何永忠，陳美玲

(北京交通大學 計算機與信息技術學院，北京 100044)

?

基于協(xié)議的擬態(tài)研究綜述

何永忠，陳美玲

(北京交通大學 計算機與信息技術學院，北京 100044)

在網絡空間安全領域，一個協(xié)議可以把自己偽裝成其他協(xié)議達到避免被發(fā)現(xiàn)或者逃避監(jiān)管的目的.借鑒生物擬態(tài)的機制，提出網絡協(xié)議擬態(tài)系統(tǒng)的技術框架.該框架由協(xié)議擬態(tài)客戶端和網橋兩部分組成，其中協(xié)議擬態(tài)客戶端包括環(huán)境感知、擬態(tài)決策、擬態(tài)實施處理、發(fā)送和接收處理5個部分；網橋分為環(huán)境感知、數(shù)據接收、恢復和發(fā)送4個部分.全面研究和評估已有的幾個具有擬態(tài)特征的協(xié)議，包括SkypeMorgh、StegoTorus、CensorSpoofer及Format-Transforming Encryption系統(tǒng)，從認證機制、擬態(tài)變換和加密技術及流量控制技術等方面進行對比和分析，提出協(xié)議擬態(tài)的基本科學問題供進一步研究.

協(xié)議擬態(tài)；匿名通信；加密認證；流量控制

隨著信息技術的發(fā)展，網絡已經深入到人們生活的各個方面.各種不同的信息服務都通過網絡傳輸，其中既有合法的內容，也有非法的內容，比如利用互聯(lián)網進行的犯罪活動與恐怖主義等.因此，針對網絡通信流量的竊密與反竊密、監(jiān)管與反監(jiān)管成為攻擊與防守的一個主要目標.抗流量竊密分析與規(guī)避監(jiān)管實際上是一種技術的正反兩種應用.

傳統(tǒng)的網絡流量監(jiān)管技術[1]有：IP地址限制、DNS劫持和TCP內容過濾，規(guī)避監(jiān)管技術的發(fā)展使得傳統(tǒng)的監(jiān)管技術已經難以達到可管可控的目標.目前較先進的監(jiān)管系統(tǒng)多是基于正則表達式的深度包內容檢測.基于TCP/IP網絡協(xié)議的集合中，在信息數(shù)據傳輸過程中所使用的段格式、包格式和幀格式的信息很難通過加密等方式來保護流量特征

不被檢測，檢測可以利用深度數(shù)據包載荷檢測(Deep Packet Inspection，DPI)技術、基于傳輸行為模式的流量分類(Blind Classification)技術、基于機器學習(Machine Learning)技術對通信過程中的協(xié)議和流量進行攔截和竊聽，進而獲取了通信過程的重要數(shù)據信息，并對異常流量進行處理，最終達到通信流量可管可控.

針對監(jiān)管，出現(xiàn)了很多規(guī)避監(jiān)管的工具，如Lantern、Tor和Psiphon.這些工具采用匿名和加密兩種方式規(guī)避監(jiān)管[2]，匿名的協(xié)議混淆包含隨機化、隧道和協(xié)議擬態(tài)3種方式.

協(xié)議擬態(tài)旨在混淆目標協(xié)議與源始協(xié)議的流量特征，以此來增加流量被檢測的難度.在生物學上，擬態(tài)指一個物種在進化過程中，獲得與另一種物種相似的外表以欺騙捕獵者，或者是引誘獵物靠近.網絡環(huán)境中的協(xié)議擬態(tài)是指把一種網絡協(xié)議(源協(xié)議)偽裝成另外一種常見的網絡協(xié)議(目標協(xié)議)，使攻擊者難以從海量的正常通信流量中識別出偽裝協(xié)議，以達到保護隱秘通信的目的.

目前開發(fā)的一些具有擬態(tài)性質的系統(tǒng)有SkypeMorgh[3]、StegoTorus[4]、CensorSpoofer[5]和Format-Transforming Encryption[6](FTE)等.SkypeMorph采用協(xié)議擬態(tài)混淆Skype流量技術，StegoTorus使用數(shù)據包破碎后擬態(tài)常用應用協(xié)議，CensorSpoofer應用上下行流量分離技術且下行流量擬態(tài)網頁請求協(xié)議，F(xiàn)TE使用格式轉換加密擬態(tài)正則表達式所描述的應用協(xié)議.但是，這些協(xié)議都是從特定的角度利用了擬態(tài)的某些性質，協(xié)議擬態(tài)的基本理論和框架還未形成，基本機制還需要深入研究.

本文作者提出協(xié)議擬態(tài)技術框架，基于對已有協(xié)議的研究與分析，提出了協(xié)議擬態(tài)關鍵技術和機制，并對上述各種協(xié)議擬態(tài)系統(tǒng)進行評估.

1 攻防模型

不失一般性，本文以擬態(tài)方與反擬態(tài)方作為描述攻擊雙方的術語.定義擬態(tài)方為通過變換協(xié)議以隱藏通信流量的一方，反擬態(tài)方為流量識別與監(jiān)控的一方.反擬態(tài)方對擬態(tài)方常見的對抗方式有：1)地址過濾，包括IP過濾和MAC地址過濾，可采用黑名單、白名單技術；2)DNS劫持，在進行DNS查詢時進行操作；3)協(xié)議類型進行過濾；4)模式過濾，基于明文確定性的模式串匹配過濾；5)深度包檢測：基于動態(tài)流特征的統(tǒng)計分類，包括采用正則表達式進行深度包內容檢測；6)數(shù)據修改和流量注入，主動修改可疑流量，觀察其動態(tài)反應情況以識別特點通信.

上述對抗方法中，前4種方法時間效率較高，能處理大量流量數(shù)據，但是容易被各種技術旁路攻擊，而深度包檢測則較為難于繞開，但是卻比較耗時；數(shù)據修改和注入不僅耗時，而且對網絡正常通信的影響最大，但同時也是能力最強的對抗方式，可發(fā)現(xiàn)深度包檢測難以發(fā)現(xiàn)的特定通信.

在實際對抗環(huán)境中，反擬態(tài)方對網絡基礎設施的控制能力也有不同，從最基本的局域網出入口控制，到部分管理域廣域網骨干節(jié)點的控制，以及對整個互聯(lián)網關鍵節(jié)點的控制能力.顯然，最后一種情況下協(xié)議擬態(tài)方面臨的威脅最大，實施隱秘通信的難度也最大.

2 協(xié)議擬態(tài)系統(tǒng)技術框架

協(xié)議擬態(tài)系統(tǒng)的出發(fā)點是防止用戶請求流量的特征和內容泄密，或者連接被阻斷.協(xié)議擬態(tài)技術作為信息安全領域的新方法，對隱秘通信和網絡監(jiān)控技術的研究具有重要意義.本文作者提出一種協(xié)議擬態(tài)系統(tǒng)技術框架，為協(xié)議擬態(tài)技術的進一步研究提供參考.

2.1 設計目標

為實現(xiàn)協(xié)議隱藏，使反擬態(tài)方認為請求的數(shù)據及通信的內容為正常流量，需做到在現(xiàn)有的反擬態(tài)技術水平上無法明顯區(qū)分協(xié)議擬態(tài)流量和真實流量.協(xié)議擬態(tài)系統(tǒng)的設計需要滿足表1設計目標.

被動不可區(qū)分僅竊聽通信，不主動攻擊.靜態(tài)不可區(qū)分即靜態(tài)特征不可區(qū)分，如特征字符串；動態(tài)不可區(qū)分即動態(tài)流特征，比如包長度的時間序列.

表1 協(xié)議擬態(tài)框架設計目標Tab.1 Performance index of protocol mimicry framework

2.2 總體設計

用戶首先通過客戶端將源協(xié)議擬態(tài)生成目標協(xié)議流量，目標協(xié)議流量即普通網絡中的流量，再通過網橋對擬態(tài)后的協(xié)議進行解析和恢復，交付給最終的訪問目標.協(xié)議擬態(tài)總體框架見圖1.

2.3 客戶端設計

協(xié)議擬態(tài)系統(tǒng)的客戶端包括發(fā)送和接收處理，環(huán)境感知，擬態(tài)決策和擬態(tài)實施處理.擬態(tài)實施處理根據流量的流向進行擬態(tài)實施處理或者反擬態(tài)實施處理.

如圖2所示，要實現(xiàn)協(xié)議擬態(tài)：1)需要對環(huán)境進行感知，提取實際通信協(xié)議流量特征；在獲取環(huán)境特征后再進行擬態(tài)決策，選擇適當?shù)奶卣鬟M行模擬；2)進行擬態(tài)實施，將用戶協(xié)議變換為擬態(tài)協(xié)議，或者將網絡流量進行反擬態(tài)處理；3)擬態(tài)完成后交付發(fā)送模塊進行發(fā)送處理，反擬態(tài)處理后直接交付主機.

在實現(xiàn)擬態(tài)變換時，有以下3種方式.

1)將應用程序交付的源協(xié)議流量進行處理(如破碎)，去除源協(xié)議的部分特征，處理后的數(shù)據包再加密，最后數(shù)據包重構進行擬態(tài)，以目標協(xié)議及其特征矩陣為輸入參數(shù)，輸出數(shù)據流量.

2)為混淆流量也可選擇已有通信服務(如Skype，QQ等)，獲取賬號認證，再利用服務將源協(xié)議進行數(shù)據包重構，并擬態(tài)變換成服務通信的協(xié)議.

3)直接將應用程序交付的源協(xié)議進行加密，對加密之后的數(shù)據包再進行處理，使之具有其他協(xié)議的特征，最后控制流量進行發(fā)送.

2.4 網橋設計

協(xié)議擬態(tài)技術框架中引入網橋的目的是為了對協(xié)議的客戶端實現(xiàn)匿名保護.網橋負責客戶端的目標協(xié)議數(shù)據流進行擬態(tài)逆變換工作，或者接收服務器端的數(shù)據進行擬態(tài)變換.網絡通常部署在反擬態(tài)方控制邊界之外，并且網橋應具有抗阻斷性.網橋必須部署一定數(shù)量的固定服務器，隨著用戶的增加，可以利用用戶部分計算資源使其成為短時間的網橋.管理網橋的目錄服務器對申請加入協(xié)議擬態(tài)網橋的用戶需進行評估，通過評估要求之后，可以將用戶的計算機加入網橋.臨時網橋的地址并不真實對外顯示，目錄服務器會對網橋的地址進行偽裝.

網橋主要是為了實現(xiàn)對目標協(xié)議流量的擬態(tài)變換和中轉，包含4個模塊：環(huán)境感知、數(shù)據接收、數(shù)據擬態(tài)變換與逆變換，以及數(shù)據發(fā)送模塊.網橋環(huán)境感知模塊收集環(huán)境信息，數(shù)據接收模塊接收和緩存網絡交付的目標協(xié)議流量數(shù)據包，處理數(shù)據包的排序、垃圾數(shù)據包和數(shù)據包傳輸錯誤等工作.數(shù)據變換模塊對接收到的數(shù)據進行擬態(tài)逆變換或者擬態(tài)變換.如果從客戶端接收到目標協(xié)議數(shù)據，根據傳輸層攜帶的數(shù)據包信息分離出應用層數(shù)據包，還原成源協(xié)議數(shù)據包，輸出應用層源協(xié)議數(shù)據流，并由數(shù)據發(fā)送模塊發(fā)送.網橋框架見圖3.

2.5 安全分析

本文提出的協(xié)議擬態(tài)技術框架具有較好的安全性，該體系結構可以抵抗現(xiàn)有的多種攻擊，具體分析見表2.

表2 安全分析Tab.2 Security analysis

安全分析一般從攻防兩個角度進行說明，因為攻擊和防御是兩個相輔相成的過程，一方因另一方而增強或者減弱.本節(jié)的安全分析側重6種攻擊類型，分別是IP過濾攻擊、IP阻斷攻擊、深度包檢測攻擊、數(shù)據修改和流量注入攻擊、統(tǒng)計過濾攻擊、限定防火墻應用協(xié)議攻擊、指紋識別攻擊，這些攻擊按照攻擊程度由低到高排序，并針對每種攻擊類型從協(xié)議擬態(tài)總體框架的角度闡述框架設計的應對策略。表2對本文提出的協(xié)議擬態(tài)框架針對不同攻擊類型的應對策略從架構、部署方式、設計理念和交互過程多個過程進行分析和說明.

3 協(xié)議擬態(tài)技術進展

傳統(tǒng)的信息隱藏通信帶寬很低，不適用實時大容量通信.目前支持高速大容量通信的協(xié)議安全隱藏技術分為以下3類.

1)隨機化.隨機模糊處理程序的目的是要隱藏所有應用層靜態(tài)指紋，通常是添加后置的處理程序來隱藏那些與隨機性相異的字節(jié)，如obfsProxy[7].

2)隧道.通過目標協(xié)議隧道數(shù)據，目標協(xié)議一般選擇現(xiàn)有的使用率高的協(xié)議.比如Tor[8]正在使用的meek，其使用前置域技術并且通過https連接Google、Azure或者Amazon.

3)擬態(tài).協(xié)議擬態(tài)變換的原理是讓反擬態(tài)方認為流量是普通協(xié)議產生的，如FTE將密文規(guī)范成反擬態(tài)方允許通過的協(xié)議.StegoTorus,SkyperMorph,CensorSpoofer,Marionette[9]也采用了行為化的隱藏技術產生可以通過反擬態(tài)監(jiān)控的正常協(xié)議流量.其中SkypeMorph，StegoTorus，F(xiàn)TE被應用到Tor.而CensorSpoofer主要被用于反監(jiān)管網頁瀏覽.

3.1 SkypeMorph

SkypeMorph為非公開網橋.Skype[10]視頻通話能夠在一個合理的短時間間隔傳輸一定的數(shù)據量，該方式能夠讓Tor在連接上避免流量使用瓶頸.SkypeMorph主要用于Tor，是Tor的一個可插拔的傳輸插件，Tor流量作為源協(xié)議，Skype為目標協(xié)議，擬態(tài)后的協(xié)議如Skype視頻通話一樣在Tor客戶和Tor網橋之間創(chuàng)建數(shù)據流，使反擬態(tài)方無法區(qū)分.其協(xié)議擬態(tài)原理見圖4.

SkypeMorph以Skype服務為基礎，在終端用戶和網橋之間建立加密通道.客戶端提前獲取網橋的Skype賬號，并與網橋的ID協(xié)商及密鑰交換，完成后，SkypeMorph啟動Skype視頻呼叫網橋，監(jiān)聽UDP端口傳入的消息并響應.

網橋和終端用戶在協(xié)商完成后使用Tor協(xié)議通信，為防止Tor流量被識別，對流量特征進行調整[11].流量調整模擬了正常的Skype視頻通話產生的數(shù)據包大小和時間控制.統(tǒng)計方法主要是包長度和時間屬性，包長度分布通過假設源程序和目標程序的概率分布進行計算，X=[xi,…,xm]T是源程序包長的概率分布，Y=[yi,…,yn]T是目標程序的包長分布，流量模擬的任務就是找到一個矩陣A，使得Y=AX.如下計算公式為

SkypeMorph具有可擴展性，可擬態(tài)任意基于UDP的加密協(xié)議.

3.2 StegoTorus

StegoTorus[11]是Tor的一個傳輸插件，將Tor的回路流量分布在許多短期存活的連接中.其將Tor產生的固定長度的有序的包破碎為變長且無序的包，每一個破碎后的包都可以使用新的加密系統(tǒng)加密，使輸出具有內容不可預測性和包長隨機化，破碎后以HTTP協(xié)議為擬態(tài)對象，破碎后的數(shù)據無序發(fā)送到網橋，網橋按照規(guī)則將包組裝起來，最后交付給Tor網絡，見圖5所示.

如圖6所示，在StegoTorus客戶端破碎后的數(shù)據包采用用了GCM模式的AES算法加密.數(shù)據塊的最小長度32字節(jié)，最大長度217+32字節(jié)，塊的長度大小由StegoTorus的隱寫模塊決定.Tor數(shù)據包在經過破碎后進行的隱寫操作屬于HTTP模塊，HTTP模塊建立在HTTP請求和響應的數(shù)據塊之上，如果客戶端的請求是PDF文檔，那么服務器將會產生PDF源信息.HTTP模塊包含了兩個部分：請求發(fā)生器和響應發(fā)生器.普通的客戶端到服務端都是get或post請求，數(shù)據可以被隱藏在URI域和cookie域.請求發(fā)生器可以產生客戶端請求，響應發(fā)生器是對請求進行響應，HTTP模塊設計的響應體能夠攜帶任何數(shù)據，這些數(shù)據都遵守已知的文件形式.StegoTorus的響應發(fā)生器目前能夠產生3種文件形式：JavaScript、PDF和Flash.

3.3 CensorSpoofer

CensorSpoofer使用IP欺騙的非對稱通信來抗網絡監(jiān)管，實現(xiàn)抗監(jiān)管的網頁瀏覽.采用上行流量與下行流量分離，使用低帶寬的間接通道來發(fā)送上行流量(比如URL)，使用高帶寬的直接通道傳輸下行流量.上行流量通道使用隱藏技術將請求內容編碼在Email內或是即時消息中，下行流量使用IP地址欺騙.地址欺騙是建立在UDP協(xié)議上的，用戶首先需要偽裝與虛擬主機開始合法的通信會話，該虛擬主機屬于監(jiān)管之外的主機，同時也通過低帶寬的間接通道發(fā)送URLs給Spoofer，然后代理將受監(jiān)管的內容注入到下行流量中并發(fā)送給用戶，同時偽裝代理的IP地址，虛擬主機不需要和用戶或者代理有任何交互合作，見圖6所示.

圖6中Spoofer[12]原型包括4部分：SIP消息處理器，RTP/RTCP轉換器，上行消息接收器，預取代理.客戶端實現(xiàn)了客戶端HTTP代理來處理用戶瀏覽器產生的HTTP請求和從RTP通道接收的HTTP響應.

3.4 Format-Transforming Encryption

FTE通過格式轉換加密將密文表達成正則表達式所要求的協(xié)議形式，達到隱藏源協(xié)議的目的.FTE[13]結合了FTE record layer和SOCKS，能夠抵抗深度包檢測系統(tǒng)，能夠隧道任意網絡流量，目前被應用在Tor中.

DPI被用來對包進行分類和監(jiān)管，能鑒別出Tor協(xié)議的頭部和格式.轉換加密FTE是一種新的加密原語，不但具有完全加密技術所具有的優(yōu)勢，還能夠準確控制密文的格式，便可通過DPI監(jiān)管.具體實現(xiàn)見圖7所示.

圖7中，密鑰、明文和正則表達式R作為輸入，最終輸出為確定格式的密文.正則表達式作為輸入會在內部模塊中先轉換成非確定的有窮狀態(tài)自動機(NFA)，再由NFA轉換成確定的有窮狀態(tài)自動機(DFA)，DFA和認證加密模塊的輸出作為Unrank模塊的輸入，最終形成密文.

4 4種協(xié)議擬態(tài)系統(tǒng)評估

本節(jié)對4種協(xié)議擬態(tài)系統(tǒng)的關鍵技術進行分析并對系統(tǒng)進行評估，從認證機制、協(xié)議擬態(tài)、加密技術及流量控制技術4個方面進行對比和分析.

4.1 關鍵技術

4.1.1 認證機制

SkypeMorph客戶端與網橋之間身份認證：Diffie Hellman 密鑰交換，每個對象可以導出4個密鑰：對輸入和輸出流量的加密密鑰，對輸入和輸出流量的消息認證密鑰.CensorSpoofer的用戶首先需注冊一對密鑰，其中編碼密鑰來保持內容的不可見，下行流量擬態(tài)VoIP，加密密鑰使用ZRTP[14]協(xié)商，見表3.

表3 認證技術Tab.3 Authentication techniques

4.1.2 擬態(tài)變換

協(xié)議擬態(tài)變換技術通過偽裝和模仿另一協(xié)議的實現(xiàn)，達到偽裝后的協(xié)議與被模仿協(xié)議間無法輕易被鑒別.不同協(xié)議采用不同擬態(tài)變換方法，見表4.

表4 擬態(tài)變換Tab.4 Mimicry exchange

4.1.3 加密技術

加密技術是最常用的安全保密手段，利用技術手段把重要的數(shù)據變?yōu)閬y碼傳送，到達目的地后再用相同或不同的手段還原.加密包括兩個元素：算法和密鑰.算法是使明文與密鑰結合，產生密文的步驟，密鑰用于對數(shù)據進行編碼和解碼，見表5.

表5 加密技術Tab.5 Encryption techniques

4.1.4 流量控制技術

流量控制是指對網絡流量數(shù)據進行靜態(tài)和動態(tài)的外部特征控制，隱藏某種特征或顯示某種特征[15]，見表6.

4.2 系統(tǒng)評估

SkypeMorph的實現(xiàn)基于Linux操作平臺，Kolmogorov-Smirnov[16]測試顯示包長和包延遲分布與Skype video沒有明顯的統(tǒng)計特性差異，網橋在運行時可以改變自身的IP地址和端口號，且目標協(xié)議可以是任何基于UDP的加密協(xié)議，源協(xié)議可以是任何基于TCP的協(xié)議.

StegoTorus也基于Linux，用戶需同時啟動StegoTorus客戶端和Tor客戶端，StegoTorus客戶端輸出速度快，數(shù)據量大.訪問每一個站點的分類得分AUC(Area Under Curve)都低于Tor，大概在0.75以下，而Tor的得分為0.95(AUC得分為1表示完全識別，得分0.5表示隨機猜想)，StegoTorus在流量混淆方面具有較好的性能.

CensorSpoofer實驗針對wikipedia.org，顯示加載html文件只需6 s，整個頁面的下載需27 s，比Tor消耗的時間長.RTP通道的性能對CensorSpoofer的影響大，增加帶寬可以顯著提高其性能[17].

FteProxy被集成在Tor中，Tor使用該網橋并采用80端口可成功的規(guī)避監(jiān)管.FTE在規(guī)避已有深度包檢測系統(tǒng)時具有很好的性能，如appid[18],l7filter[19],YAF[20]和bro[21]等開源DPI系統(tǒng).FteProxy具有較大靈活性，能夠支持多種目標協(xié)議，但也存在長度固定，連接之間相關度低等可被反擬態(tài)方利用安全弱點[22].

本文2.1節(jié)設計目標表1所列安全性是從系統(tǒng)的一般要求出發(fā)，在具體實現(xiàn)時，以下協(xié)議擬態(tài)系統(tǒng)分別有不同的處理和取舍.在SkypeMorph中，反擬態(tài)方若獲取IP地址和Skype ID，就可阻斷網橋針對該問題SkypeMorph具備改變IP地址的能力.StegoTorus網橋容易受到地址過濾攻擊，針對該問題StegoTorus采用隨機為用戶更新分布服務器地址.CensorSpoofer，反擬態(tài)方可從INVITE消息中知道被呼叫者的SIP ID，為防止反擬態(tài)方發(fā)現(xiàn)SIP ID，用戶不允許呼叫同一個SIP ID.

這幾種協(xié)議擬態(tài)系統(tǒng)的應用場景不同，能夠抵抗的攻擊類型也不同，也具有不同的設計缺陷[23]，如表7所示按照安全特性的強度由低到高排序，分別為CensorSpoofer、StegoTorus、SkypeMorph和FteProxy，CensorSpoofer強度最低達到抗協(xié)議類型攻擊，F(xiàn)teProxy強度最高能達到抗深度包檢測攻擊.

SkypeMorph、StegoTorus、CensorSpoofer和FteProxy共同的安全弱點是均不支持環(huán)境感知，即不能根據環(huán)境的變化而自動改變目標協(xié)議的能力，也不能抵抗流量注入攻擊.

5 基本科學問題

目前，協(xié)議擬態(tài)技術需要研究如下5個基本科學問題：

1)協(xié)議擬態(tài)正反方的博弈論模型問題：協(xié)議擬態(tài)與反擬態(tài)雙方可以看成博弈的對手，基于博弈理論對協(xié)議擬態(tài)攻防進行建模，對深入理解擬態(tài)雙方可以采用的技術與策略的方向和界限具有理論指導意義.

2)協(xié)議擬態(tài)安全性形式化描述問題：對協(xié)議擬態(tài)的安全性給出數(shù)學形式的模型，是嚴格分析協(xié)議擬態(tài)安全性的基礎.

3)協(xié)議擬態(tài)環(huán)境感知問題：由于一般來說擬態(tài)方與反擬態(tài)方在網絡空間中處于的位置不一樣，觀察到的環(huán)境可能就不一樣，因此擬態(tài)方如何獲取全面的環(huán)境信息并對環(huán)境信息進行分析是擬態(tài)安全的一個關鍵問題.

4)協(xié)議擬態(tài)的變遷機制：靜態(tài)的協(xié)議擬態(tài)很難完全避免反擬態(tài)技術攻擊，因此研究如何通過協(xié)議擬態(tài)的動態(tài)變遷來規(guī)避反擬態(tài)技術是協(xié)議擬態(tài)動態(tài)安全的關鍵問題.

5)協(xié)議擬態(tài)的位置隱私機制：位置隱私機制是協(xié)議擬態(tài)安全的一個重要方面，當發(fā)現(xiàn)協(xié)議擬態(tài)通信流量時，對協(xié)議擬態(tài)通信雙方的位置的檢測相對容易，因此研究面對不同能力的反擬態(tài)方時如何實現(xiàn)位置隱私具有較大挑戰(zhàn)性的問題.

協(xié)議擬態(tài)技術對流量特征的混淆和偽裝，使得現(xiàn)有的審計方法無法識別協(xié)議擬態(tài)所產生的流量特征，所以，可能存在不法用戶使用協(xié)議擬態(tài)技術突破現(xiàn)有的網絡訪問控制并獲取非法網絡資源、泄露機密信息、破壞網絡安全環(huán)境等事件.因此，協(xié)議擬態(tài)的流量特征的進一步識別技術對于網絡發(fā)展過程中的安全研究有著重大意義.協(xié)議擬態(tài)流量識別技術的研究，對已有的監(jiān)管檢測系統(tǒng)的改進也具有十分重要的作用.

6 結語

利用協(xié)議擬態(tài)技術規(guī)避監(jiān)管或反竊密是目前學術界的前沿課題.

1)本文作者提出了協(xié)議擬態(tài)系統(tǒng)技術基本型框架，其中客戶端包含了環(huán)境感知、擬態(tài)決策、擬態(tài)實施處理、發(fā)送和接收處理5個部分，以及作為中轉傳輸?shù)木W橋包含環(huán)境感知、數(shù)據接收、變換和發(fā)送4個部分.

2)對現(xiàn)有的協(xié)議擬態(tài)系統(tǒng)深入研究，在認證機制、協(xié)議擬態(tài)、加密技術和流量控制等方面分別進行系統(tǒng)比較和評估.

3)提出擬態(tài)雙方的博弈論模型、安全性形式化描述、擬態(tài)環(huán)境感知、協(xié)議擬態(tài)的變遷機制及位置隱私機制等需要研究的基本科學問題.

[1] Defeat internet censorship: Overview of advanced technologies and products[J]. White Paper, Global Internet Freedom Consortium , 2007,12:1-22.

[2] WUSTROW E,WOLCHOK S,GOLDBERG I,et al. Telex:anticensorship in the network infrastructure[C]. In Proceedings of the 20th USENIX Security Symposium, 2011:30-45.

[3] MOGHADDAM H. SkypeMorph: Protocol obfuscation for tor bridges[C]. In CCS, 2012:92-108.

[4] WEINBERG Z, WANG J, YEGNESWARAN V, et al. StegoTorus : A camou- flage proxy for the tor anonymity system[C]. ACM Conference on Computer and Communications Security, 2012:109-120.

[5] WANG Q, GONG X,NGUYEN G, et al. CensorSpoofer: asymmetric communication using IP spoofing for censorship-resistant web browsing[C]. ACM Conference on Computer and Communications Security, 2012:121-132.

[6] KEVIN D P, SCOTTE C , THOMAS R, et al. Protocol misidentication made easy with format-transforming encryption[C]. ACM Conference on Computer and Communications Security, 2013:61-72.

[7] The bridge of obfsproxy[EB/OL].[2016-03-01].https:// blog.torproject.org/blog/obfsproxy-next-step-censor-ship-arms-race.

[8] SMITS R, JAIN D, PIDCOCK S, et al.BridgeSPA:Improving tor bridges with single packet authoriztion[J]. ACM workshop on Privacy in the Electronic Society,2011:93-102.

[9] DYER K P， COULL S E， SHRIMPTON T. Marionette: a programmable network traffic obfuscation system[C]. Usenix Conference on Security Symposium，2015:367-382.

[10] Skype ban in the UAE could be lifted,as it is purely a licensing matter[EB/OL].[2016-03-01].http://thenextweb. com/me/2012/04/21/skype-ban-in-the- uae-could-be-lifted-as-it-is-purely-a-licensing-matter/.

[11] Stegotorus [EB/OL].[2016-03-01].https://github.com /SRI -CSL/stegotorus.

[12] Source of spoofer [EB/OL]. [2016-03-01].http://spoofer.caida.org/.

[13] Fteproxy official site[EB/OL].[2016-03-01].https://fte proxy.org/.

[14] Zrtp: Media path key agreement for unicast secure rtp[EB/OL].[2016-03-01].http://www.ietf.org/rfc/rfc6189.txt.

[15] WRIGHT C V， COULL S E， MONROSE F.TrafficMorphing:An efficient defense against statistical traffic analysis[J].Proceedings of Network & Distributed Security Symposium,2009:237-250.

[16] NIST/SEMATECH.e-Handbook of statistical methods[EB/OL].[2016-03-01].http://www.itl.nist.gov/div898/handbook/index.htm.

[17] MIT ANA Spoofer project[EB/OL]. [2016-03-01].http://spoofer.csail.mit.edu/.

[18] App_id technology[EB/OL].[2016-03-01].https://www. paloaltonetworks.com/technologies/app-id.

[19] Introduction of l7 filter [EB/OL].[2016-03-01].http: //l7filter.clearfoundation.com/.

[20] INACIO C. Yaf: yet another flowmeter[C]. In Proceedings of the 24th International Conference on Large Installation System Administration, 2010:1-16.

[21] Bro information[EB/OL].[2016-03-01].https://www. bro.org/.

[22] HOUMANSADR A, BRUBAKER C, SHMATIKOV V. The parrot is dead: observing unobservable network communications[J]. Security & Privacy, 2013:65-79.

[23] ALEXIS C, PAUL Q,ALEXANDR C.Detecting FTEproxy[EB/OL].[2016-03-01].https://ensiwiki.ensimag.fr/.

Protocol mimicry technique and its development

HEYongzhong,CHENMeiling

(School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044,China)

In the field of cyberspace security, a protocol can be disguised as another protocol to avoid being detected. Draw on the theory of biological mimicry,the technical framework of network protocol mimicry system is proposed. The framework includes client and bridge. The client contains environment perception, mimicry decision, mimicry implementation process, sending and reception.The bridge contains environment perception, receiving, sending and recovery modules.Then some existing protocol mimicry systems including SkypeMorgh, StegoTorus, CensorSpoofer and Format-Transforming Encryption are comprehensively analyzed and evaluated from the perspective of authentication, imitation, encryption and flow control etc. Finally, the proposed basic scientific problems of protocol mimicry could be used for further research study.

protocol mimicry; anonymous communication; encryption authenticated;traffic control

2016-02-25

國家自然科學基金資助項目(61402035)

何永忠(1969—)，男，重慶人，副教授，博士.研究方向為信息安全.email:yzhhe@bjtu.edu.cn.

TP393.4

A

1673-0291(2016)05-0001-08

10.11860/j.issn.1673-0291.2016.05.001