以Tor為代表的匿名網(wǎng)絡(luò)是一種隱匿用戶數(shù)據(jù)傳輸行為的通信中介網(wǎng)絡(luò).不法分子利用匿名網(wǎng)絡(luò)從事網(wǎng)絡(luò)犯罪,對網(wǎng)絡(luò)監(jiān)管造成了極大的困難.網(wǎng)站指紋攻擊技術(shù)是破解匿名通信的可行技術(shù),可用于發(fā)現(xiàn)基于匿名網(wǎng)絡(luò)秘密訪問敏感網(wǎng)站的內(nèi)網(wǎng)用戶行為,是網(wǎng)絡(luò)監(jiān)管的重要手段.神經(jīng)網(wǎng)絡(luò)在網(wǎng)站指紋攻擊技術(shù)上的應(yīng)用突破了傳統(tǒng)方法的性能瓶頸,但現(xiàn)有的研究未充分考慮根據(jù)突發(fā)流量（burst）特征等Tor流量特征對神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行設(shè)計,存在網(wǎng)絡(luò)過于復(fù)雜和分析模塊冗余導(dǎo)致特征提取和分析不徹底、運行緩慢等問題.在對Tor流量特征進(jìn)行研究和分析的基礎(chǔ)上,設(shè)計了輕便的基于一維卷積網(wǎng)絡(luò)的burst特征提取和分析模塊,提出了基于深度神經(jīng)網(wǎng)絡(luò)分析burst特征的網(wǎng)站指紋攻擊方法.進(jìn)一步,針對在開放世界場景中僅使用閾值法簡單分析指紋向量的不足,設(shè)計了基于隨機(jī)森林算法的指紋向量分析模型.改進(jìn)后的模型分類準(zhǔn)確率達(dá)到了99.87%,在緩解概念漂移、繞過網(wǎng)站指紋攻擊防御機(jī)制、識別Tor隱藏網(wǎng)站、小樣本訓(xùn)練模型和運行速度等方面均有優(yōu)異的性能表現(xiàn),提高了網(wǎng)站指紋攻擊技術(shù)應(yīng)用到真實網(wǎng)絡(luò)的可實踐性. 

【文章來源】：計算機(jī)研究與發(fā)展. 2020,57(04)北大核心EICSCD

【文章頁數(shù)】：21 頁

【部分圖文】：

Tor網(wǎng)絡(luò)原理示意圖

網(wǎng)站指紋(WF)攻擊是一個本地的、被動地獲取用戶進(jìn)出流量、不主動干預(yù)流量狀態(tài)的一種流量竊聽攻擊.如圖2所示,WF攻擊的發(fā)起者可以是用戶與Tor入口節(jié)點之間鏈路上的本地管理員(local administrator)、服務(wù)提供商(Internet server provider, ISP)、自治系統(tǒng)(auto-nomous system, AS)或者控制了Tor入口節(jié)點的攻擊者.網(wǎng)絡(luò)管理員首先定義需要監(jiān)控的敏感網(wǎng)站集,通過前期獲取用戶端近端流量樣本和網(wǎng)站標(biāo)記形成訓(xùn)練數(shù)據(jù),完成訓(xùn)練的模型部署在用戶端近端的鏈路上.基于被動監(jiān)聽用戶的進(jìn)出流量判斷用戶當(dāng)前是否正在訪問被監(jiān)控網(wǎng)站,以達(dá)到網(wǎng)絡(luò)監(jiān)管的目的.WF攻擊通�；�3種模型假設(shè):

封閉世界場景假設(shè)(CW)和開放世界場景假設(shè)(OW)是WF攻擊技術(shù)研究中2個重要的場景驗證.DBF模型由DBF-CW和DBF-OW這2個子模型構(gòu)成,如圖3所示.DBF-CW基于深度神經(jīng)網(wǎng)絡(luò)對被監(jiān)控網(wǎng)站的網(wǎng)頁流burst特征進(jìn)行深度分析和學(xué)習(xí),輸出網(wǎng)頁流的指紋向量,若網(wǎng)頁流屬于被監(jiān)控網(wǎng)站集,則利用指紋向量可直接得到該被監(jiān)控流的網(wǎng)站域名CW標(biāo)記.CW標(biāo)記為多分類標(biāo)記,每一類為一個具體的網(wǎng)站域名.以往的研究通常僅訓(xùn)練一個WF模型同時用于2個場景,在OW場景中對模型輸出的指紋向量基于閾值判斷的方式實現(xiàn)二分類決策.DBF-OW同樣是基于DBF-CW輸出的指紋向量進(jìn)行再分析,但放棄了閾值法的使用,而是利用隨機(jī)森林(RF)算法對被監(jiān)控網(wǎng)站流和非監(jiān)控流進(jìn)行二分類特性學(xué)習(xí)以構(gòu)建模型,在OW場景下實現(xiàn)二分類獲取流的OW標(biāo)記,即識別該網(wǎng)頁流是否屬于被監(jiān)控網(wǎng)站集,OW是二類標(biāo)記,即被監(jiān)控網(wǎng)站標(biāo)記和非監(jiān)控網(wǎng)站標(biāo)記.在模型訓(xùn)練階段,對于CW場景,DBF-CW與常規(guī)WF模型相同,使用被監(jiān)控網(wǎng)站流的訓(xùn)練數(shù)據(jù)特征和標(biāo)記對模型進(jìn)行訓(xùn)練,即給定訓(xùn)練實例集I和標(biāo)記集L,基于特征設(shè)計提取各實例I (i) (j) 的特征值F (i) (j) ,對初始神經(jīng)網(wǎng)絡(luò)NN進(jìn)行訓(xùn)練.如式(1)所示,mNs是標(biāo)記為l Ν s (CW) 的被監(jiān)控網(wǎng)站訓(xùn)練實例數(shù).而在OW場景中,不同于一般WF模型僅需要被監(jiān)控網(wǎng)站集進(jìn)行模型訓(xùn)練,DBF還需要非監(jiān)控網(wǎng)站集數(shù)據(jù)訓(xùn)練模型.DBF-OW首先依照CW場景訓(xùn)練DBF-CW模型,然后使用DBF-CW輸出被監(jiān)控集和非監(jiān)控集訓(xùn)練數(shù)據(jù)的指紋向量,R (i) (j) ←DBF_CW(F (i) (j) ),再基于這些指紋向量和對應(yīng)的二分類標(biāo)記訓(xùn)練初始的隨機(jī)森林模型,如式(2)所示,m′0和m′1分別是標(biāo)記為l 0 (ΟW) 和l 1 (ΟW) 的訓(xùn)練實例數(shù).

【參考文獻(xiàn)】：
期刊論文
[1]匿名通信與暗網(wǎng)研究綜述[J]. 羅軍舟,楊明,凌振,吳文甲,顧曉丹.  計算機(jī)研究與發(fā)展. 2019(01)
[2]機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J]. 張蕾,崔勇,劉靜,江勇,吳建平.  計算機(jī)學(xué)報. 2018(09)
[3]An Active De-anonymizing Attack Against Tor Web Traffic[J]. Ming Yang,Xiaodan Gu,Zhen Ling,Changxin Yin,Junzhou Luo.  Tsinghua Science and Technology. 2017(06)
[4]針對SSH匿名流量的網(wǎng)站指紋攻擊方法[J]. 顧曉丹,楊明,羅軍舟,蔣平.  計算機(jī)學(xué)報. 2015(04)



本文編號：3576106