SSH匿名網絡網站指紋攻擊方法

賴琦

摘要：該研究針對SSH匿名網絡難以追蹤的問題，提出了網站指紋攻擊方法，就網站的時間行為對攻擊的影響亟待解決。本文針對該問題提出一種基于自適應決策的SSH匿名網絡網站指紋攻擊方法。該方法首先收集上行流量作為指紋特征，再使用Adaptive Hoeffding Tree和Adaptive Hoeffding Option Tree算法生成指紋特征庫，來實現指紋庫的不斷更新，以應變動態網站的時間行為對指紋庫的影響，最后選取100常用網站作為攻擊目標進行實驗。實驗結果顯示，在訓練集與測試集時間差為0時準確率達到93.43%，且隨著時間差增加，準確率下降緩慢，表明該方法能有效的進行攻擊，并且能減小時間行為的影響。

關鍵詞：SSH;Adaptive Hoeffding Tree;Adaptive Hoeffding Option Tree;網站指紋攻擊;上行流量

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）15-0036-03

1引言

隨著計算機高速的發展，個人隱私已經成為網絡安全中重要的元素之一。匿名網絡的發展，成為一種保護個人隱私的手段，通常使用諸如SSH之類的匿名通信網絡來隱藏其信息，但也可能被犯罪分子利用。針對匿名網絡的濫用，研究者提出了基于流量的網站指紋攻擊方法。SSH因為其部署相對于Tor較為簡單，而更為廣泛的使用，也提出了針對SSH匿名網絡的網站指紋攻擊方法。

網站指紋攻擊方法是一種流量分析的方法，通過獲取用戶和代理服務器的流量，提取其特征，以此分辨用戶訪問的網站。該方法是一個多分類問題，攻擊方法的有效性取決于分類器的選擇以及流量的處理。針對SSH匿名網絡的網站指紋攻擊，文獻[4]提出基于數據包方向和長度的指紋攻擊方法，采用樸素貝葉斯分類器，取得73%的準確率。文獻[5]就SSH流量進行分析，分別以上行流量和下行流量作為網站指紋特征，使用樸素貝葉斯分類器，最后在文獻[4]數據集上獲得了81.7%的準確率，同時提出隱馬可夫模型解決多級頁面指紋特征的采集。文獻[6]提出了一種基于隨機森的指紋攻擊方法，將上行流量數據包大小、下行流量數據包個數、入網時間和網站大小作為特征，在文獻[4]數據集上獲得了84.7%的準確率。文獻[7]將特征工程和預測分類進行整合，避免一些手工過程，實現半自動攻擊，將下行流量作為其指紋特征。使用卷積神經網絡進行分類，在文獻[4]數據集上獲得了92.3%的準確率。在先前的研究工作中，攻擊者首先需要預先收集數據集并在一段時間內訓練分類器模型，然后將經過訓練的分類器用于預測目標網站，稱之為靜態攻擊。在文獻[7]實驗表明訓練集與測試集時間差會影響靜態攻擊的準確性。由于動態網站的時間行為、網站指紋模型必須是一個連續的過程，并且需要中間人來觀察網絡流量。在先前的研究中，為了最大限度地提高分類器的準確性，攻擊者必須在不同的時間和設置下收集足夠多的有關不同版本的數據，以使每種模式的網站都具有代表性。由于在靜態攻擊中，分類器是使用預先收集的數據集進行訓練的，因此網站流量跟蹤的變化性質不會反映在經過訓練的分類器中，并且網站指紋攻擊的效率會大大降低。為了維持分類器的性能，隨著時間的推移，必須使用最新版本的網站來更新分類器。從先前的靜態攻擊的角度更新分類器需要再次更新整個數據集以及重新訓練分類器，但是，重新收集、維護和更新數據集以及更新和重新訓練分類器模型較為昂貴。

本文針對這一問題提出一種基于自適應決策的SSH匿名網絡網站指紋攻擊方法，該方法使用Adaptive HoeffdingTree和Adaptive Hoeffding Option Tree算法，在每個實例到達時會逐步更新模型。由于該模型會使用每個網站的最新版本進行持續更新，因此可以隨著時間的推移將其性能保持在最佳水平。

2預備知識

使用Adaptive Hoeffding Tree和Adaptive Hoeffding OptionTree算法對網站指紋攻擊進行建模。Hoeffding tree的存儲空間比較保守，可以通過從節點中的示例中收集足夠的統計信息來快速進行數據的單次掃描。然后，tree做出拆分決策。Hoeffd-ing界在數學上保證了這一決定與在整個數據上訓練的算法幾乎一樣可靠。該算法具有處理數據流的基本特征：

（1）Hoeffding tree是遞增生成的，并且在處理過程中動態知道收集的數據的內容。

（2）不存儲處理過的數據，僅記錄相關的統計信息。

（3）每條記錄僅處理一次。

（4）Hoeffding界是Hoeffding tree中的統計指標。

Hoeffding邊界具有一個可以參數化的估計誤差因子，該誤差因子如下：

其中，R是一個屬于實數值集合的隨機變量，n是迄今為止處理的樣本數，δ是一個可配置的值，描述了計算中可接受的誤差范圍。

Hoeffding tree是逐步構建的，并且數據實例僅按順序分析一次。樹從根節點初始化為空，該算法讀取一個實例，并將其分類到相應的葉子中。在算法中維護每個節點的表，觀察到的屬性和類值。對于每個新實例，都會計算并更新一些統計量度，例如均值和標準差。始終考慮同一節點中的樣本，始終以增量方式計算這些指標。在處理完樣本后立即將其丟棄，并且隨著新樣本的到達樹將逐漸增長。此外，到目前為止觀察到的實例存儲在每片葉子上。之后，該算法讀取該葉子處實例的每個確定值，并根據所有觀察到的屬性計算信息增益（G）。Hoeffding邊界（ε）由節點中累積的統計信息計算得出。如果最佳屬性和第二最佳屬性的信息增益之間的差大于￡（如公式1所示），則將葉子替換為決策節點，并且在最佳屬性上進行拆分，然后，將該屬性從可用于在該分支中拆分的屬性列表中刪除。

但是，Hoeffdingtree算法無法檢測到變化并使其適應變化。在文獻[8]中，作者采用了Hoeffding tree算法來檢測概念漂移并調整預測模型。該技術稱為Adaptive Hoeffding tree。Adaptive Hoeffding tree是數據流挖掘中的一種新方法，該方法可以從變化的數據流中自適應學習，而無需固定大小的滑動窗口。數據流挖掘中滑動窗口的大小是一個重要參數，因為需要數據集中概念漂移的速率。Adaptive Hoeffding option tree是包含更多選項節點的常規Adaptive Hoeffding tree.這些選項允許應用多個測試，并且導致多個Hoeffding tree作為單獨的路徑。用這種單一結構可以有效地表示多個樹。在這棵樹中，每個葉子都存儲了當前誤差的估計值。每個節點的權重是從投票過程中計算出來的，并且與誤差的平方成反比。此外，在本文Adaptive Hoeffdi～g Tree和Adaptive Hoeffding Option Tree算法中，使用自適應樸素貝葉斯分類器作為葉子的學習者。自適應技術用來檢查每個葉多數類和樸素貝葉斯決策的錯誤率。

3本文方法

本文方法主要分為三個階段，首先，捕獲每個網站的流量跟蹤。然后，對這些數據進行預處理，并刪除錯誤的跡線，空包或指示負載錯誤的跡線，將下行流量作為網站指紋。將記錄的網站指紋用作Adaptive Hoeffding Tree和Adaptive Hoeffding op-tion Tree算法的輸人生成特征庫，最后使用Test-Then-Train評估模型的準確率。模型圖如下：

3.1數據集采集

本文通過腳本程序收集互聯網中的OpenSSH100數據集。數據集采集模型如圖2，在WindowsXP配置SSH代理，配置與文獻[7]相同，然后運行Au3模擬用戶訪問互聯網，使用Win-dump捕獲SSH匿名流量。數據集描述如表1：

3.3特征庫生成

本文使用MOA2017.06b進行分類，采用Intel CoreTM i5-3210M CPU和8 GB RAM。MOA軟件用于基于流挖掘算法來模擬所提出的網站指紋攻擊方法網站指紋攻擊。MOA是用于實現數據流算法的軟件環境，并且包括幾種脫機和聯機數據流挖掘算法和評估工具。

在MOA中，整個數據集都用作輸入，但是MOA會將每個原始數據（每個網站指紋）都視為數據流。使用這些順序流數據構造流分類器。MOA可以模擬每個實例順序到達并在每個實例到達時更新模型的情況。

3.4 Test-Then-Train

常規的機器學習評估方法如（K交叉驗證）無法應用于評估流挖掘算法的性能。在數據流挖掘算法中，定義了Test-Then-Train方法來評估算法的性能。該評估方法的原理是在每個單獨的示例到達時對模型進行測試，并且每個單獨的示例在用于訓練之前都可以用于測試模型，然后使用此樣本更新訓練后的模型。在這種設置下，模型的準確性會逐步更新。而且，統計信息會隨著流中的每個示例進行更新，并且可以根據需要以該詳細級別進行記錄。

4實驗評估

為了評估本文方法對SSH匿名流量指紋攻擊的準確率，將數據集中的數據按月份分為3組（D1、D2、D3）。首先以D1、D2、D3為訓練集生成網站指紋特征庫進行靜態網站指紋攻擊，其結果如圖3：

如圖3所示，在每個數據集上取70%作為訓練集，剩下作為測試集。本文方法在D1數據集上有93.43%的準確率，在D2數據集上有94.23%的準確率，在D3上有93.33%的準確率。在同樣的數據集上本文實現了文獻6和文獻7的方法，由圖可知本文方法可以針對SSH匿名網絡進行有效的攻擊。

再以DI為訓練集，D2、D3為測試集進行實驗。實驗結果如圖4，本文方法達到93.43%，而后續以分別以D2、D3為測試集，準確率逐漸下降。在同樣數據集上實現文獻6和文獻7的方法，相對來說，本文方法能減小數據收集時間差對準確率的影響。

將D2、D3分別分為兩組（D21、D22、D31、D32），一組用于更新指紋特征，另一組用于測試，其結果如圖5所示。該實驗是在后續有準備的情況下，更新指紋特征庫下的網站指紋攻擊準確率，相對于圖4所示結果，本文方法能有較高的提升。

5結論

本文針對動態網絡的時間行為對網站指紋攻擊方法的影響，將Adaptive Hoeffding Tree和Adaptive Hoeffding Option Tree算法引入SSH匿名網絡網站指紋攻擊方法，提出基于自適應決策的網站指紋攻擊方法，該方法實現了指紋庫的自動更新，且在小樣本實驗數據集上達到了93.43%的準確率，并且能減小動態網站的時間行為的影響。