[C]//25th Annual Network and Distributed System Security Symposium. The Internet Society. 2018.

[33] SIRINAM P, IMANI M, JUáREZ M, et al. Deep fingerprinting: undermining website fingerprinting defenses with deep learning[C]//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018: 1928-1943.

[34] BHAT S, LU D, KWON A, et al. Var-CNN: A data-efficient website fingerprinting attack based on deep learning[J]. Proceedings on Privacy Enhancing Technologies, 2019(4): 292-310.

[35] RAHMAN M S, SIRINAM P, MATTHEWS N, et al. Tik-Tok: the utility of packet timing in website fingerprinting attacks[J]. Proceedings on Privacy Enhancing Technologies, 2020(3).

[36] 馬陳城, 杜學(xué)繪, 曹利峰, 等. 基于深度神經(jīng)網(wǎng)絡(luò)burst特征分析的網(wǎng)站指紋攻擊方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2020, 57(4): 746-766.

MA C D, DU X H, CAO L F, et al. Burst-analysis website fingerprinting attack based on deep neural network[J]. Journal of Computer Research and Development, 2020, 57(4): 746-766.

[37] DAI S, TONGAONKAR A, WANG X, et al. NetworkProfiler: towards automatic fingerprinting of android APPs[C]//Proceedings of the IEEE INFOCOM 2013. 2013: 809-817.

[38] Google Security Blog. An update on android TLS adoption[EB].

[39] CONTI M, MANCINI L V, SPOLAOR R, et al. Analyzing Android encrypted network traffic to identify user actions[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(1): 114-125.

[40] TAYLOR V F, SPOLAOR R, CONTI M, et al. AppScanner: automatic fingerprinting of smartphone APPs from encrypted network traffic[C]//IEEE European Symposium on Security and Privacy. 2016: 439-454.

[41] ST?BER T, FRANK M, SCHMITT J B, et al. Who do you sync you are? smartphone fingerprinting via application behaviour[C]//Proceedings of the Sixth ACM Conference on Security and Privacy in Wireless and Mobile Networks. 2013:7-12.

[42] WANG Q, YAHYAVI A, KEMME B, et al. I know what you did on your smartphone: inferring App usage over encrypted data traffic[C]//2015 IEEE Conference on Communications and Network Security. 2015: 433-441.

[43] ALAN H F, KAUR J. Can android applications be identified using only TCP/IP headers of their launch time traffic?[C]//Proceedings of the 9th ACM Conference on Security & Privacy in Wireless and Mobile Networks. 2016: 61-66.

[44] SALTAFORMAGGIO B, CHOI H, JOHNSON K, et al. Eavesdropping on fine-grained user activities within smartphone apps over encrypted network traffic[C]//10th USENIX Workshop on Offensive Technologies. USENIX Association. 2016.

[45] TAYLOR V F, SPOLAOR R, CONTI M, et al. Robust smartphone app identification via encrypted network traffic analysis[J]. IEEE Transactions on Information Forensics and Security, 2018, 13(1): 63-78.

[46] 朱迪, 陳丹偉. 基于密度聚類和隨機(jī)森林的移動應(yīng)用識別技術(shù)[J]. 計(jì)算機(jī)工程與應(yīng)用, 2020, 56(4): 63-68.

ZHU D, CHEN D W. Technology of mobile application identification based on density-based clustering and random forest[J]. Computer Engineering and Applications, 2020, 56(4): 63-68.

[47] JOYCE R, GUPTA G K. Identity authentication based on keystroke latencies[J]. Communication ACM, 1990, 33(2): 168-176.

[48] MONROSE F, RUBIN A D. Keystroke dynamics as a biometric for authentication[J]. Future Generation Computer Systems, 2000, 16(4): 351-359.

[49] ARAúJO L C F, SUCUPIRA L H R, LIZáRRAGA M G, et al. User authentication through typing biometrics features[J]. IEEE Transactions on Signal Processing, 2005, 53(2): 851-855.

[50] 王林, 賀冰清. 采用擊鍵特征曲線差異度的用戶身份認(rèn)證方法[J]. 計(jì)算機(jī)工程與應(yīng)用, 2018, 54(22): 160-166, 196.

WANG L, HE B Q. Keystroke dynamic identity authentication algorithm based on diversity degree of key-stroke feature curve[J]. Computer Engineering and Applications, 2018, 54(22): 160-166, 196.

[51] DHAKAL V, FEIT A M, KRISTENSSON P O, et al. Observations on typing from 136 million keystrokes[C]//Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems. 2018: 1-12.

[52] SHARMA S A, MENEZES B L. Implementing side-channel attacks on suggest boxes in web applications[C]//Proceedings of the First International Conference on Security of Internet of Things. 2012: 57-62.

[53] SCHAUB A, SCHNEIDER E, HOLLENDER A, et al. Attacking suggest boxes in web applications over https using side-channel stochastic algorithms[C]//Risks and Security of Internet and Systems. 2014: 116-130.

[54] OH S E, LI S, HOPPER N. Fingerprinting keywords in search queries over tor[J]. Proceedings on Privacy Enhancing Technologies, 2017(4): 251-270.

[55] OH S E, SUNKAM S, HOPPER N. P1-FP: extraction, classification, and prediction of website fingerprints with deep learning[J]. Proceedings on Privacy Enhancing Technologies, 2019(3): 191-209.

[56] MONACO J V. What are you searching for? a remote keylogging attack on search engine autocomplete[C]//Proceedings of 28th USENIX Security Symposium. USENIX Association, 2019: 959-976.

[57] MONACO J V. Feasibility of a keystroke timing attack on search engines with autocomplete[C]//2019 IEEE Security and Privacy Workshops. 2019: 212-217.

[58] 蔣竺芳. 端到端自動語音識別技術(shù)研究[D]. 北京: 北京郵電大學(xué), 2019.

JIANG Z. Research in End-to-end Automatic Speech Recognition Technology[D]. Beijing: Beijing University of Posts, 2019.

[59] 張瑞珍, 韓躍平, 張曉通. 基于深度LSTM的端到端的語音識別[J]. 中北大學(xué)學(xué)報(bào)（自然科學(xué)版）, 2020, 41(3): 244-248.

ZHANG R, HAN Y, ZHANG X. End-to-end speech recognition based on depth-gated LSTM[J]. Journal of North University of China（Natural Science Edition), 2020, 41(3): 224-248.

[60] CMU. The CMU pronouncing dictionary[EB].

[61] WRIGHT C V, BALLARD L, MONROSE F, et al. Language identification of encrypted voip traffic: alejandra y roberto or alice and bob?[C]//Proceedings of 16th USENIX Security Symposium. USENIX Association. 2007.

[62] WHITE A M, MATTHEWS A R, SNOW K Z, et al. Phonotactic reconstruction of encrypted VoIP conversations: hookt on fon-iks[C]//IEEE Symposium on Security and Privacy. 2011: 3-18.

[63] DUPASQUIER B, BURSCHKA S, MCLAUGHLIN K, et al. Analysis of information leakage from encrypted skype conversations[J]. International Journal of Information Security, 2010, 9(5): 313-325.

[64] KHAN L A, BAIG M S, YOUSSEF A M. Speaker recognition from encrypted VoIP communications[J]. Digital Investigation, 2010, 7(1-2): 65-73.

[65] WRIGHT C V, COULL S E, MONROSE F. Traffic morphing: an efficient defense against statistical traffic analysis[C]//16th Annual Network and Distributed System Security Symposium. 2009.

[66] LUO X, ZHOU P, CHAN E W W, et al. HTTPOS: sealing information leaks with browser-side obfuscation of encrypted flows[C]// 18th Annual Network and Distributed System Security Symposium. 2011.

[67] WANG T, GOLDBERG I. Walkie-talkie: an efficient defense against passive website fingerprinting attacks[C]//Proceedings of the 26th USENIX Security Symposium. 2017: 1375-1390.

[68] SCHWARZ M, LIPP M, GRUSS D, et al. KeyDrown: eliminating software-based keystroke timing side-channel attacks[C]//25th Annual Network and Distributed System Security Symposium. 2018.

[69] DYER K P, COULL S E, RISTENPART T, et al. Peek-a-boo, I still see you: why efficient traffic analysis countermeasures fail[C]// IEEE Symposium on Security and Privacy. IEEE Computer Society, 2012: 332-346.

[70] CAI X, NITHYANAND R, WANG T, et al. A systematic approach to developing and evaluating website fingerprinting defenses[C]// Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 227-238.

[71] JUáREZ M, IMANI M, PERRY M, et al. Toward an efficient website fingerprinting defense[C]//21st European Symposium on Research in Computer Security. 2016: 27-46.

[72] LI S, GUO H, HOPPER N. Measuring information leakage in website fingerprinting attacks and defenses[C]//Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security. 2018: 1977-1992.

Survey of side channel attack on encrypted network traffic

LI Ding1,2, ZHU Yuefei1,2, LU Bin1,2, LIN Wei1,2

1. Information Engineering University, Zhengzhou 450001, China 2. State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450001, China

By analyzing and extracting information such as packet size and timing leaked during Web application communication, side channel attack on encrypted network traffic is able to recognize users' identity and behavior and even restore the original data entered by users. A model of side channel attack on encrypted network traffic according to information theory was developed. Based on the unified model, the methods and results of representative attacks such as fingerprinting attacks, keystroke attacks and speech attacks were analyzed in detail. Furthermore, defense methods of hiding packet size and timing information were discussed. At last, possible research directions were prospected with the frontiers of technology development.

web application, encrypted traffic, side channel attack, information gain

TP311

A

10.11959/j.issn.2096?109x.2021050

2020?07?03；

2020?09?24

李玎，ld258166011@outlook.com

國家重點(diǎn)研發(fā)計(jì)劃（2019QY1302）

The National Key R&D Program of China (2019QY1302)

李玎, 祝躍飛,蘆斌, 等. 網(wǎng)絡(luò)加密流量側(cè)信道攻擊研究綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(4): 114-130.

LI D, ZHU Y F, LU B, et al. Survey of side channel attack on encrypted network traffic[J]. Chinese Journal of Network and Information Security, 2021, 7(4): 114-130.

李玎（1992?），男，河南鄭州人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、機(jī)器學(xué)習(xí)。

祝躍飛（1962?），男，浙江杭州人，博士，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩⒐€密碼。

蘆斌（1983?），男，河南鄭州人，博士，信息工程大學(xué)副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、機(jī)器學(xué)習(xí)。

林偉（1986?），男，湖南常德人，博士，信息工程大學(xué)講師，主要研究方向?yàn)檐浖Ｗo(hù)與分析、網(wǎng)絡(luò)信息安全。