基于時隙組的網絡流追蹤研究與實現

郭曉軍, 王 亮, 宋俊芳, 何 磊

(1. 西藏民族學院 信息工程學院, 陜西 咸陽 712082;2. 東南大學 計算機科學與工程學院, 江蘇 南京 210096)

基于時隙組的網絡流追蹤研究與實現

郭曉軍1,2, 王 亮1, 宋俊芳1, 何 磊1

(1. 西藏民族學院 信息工程學院, 陜西 咸陽 712082;2. 東南大學 計算機科學與工程學院, 江蘇 南京 210096)

當前網絡流追蹤技術存在魯棒性差、同步機制脆弱問題,提出了一種基于時隙組的網絡流追蹤方法。該方法將流持續時間劃分為若干相同長度時隙,每相鄰3個時隙構成1組,通過清空該組中第1或第2個時隙內數據包來表示0或1,以實現特殊標記信息在流內的隱藏,同時,采用時間偏移量指示同步位置,以便接收端準確恢復出該特殊標記信息。實驗結果表明,該方法不僅能呈現準確的同步性,而且與其他方法相比,在大流量網絡環境下表現出更強的魯棒性。

網絡安全； 網絡流追蹤； 時隙組； 魯棒性

近年來，伴隨著以Internet為依托的各種經濟模式飛速崛起,相應的網絡安全問題也日益突出,各種網絡攻擊手段層出不窮,給用戶造成很大經濟損失。為逃避檢測和隱藏身份,攻擊者使用跳板節點主機[1]、匿名通信系統[2](如Tor、Mixmaster等)等來掩護自己主機真實位置,給攻擊源定位、網絡監控與管理帶來極大困難。網絡流追蹤技術通過主動調整或改變來自可疑發送端網絡流[3]的特征來秘密嵌入特殊標記信息,若在可疑接收端的網絡流中提取出該標記信息,則可確認可疑發送端與接收端存在通信過程,為攻擊源跟蹤、匿名通信關聯、網絡犯罪行為取證及審查等提供了重要的技術保障。

以調整網絡流時間特征來嵌入特殊標記信息的方法是目前網絡流追蹤技術的研究熱點。此類方法主要通過改變流內單個數據包間延遲(inter packet delay,IPD)來代表特殊標記信息。Cabuk等[4]提出在固定時間內是否發送數據包來表示0和1,使流內IPD呈現出兩種不同長度,但存在明顯統計規律,難逃統計方法檢測。Archibald等[5]在收發端借用Luby-Transform噴泉碼及引入防護頻帶方式在IPD調制幅度與隱蔽性之間取得平衡,但易受網絡丟包、延遲抖動等因素影響,魯棒性較差。為改善同步機制,牛小鵬等[6]采用隱蔽存儲信道來同步收發端,但含同步信息的數據包發生重傳、亂序或丟失[7-8]時,此同步機制被破壞,導致無法恢復流攜帶的特殊標記信息。Wang等[9]通過調整流持續時間間隔(即時隙)內數據包發送時刻均值來完成特殊標記信息的嵌入,雖隱蔽性較好,但嵌入和提取過程時空復雜度較高。Luo等[10]將特殊標記信息擴頻后再用文獻[9]方法嵌入流中,增強了隱蔽性和抗干擾能力,但嵌入特殊標記信息長度較短,不適用于持續時間較短的網絡流。

本文提出了基于時隙組的網絡流追蹤方法NFTIG,將網絡流持續時間從某個隨機偏移開始分割成若干相同長度時隙并分組,通過改變組中兩時隙內的包數量來編碼特殊標記信息,接收端僅通過簡單的解碼操作即可恢復該標記信息,在同步性和魯棒性方面都得到較大改善。

1 基于時隙組的網絡流追蹤技術

1.1 NFTIG通信模型

如圖1所示，NFTIG通信模式由編碼器(Encoder),共享密鑰和解碼器(Decoder)組成。其中M為特殊標記信息；T為時隙長度，T>0；θ為時間偏移量，θ>0,Φ為距離閾值，Φ>0。共享密鑰事先通過其他安全通信信道分發給Encoder和Decoder。Encoder首先捕獲來自網絡A中可疑Sender產的網絡流F,并根據M、T及θ主動改變F持續時間內時隙組中兩時隙的包數量,以實現M在F中的嵌入。F在通信網絡傳輸過程中受網絡噪聲(如擁塞、抖動等)影響形成流F′。Decoder截獲到達網絡B中可疑Receiver的F′,并根據共享密鑰T、θ及M的長度從F′中提取特殊標記信息M′。若M′與M距離小于閾值Φ,則認為M′與M相同,從而確定網絡A中可疑Sender與網絡B中可疑Receiver存在通信關系,反之則認為可疑Sender與Receiver間不存在通信過程。

圖1 NFTIG機制通信模式

1.2 Encoder工作過程

Encoder主要工作是捕獲來自網絡A中可疑Sender產的網絡流F,在密鑰T和θ的控制下,根據特殊標記信息M來調整流F的時隙特征,以完成M在流F的嵌入,并將調整過的流F發送到通信網絡中。設M=(m1,m2,… ,mn)為二進制串,|M|=n(n>0),mi{0,1}。Encoder執行如下步驟:

(1) 利用iptables[11]捕獲來自網絡A中可疑Sender產的網絡流F,并記錄每個包捕獲時刻。

(2) 從距流F第一個數據包捕獲時刻偏移θ處起,選取一段持續時間D,將D劃分為3n個長度為T的時隙:I1,I2,…I3n,且每3個相鄰時隙構成一組(I3i-2,I3i-1,I3i)(i=1 ,…,n),A1,A2,…,A3n表示落在各時隙內的包數量。

(3) 根據M中mi的取值,對第i個時隙組中I3i-2或I3i-1內的數據包執行清空Clear操作,如式(1)所示。其中,Clear(I3i-2)表示將時隙I3i-2內的所有數據包延遲到下一個相鄰時隙I3i-1內發送,Clear(I3i-1)表示將時隙I3i-1內的所有數據包延遲到下一個相鄰時隙I3i內發送。

(4) 再次借用iptables將流F中的數據包按照新的發送時刻依次發送。

(1)

Clear操作的偽代碼如圖2所示,其中x=3i-1或x=3i-2,PQ[]記錄了Encoder捕獲流F每個數據包的時刻。圖3給出了Encoder一個工作過程例子。例如,當m1=0(此時i=1),根據步驟(3)和式(1)對時隙I1內的數據包進行Clear(I1)操作(即清空I1內所有數據包),Clear(I1)是通過將I1內所有數據包延遲到時隙I2內發送來實現的,最終效果如圖3中紅色虛線圈所示。

function Clear(Ix)c←SI[x]/?SI[]記錄各時隙首個數據包在PQ[]的索引?/n←SI[x+1]δ=T/(Ax+Ax+1+1)forj=0toAxdo tp=xT+(j+1)δ /?tp為新的數據包發送時刻?/ PQ[c+j]=tpendforforj=0toAx+1do tp=xT+(Ax+j+1)δ PQ[n+j]=tpendfor Ax+1=Ax+Ax+1SI[x+1]=SI[x]endfunction

圖2 Clear操作偽代碼

圖3 Encoder工作過程示例

1.3 Decoder工作過程

Decoder在得到共享密鑰后,捕獲目的地址為網絡B中可疑Receiver的流F′,并根據密鑰T、θ、Φ及M長度從流F′中提取出M′,并通過計算M′與M的距離關系來確定F′與F是否為對應關系,從而來判斷可疑Sender與Receiver間是否存在通信行為。Decoder是Encoder逆過程,其處理流程見圖4。

圖4 Decoder處理流程

(2)

Dist(M′,M)作用是判斷M′與M之間的距離,用于衡量M′與M的相似度,此處距離計算可采用歐氏距離、曼哈頓距離、漢明距離[12]等。

2 實驗與分析

本文為測試NFTIG性能,在Linux系統下利用C語言和iptables分別實現了Encoder和Decoder,并將它們分別部署在兩臺處于不同地理位置校園網內的主機上進行實驗,表1是兩臺主機軟硬件配置參數。

表1 兩臺主機軟硬件配置參數

T、θ及Φ的取值對Encoder和Decoder成功完成M的嵌入和提取非常重要。本文在固定|M|=32 bit和θ=50 ms下對T和Φ不同值組合進行實驗,測試結果見表2。可看出,Decoder端檢測正確率會隨著T、Φ取值增大而提高。主要因為T、Φ增大可有效增加攜帶M的流對通信網絡干擾因素的抵抗力,有利于Decoder準確恢復特殊標記信息M。然而考慮傳輸效率、算法時空開銷等因素,T、Φ不能取值過大。因此本文綜合考慮后設置T=60 ms,Φ=4。

表2 Decoder在不同T和Φ閾值下的檢測準確率

2.1 同步性

NFTIG通過θ提供同步信號,即指示流F中M的起始位置,由于NFTIG是對流F持續時間上的若干時隙內進行調整,對包的時延和抖動敏感性較弱,從整體上能有效平衡延遲、抖動等干擾因素對θ的影響,具備較好同步性。圖5給出了在Encoder設置|M|=32 bit,θ=50 ms時,Decoder在嘗試不同θ值時的檢測準確率情況。很顯然,僅在θ=50 ms附近時,檢測準確率最高,對M恢復效果最佳,而其他值時效果較差。

2.2 魯棒性對比

魯棒性指攜帶特殊標記信息M的流F在經過通信網絡到達目的后,M能被恢復的程度,主要用于衡量基于時間特征的網絡流追蹤方法對網絡噪聲的抵抗能力。本文在|M|=32 bit,θ=50 ms,T=60 ms,Φ=4下,將NFTIG分別與Cabuk[4],Archibald[5],Rncc[6],Wang[8]算法在不同網絡流量下的魯棒性進行了測試對比,測試結果見圖6。

圖6 不同網絡流量下5種算法的魯棒性

很顯然,隨著網絡流量增大,5種算法對M的檢測準確率均為下降趨勢。其中,Cabuk,Archibald及Rncc算法下降最為嚴重,這是因為網絡流量增大時會嚴重改變這3種算法原先設定好的流F內的單個IPD值,導致Decoder很難準確檢測流F所攜帶的M。Wang算法由于采用了擴頻機制,在一定程度上可以抵抗傳輸網絡噪聲的干擾,所以下降趨勢較緩和。而NFTIG采用了時隙組策略,能有效平衡網絡流量增加帶來的各種干擾,雖然檢測準確率也有所下降,但基本都保持在90%以上,表現出比其他4種算法更好的魯棒性,能更好地適應大流量網絡環境。

3 結論

網絡流追蹤技術可用于確認可疑發送端與接收端是否存在通信行為,應用于攻擊源跟蹤、匿名通信關聯、網絡犯罪行為取證等場景。本文提出了一種基于時隙組的網絡流追蹤方法,通過時間偏移量和調整時隙組內的數據包數目來有效保證嵌入在網絡流內特殊標記信息的同步性和魯棒性,實驗測試也取得了較好地效果。下一步將在提高該方案的隱藏信息容量、與其他網絡攻擊檢測方法融合等方面展開研究。

References)

[1] Hsiao H W,Sun H M,Fan W C.Detecting stepping-stone intrusion using association rule mining[J].Security and Communication Networks,2013,6(10):1225-1235.

[2] Hoang N P,Pishva D.Anonymous communication and its importance in social networking[C]// Proceedings of the 16th International Conference on Advanced Communication Technology. New Jersey:IEEE CPS,2014:34-39.

[3] Thomas M,Metcalf L,Spring J,et al.SiLK:A Tool Suite for Unsampled Network Flow Analysis at Scale[C]// Proceedings of the 2014 IEEE International Congress on Big Data. New Jersey:IEEE CPS,2014:184-191.

[4] Cabuk S,Brodley C E,Shields C,et al.IP covert timing channels:design and detection[C]// Proceedings of the ACM Conference on Computer and Communications Security. New York:ACM,2004:178-187.

[5] Archibald R ,Ghosal D.A covert timing channel based on Fountain codes[C]// Proceedings of the IEEE Conference on Trust,Security and Privacy in Computing and Communications. New Jersey:IEEE CPS,2012:970-977.

[6] 牛小鵬,李清寶,王煒.一種基于擴頻編碼的可靠網絡隱蔽信道設計方法[J].電子與信息學報,2013,35(4):1012-1016.

[7] Narasiodeyar R M,Jayasumana A P.Improvement in packet-reordering with limited re-sequencing buffers:An analysis[C]// Proceedings of the IEEE Conference on Local Computer Networks. New Jersey:IEEE CPS,2013:416-424.

[8] Zhang Z,Guo Z,Yang Y.Bounded-reorder packet scheduling in optical cut-through switch[C]// Proceedings of the IEEE Conference on Computer Communications.New Jersey:IEEE CPS,2013:701-709.

[9] Wang X Y,Chen S P,Jajodia S S.Network flow watermarking attack on low-latency anonymous communication systems[C]// Proceedings of the 2007 IEEE Symposium on Security and Privacy. New Jersey:IEEE,2007:116-130.

[10] Luo J Z,Wang X G,Yang M.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J].Journal of Network and Computer Applications,2012,35(1):60-71.

[11] Netfilter Iptables[CP/OL].[2014-5-8].http://www.netfilter.org.

[12] Vijay K,Jitender K,Chhabra,D K.Performance Evaluation of Distance Metrics in the Clustering Algorithms[J].Infocomp Journal of Computer Science,2014,13(1):38-51.

Research on network flow tracking method based on time interval group

Guo Xiaojun1,2, Wang Liang1, Song Junfang1， He Lei1

(1. School of Information Engineering ,Tibet Institute for Nationalities,Xianyang 712082, China; 2. School of Computer Science and Engineering,Southeast University,Nanjing 210096, China)

In order to solve the problem of poor robustness and vulnerable synchronization of current network flow tracking techniques,a network flow tracking scheme based on the time interval group(NFTIG) is proposed.The duration of network flow is divided into many time intervals with equal length,then three adjacent time intervals constitute one group.0 or 1 can be indicated by clearing all packets in the first or second time interval of the group.Through doing this ,the special mark information can be hidden in the network flow.Meanwhile,an offset from the starting moment of the flow is used to indicate synchronous position.This offset can help receiver decode the special mark information easily and accurately.The experimental results show that,compared with other existing methods, the NFTIG presents not only exact synchronization,but also better robustness even under heavy network traffic load.

network security; network flow tracking; time interval group; robustness

2014- 12- 09 修改日期：2015- 01- 19

教育部科技研究重點項目(212168);西藏自治區2013自然科學基金項目“藏區Web站點流量信息泄露機理與態勢評估研究”(2015ZR-13-17)；西藏自治區2014自然科學基金項目“基于WSN的西藏生態環境遠程監測關鍵技術研究”(2015ZR-14-18)

郭曉軍(1983—)，男，山西長治，碩士，講師，主要研究方向為網絡安全和網絡測量.

E-mail：gxj_0617@163.com

TP393.08

A

1002-4956(2015)7- 0054- 04