郭曉軍，程光，朱琛剛，TRUONG Dinh-Tu，周愛平

(1. 東南大學 計算機科學與工程學院，江蘇 南京 210096；2. 西藏民族學院 信息工程學院，陜西 咸陽 712082；3. 東南大學 計算機網絡和信息集成教育部重點實驗室，江蘇 南京 210096)

1 引言

近年來，隨著Internet爆炸式的發(fā)展，網絡安全問題日益嚴重，尤其在經濟利益的驅使下，各種網絡攻擊手段層出不窮，給用戶帶來巨大經濟損失。一方面，為了逃避檢測和追蹤，攻擊者往往并不直接對目標主機發(fā)起攻擊，而是使用SSH[1]，IPsec協(xié)議[2]登錄跳板節(jié)點（stepping stone）主機[3～6]、借助匿名通信系統(tǒng)[7～9]、僵尸網絡[10～12]等手段來隱藏自己的真實身份，給攻擊流追蹤、真實攻擊源定位、網絡監(jiān)控與管理等方面造成了巨大困難；另一方面，由于經濟、政治利益等因素，犯罪分子可利用匿名通信系統(tǒng)（如Tor、Mixmaster等）傳播賭博、色情、暴力、反動等不良信息，這些違法通信行為嚴重污染了合法用戶的網絡環(huán)境，也使對這些行為的犯罪取證及網絡審查面臨嚴峻挑戰(zhàn)。

針對上述問題，傳統(tǒng)的入侵檢測系統(tǒng) IDS（intrusion detection systems）與流關聯(lián)（flow correlation）技術主要采用被動網絡流量分析方法[3～5,13,14]。該類方法通過布置在網絡關鍵位置的節(jié)點來收集網絡流量，借助于分析和比較各網絡流量中數(shù)據(jù)分組數(shù)量[5]、大小[13]、時序等特征[15,16]，來確認各網絡流之間的關聯(lián)匹配關系。但此類方法要捕獲和檢查所有網絡流量，會明顯增加網絡設備的時空開銷，其離線分析方式也導致識別滯后性，實時性較差，可擴展性不強，難以應用在大規(guī)模、高帶寬網絡環(huán)境，尤其面對加密流量及匿名通信環(huán)境更顯得力不從心。為了改善傳統(tǒng)被動式方法的不足，應對加密流量及匿名通信環(huán)境中流追蹤和定位問題，主動網絡流水?。ˋNFW）技術應運而生。

ANFW 技術主要借鑒數(shù)字水印(digital watermarking)[17]的思想，通過主動改變可疑發(fā)送端（sender）所產生流[18]的某些特征，使之隱蔽地攜帶一些特殊標記信息，即水?。╳atermark），在經過通信網絡傳輸后，若從可疑接收端（receiver）所嗅探的網絡流中能檢測出相應的水印，則認為sender和receiver之間存在網絡流關聯(lián)，從而可認定它們之間存在明確的通信關系，是一種主動網絡流量整形與分析技術。與傳統(tǒng)被動網絡流量分析相比，ANFW方法顯著優(yōu)勢在于能夠較好地適用于存在加密流量、跳板節(jié)點、匿名通信等多種網絡環(huán)境，其過程對于可疑收發(fā)雙方無法察覺，即具備透明性，且可用較少的時空開銷確認sender和receiver通信關系，具有較高的識別率，此外，還可同時面向多數(shù)據(jù)流的追蹤和定位等。因此，該技術近年來也逐漸成為網絡安全研究領域的熱點。

目前，國內外學者已在主動網絡流水印系統(tǒng)模型、流水印載體選擇及流水印調制解調技術等方面開展了較多研究工作。本文試圖以 TCP/IP網絡體系結構為核心，從層次的視角對現(xiàn)有主動網絡流水印技術研究進行歸納和總結，并對未來主動網絡流水印技術發(fā)展趨勢及可能的研究方向進行了展望。

2 主動網絡流水印概述

2.1 通用模型

一些學者已從不同的角度給出了ANFW模型[19,20]。為了更好理解主動網絡流水印本質和描述方便，本文在借鑒已有研究工作的基礎上給出了ANFW的通用模型。

定義1 ANFW可描述為一個六元組＜OF,W,AP,EM,DE,CM＞。其中，

1)OF(original flows)為原始網絡流集合，本文中，OF={f1,f2,…,fn}，fi（i=1,2,…,n）為sender產生的流。

2)W為嵌入的水印信息，W={ w1,w2,…,wl}，|W|=l(l＞0)，wi為水印信息位，且 wi∈{0,1}，l稱為水印容量。

3)AP(assist parameters)是在流fi中嵌入水印W時所需的輔助參數(shù)集合，AP={ap1,ap2,…,apm}，其中，api為輔助參數(shù)，如fi中各數(shù)據(jù)分組之間的時間間隔、PN(pseudo-noise)碼[21]等。不同ANFW方法具有多個不同的輔助參數(shù)。

4)EM為調制或嵌入水印函數(shù)

5)DE為解調或提取水印函數(shù)

其中，fr為receiver處捕獲的網絡流。

6)CM 為比較函數(shù)，Th為預先設置的閾值。

圖1給出了主動網絡流水印機制的通用模型。水印嵌入器（watermark embedder）首先收集 Bob產生的流 fi，選取流 fi某個特征（如速率、分組間隔等）作為承載水印 W 的載體，然后在式(1)的控制下，主動改變該特征并使之呈現(xiàn)不同狀態(tài)，用以表示水印信息位wi，從而完成水印W在流fi中的嵌入過程。水印檢測器（watermark decoder）捕獲到達Alice的流fr，應用式(2)提取出fr所攜帶的水印W'，若W'與W滿足式(3)，則說明fr是 fi在經過通信網絡傳輸后疊加網絡噪聲（如網絡擁塞、抖動等）所形成的流，從而確認Bob與Alice之間存在通信行為，否則，則認為fr與 fi無關，即Bob與 Alice不存在通信行為。

2.2 應用場景示例

ANFW 技術可通過調整網絡中流特征來確定可疑發(fā)送端與可疑接收端之間是否存在明確的通信關系，尤其適用于加密流量、跳板節(jié)點、匿名通信等多種網絡環(huán)境。為更好地理解 ANFW 機制及其應用，此處給出一個ANFW在匿名通信網絡Tor[7]中的應用示例，如圖2所示。

Tor是一個開源項目，借助洋蔥頭路由器 OR（onion router）來隱藏原始TCP流量的真實信息，為TCP應用提供匿名通信服務，可看成基于Internet的覆蓋網。在Tor匿名網絡中，OR與OR之間構成匿名信道或者加密信道，使用TLS（transport layer security）協(xié)議加密原始 TCP流量，且并將其轉變?yōu)榇笮∠嗤臄?shù)據(jù)分組。這樣，原始TCP流量中的一些敏感信息（如源宿IP地址、端口號等）就變成了密文，即使數(shù)據(jù)分組被捕獲也無法識別，達到了匿名原始TCP流量的目的。

圖1 ANFW技術通用模型

圖2 ANFW在匿名網絡Tor中應用示例

攻擊者可利用Tor網絡的匿名性特點，在隱藏自己真實主機信息的情況下對網絡中的主機進行入侵或攻擊。很顯然，若采用被動流量為分析方法是難以對攻擊源頭進行準確追蹤和定位的。在此情況下，ANFW技術提供了一種可行的解決途徑。首先可在被侵害主機Victim所在網絡關鍵位置（如網關）啟用ANFW嵌入器，主動調制Victim所產生的向外的流的特征，以使流攜帶水印信息W，該流經過 Tor匿名通信網絡傳輸后可能會到達網絡A1、A2或 A3，此時部署在網絡 A1、A2及 A3關鍵位置的 ANFW 檢測器會對進入本網的流進行水印信息檢測和提取，若檢測得到的水印信息為W，則可確定攻擊者位置存在于本網絡中，為下一步準確找出攻擊者精確位置提供依據(jù)，以達到對攻擊源的定位與追蹤。此外，也可將ANFW嵌入器、ANFW 檢測器作為功能模塊嵌入在OR中，方便部署與應用。

2.3 面向的主要角色

ANFW面向的主要角色是指ANFW技術在實際應用中所涉及的主要人員，如圖3所示。本文根據(jù)已有研究文獻的描述、ANFW原理及應用領域，從網絡安全的角度將 ANFW 面向的主要角色總結為4類，分別為：攻擊者、普通用戶、網絡管理員及網絡執(zhí)法者。

圖3 涉及ANFW的主要角色

攻擊者可分為2類，一類是指惡意和非法使用ANFW技術檢測、跟蹤通信網絡中正常用戶間通信行為的人員，如在匿名通信系統(tǒng)中，此類攻擊者就可以利用ANFW技術在收發(fā)雙方未覺察的情況下，確認和跟蹤收發(fā)雙方的關系，從而破壞匿名通信系統(tǒng)的匿名性，為后續(xù)實施其他網絡攻擊提供可靠信息；另一類是指以故意移除或破壞 ANFW 為目標的人員，如一些違法人員會操縱匿名系統(tǒng)中主機傳播色情、謠言等不良信息，甚至進行其他犯罪（賭博、倒賣個人隱私信息等），當網絡監(jiān)管人員利用ANFW技術對這些違法主機進行跟蹤時，違法人員很可能會利用一些技術手段[22]對潛在的 ANFW 進行移除，以逃避檢測和追蹤。

普通用戶是指在網絡中正常合法通信的主機。一方面，他們是 ANFW 技術的保護對象，ANFW可作為判斷這些普通用戶是否已變?yōu)閟tepping stone[19]、僵尸主機[23]等的一種重要技術手段；另一方面，普通用戶也可主動利用 ANFW 技術來確定自身所訪問網絡信息來源的真實性和可靠性。

網絡管理員可利用ANFW技術確定和追蹤所轄子網或子域內存在的網絡入侵事件和攻擊行為，記錄關鍵信息，形成證據(jù)日志，并聯(lián)合IPS（intrusion prevention system）、防火墻等系統(tǒng)遏制相關網絡攻擊行為。同時，也可在多個子網或子域展開合作，共享各自證據(jù)日志信息，以構建和還原完整的網絡入侵路徑[24]，追蹤和定位網絡攻擊真實來源。

網絡執(zhí)法者從網絡管理員處調取與網絡犯罪行為相關的證據(jù)日志，并匯集其他安全系統(tǒng)（如IPS/IDS、網絡信息審計系統(tǒng)等）提供的信息及現(xiàn)實證據(jù)，形成完整的證據(jù)鏈，提高網絡犯罪案件偵破效率，有效打擊和遏制網絡犯罪活動。

2.4 主動網絡流水印技術分類

對已有ANFW方法可以從不同的角度得到不同的分類。如根據(jù)提取水印W'時是否使用流fi初始特征信息（流fi被嵌入水印W前的特征信息），可分為非盲水?。∟W,non-blind watermarking）和盲水?。˙W,blind watermarking）。NW類方法需要借助于流fi初始特征信息（可由watermark decoder預先將fi初始特征信息存放于AP中）才能完成水印信息提取，而BW類方法則不需要。

本文根據(jù)網絡流的定義及承載水印W的流特征，依托TCP/IP網絡層次模型，將現(xiàn)有ANFW方法分為基于流速率特征[21,28,29]、基于流內分組間隔特征[30～33]、基于流時間時隙分割特征[20,34～37]及基于分組載荷[25～27]等類別，如圖4所示。

圖4 按TCP/IP網絡層次模型分類ANFW

從圖4中可以看出，當前網絡流水印技術的研究多數(shù)集中在網際互聯(lián)層和傳輸層，這是由于一方面流定義及特征[18]主要涉及此兩層，另一方面，在匿名通信和加密流量的環(huán)境下，難以在數(shù)據(jù)分組的應用層載荷中嵌入水印W，使ANFW技術失效，而在網際互聯(lián)網層和傳輸層應用 ANFW 技術則不受此限制。

3 典型的主動網絡流水印技術

網際互聯(lián)層和傳輸層的ANFW技術基本都是以網絡流的某些與分組內容無關的特征為載體來完成水印W的嵌入，且當網絡流經過通信網絡傳輸后，W仍能被恢復。這些被選取的網絡流特征，稱為水印載體。根據(jù)使用不同的水印載體，網際互聯(lián)層和傳輸層的ANFW 技術主要包括基于流速率特征、基于流內分組間隔特征及基于流時間時隙分割特征等。

3.1 基于流速率特征

此類方法核心思想是選取整個流持續(xù)時間內的不同時間段，在水印信息W的作用下，通過一定的方法略微調整這些時間段內的網絡流速率，以表示水印信息位wi（1或0），從而達到在網絡流中嵌入水印W的目的。

Yu等[21]將CDMA無線通信系統(tǒng)使用的DSSS（direct sequence spread spectrum）機制引入到主動網絡流水印中，如圖5所示，該方法稱為DSSS-W。

圖5 DSSS原理

DSSS-W 在發(fā)送端利用式(4)將原始水印信號W擴頻為WD，其中，C=(c1,…,cm)為PN碼，wi,cj∈{?1,1}（此處用?1代表水印信息位'0'，下同）。

wiD為原始水印為wi擴頻后對應的水印信號，且wiD=(wic1… wicm)，wicj持續(xù)時間為IPN。

接著利用式(5)在IPN時間內對流速率進行略微改變，連續(xù)應用式(5)m次即可完成水印位wi的嵌入，剩余水印信息位的嵌入方法相同，從而可完成整個水印W的嵌入。

其中，S為流原始平均速率，Tx為水印W嵌入后的流速率，A（A＞0）為調節(jié)幅度。

接收端所接收的流速率為Rx，如式(6)所示。

其中，z為通信網絡在流傳輸過程中產生的噪聲。為恢復水印W，先利用高通濾波器對Rx濾除直流分量 S后得到式(7)中的，接著，與 PN 碼相乘得到，如式(8)，并利用低通濾波器濾除噪聲zC。最后應用簡單的決策規(guī)則恢復出每一個wi，從而還原出整個原始水印W。

圖6 DSSS水印產生嵌入與檢測模塊

圖6給出了DSSS-W方法的整體過程，類似的方法還有文獻[28,29]等。

可以看出，此類方法簡單易用，例如只需要在IPN內（IPN的值必須合理設置）根據(jù)wiD=?1或wiD=1使發(fā)送端的流 fi暫停發(fā)送或繼續(xù)發(fā)送即可完成 WD在流fi中的嵌入；其次，具有同時并行追蹤多個流的能力，對水印W可使用一組不同且相關性較小的PN碼使之擴展為一組不同的WD，將這些WD賦予多個不同的流，從而接收端可根據(jù)不同 WD很容易區(qū)分出不同的流。

但此類方法也存在一些明顯缺點，只適用于跟蹤速率較大、持續(xù)時間較長的目標流，目標流速率較大才能確保嵌入水印位時調節(jié)流速率的幅度對流平均速率沒有太大影響，以保證所嵌入水印位的隱蔽性，目標流持續(xù)時間長才能保證將WD的所有信息位嵌入進目標流中；與后續(xù)方法相比，該類方法在流中所能嵌入的水印信息位個數(shù)較少，即可嵌入的水印信息W的容量l較小，這是由于采用DSSS原理將一位原始水印wi擴頻為m位的 wiD才嵌入進流中，從而導致整個流只能攜帶較少的水印信息位數(shù)；對數(shù)據(jù)分組延遲、抖動、網絡噪音流量等的抗干擾能力較弱，即頑健性不強，由于此類方法是以調整和檢測流的速率特征來嵌入和恢復水印信息位的，而這些客觀因素極易導致流速率特征發(fā)生明顯變化，使流攜帶水印信息難以恢復，最終導致此類方法失效。此外，由于在調整多比特水印信息位時采用同一PN碼，其所標記的流會呈現(xiàn)自相似性，因此DSSS-W類方法也容易受到 MSAC（mean-square autocorrelation）攻擊[38]。

3.2 基于流內分組間隔特征

為使ANFW適用于較短的網絡應用流，提高ANFW在流中嵌入水印信息W的容量，該類方法選取流內分組間隔時間IPD（inter-packet delay）作為水印載體，通過略微調整多個IPD或IPD均值大小，來嵌入水印信息位wi，實現(xiàn)流內攜帶水印W的目的。

圖7 水印位w嵌入前后ipd與ipdw的對應關系

Wang等[30]提出了基于IPD的ANFW 方法WBIPD(watermark based on IPD)。該方法隨機選取發(fā)送端流內2個數(shù)據(jù)分組Pi和Pj，計算其ipd=ti-tj,ti與tj分別為Pi和Pj到達或離開網絡中某節(jié)點的時刻，利用式(9)和式(10)改變ipd的值為ipdw，如圖7所示，從而完成水印W嵌入過程。

在接收端利用式(11)進行水印解碼。

其中，s為量化步長，函數(shù)q(x,y)=round(x,y)表示取與x最近的整數(shù)。

為了提高抗時間干擾攻擊的能力，可使用式(12)中多個數(shù)據(jù)分組對的ipd平均值ipdavg來代替式(9)中單個的ipd，如圖8所示，m為所選擇的數(shù)據(jù)分組對數(shù)目。

圖8 將nbit水印位嵌入n個不同ipdavg

從上述過程來看，WBIPD巧妙地調整分組間IPD來嵌入水印信息位，與DSSS-W相比，不僅對流的操作更為細粒度化，使WBIPD能應用于較短的流，而且在流中可嵌入更多的水印信息位，能顯著增大流攜帶水印信息W的容量。但由于在計算ipdavg時需借用緩沖區(qū)來暫存流的若干數(shù)據(jù)分組，會明顯增加數(shù)據(jù)分組的延遲，這使該方法難以跟蹤實時性較強的流。

針對WBIPD的缺陷，Wang等[31]在后續(xù)研究中以追蹤實時匿名VOIP電話流量為研究對象，提出一種優(yōu)于WBIPD的ANFW方法，該方法先依據(jù)一定的概率從流的n個數(shù)據(jù)分組中隨機選取2r個數(shù)據(jù)分組{P1,…,P2r}，并與該流的其他數(shù)據(jù)分組{P1+d,…,P2r+d}構成 2r個分組對即＜P1,P1+d＞,…,＜P2r,P2r+d＞，d（d＞0）為增量。

其次，計算每個分組對的 ipd值，并將此 2r個 ipd值隨機分為2組 IPD1和 IPD2，且|IPD1|=|IPD2|=r（r為冗余度，0＜ r＜(n?d)/2）。

圖9 文獻[31]中方法簡單示例

與前述2種方法不同，一些研究者采用了非盲水印的思路來操作 IPD[19,33,40]，其中典型代表就是Houmansadr等[19]設計的RAINBOW方法，原理如圖10所示。RAINBOW最大特點在于檢測水印W時需要參考流的原始IPD值，其過程分為4步。

水印嵌入器：

圖10 RAINBOW模型

水印檢測器：

4)使用式(17)計算Y與E的內積值N(Y,E)，其中，E={eia}。

若N(Y,E)小于預先設置的閾值時，則判斷當前流包含水印W，否則與IPD數(shù)據(jù)庫中其他流的原始IPD作比較，重復步驟3)和步驟4)。

可以看出，RAINBOW 只調整一個 IPD即可在流中嵌入wi，水印信息容量完全取決于流的IPD數(shù)目，其實驗結果表明對于較長的流，水印信息容量可達上千比特；對流的IPD調節(jié)幅度也較小，不易被攻擊者察覺，隱蔽性較好；借助數(shù)據(jù)庫保存的原始流IPD改善decoder端提取水印信息位的準確性；但數(shù)據(jù)庫的使用也使得RAINBOW在跟蹤流數(shù)較多時空間復雜度急劇增大；在流關聯(lián)時，從待確定流中檢測出的水印信息需要逐個與數(shù)據(jù)庫中多條已存在流的IPD記錄進行對比，明顯增加了時間開銷，難以應對實時性強的網絡應用流，降低了該方法的實用性。

圖11 RAINBOW嵌入水印位wi的過程

3.3 基于流時間時隙分割特征

為有效應對在匿名通信系統(tǒng)中通過添加啞數(shù)據(jù)分組（chaff packet）、分組重組（repacketization）、分組丟棄及多流混合等方式破壞流水印，提高ANFW技術對通信網絡噪聲流量的頑健性，該類方法在整個流持續(xù)時間內隨機選取一個時間段，并將其分割為若干相等的時間間隔，稱為時隙（interval），通過改變落在每個時隙內數(shù)據(jù)分組發(fā)送時刻或調整時隙內的數(shù)據(jù)分組數(shù)量來嵌入水印W。

Wang等[34]提出了時隙質心水印機制 ICBW（interval centroid based watermarking），如圖12所示。ICBW首先從流起始時刻的隨機偏移o(o＞0)處開始的一個時間段Td，分割為2n個長度為T的時隙 Ii(i=1,2,…,2n)。

其次，利用式(18)計算時隙Ii的質心，其中ni為Ii內出的現(xiàn)數(shù)據(jù)分組個數(shù)，Δ tij為Ii內第 j個數(shù)據(jù)分組距離Ii起始位置的時間偏移，服從均勻分布。

再次，將 2n個 Ii隨機分為A和 B 2組，且|A|=|B|=n。以概率1/|W|從A、B中各取r個時隙，并按式(19)及式(20)計算此r個時隙的質心Ai和Bi。其中，IAi,j和IBi,j分別代表嵌入wi時從A組和B組所選取的r個時隙的第j個,NAi,j和NBi,j為時隙IAi,j和IBi,j含有的數(shù)據(jù)分組個數(shù)。

最后，由于Yi=Ai－Bi服從對稱軸為0的均勻分布，因此，可通過給 Ai或 Bi增加 a（0＜ a＜T）使 Yi所服從均勻分布的對稱軸變?yōu)閍/2或?a/2，以此變化來表示水印信息位wi，從而完成wi在流中的嵌入。

ICBW利用均勻分布原理通過調整2組時隙內若干數(shù)據(jù)分組的時間偏移來嵌入一個水印信息位，即使受到流混合、流分割、流合并等因素的干擾，但只要時隙內數(shù)據(jù)分組數(shù)據(jù)足夠多，仍能通過時隙組質心來減少或消除這些因素帶來的影響，保證水印信息位的正確恢復，具有較好的頑健性，實驗結果也證明了這點；其水印信息容量比DSSS-W要大，與WBIPD相當，但小于RAINBOW方法；然而，ICBW方法易遭受MFA(multi-flow attack)攻擊[41]，即將經ICBW方法處理過的多條流進行對比時，可以造成所嵌入的水印信息W的暴露。

圖12 ICBW水印技術原理

針對ICBW的缺點，Wang等[35]提出了一種可抵抗 MFA攻擊的雙時隙質心水印機制 DICBW(double interval centroid based watermark)，如圖13所示。DICBW與ICBW區(qū)別在于：

1)計算Ai和Bi時，DICBW所使用的時隙IAi,j和IBi,j必須為相鄰時隙而非隨機選取的時隙。

2)使用式(21)計算時隙 Bi。其中，為B組時隙IBi,j內第k個數(shù)據(jù)分組距離時隙 IBi,j起始位置的時間偏移量，NBi,j為時隙IBi,j內數(shù)據(jù)分組個數(shù)。

水印信息位wi的嵌入過程與ICBW方法類似。實驗結果表明，與ICBW相比，DICBW在抵抗MFA攻擊和時間擾動，應對流合并、流分割等流變換等方面有更好的效果。

圖13 DICBW嵌入水印位過程

為同時應對 MSAC和 MFA攻擊，Luo等[36]將ICBW與DSSS-W結合，提出了ICBSSW(interval centroid based spread spectrum watermarking scheme)方法，此方法先使用PN碼將水印信息位wi擴頻為wiD，與DSSS-W不同的是，wiD為的嵌入不是通過調制流速率實現(xiàn)的，而是使用ICBW方法中的調整時隙質心差實現(xiàn)的。ICBSSW 綜合了 ICBW 與DSSS-W的優(yōu)點，不僅能在同一網絡節(jié)點并行跟蹤多個流，而且由于采用不同的PN碼來標記不同的流，使得這些流即使遭受MSAC和MFA攻擊的情況下也很難呈現(xiàn)出所攜帶水印信息的規(guī)律，具有較好的隱藏性，同時在應對流混合、流分割、流合并等方面也具有較好的效果。但 ICBSSW 計算過程相對于ICBW和DSSS-W要復雜一些，時空開銷也要多一些。與ICBSSW類似的方法還有文獻[32]。

與ICBW，ICBSSW，DICBW不同，Pyun等[37]提出的 IBW 水印技術是通過改變相鄰時隙對 Ii和Ii+1中數(shù)據(jù)分組數(shù)目來嵌入水印信息位wi。IBW有l(wèi)oad和clear 2種基本操作。load操作是將時隙Ii-1內的所有數(shù)據(jù)分組延遲到時隙Ii內，而clear操作是將時隙Ii內的所有數(shù)據(jù)分組延遲到Ii+1內。當wi=0時，對時隙Ii內的數(shù)據(jù)分組進行l(wèi)oad操作，同時對時隙 Ii+1數(shù)據(jù)分組進行 clear操作；相反，當 wi=1時，則對Ii和進行clear操作，同時在Ii+1進行l(wèi)oad操作。為避免嵌入多個水印信息位時多個時隙對間產生沖突，應保證2個連續(xù)的時隙隔對之間至少有一個時隙，以起到隔離作用。雖然 Pyun等從理論分析和實驗兩方面證明 IBW 方法對時間擾動和分組重組干擾有較好的抵抗性，但由于該方法通過改變時隙內數(shù)據(jù)分組數(shù)目來嵌入水印位信息，因此難以處理添加啞數(shù)據(jù)分組的干擾，而且也容易遭受MFA攻擊。

此外，SWIRL (scalable watermark that is invisible and resilient to packet losses)[42]呈現(xiàn)采用了另一種時隙特征變換的流水印方法。該方法將流時間分成若干時隙對，每一時隙對中的2個時隙按時間先后順序分別命名為base interval和mark interval。首先對 base interval利用式(18)計算其時隙質心Cbase，并利用量化公式將Cbase轉變?yōu)橐粋€服從均勻分布的量v。其次，將mark interval均勻分割為h個子間隔，每個子間隔又均分為m個slot，并依據(jù)h個子間隔與v的排列關系從每個子間隔中選出一個slot。最后，將每個子間隔中未被選中slot內的數(shù)據(jù)分組通過延遲操作改變到已選中的slot內，從而完成水印信息位的嵌入。從實驗結果來看，該方法在大規(guī)模流量的情況下可以應對分組丟失、網絡抖動的干擾，能有效抵御MFA攻擊、Tor擁塞攻擊[43]等,但攻擊者可通過注入特定的流讓SWIRL來嵌入水印信息，并將此時的流與其原先的時間模式進行對比即可了解SWIRL嵌入水印信息的情況[44]。

除使用上述3類流時間特征外，也有研究者提出了基于流內分組亂序特征的 ANFW 方法PROFW(packet reordering based flow watermarking)[45]。分組序是指數(shù)據(jù)分組報頭中的序號信息，如 TCP中的序號、IPSec數(shù)據(jù)分組的認證頭(authentication header)和封裝安全載荷(encapsulating security payload)中的序號等，在自然通信狀態(tài)下不可避免會出現(xiàn)流內數(shù)據(jù)分組發(fā)送與到達順序不一致的分組亂序現(xiàn)象。PROFW首先將水印W看作為k個數(shù)的排列A，讓A中的每種排列與不同的格雷碼CWi一一對應，且這些CWi間還必須能滿足一定的漢明距離關系。然后，借用亂序密度RD(reorder density)求出不偏離正常亂序行為下各 CWi出現(xiàn)的概率Pi。最后，選擇函數(shù)以Pi從流中選擇出數(shù)據(jù)分組并對其分組序根據(jù)CWi進行改變，以完成嵌入水印W。從其原理來看，雖然該方法能夠保證流中所隱藏水印信息的隱蔽性，但只對包含大量數(shù)據(jù)分組的流才能取得較大的水印容量，不適用于普通的流，而且很顯然在應對啞數(shù)據(jù)分組、分組丟失、重組分組等因素干擾時頑健性較差。

3.4 典型主動網絡流水印方法綜合對比

前面著重概述了網際互聯(lián)層和傳輸層多種代表性的 ANFW 方法的核心思想及各自的優(yōu)缺點。為了更直觀地理解這些主動網絡流水印方法的特點，在研究和分析文獻中各自方法實驗測試結果的基礎上，此處將采用隱蔽性、水印容量、嵌入水印時的時空開銷、提取水印時的難易程度、盲/非盲性、頑健性和實用性等評價指標從總體上對這些典型ANFW方法進行集中對比，如表1所示。

3.5 主動網絡流水印技術所面臨威脅

AFNW 技術實質是通過調整流的特征來隱藏水印信息，這些水印信息不僅在通信網絡中遭受各種因素的干擾而變形，而且也會成為攻擊者蓄意探測與移除的目標，因此 AFNW 技術所面臨的安全威脅主要來自2個方面。

1)通信網絡干擾因素

被嵌入水印的流在經過通信網絡傳輸?shù)竭_目的端的過程中不可避免地會遭受一些因素干擾，減弱水印效果。如延遲抖動[46,47]、網絡擁塞[48]、分組變換(分組分割、分組重組、分組合并、分組丟失等)[49]，這些干擾因素一方面來自于通信網絡本身的自然特性[1]，另一方面很可能是攻擊者主觀故意產生[50]。

2)水印信息蓄意探測及移除

是指攻擊者在不知道任何ANFW技術的細節(jié)下，通過一定的手段嘗試探測或識別網絡流中存在的水印信息，進而破壞或移除這些水印信息，以逃避追蹤審查，如針對ICBW和IBW水印機制的探測[22,51]、針對DSSS水印機制的探測[38,52]以及同時針對多種水印機制的探測[41,53]等。表2總結了當前水印機制遭受的各種攻擊及防范措施。

4 未來研究方向展望

從前述內容可知，主動網絡流水印技術已引起國內外網絡安全研究人員的極大關注，已逐漸成為網絡安全領域一項重要的研究內容。盡管當前主動網絡流水印技術具備應對加密流量、匿名通信環(huán)境、隱蔽性好等優(yōu)勢，但從其原理及表1、表2來看，主動網絡水印技術仍然存在潛在問題尚未很好解決，本文認為今后可從如下方面展開科研工作。

4.1 提高和改善AFNW技術性能

1)設計更為健壯的同步機制，以降低水印收發(fā)雙方在較大網絡噪聲干擾下編解碼水印信息錯位的概率。一種值得考慮的方法是借鑒通信中同步原理的思想[59]來改善現(xiàn)有ANFW方法的同步機制，例如可使用曼徹斯特碼來編碼水印信息，并通過改變相鄰流時間時隙內數(shù)據(jù)分組數(shù)量差值來模擬曼徹斯特編碼中的跳變，以使調制后的流整體上具有自同步性或者借鑒群同步思想[59]，將水印信息分割成組，并在每組頭部加入額外同步碼（如巴克碼）后按組進行編碼發(fā)送，以便通過每組的同步性來提高流整體的同步性。

表1 典型ANFW方法特點比較

表2 現(xiàn)有針對AFNW攻擊及防范狀況

2)改善并行追蹤多流及抵抗分流的能力。現(xiàn)有 ANFW 方法在兼顧隱蔽性和頑健性的前提下，對流內IPD的改變幅度不大，被水印標記的多條流不僅在經過同一網絡節(jié)點（如 OR、跳板主機）會發(fā)生相互干擾，而且在網絡傳輸過程中也可能面臨先分解再合并問題[60]，造成水印信息失效。因此，如何提升 ANFW 方案應對此類問題的能力是推進ANFW實用化所亟待解決的問題。

3)提升ANFW對流的自適應能力。不同網絡應用（如 Web[61]、視頻[62]、VoIP[63]、游戲[64]等）所產生的流量時間特征差異較大，需要研究針對不同類型流能夠自動選擇合適水印信息編碼方式及相關參數(shù)的流水印技術，以彌補現(xiàn)有 ANFW 方案僅適用于單一類型流的不足，取得更好的數(shù)據(jù)流關聯(lián)效果。

4)增強ANFW在網絡延遲、抖動、分組重傳等因素干擾下的頑健性。即使被 ANFW 標記流的多個IPD在該流傳輸過程中受這些因素干擾而發(fā)生改變，接收方仍能以較大概率正確恢復出水印信息，使這些干擾因素對流內水印信息的影響控制在可接受范圍?？蓮脑黾铀⌒畔⑽粚腎PD冗余數(shù)、改善水印信息嵌入的方式（如借鑒數(shù)字噴泉編碼[65]）等角度來綜合考慮此問題。

5)提高水印信息嵌入與檢測過程的實時性?，F(xiàn)有的 ANFW 方案著重關注水印信息隱蔽性與頑健性，很少顧及時空計算復雜度。但在實際應用中，實時性是必須的，特別是在資源有限條件下追蹤實時性較強的流時，更需要低時空復雜度的ANFW方法。對于此問題，一方面需要對 ANFW 算法本身進行改進優(yōu)化，另一方面也可借鑒文獻[66]方法，考慮將ANFW算法硬件化或固件化。

6)探索新型ANFW機制。針對攻擊者能利用概率統(tǒng)計方法對現(xiàn)有 ANFW 方案產生的流時間水印信息進行干擾、探測及破壞，除增強已有ANFW方案的隱蔽性外，積極開發(fā)新型 ANFW 機制也是解決問題途徑之一。ANFW本質是在網絡流特征中秘密隱藏信息，因此可考慮借鑒一些較新穎的信息隱藏[67,68]及隱蔽通信技術[69,70]思想應用在相關網絡流特征上，以產生新的ANFW方案。

4.2 加深ANFW相關理論研究

1)水印容量估算模型。水印容量代表了ANFW 利用流特征來攜帶信息的能力，是衡量ANFW性能重要指標之一。目前多數(shù)ANFW方案僅通過人工估計或簡單試驗來給出水印容量，準確性較差，也不利于充分發(fā)掘ANFW方案的潛力。因此，針對不同水印機制應研究如何建立流數(shù)據(jù)分組數(shù)目、流持續(xù)時間、自身水印編碼方式等多種因素綜合的數(shù)學模型，以較為準確地估測自身水印容量。

2)同類水印方法綜合評價模型。探索該模型可為同類 ANFW 方案間統(tǒng)一的比較與評價提供嚴格、有效的理論評判依據(jù)，也為ANFW 的改善與革新提供有利參考。一種思路是可先對表1所列出的若干評價指標有效量化，然后再借鑒現(xiàn)有綜合評價方法（如主成分分析法、數(shù)據(jù)分組絡分析法、模糊評價法）對量化的指標進行有機融合以生成綜合評價模型。

3)水印機制安全等級模型。借鑒數(shù)字水印安全等級評價方法[71]，研究評估水印機制安全級別模型，以評估各 ANFW 機制安全級別，并建立類似于 TCSEC[72]的安全等級策略，指導用戶針對不同的網絡應用需求定制不同安全級別的ANFW方案。

4.3 推動ANFW部署與應用

1)ANFW技術與現(xiàn)有相關網絡系統(tǒng)整合。研究如何將ANFW技術與IDS/IPS、防火墻等安全系統(tǒng)整合，以彌補現(xiàn)有網絡安全系統(tǒng)在網絡入侵追蹤（如可疑加密流量追蹤）能力方面的不足；研究基于普通客戶端的流水印軟件或插件，可借鑒文獻[73]的方法開發(fā)基于瀏覽器的 ANFW 插件，與布置在服務器端的ANFW模塊相配合，為用戶訪問 Web服務過程提供一種輕量級的安全機制。研究ANFW模塊在自治域內關鍵鏈路上的部署及與其他追蹤技術[74,75]協(xié)作問題，以高效追蹤網絡攻擊流，達到準確構建入侵路徑、定位入侵源等目的。

2)拓展ANFW的應用范圍。隨著Internet發(fā)展呈多元化趨勢，探索 ANFW 技術如何保障新興Internet服務與應用網絡通信安全也是需要關注的研究領域。如研究 ANFW 技術如何發(fā)現(xiàn)和檢測云環(huán)境下共駐同一物理平臺的多個虛擬機之間通過網絡流量來泄露隱私信息的問題[76]；設計和測試能夠適用于移動互聯(lián)網[77,78]環(huán)境的AFNW方法；可借助未來網絡試驗床[79]及仿真工具[80]，研究與開發(fā)面向未來網絡體系結構及通信模式的ANFW方案。

5 結束語

主動網絡流水印技術是數(shù)字水印思想與主動網絡流量整形及分析相結合的產物。其在匿名通信關系確認、跳板主機檢測、僵尸網絡主控機追蹤等網絡安全領域的應用，體現(xiàn)出較大的實用價值，已成為具有現(xiàn)實意義的研究方向?，F(xiàn)有的 ANFW 印技術研究已在流水印產生原理、流水印載體選擇（即流特征選擇）、流水印嵌入與檢測等方面取得了一定進展，初步實現(xiàn)了主動網絡水印技術的基本目的，但在一些關鍵問題上，現(xiàn)有進展仍然不足，尤其在面對各種復雜網絡干擾、蓄意檢測攻擊下提高水印技術的頑健性、隱蔽性等方面，需要更為深入的研究和探索。隨著主動網絡流水印技術不斷成熟和完善，其在今后的網絡安全領域中必將起到更加積極、廣泛的作用。

[1]YLONEN T. The secure shell (SSH)protocol architecture[EB/OL].http://www.ietf.org/rfc/rfc4251.txt,2006.

[2]IPSEC WORKING GROUP. IP security protocol (IPSec)[EB/OL].http://datatracker.ietf.org/wg/ipsec/,1995.

[3]ZHANG Y,PAXSON V. Detecting stepping stones[A]. Proc of the 9th USENIX Security Symposium[C]. Denver,Colorado,2000. 171-184.

[4]BLUM A,SONG D,VENKATARAMAN S. Detection of interactive stepping stones: algorithms and confidence bounds[A]. Proc of the 7th International Symposium on Recent Advances in Intrusion Detection[C]. Sophia Antipolis,France,2004. 258-277.

[5]HE T,TONG L. Detecting encrypted stepping stone connections[J].IEEE Transactions on Signal Processing,2007,55(4): 1612-1623.

[6]ROBERT S,JIE C,PING J,et al. A survey of research in stepping-stone detection[J]. International Journal of Electronic Commerce Studies,2011,2(2):103-126.

[7]DINGLEDINE R,MATHEWSON N,SYVERSON P. Tor: the second-generation onion router[A]. Proc of the 13th USENIX Security Symposium[C]. San Diego,USA,2004. 303-320.

[8]REITER MK,RUBIN A D. Anonymous Web transactions with crowds[J]. Communications of the ACM,1999,42(2): 32-38.

[9]FREEDMAN M J,MORRIS R. Tarzan: a peer-to-peer anonymizing network layer[A]. Proc of the 9th ACM Conference on Computer and Communications Security[C]. Washington DC,USA,2002. 193-206.

[10]PASSERINI E,PALEARI R,MARTIGNONI L,et al. FluXOR: detecting and monitoring fast-flux service networks[A]. Proc. of the 5th Detection of Intrusions and Malware,and Vulnerability Assessment[C].Paris,France,2008. 186-206.

[11]江健，諸葛建偉，段海新等.僵尸網絡機理與防御技術[J].軟件學報，2012,23(1):82-96.JIANG J ,ZHUGE J W,DUAN H X,et al. Research on botnet mechanisms and defenses[J]. Journal of Software,2012,23(1):82-96.

[12]HOLZ T,GORECKI C,RIECK K,et al. Measuring and detecting fast-flux service networks[A]. Proc of the 15th Network and Distributed System Security Symposium (NDSS’08)[C]. San Diego,USA,2008.

[13]YODA K,ETOH H. Finding a connection chain for tracing intruders[A]. Proc of the 6th European Symposium on Research in Computer Security[C]. Toulouse,France,2000.191-205.

[14]ZHU Y,FU X W,GRAHAM B,et al. On flow correlation attacks and countermeasures in mix networks[A]. Proc of 2004 Privacy Enhancing Technologies(PET'04)[C]. Toronto,Canada,2004. 207-225.

[15]DONOHO D L,FLESIA A G,SHANKAR U,et al. Multiscale stepping-stone detection: detecting pairs of jittered interactive streams by exploiting maximum tolerable delay[A]. Proc of the 5th International Symposium on Recent Advances in Intrusion Detection[C]. Zurich,Switzerland,2002. 17-35.

[16]WANG X,REEVES D ,WU S F. Inter-packet delay based correlation for tracing encrypted connections through stepping stones[A]. Proc of the 7th European Symposium on Research in Computer Security[C].Zurich,Switzerland,2002 . 244-263.

[17]COX J,MILLER L ,BLOOM J ,et al. Digital watermarking[M]. San Francisco:Morgan-Kaufmann,2001.

[18]程光，龔儉. 互聯(lián)網流測量[M]. 南京:東南大學出版社，2008.CHENG G,GONG J. Internet Flow Measurement[M]. Nanjing:Southeast University Press,2008.

[19]HOUMANSADR A,KIYAVASHY N,BORISOV N. Rainbow: a robust and invisible non-blind watermark for network flows[A]. Proc of the 16th Network and Distributed System Security Symposium(NDSS’09)[C]. San Diego,USA,2009.

[20]PARK Y H ,REEVES D S. Adaptive watermarking against deliberate random delay for attack attribution through stepping stones[A]. Proc of the 9th International Conference on Information and Communications Security[C]. Zhengzhou,China,2007.

[21]YU W,FU X W,GRAHAM S,et al. DSSS-based flow marking technique for invisible traceback[A]. Proc of the 2007 IEEE Symposium on Security and Privacy[C]. Oakland,USA ,2007.18-32.

[22]傅翀，錢偉中，趙明淵等. 匿名通信系統(tǒng)時間攻擊的時延規(guī)范化防御方法[J].東南大學學報(自然科學版)，2009,39(4):738-741.FU C,QIAN W Z,ZHAO M Y,et al. Delay normalization method of defending against timing-based attacks on anonymous communication systems[J]. Journal of Southeast University (Natural Science Edition),2009,39(4):738-741.

[23]RAMSBROCK D,WANG X Y,JIANG X Z. A first step towards live botmaster traceback[A]. Proc of the 11th International Symposium on Recent Advances in Intrusion Detection[C]. Cambridge,USA,2008.59-77.

[24]王小剛. 基于網絡流水印的入侵追蹤技術研究[D].南京:東南大學，2012.WANG X G. Research on Intrusion Traceback Exploiting Network Flow Watermarking[D]. Nanjing: Southeast University,2012.

[25]WANG X Y,REEVES D S ,WU S F，et al. Sleepy watermark tracing:an active network-based intrusion response framework[A]. Proc of the IFIP TC1116th Annual Working Conference on Information Security:Trusted Information: the New Decade Challenge[C]. Paris,France,2001. 369-384.

[26]ZHAO Q J ,LU H T. A PCA-based watermarking scheme for tamper-proof of Web pages[J]. Pattern Recognition,2005,38(8):1321-1323.

[27]HUANG H J,WANG Y J,XIE L L,et al. An active anti-phishing solution based on semi-fragile watermark[J]. Information Technology Journal,2013,12(1):198-203.

[28]HUANG J W,PAN X,FU X W,et al. Long PN code based DSSS watermarking[A]. Proc of the IEEE INFOCOM 2011[C]. Shanghai,China,2011. 2426-2434.

[29]FU X W,ZHU Y ,GRAHAM B,et al. On flow marking attacks in wireless anonymous communication networks[A]. Proc of the 25th IEEE International Conference on Distributed Computing Systems(ICDCS'05)[C]. Columbus,USA ,2005. 493-503.

[30]WANG X Y ,REEVES D S. Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays[A]. Proc of the 10th ACM Conference on Computer And Communications Security[C]. Washington DC,USA,2003. 20-29.

[31]WANG X Y,CHEN S P ,JAJODIA S S. Tracking anonymous peer-to-peer VoIP calls on the internet[A]. Proc of the 12th ACM Conference on Computer And Communications Security[C]. Alexandria,USA ,2005. 81-91.

[32]ZHANG L,LUO J Z ,YANG M. An improved DSSS-based flow marking technique for anonymous communication traceback[A]. Proc of the 2009 Symposia and Workshops on Ubiquitous,Autonomic and Trusted Computing(UIC-ATC'09)[C]. Brisbane,Australia,2009.563-567.

[33]張連成，王振興，徐靜. 一種新的隱形流水印技術[J]. 應用科學學報,2012,30(5):524-530.ZHANG L C,WANG Z X,XU J. A novel invisible and private flow watermarking scheme[J]. Journal of Applied Sciences,2012,30(5):524-530.

[34]WANG X Y,CHEN S P,JAJODIA S S. Network flow watermarking attack on low-latency anonymous communication systems[A]. Proc of the 2007 IEEE Symposium on Security and Privacy[C]. Oakland,USA,2007.116-130.

[35]WANG X G,LUO J Z,YANG M. A double interval centroid-based watermark for network flow traceback[A]. Proc of the 14th International Conference on Computer Supported Cooperative Work in Design[C]. Shanghai,China,2010. 146-151.

[36]LUO J Z,WANG X G,YANG M. An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J]. Journal of Network and Computer Applications,2012,35(1):60-71.

[37]PYUN Y J,PARK Y H,WANG X Y,et al. Tracing traffic through intermediate hosts that repacketize flows[A]. Proc of IEEE INFOCOM 2007[C]. Anchorage,USA,2007. 634-642.

[38]JIA W J,TSO F P,LING Z,et al. Blind detection of spread spectrum flow watermarks[A]. Proc of the IEEE INFOCOM 2009[C]. Rio de Janeiro ,Brazil,2009. 2195-2203.

[39]RTAI T. Real time application interface(RTAI)[EB/OL]. http://www.rtai.org ,2012.08.23 .

[40]張璐，羅軍舟，楊明. 基于正交流量特征的多維流水印技術[A].2010年全國通信安全學術會議論文集[C]. 昆明，中國，2010.243-248.ZHANG L,LUO J Z,YANG M. Orthogonal flow characteristics based multi-dimensional flow watermarking technique[A]. Proc of the 2010 China Communication Security Symposium[C]. Kunming,China,2010. 243-248.

[41]KIYAVASH N,HOUMANSADR A ,BORISOV N. Multi-flow attacks against network flow watermarking schemes[A]. Proc of the 17th conference on USENIX Security Symposium[C]. San Jose,USA,2008.307-320.

[42]HOUMANSADR A ,BORISOV N. SWIRL: a scalable watermark to detect correlated network flows[A]. Proc of the 18th Network and Distributed System Security Symposium 2011[C]. San Diego,USA,2011.

[43]EVANS N S,DINGLEDINE R,GROTHOFF C. A practical congestion attack on Tor using long paths[A]. Proc of the 18th Conference on USENIX Security Symposium[C]. Montreal,Canada,2009. 33-50.

[44]LIN Z ,HOPPER N. New attacks on timing-based network flow watermarks[A]. Proc of the 21th Conference on USENIX Security Symposium[C]. Bellevue,USA,2012. 1-16.

[45]張連成，王振興，徐靜. 一種基于包序重排的流水印技術[J].軟件學報，2011,22(2):17-26.ZHANG L C,WANG Z X,XU J. Flow watermarking scheme based on packet reordering[J]. Journal of Software,2011,22(2):17-26.

[46]ANGRISANI L,CAPRIGLIONE D,FERRIGNO L,et al. Packet jitter measurement in communication networks: a sensitivity analysis[A].Proc of the IEEE International Workshop on Measurement and Networking 2011[C]. Anacapri,Italy,2011. 146-151.

[47]BREGNI S,BARUFFALDI A,PATTAVINA A. Active measurement and time-domain characterization of IP packet jitter[A]. Proc of the IEEE Latin-American Conference on Communications 2009[C]. Medellin,Columbia,2009. 1-6.

[48]ALLMAN M ,PAXSON V. TCP congestion control[EB/OL].http://tools.ietf.org/html/rfc5681,2009.

[49]POSTEL J. Transmission control Protocol[EB/OL]. http://www.ietf.org/rfc/rfc793.txt,1981.

[50]PENG P,NING P,REEVES D S. On the secrecy of timing-based active watermarking trace-back techniques[A]. Proc of the 2006 IEEE Symposium on Security and Privacy[C]. Oakland,USA,2006.334-349.

[51]WANG X G ,LUO J Z,YANG M. An efficient sequential watermark detection model for tracing network attack flows[A]. Proc of the 16th IEEE International Conference on Computer Supported Cooperative Work in Design[C]. Wuhan,China,2012. 236-243.

[52]LUO X P,ZHANG J J,PERDISCI R ,et al. On the secrecy of spread-spectrum flow watermarks[A]. Proc of the European Symposium on Research in Computer Security 2010[C]. Athens,Greece,2010. 232-248.

[53]LUO X P,ZHOU P,ZHANG J J,et al. Exposing invisible timing-based traffic watermarks with BACKLIT[A]. Proc of the 27th Annual Computer Security Applications Conference[C]. Orlando,USA,2011.197-206.

[54]PENG P,NING P,REEVE D S ,et al. Active timing-based correlation of perturbed traffic flows with chaff packets[A]. Proc of the 25th International Conference on Distributed Computing Systems Workshops[C]. Columbus,USA,2005.107-113.

[55]WANG,X G,YANG M,LUO J Z. A novel sequential watermark detection model for efficient traceback of secret network attack flows[J].Journal of Network and Computer Applications,2013,36(6): 1660-1670.

[56]ZHANG L C,WANG Z X ,WANG Q L ,et al. MSAC and multi-flow attacks resistant spread spectrum watermarks for network flows[A].Proc of the 2nd IEEE International Conference on Information and Financial Engineering[C]. Chongqing,China,2010. 438-441.

[57]HOUMANSADR A,KIYAVASH N,BORISOV N. Multi-flow attack resistant watermarks for network flows[A]. Proc of the 2009 IEEE International Conference on Acoustics,Speech and Signal Processing[C].Taipei,China,2009. 1497-1500.

[58]GONG X,RODRIGUES M,KIYAVASH N. Invisible flow watermarks for channels with dependent substitution,deletion,and bursty insertion errors[EB/OL]. http://arxiv.org/pdf/1302.5734v1.pdf,2013.

[59]樊昌信，曹麗娜.通信原理（第6版）[M].北京:國防工業(yè)出版社，2006.FAN C X ,CAO L N. Communication Principles(6th Edition)[M].Beijing: National Defence Industry Press,2006.

[60]BALDINI A,DE C L ,RISSO F. Increasing performances of TCP data transfers through multiple parallel connections[A]. Proc of the 2009 IEEE Symposium on Computers and Communications[C]. Sousse,Tunisia,2009. 630-636.

[61]IHM S,PAI V S. Towards understanding modern web traffic[A]. Proc of the 2011 ACM SIGCOMM on Internet Measurement Conference(IMC’11)[C]. Berlin,Germany,2011. 295-312.

[62]RAO A ,LEGOUT A,LIM Y S,et al. Network characteristics of video streaming traffic[A]. Proc of the 7th Conference on Emerging Networking Experiments and Technologies(CoNEXT '11)[C]. Tokyo,Japan,2011.

[63]XI B W,CHEN H,CLEVELAND W S,et al. Statistical analysis and modeling of Internet VoIP traffic for network engineering[J]. Electronic Journal of Statistics,2010,4:58-116.

[64]RATTI S,HARIRI B,SHIRMOHAMMADI S. A survey of First-Person shooter gaming traffic on the Internet[J]. IEEE Internet Computing,2010,14(5):60-69.

[65]ARCHIBALD R,GHOSAL D. A covert timing channel based on Fountain Codes[A]. Proc of the 11th IEEE International Conference on Trust,Security and Privacy in Computing and Communications(TrustCom'12)[C]. Liverpool,UK,2012. 970-977.

[66]ROY S D,LI X,SHOSHAN Y,et al. Hardware implementation of a digital watermarking system for video authentication[J]. IEEE Transactions on Circuits and Systems for Video Technology,2013,23(2):289-301.

[67]HOLUB V,FRIDRICH J. Digital image steganography using universal distortion[A]. Proc of the 1st ACM Workshop on Information Hiding And Multimedia Security[C]. Montpellier,France,2013.59-68.

[68]FATEMEH D ,SAEED M. Watermarking in binary document images using fractal codes[J]. Pattern Recognition Letters,2014,35:120-129.

[69]錢玉文，趙邦信，孔建壽等. 一種基于 Web的可靠網絡隱蔽時間信道的研究[J]. 計算機研究與發(fā)展，2011，48(3): 423-431.QIAN Y W,ZHAO B X,KONG J S,et al. Robust covert timing channel based on web[J]. Journal of Computer Research and Development,2011,48(3): 423-431.

[70]SEBASTIAN Z,GRENVILLE A,PHILIP B. Stealthier inter-packet timing covert channels[A]. Proc of the 10th International IFIP TC 6 Networking Conference[C]. Valencia,Spain,2011.458-470.

[71]FURON T,BAS P. A new measure of watermarking security applied on QIM[A]. Proc of 14th International Conference on Information Hiding(IH'12)[C]. Berkeley,USA,2012. 207-223.

[72]WIKIPEDIA. Trusted computer system evaluation criteria (TCSEC)[EB/OL].http://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria,2013.

[73]MOHAN D,JUSTIN S,RENATA T,et al. Fathom: a browser-based network measurement platform[A]. Proc of the 2012 ACM conference on Internet Measurement Conference(IMC'12)[C]. Boston,USA,2012.73-86.

[74]SNOEREN A C,PARTRIDGE C,SANCHEZ L A,et al. Single-packet IP traceback[J]. IEEE/ACM Transactions on Networking,2002 ,10(6):721-734.

[75]LIN I H,PENG S H. A probabilistic packet marking scheme with LT code for IP traceback[J]. Journal of Internet Technology,2013,14(2):189-202.

[76]BATES A,MOOD B,PLETCHER J,et al. Detecting co-residency with active traffic analysis techniques[A]. Proc of the 2012 ACM Workshop on Cloud Computing Security Workshop[C]. Raleigh,USA,2012. 1-12.

[77]羅軍舟,吳文甲,楊明. 移動互聯(lián)網：終端、網絡與服務[J].計算機學報,2011,34(11):2029-2051.LUO J Z,WU W J ,YANG M. Mobile Internet: terminal devices,networks and services[J].Chinese Journal of Computers,2011,34(11):2029-2051.

[78]周昌令,錢群,趙伊秋等.校園無線網用戶群體的移動行為聚集分析[J].通信學報，2013,34(Z2):111-116.ZHOU C L,QIAN Q,ZHAO Y Q ,et al. Modularity analysis of users’mobile behavior in campus wireless network[J]. Journal on Communications,2013,34(Z2):111-116.

[79]NDN Testbed[EB/OL]. http://named-data.net/ndn-testbed/,2013-11.

[80]AFANASYEV A,MOISEENKO I,ZHANG L X. NDNSIM: NDN Simulator for NS-3[R]. NDN Technical Report NDN-0005,2012.