基于改進IPD質心的Tor網絡流水印檢測方法 

杜捷，何永忠，杜曄

基于改進IPD質心的Tor網絡流水印檢測方法 

杜捷，何永忠，杜曄

（北京交通大學計算機與信息技術學院，北京 100044）

Tor是一種為隱藏流量源提供服務的匿名網絡機制，但其存在入口流量特征明顯、易被識別的問題。obfs4等網橋協議為解決此問題應運而生，由此帶來的新挑戰尚未攻克，因此，提出一種IPD質心方案，利用-means的聚類特性將原方案進行改進，使加入的流水印在obfs4網橋3種模式上均能被高效地檢測出。實驗結果表明，改進后的算法有更高的檢測率和識別率，且應對不同的網絡環境有較強的適應能力，有利于良好安全網絡環境的構建。

主動流量分析；網絡流水印；匿名通信；Tor

1 引言

當今網絡環境中存在各種各樣的攻擊、非法交易等情況，確認攻擊者、非法交易人員的身份和流量源，對于打擊此類違法行為、維護安全和諧的網絡環境有十分重要的意義。毫無疑問，敵手會想方設法隱藏自身的身份和流量源，如使用假冒的IP地址作為采取攻擊的主機IP地址。而追蹤假冒IP地址之后真正的流量源頭，被稱作IP追蹤（traceback）[1-3]。

目前有眾多可以隱藏身份和流量源的匿名網絡機制為網絡攻擊者、非法交易者提供服務，如Tor（the onion route，洋蔥路由）、I2P、JAP等。作為用戶使用量最大的洋蔥路由，Tor可以十分有效地隱藏它們的身份。Tor是眾多匿名網絡機制中的一員，因其開源、極易搭建、延遲低和服務穩定的特點，成為當前用戶量絕無僅有、受歡迎程度史無前例的一種匿名通信機制[4]。Tor網絡運用多層路由的手段，使追蹤到源頭——即流量發送者成為一個難題，因此Tor連接時常會遭受限制。由于其入口流量特征較明顯，極易被識別出來，流向已公開Tor入口節點IP和端口的流量會被高度重視，其匿名性受到重創。

Tor團隊針對這一不利條件發布了可插拔傳輸協議（pluggable protocol），如MEEK、obfs4等，該協議也被稱作網橋（bridges）。它運用多種傳輸協議，將連接到Tor入口節點的流量偽裝成友好的、不引人注目的流量。因此用戶可通過該協議接入原生Tor網絡，經其混淆再轉發送至Tor入口節點進行匿名操作。

目前，沒有一種可行的方法來追蹤在obfs4協議上傳輸流的現狀亟待解決，主要面臨的困難有：1) Tor為了保證匿名性，每10 min更換一次節點線路，不同的節點線路由于網絡延遲和傳輸距離千差萬別，傳輸的速率不會一成不變，要求算法具有極高的穩健性；2) obfs4存在3種模式，各自對于數據包大小和時間有著獨特的處理方式，甚至會無規律地對傳輸的數據包產生延遲以干擾傳統的流水印方案。

針對以上問題，本文提出了一種基于跨包延遲（IPD，inter-packet delay）的流水印方案來追蹤obfs4上的流量，該方案可有效追蹤使用obfs4混淆協議的Tor流量，并且兼容其提供的3種保護模式。

2 技術背景

截止到2018年10月，Tor的全球用戶量達到225萬，其中通過網橋訪問的用戶量超過15萬，每秒在Tor上產生的流量約為300 GB，但相較之前統計的數據[5]，Tor的中繼節點和網橋節點數量呈現下降趨勢，用戶量的上升、流量的增長導致現存Tor節點上的環境更為復雜。

Tor網絡實現匿名的核心是重路由技術，經過多層路由轉發，每層路由只知曉上一級節點，故難以追蹤到流量源頭，加之網橋協議會將其源頭偽裝成其他數據流量，不讓第三方從報文消息內容分辨出，問題十分嚴重。針對obfs4上Tor流量的追蹤尚無文獻提及，本文對現有檢測方法進行了調研，作為主動流量分析方法的代表——流水印方案，相較于被動的流量分析，后者需要建立在長時間流量特征觀察的基礎上，雖然擁有較高的檢測率，但是需要極大的流量長時間分析，以減少巨大的錯誤率、誤報率，因此流水印方案更適用于對obfs4上Tor流量進行追蹤。

流水印方法的核心是將一種水印模式加入流中，使其在傳遞到目的地址之前都是可以被追蹤到。運用在數據包時間上的流水印方案主要分為兩類。一類是基于IPD展開的研究。Wang等[1]提出了一種基于IP的方案，該模式使用QIM框架調制水印以改變IPD的平均值，達到較好的檢測效果。隨后，Wang等[6]在點對點的VoIP流上進行了實驗，在Skype這種較為穩定的持續性流量上，只要增加冗余值到足夠大時，可達到100%的檢測率，該方法具有極強的隱蔽性。另一類基于IP的方案[7]是RAINBOW方法，這種方法具有非盲屬性，在檢測結果時需要原始的未加入水印的數據包。

另一類流水印方案是基于時隙（interval）的，在固定的時間間隔內被編碼成一批分組的水印模式同樣可以被檢測出來。Wang等[8]提出了一種基于時間質心的攻擊方案，這是首次提出針對匿名系統的攻擊，能在很短的時間內（約5 500個包）檢測出水印。還有一個類似的設計[9]是將水印模式被嵌入數據包的時間間隔內。基于區間的方案由于成批量的移動數據包，容易被敵手發現并采取相應的對策，如將發出的數據包調整為一個穩定的速率以消除潛在的水印攻擊。

選擇Wang等[6]的方案在obfs4上的Tor流量進行實驗，該方案在其特定的實驗環境下可達到良好效果，但面對為數據包時間提供保護的obfs4協議，其刻意制造的類似水印的時間間隔會對檢測造成極大干擾，原水印模式無法應對，將難以區分原始流量和加水印流量；此外，該方法建立在概率算法的基礎上，需要極其眾多的數據包才能驗證結果，大量持續穩定的數據包在實際網絡環境中難以采集。針對以上存在的問題，本文在其基礎上加以改進，得到了良好的檢測結果。

3 IPD質心方案

本文采用基于跨包延遲的算法對obfs4上Tor流量進行研究。在Wang等[6]方案的基礎上采用聚類算法，得到類似時隙的時間質心，這里把它叫作IPD質心。分析原始數據流調制IPD質心達到水印嵌入的目的，從而使其可以被追蹤。

3.1 計算IPD

3.2 計算延遲距離

取一個控制極端值剔除的門限，則定義極端值為

3.3 計算IPD質心

算法1

輸出：Cluster center0、1with the number of0、1

1) close two points0、1randomly from(s,)

2) repear

5) if0j<1jthen

6) Put(s,) into0

7) else

8) Put(s,) into1

9) end if

12) unti10、1do not change OR exceed limited times

4 實驗及結果

實驗在美國德克薩斯州達拉斯市、英國倫敦和日本東京部署了3臺服務器，其中，東京的服務器配備了完整的Tor網絡和obfs4網橋，以作為Tor的入口；倫敦服務器作為出口節點；達拉斯市的服務器作為訪問的目標服務器。通過連接東京服務器的obfs4網橋進入Tor網絡，匿名訪問達拉斯市服務器，每次實驗以連續的1 000個含有負載的TCP數據包作為研究對象，前500個TCP分組無水印，后500個TCP分組加入水印，且水印占比為50%。由于obfs4本身會自發地額外增加時間間隔，相當于增加為“1”位的水印，因此實驗中采用的水印位均為“1”。

為了防止Tor更換線路對實驗造成影響，多次測試并根據源碼進行分析，得出如下結論：若當前線路能夠正常且良好地工作，10 min內新產生的TCP流都被Tor安排使用該線路；一旦線路發生問題，Tor立即開辟一條新的路由節點線路。對實驗計時，確保每次實驗均在10 min內完成，且保持TCP連接不中斷，實際采集到的數據流的出口節點保持不變，即Tor沒有更換線路。隨后的實驗均以該方式實施。

隨機取出2個數據包使取樣率小于“90%”，目的是在使用盡可能多數據包的前提下保證取樣的隨機性，此時=500，=226。計算出未加水印的原始實驗數據IPD如圖1所示，未加水印的原始延遲距離如圖2所示，IQR的門限值取0.8，進行異常值篩選，篩選后的概率分布如圖3所示。進行-means聚類后，得到的結果如表1所示。為避免個別聚類結果有偏差，所示數據均為計算100次后取得數學期望值，本文后續所呈現兩種模式的數據均為期望值。

圖1 跨包延遲IPD的概率分布函數

圖2 延遲距離的概率分布函數

圖3 IQR異常值識別后概率分布函數

表1 原始數據聚類結果

從兩次聚類的結果可以明顯看出：加入水印后的遠0端聚類中心1內聚集數，相比原始遠0端聚類中心1發生了變化，如圖4所示，且占比約等于水印占比。移除水印后，得到的聚類結果恢復如表1所示。由此可以得出，該方案注入的水印有較穩定的特征，水印加入與否對比明顯，檢測結果清晰。

表2 加入水印聚類結果

圖4 加水印前后結果對比

由于obfs4存在有3種模式，iat-mode可取值有0、1、2，官方聲明后兩種模式會對數據包的時間和大小采取進一步處理，以干擾潛在的分析機制檢測出obfs4的流量。下面分別對這3種模式進行實驗，將上下行分組大小和時間進行了統計，得到的結果如下，圖5是固定大小、持續發送的數據包上下行統計結果，圖6是持續增長大小、持續發送的數據包上下行統計結果。

圖5 固定大小、持續發送的數據包上下行統計

在統計中可以發現，-=1時，包大小和包速率穩定的情況下，可選保護機制不會產生作用，傳輸時間甚至比模式-=0時還短；而當保護機制啟動時，可以明顯看出延長了整體的傳輸時間，刻意增加了許多較大的時間間隔以干擾流水印等方式的檢測效果。對兩種模式采用相同的實驗步驟取得的結果如圖7所示，水印值分別設置為50 ms和300 ms。實驗結果表明，本文方案能夠應對obfs4上Tor流量的3種不同模式。

圖6 持續增長大小、持續發送的數據包上下行統計結果

圖7 加水印前后聚類中心分布

圖8 原算法加水印前后計算結果

圖9 3種不同容錯值下的檢測率

5 結束語

綜上所述，本文方案具有較高的檢測率、識別率和穩健性，體現在：定性分析得到的圖像足以判斷加入水印與否，定量分析為其提供了更加準確的結果判定，檢測率均能達到94%以上；真實復雜的流量環境中能夠唯一識別目標流量；水印特征保持穩定不會被輕易移除，對obfs4上不同模式的Tor流量都能得到良好的結果。相比原始方法，采用統計算法聚類代替概率算法，區分原始流量與加水印流量效果明顯，所使用數據包數量較小，檢測率有了顯著提高，且運行時CPU速度無顯著增加。

由于不同實驗環境的數據流會根據當前情況調制水印，網絡的延遲較大對應水印值也大，檢測效果會動態地變化，而IPD質心方案采用半盲的方式，先對原始流量進行分析以確定水印大小，從容應對各種環境。無論水印的大小如何選擇，在搭載obfs4的Tor流量上總會出現與加入水印大小相同的延遲距離。不同的obfs4模式也會干擾性地增加額外延遲。本文方案使用=0.8的IQR進行極端值排查，過于異常的間隔時間被剔除，基于-means聚類算法的特性，小幅增加時間間隔對聚類中心的影響甚微，靠近峰值的大量數據會使其歐氏距離包含其中，對水印占比造成的影響很小，不足以導致結果產生決定性誤差。

向bridges@torproject.org發送電子郵件從而獲取了492個obfs4網橋，其中458個網橋采用的是-=0，34個obfs4網橋采用的是-=1，沒有-=2的情況。鑒于Tor的連接速度相對緩慢，多數用戶為提高傳輸效率不采用后兩種模式，盡管本文方法在-=0的情況下具有較好的使用效果，但對比后兩種方案的穩定性略顯不足，從實際應用的角度出發應進一步提高這種模式的算法穩定性。

相比原方案，本文方案在水印隱蔽性和水印容量上均存在不足。流水印技術的隱蔽性和健壯性無法同時滿足，從與當前廣泛使用的ANFW技術進行對比[11]可以看出。Lei等[12]運用最優化理論模型證明了這個非此即彼的問題：衡量不可見性的失真函數，與衡量健壯性的距離函數在理想條件下相等，均小于一個閾值；該閾值越大，失真越多，不可見性越弱，健壯性則更加頑強；反之依然成立。本文方案水印的嵌入只通過增加時間間隔實施，隱蔽性相對較弱，對于一些針對水印的攻擊不能有效地應對，如MFA攻擊[13]，該方法可以尋求水印存在的規律從而進行抹平或偽造。如何提高隱蔽性是下一步工作的重點。

原方案用對稱中心的位置代表“0”“1”兩種狀態，可包含的水印容量足，但代價是需要較為持續穩定的數據流量。IPD質心方案舍棄了水印容量以換取少量數據流量的需求，在實際應用中對追蹤目標及時采取應對措施，比增加多樣化的水印容量、隱藏自身檢測行為更行之有效。

此外，本文方案水印大小的選取依賴正常流量的分析，因此是半盲屬性的，主要適用于針對某一特定的流量進行追蹤。若應用于大范圍、多流量的匿名網絡分析，半盲屬性會成為整個方案的短板。降低對正常流量的依賴也有待未來的研究。

[1] WANG X, REEVES D. Robust correlation of encrypted attack traffic through stepping stones by flow watermarking[J]. IEEE Transactions on Dependable and Secure Computing, 2011, 8(3):434-449.

[2] SNOEREN A. PATRIDGE C, et al. Hash-based IP traceback[C]// Proceedings of ACM SIGCOMM, 2001: 3-14.

[3] GOODRICH M T. Efficient packet marking for large-scale iptraceback[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security (CCS 2002). 2002: 117-126.

[4] 呂博, 廖勇, 謝海永. Tor匿名網絡攻擊技術綜述[J]. 中國電子科學研究院學報, 2017(1): 14-15.

LV B, LIAO Y, XIE H Y. Survey on attack technologies to Tor anonymous network[J]. Journal of CAEIT, 2017(1): 14-15

[5] 何永忠, 李響, 陳美玲, 等. 基于云流量混淆的Tor匿名通信識別方法[J]. 工程科學與技術, 2017(2): 121-122.

HE Y Z, LI X, CHEN M L, et al. Identification of Tor anonymous communication with cloud traffic obfuscation[J]. Advanced Engineering Sciences, 2017(2): 121-122.

[6] WANG X, CHEN S, JAJODIA S. Tracking anonymous peer-to-peer VoIP calls on the Internet[C]//ACM Conference on Computer and Communications Security. 2005: 81-91.

[7] HOUMANSADR A, KIYAVASH N, BORISOV N. RAINBOW: a robust and invisible non-blind watermark for network flows[C]// Network and Distributed System Security Symposium, San Diego, 2009.

[8] WANG X, CHEN S, JAJODIA S. Network flow watermarking attack on low-latency anonymous communication systems[C]// IEEE Symposium on Security and Privacy. IEEE Computer Society, 2007: 116-130.

[9] PYUN Y J, PARK Y H, WANG X, et al. Tracing traffic through intermediate hosts that repacketize flows[C]//IEEE International Conference on Computer Communications. 2007: 634-642.

[10] PANCHENKO A, LANZE F, ZINNEN A, et al. Website fingerprinting at internet scale[C]// Network and Distributed System Security Symposium. 2016.

[11] 郭曉軍, 程光, 朱琛剛, 等. 主動網絡流水印技術研究進展[J]. 通信學報, 2014, 35(7): 178-192.

GUO X J, CHENG G, ZHU C G, et al. Progress in research on active network flow watermark[J]. Journal on Communications, 2014, 35(7): 178-192.

[12] LEI C, ZHANG H, LIU Y, et al. Net-flow fingerprint model based on optimization theory[J]. Arabian Journal for Science & Engineering, 2016, 41(8): 3081-3088.

[13] KIYAVASH N, HOUMANSADR A, BORISOV N. Multi-flow attacks against network flow watermarking schemes[C]//Conference on Security Symposium. USENIX Association, 2008: 307-320.

Improved method of Tor network flow watermarks based on IPD interval

DU Jie, HE Yongzhong, DU Ye

School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044, China

Tor is an anonymous network mechanism that provides services for hiding traffic sources, but it has the problem that the entry traffic flows of Tor are clearly identifiable. Bridge protocols such as obfs4 come into being to solve this problem, which brings new challenges that have not yet been overcome. An IPD interval scheme is proposed, which uses the clustering characteristics of-means to improve the original scheme, so that the added flow watermark can be detected efficiently in the three modes of obfs4 bridges. The results of experiments show that the improved algorithm has higher detection rate and recognition rate, and has good adaptability to variable netflow traffic, which is conducive to the construction of a nice secure network environment.

active traffic analysis, network flow watermarks, anonymous communication, Tor

TP391.1

A

10.11959/j.issn.2096?109x.2019041

杜捷（1993? ），男，青海海東人，北京交通大學碩士生，主要研究方向為網絡安全、匿名通信。

何永忠（1969? ），男，重慶人，博士，北京交通大學副教授、碩士生導師，主要研究方向為網絡安全、計算機安全、密碼協議。

杜曄（1978? ），男，黑龍江哈爾濱人，博士，北京交通大學副教授、博士生導師，主要研究方向為網絡安全、態勢感知、軟件可靠性分析與評估。

2018?11?28；

2018?12?26

杜捷，418382002@qq.com

杜捷, 何永忠, 杜曄. 基于改進IPD質心的Tor網絡流水印檢測方法[J]. 網絡與信息安全學報, 2019, 5(4): 91-98.

DU J, HE Y Z, DU Y. Improved method of Tor network flow watermarks based on IPD interval [J]. Chinese Journal of Network and Information Security, 2019, 5(4): 91-98.