CN109104426A - 一种基于发包速率的加密流量分析防御方法 - Google Patents
一种基于发包速率的加密流量分析防御方法 Download PDFInfo
- Publication number
- CN109104426A CN109104426A CN201810953642.1A CN201810953642A CN109104426A CN 109104426 A CN109104426 A CN 109104426A CN 201810953642 A CN201810953642 A CN 201810953642A CN 109104426 A CN109104426 A CN 109104426A
- Authority
- CN
- China
- Prior art keywords
- data
- packet
- sending speed
- packet sending
- defence method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于发包速率的加密流量分析防御方法,着眼于基于发包速率的防御方法,在互联网飞速发展与网络安全、个人隐私愈加被重视的背景下,基于发包速率的概率分布,提出一种在减少发包速率差异化的同时保证插入哑包所带来的额外带宽开销最小化,使得加密流量分析技术不能准确识别某一流量数据所代表的网络行为的防御方法。本发明充分挖掘发包速率的统计特性,应用于不同安全协议下的加密流量防御,具有很强的适应性和可行性。
Description
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种基于发包速率的加密流量分析防御方法。
背景技术
近年来频繁发生的用户隐私泄露事件受到全世界的广泛关注,企业和个人在网络上传输信息时也十分重视信息的隐私性和安全性。据调查统计,目前已有超过60%的网络流量采用TLS/SSL进行加密通信,对信息进行加密可以保证传输内容的安全性,但是用户在访问网站时与该网站之前进行的流量通信行为却不能被加密,加密流量识别技术(WebsiteFingerprinting)就能在未知通信内容的情况下,在网络数据包层面统计发现不同网站请求行为产生的通信流量之间的差异性,借助机器学习模型对这些加密流量进行分类。可见,尽管安全协议的使用保证了用户的通信内容不被泄露,但是用户的行为极有可能被特定的组织或个人识别。如何减小通信流量之间的差异性,即数据包大小或发包速率等,使得用户的行为不能被加密流量分析技术准确识别是非常值得关注的问题。
选择一种合理有效的基于发包速率的防御方法,是一个非常重要的问题,理由包括:(1)网络传输的数据量越来越大,防御需要额外的带宽开销,而带宽资源有限。(2)额外的哑包发送,加重通信双方的负载,会带来不可忽略的时间延迟。
国内外相关的基于发包速率的防御方法是以固定速率发送数据包。这种防御策略会带来很高的时间延迟,导致用户的请求不能被及时响应,严重影响用户的上网体验,且中间插入的哑包也会增加额外的带宽开销。
由此可见,现有的基于发包速率的防御方法为了达到较好的防御效果付出了高额的代价。而另一方面,协调防御效果和防御代价二者的平衡性,大大提高了防御手段在真实网络环境下的可行性。
发明内容
本发明的目的在于提供一种基于发包速率的加密流量分析防御方法,以解决上述问题。
为实现上述目的,本发明采用以下技术方案:
一种基于发包速率的加密流量分析防御方法,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10(x)并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi(i=1,2,3,4,5);
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕。
进一步的,步骤3中,xmax为xi(i=1,2,3,4,5)中最大值的2倍。
进一步的,步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
与现有技术相比,本发明有以下技术效果:
本发明独立于匿名网络和加密代理,是从数据本质出发,基于发包率的统计分布特性,在不改变原有数据包发送时间的基础上,在发送过程中选择特定的时间间隔插入哑包,并使用定时器排除了连续发送大量哑包的隐患,解决现有技术采取固定间隔发送数据包带来的时间延迟不可接受和大量发送哑包带来的额外带宽开销不可接受的问题。
附图说明
图1为本发明的流程图;
具体实施方式
以下结合附图对本发明进一步说明:
请参阅图1,一种基于发包速率的加密流量分析防御方法,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10(x)并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi(i=1,2,3,4,5);
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕。
步骤3中,xmax为xi(i=1,2,3,4,5)中最大值的2倍。
步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
实施例1:
步骤1,给定在某一匿名网络或加密代理(如Shadowsocks)传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列。
步骤2,根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列。
步骤3,在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数(log10(x))并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值记为{x1,x2,x3,x4,x5},如{10-5,10-4,10-3,10-2,10-1}。设置最大间隔值为xmax,要求xmax略大于xi(i=1,2,3,4,5),如0.2。
步骤4,当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包。否则,就继续抽样选择xi连续发送哑包直到定时器超时。
步骤5,重复步骤4,直至需要传输的数据包发送完毕。
Claims (3)
1.一种基于发包速率的加密流量分析防御方法,其特征在于,包括以下步骤:
步骤1:给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件,将其解析为<时间戳,数据包长度,数据传输方向>格式的流量数据序列;
步骤2:根据流量数据序列中每条数据的数据传输方向不同,将其分为发送方向上的序列和接收方向上的序列;
步骤3:在发送方向的流量数据序列上做以下处理:从第二条数据开始,计算每条数据和上一条数据的时间戳差值,再对每一个差值求以10为底的对数log10(x)并向下取整,统计出数据条数最多的5个对数值,再计算以10为底,分别以这5个值为指数的间隔值,记为{x1,x2,x3,x4,x5};设置最大间隔值为xmax,要求xmax大于xi,i=1,2,3,4,5;
步骤4:当前数据包发送后,启动一个超时时间为xmax的定时器,同时在5个间隔值中进行加权随机抽样,选择一个xi表示从当前开始等待xi时间后发送一个哑包,在等待期间如果有下一个真实数据包可以发送就取消发送哑包,直接发送真实数据包;否则,就继续抽样选择xi连续发送哑包直到定时器超时;
步骤5:重复步骤4,直至需要传输的数据包发送完毕。
2.根据权利要求1所述的一种基于发包速率的加密流量分析防御方法,其特征在于,步骤3中,xmax为xi,i=1,2,3,4,5中最大值的2倍。
3.根据权利要求1所述的一种基于发包速率的加密流量分析防御方法,其特征在于,步骤4中,加权随机抽样的随机种子由用户自行设定,或者获取计算机当前时刻的时间戳将其作为随机种子。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810953642.1A CN109104426B (zh) | 2018-08-21 | 2018-08-21 | 一种基于发包速率的加密流量分析防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810953642.1A CN109104426B (zh) | 2018-08-21 | 2018-08-21 | 一种基于发包速率的加密流量分析防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109104426A true CN109104426A (zh) | 2018-12-28 |
CN109104426B CN109104426B (zh) | 2020-05-22 |
Family
ID=64850532
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810953642.1A Active CN109104426B (zh) | 2018-08-21 | 2018-08-21 | 一种基于发包速率的加密流量分析防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109104426B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101969371A (zh) * | 2010-10-19 | 2011-02-09 | 高杰 | 一种基于用户数据包协议实现网络数据高速可靠传输的方法 |
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104253863A (zh) * | 2014-09-15 | 2014-12-31 | 重庆邮电大学 | 一种基于Hadoop平台和分布式处理编程模型的TCP流重组方法 |
CN104601583A (zh) * | 2015-01-21 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种ip流数据在线实时匿名化系统和方法 |
CN104702469A (zh) * | 2015-03-27 | 2015-06-10 | 北京奇虎科技有限公司 | 监控网络数据的方法、实体机虚拟设备及网络系统 |
CN106571978A (zh) * | 2016-10-28 | 2017-04-19 | 东软集团股份有限公司 | 数据包捕获方法及装置 |
US20180046928A1 (en) * | 2016-08-15 | 2018-02-15 | International Business Machines Corporation | Cognitive analysis of security data with signal flow-based graph exploration |
-
2018
- 2018-08-21 CN CN201810953642.1A patent/CN109104426B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101969371A (zh) * | 2010-10-19 | 2011-02-09 | 高杰 | 一种基于用户数据包协议实现网络数据高速可靠传输的方法 |
CN103281213A (zh) * | 2013-04-18 | 2013-09-04 | 西安交通大学 | 一种网络流量内容提取和分析检索方法 |
CN104253863A (zh) * | 2014-09-15 | 2014-12-31 | 重庆邮电大学 | 一种基于Hadoop平台和分布式处理编程模型的TCP流重组方法 |
CN104601583A (zh) * | 2015-01-21 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种ip流数据在线实时匿名化系统和方法 |
CN104702469A (zh) * | 2015-03-27 | 2015-06-10 | 北京奇虎科技有限公司 | 监控网络数据的方法、实体机虚拟设备及网络系统 |
US20180046928A1 (en) * | 2016-08-15 | 2018-02-15 | International Business Machines Corporation | Cognitive analysis of security data with signal flow-based graph exploration |
CN106571978A (zh) * | 2016-10-28 | 2017-04-19 | 东软集团股份有限公司 | 数据包捕获方法及装置 |
Non-Patent Citations (2)
Title |
---|
熊坚: "《网络实时分析系统数据釆集与传输分析模块的设计与实现》", 《中国优秀硕士学位论文全文库 信息科技辑》 * |
鲁晓帆等: "《局域网网络流量捕获方法的分析与研究》", 《安全模型、算法与编程》 * |
Also Published As
Publication number | Publication date |
---|---|
CN109104426B (zh) | 2020-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190207973A1 (en) | Website attack detection and protection method and system | |
CN106101015B (zh) | 一种移动互联网流量类别标记方法和系统 | |
CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
EP4362422A2 (en) | Network traffic identification method and related device | |
Zhan et al. | Detecting DNS over HTTPS based data exfiltration | |
CN105791213B (zh) | 一种策略优化装置及方法 | |
US20200059431A1 (en) | System and method for identifying devices behind network address translators | |
CN113347156B (zh) | 一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质 | |
US20120173712A1 (en) | Method and device for identifying p2p application connections | |
CN105162626A (zh) | 基于众核处理器的网络流量深度识别系统及识别方法 | |
Wamser et al. | Traffic characterization of a residential wireless Internet access | |
KR102129375B1 (ko) | 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 | |
CN103916379B (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
Pan et al. | QoE assessment of encrypted YouTube adaptive streaming for energy saving in Smart Cities | |
CN106302230B (zh) | 一种数据传输方法及装置 | |
CN104184723B (zh) | 一种应用程序识别方法、装置和网络设备 | |
Mori et al. | Flow analysis of internet traffic: World Wide Web versus peer‐to‐peer | |
CN104702596B (zh) | 一种基于数据包长度的信息隐藏与传输的方法及系统 | |
CN109729016A (zh) | 一种报文发送方法、设备及计算机可读存储介质 | |
KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
CN108881306B (zh) | 一种基于数据包大小序列的加密流量分析防御方法 | |
Freire et al. | On metrics to distinguish skype flows from http traffic | |
Wu et al. | Inferring adu combinations from encrypted quic stream | |
CN109104426A (zh) | 一种基于发包速率的加密流量分析防御方法 | |
Khatouni et al. | Privacy issues of ISPs in the modern web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |