基于时隙组的网络流追踪研究与实现
2015-05-08郭晓军宋俊芳
郭晓军, 王 亮, 宋俊芳, 何 磊
(1. 西藏民族学院 信息工程学院, 陕西 咸阳 712082;2. 东南大学 计算机科学与工程学院, 江苏 南京 210096)
基于时隙组的网络流追踪研究与实现
郭晓军1,2, 王 亮1, 宋俊芳1, 何 磊1
(1. 西藏民族学院 信息工程学院, 陕西 咸阳 712082;2. 东南大学 计算机科学与工程学院, 江苏 南京 210096)
当前网络流追踪技术存在鲁棒性差、同步机制脆弱问题,提出了一种基于时隙组的网络流追踪方法。该方法将流持续时间划分为若干相同长度时隙,每相邻3个时隙构成1组,通过清空该组中第1或第2个时隙内数据包来表示0或1,以实现特殊标记信息在流内的隐藏,同时,采用时间偏移量指示同步位置,以便接收端准确恢复出该特殊标记信息。实验结果表明,该方法不仅能呈现准确的同步性,而且与其他方法相比,在大流量网络环境下表现出更强的鲁棒性。
网络安全; 网络流追踪; 时隙组; 鲁棒性
近年来,伴随着以Internet为依托的各种经济模式飞速崛起,相应的网络安全问题也日益突出,各种网络攻击手段层出不穷,给用户造成很大经济损失。为逃避检测和隐藏身份,攻击者使用跳板节点主机[1]、匿名通信系统[2](如Tor、Mixmaster等)等来掩护自己主机真实位置,给攻击源定位、网络监控与管理带来极大困难。网络流追踪技术通过主动调整或改变来自可疑发送端网络流[3]的特征来秘密嵌入特殊标记信息,若在可疑接收端的网络流中提取出该标记信息,则可确认可疑发送端与接收端存在通信过程,为攻击源跟踪、匿名通信关联、网络犯罪行为取证及审查等提供了重要的技术保障。
以调整网络流时间特征来嵌入特殊标记信息的方法是目前网络流追踪技术的研究热点。此类方法主要通过改变流内单个数据包间延迟(inter packet delay,IPD)来代表特殊标记信息。Cabuk等[4]提出在固定时间内是否发送数据包来表示0和1,使流内IPD呈现出两种不同长度,但存在明显统计规律,难逃统计方法检测。Archibald等[5]在收发端借用Luby-Transform喷泉码及引入防护频带方式在IPD调制幅度与隐蔽性之间取得平衡,但易受网络丢包、延迟抖动等因素影响,鲁棒性较差。为改善同步机制,牛小鹏等[6]采用隐蔽存储信道来同步收发端,但含同步信息的数据包发生重传、乱序或丢失[7-8]时,此同步机制被破坏,导致无法恢复流携带的特殊标记信息。Wang等[9]通过调整流持续时间间隔(即时隙)内数据包发送时刻均值来完成特殊标记信息的嵌入,虽隐蔽性较好,但嵌入和提取过程时空复杂度较高。Luo等[10]将特殊标记信息扩频后再用文献[9]方法嵌入流中,增强了隐蔽性和抗干扰能力,但嵌入特殊标记信息长度较短,不适用于持续时间较短的网络流。
本文提出了基于时隙组的网络流追踪方法NFTIG,将网络流持续时间从某个随机偏移开始分割成若干相同长度时隙并分组,通过改变组中两时隙内的包数量来编码特殊标记信息,接收端仅通过简单的解码操作即可恢复该标记信息,在同步性和鲁棒性方面都得到较大改善。
1 基于时隙组的网络流追踪技术
1.1 NFTIG通信模型
如图1所示,NFTIG通信模式由编码器(Encoder),共享密钥
图1 NFTIG机制通信模式
1.2 Encoder工作过程
Encoder主要工作是捕获来自网络A中可疑Sender产的网络流F,在密钥T和θ的控制下,根据特殊标记信息M来调整流F的时隙特征,以完成M在流F的嵌入,并将调整过的流F发送到通信网络中。设M=(m1,m2,… ,mn)为二进制串,|M|=n(n>0),mi{0,1}。Encoder执行如下步骤:
(1) 利用iptables[11]捕获来自网络A中可疑Sender产的网络流F,并记录每个包捕获时刻。
(2) 从距流F第一个数据包捕获时刻偏移θ处起,选取一段持续时间D,将D划分为3n个长度为T的时隙:I1,I2,…I3n,且每3个相邻时隙构成一组(I3i-2,I3i-1,I3i)(i=1 ,…,n),A1,A2,…,A3n表示落在各时隙内的包数量。
(3) 根据M中mi的取值,对第i个时隙组中I3i-2或I3i-1内的数据包执行清空Clear操作,如式(1)所示。其中,Clear(I3i-2)表示将时隙I3i-2内的所有数据包延迟到下一个相邻时隙I3i-1内发送,Clear(I3i-1)表示将时隙I3i-1内的所有数据包延迟到下一个相邻时隙I3i内发送。
(4) 再次借用iptables将流F中的数据包按照新的发送时刻依次发送。
(1)
Clear操作的伪代码如图2所示,其中x=3i-1或x=3i-2,PQ[]记录了Encoder捕获流F每个数据包的时刻。图3给出了Encoder一个工作过程例子。例如,当m1=0(此时i=1),根据步骤(3)和式(1)对时隙I1内的数据包进行Clear(I1)操作(即清空I1内所有数据包),Clear(I1)是通过将I1内所有数据包延迟到时隙I2内发送来实现的,最终效果如图3中红色虚线圈所示。
function Clear(Ix)c←SI[x]/∗SI[]记录各时隙首个数据包在PQ[]的索引∗/n←SI[x+1]δ=T/(Ax+Ax+1+1)forj=0toAxdo tp=xT+(j+1)δ /∗tp为新的数据包发送时刻∗/ PQ[c+j]=tpendforforj=0toAx+1do tp=xT+(Ax+j+1)δ PQ[n+j]=tpendfor Ax+1=Ax+Ax+1SI[x+1]=SI[x]endfunction
图2 Clear操作伪代码
图3 Encoder工作过程示例
1.3 Decoder工作过程
Decoder在得到共享密钥后,捕获目的地址为网络B中可疑Receiver的流F′,并根据密钥T、θ、Φ及M长度从流F′中提取出M′,并通过计算M′与M的距离关系来确定F′与F是否为对应关系,从而来判断可疑Sender与Receiver间是否存在通信行为。Decoder是Encoder逆过程,其处理流程见图4。
图4 Decoder处理流程
(2)
Dist(M′,M)作用是判断M′与M之间的距离,用于衡量M′与M的相似度,此处距离计算可采用欧氏距离、曼哈顿距离、汉明距离[12]等。
2 实验与分析
本文为测试NFTIG性能,在Linux系统下利用C语言和iptables分别实现了Encoder和Decoder,并将它们分别部署在两台处于不同地理位置校园网内的主机上进行实验,表1是两台主机软硬件配置参数。
表1 两台主机软硬件配置参数
T、θ及Φ的取值对Encoder和Decoder成功完成M的嵌入和提取非常重要。本文在固定|M|=32 bit和θ=50 ms下对T和Φ不同值组合进行实验,测试结果见表2。可看出,Decoder端检测正确率会随着T、Φ取值增大而提高。主要因为T、Φ增大可有效增加携带M的流对通信网络干扰因素的抵抗力,有利于Decoder准确恢复特殊标记信息M。然而考虑传输效率、算法时空开销等因素,T、Φ不能取值过大。因此本文综合考虑后设置T=60 ms,Φ=4。
表2 Decoder在不同T和Φ阈值下的检测准确率
2.1 同步性
NFTIG通过θ提供同步信号,即指示流F中M的起始位置,由于NFTIG是对流F持续时间上的若干时隙内进行调整,对包的时延和抖动敏感性较弱,从整体上能有效平衡延迟、抖动等干扰因素对θ的影响,具备较好同步性。图5给出了在Encoder设置|M|=32 bit,θ=50 ms时,Decoder在尝试不同θ值时的检测准确率情况。很显然,仅在θ=50 ms附近时,检测准确率最高,对M恢复效果最佳,而其他值时效果较差。
2.2 鲁棒性对比
鲁棒性指携带特殊标记信息M的流F在经过通信网络到达目的后,M能被恢复的程度,主要用于衡量基于时间特征的网络流追踪方法对网络噪声的抵抗能力。本文在|M|=32 bit,θ=50 ms,T=60 ms,Φ=4下,将NFTIG分别与Cabuk[4],Archibald[5],Rncc[6],Wang[8]算法在不同网络流量下的鲁棒性进行了测试对比,测试结果见图6。
图6 不同网络流量下5种算法的鲁棒性
很显然,随着网络流量增大,5种算法对M的检测准确率均为下降趋势。其中,Cabuk,Archibald及Rncc算法下降最为严重,这是因为网络流量增大时会严重改变这3种算法原先设定好的流F内的单个IPD值,导致Decoder很难准确检测流F所携带的M。Wang算法由于采用了扩频机制,在一定程度上可以抵抗传输网络噪声的干扰,所以下降趋势较缓和。而NFTIG采用了时隙组策略,能有效平衡网络流量增加带来的各种干扰,虽然检测准确率也有所下降,但基本都保持在90%以上,表现出比其他4种算法更好的鲁棒性,能更好地适应大流量网络环境。
3 结论
网络流追踪技术可用于确认可疑发送端与接收端是否存在通信行为,应用于攻击源跟踪、匿名通信关联、网络犯罪行为取证等场景。本文提出了一种基于时隙组的网络流追踪方法,通过时间偏移量和调整时隙组内的数据包数目来有效保证嵌入在网络流内特殊标记信息的同步性和鲁棒性,实验测试也取得了较好地效果。下一步将在提高该方案的隐藏信息容量、与其他网络攻击检测方法融合等方面展开研究。
References)
[1] Hsiao H W,Sun H M,Fan W C.Detecting stepping-stone intrusion using association rule mining[J].Security and Communication Networks,2013,6(10):1225-1235.
[2] Hoang N P,Pishva D.Anonymous communication and its importance in social networking[C]// Proceedings of the 16th International Conference on Advanced Communication Technology. New Jersey:IEEE CPS,2014:34-39.
[3] Thomas M,Metcalf L,Spring J,et al.SiLK:A Tool Suite for Unsampled Network Flow Analysis at Scale[C]// Proceedings of the 2014 IEEE International Congress on Big Data. New Jersey:IEEE CPS,2014:184-191.
[4] Cabuk S,Brodley C E,Shields C,et al.IP covert timing channels:design and detection[C]// Proceedings of the ACM Conference on Computer and Communications Security. New York:ACM,2004:178-187.
[5] Archibald R ,Ghosal D.A covert timing channel based on Fountain codes[C]// Proceedings of the IEEE Conference on Trust,Security and Privacy in Computing and Communications. New Jersey:IEEE CPS,2012:970-977.
[6] 牛小鹏,李清宝,王炜.一种基于扩频编码的可靠网络隐蔽信道设计方法[J].电子与信息学报,2013,35(4):1012-1016.
[7] Narasiodeyar R M,Jayasumana A P.Improvement in packet-reordering with limited re-sequencing buffers:An analysis[C]// Proceedings of the IEEE Conference on Local Computer Networks. New Jersey:IEEE CPS,2013:416-424.
[8] Zhang Z,Guo Z,Yang Y.Bounded-reorder packet scheduling in optical cut-through switch[C]// Proceedings of the IEEE Conference on Computer Communications.New Jersey:IEEE CPS,2013:701-709.
[9] Wang X Y,Chen S P,Jajodia S S.Network flow watermarking attack on low-latency anonymous communication systems[C]// Proceedings of the 2007 IEEE Symposium on Security and Privacy. New Jersey:IEEE,2007:116-130.
[10] Luo J Z,Wang X G,Yang M.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J].Journal of Network and Computer Applications,2012,35(1):60-71.
[11] Netfilter Iptables[CP/OL].[2014-5-8].http://www.netfilter.org.
[12] Vijay K,Jitender K,Chhabra,D K.Performance Evaluation of Distance Metrics in the Clustering Algorithms[J].Infocomp Journal of Computer Science,2014,13(1):38-51.
Research on network flow tracking method based on time interval group
Guo Xiaojun1,2, Wang Liang1, Song Junfang1, He Lei1
(1. School of Information Engineering ,Tibet Institute for Nationalities,Xianyang 712082, China; 2. School of Computer Science and Engineering,Southeast University,Nanjing 210096, China)
In order to solve the problem of poor robustness and vulnerable synchronization of current network flow tracking techniques,a network flow tracking scheme based on the time interval group(NFTIG) is proposed.The duration of network flow is divided into many time intervals with equal length,then three adjacent time intervals constitute one group.0 or 1 can be indicated by clearing all packets in the first or second time interval of the group.Through doing this ,the special mark information can be hidden in the network flow.Meanwhile,an offset from the starting moment of the flow is used to indicate synchronous position.This offset can help receiver decode the special mark information easily and accurately.The experimental results show that,compared with other existing methods, the NFTIG presents not only exact synchronization,but also better robustness even under heavy network traffic load.
network security; network flow tracking; time interval group; robustness
2014- 12- 09 修改日期:2015- 01- 19
教育部科技研究重点项目(212168);西藏自治区2013自然科学基金项目“藏区Web站点流量信息泄露机理与态势评估研究”(2015ZR-13-17);西藏自治区2014自然科学基金项目“基于WSN的西藏生态环境远程监测关键技术研究”(2015ZR-14-18)
郭晓军(1983—),男,山西长治,硕士,讲师,主要研究方向为网络安全和网络测量.
E-mail:gxj_0617@163.com
TP393.08
A
1002-4956(2015)7- 0054- 04
