杜捷，何永忠，杜曄

基于改進IPD質(zhì)心的Tor網(wǎng)絡(luò)流水印檢測方法 

杜捷，何永忠，杜曄

（北京交通大學(xué)計算機與信息技術(shù)學(xué)院，北京 100044）

Tor是一種為隱藏流量源提供服務(wù)的匿名網(wǎng)絡(luò)機制，但其存在入口流量特征明顯、易被識別的問題。obfs4等網(wǎng)橋協(xié)議為解決此問題應(yīng)運而生，由此帶來的新挑戰(zhàn)尚未攻克，因此，提出一種IPD質(zhì)心方案，利用-means的聚類特性將原方案進行改進，使加入的流水印在obfs4網(wǎng)橋3種模式上均能被高效地檢測出。實驗結(jié)果表明，改進后的算法有更高的檢測率和識別率，且應(yīng)對不同的網(wǎng)絡(luò)環(huán)境有較強的適應(yīng)能力，有利于良好安全網(wǎng)絡(luò)環(huán)境的構(gòu)建。

主動流量分析；網(wǎng)絡(luò)流水印；匿名通信；Tor

1 引言

當(dāng)今網(wǎng)絡(luò)環(huán)境中存在各種各樣的攻擊、非法交易等情況，確認攻擊者、非法交易人員的身份和流量源，對于打擊此類違法行為、維護安全和諧的網(wǎng)絡(luò)環(huán)境有十分重要的意義。毫無疑問，敵手會想方設(shè)法隱藏自身的身份和流量源，如使用假冒的IP地址作為采取攻擊的主機IP地址。而追蹤假冒IP地址之后真正的流量源頭，被稱作IP追蹤（traceback）[1-3]。

目前有眾多可以隱藏身份和流量源的匿名網(wǎng)絡(luò)機制為網(wǎng)絡(luò)攻擊者、非法交易者提供服務(wù)，如Tor（the onion route，洋蔥路由）、I2P、JAP等。作為用戶使用量最大的洋蔥路由，Tor可以十分有效地隱藏它們的身份。Tor是眾多匿名網(wǎng)絡(luò)機制中的一員，因其開源、極易搭建、延遲低和服務(wù)穩(wěn)定的特點，成為當(dāng)前用戶量絕無僅有、受歡迎程度史無前例的一種匿名通信機制[4]。Tor網(wǎng)絡(luò)運用多層路由的手段，使追蹤到源頭——即流量發(fā)送者成為一個難題，因此Tor連接時常會遭受限制。由于其入口流量特征較明顯，極易被識別出來，流向已公開Tor入口節(jié)點IP和端口的流量會被高度重視，其匿名性受到重創(chuàng)。

Tor團隊針對這一不利條件發(fā)布了可插拔傳輸協(xié)議（pluggable protocol），如MEEK、obfs4等，該協(xié)議也被稱作網(wǎng)橋（bridges）。它運用多種傳輸協(xié)議，將連接到Tor入口節(jié)點的流量偽裝成友好的、不引人注目的流量。因此用戶可通過該協(xié)議接入原生Tor網(wǎng)絡(luò)，經(jīng)其混淆再轉(zhuǎn)發(fā)送至Tor入口節(jié)點進行匿名操作。

目前，沒有一種可行的方法來追蹤在obfs4協(xié)議上傳輸流的現(xiàn)狀亟待解決，主要面臨的困難有：1) Tor為了保證匿名性，每10 min更換一次節(jié)點線路，不同的節(jié)點線路由于網(wǎng)絡(luò)延遲和傳輸距離千差萬別，傳輸?shù)乃俾什粫怀刹蛔?，要求算法具有極高的穩(wěn)健性；2) obfs4存在3種模式，各自對于數(shù)據(jù)包大小和時間有著獨特的處理方式，甚至?xí)o規(guī)律地對傳輸?shù)臄?shù)據(jù)包產(chǎn)生延遲以干擾傳統(tǒng)的流水印方案。

針對以上問題，本文提出了一種基于跨包延遲（IPD，inter-packet delay）的流水印方案來追蹤obfs4上的流量，該方案可有效追蹤使用obfs4混淆協(xié)議的Tor流量，并且兼容其提供的3種保護模式。

2 技術(shù)背景

截止到2018年10月，Tor的全球用戶量達到225萬，其中通過網(wǎng)橋訪問的用戶量超過15萬，每秒在Tor上產(chǎn)生的流量約為300 GB，但相較之前統(tǒng)計的數(shù)據(jù)[5]，Tor的中繼節(jié)點和網(wǎng)橋節(jié)點數(shù)量呈現(xiàn)下降趨勢，用戶量的上升、流量的增長導(dǎo)致現(xiàn)存Tor節(jié)點上的環(huán)境更為復(fù)雜。

Tor網(wǎng)絡(luò)實現(xiàn)匿名的核心是重路由技術(shù)，經(jīng)過多層路由轉(zhuǎn)發(fā)，每層路由只知曉上一級節(jié)點，故難以追蹤到流量源頭，加之網(wǎng)橋協(xié)議會將其源頭偽裝成其他數(shù)據(jù)流量，不讓第三方從報文消息內(nèi)容分辨出，問題十分嚴重。針對obfs4上Tor流量的追蹤尚無文獻提及，本文對現(xiàn)有檢測方法進行了調(diào)研，作為主動流量分析方法的代表——流水印方案，相較于被動的流量分析，后者需要建立在長時間流量特征觀察的基礎(chǔ)上，雖然擁有較高的檢測率，但是需要極大的流量長時間分析，以減少巨大的錯誤率、誤報率，因此流水印方案更適用于對obfs4上Tor流量進行追蹤。

流水印方法的核心是將一種水印模式加入流中，使其在傳遞到目的地址之前都是可以被追蹤到。運用在數(shù)據(jù)包時間上的流水印方案主要分為兩類。一類是基于IPD展開的研究。Wang等[1]提出了一種基于IP的方案，該模式使用QIM框架調(diào)制水印以改變IPD的平均值，達到較好的檢測效果。隨后，Wang等[6]在點對點的VoIP流上進行了實驗，在Skype這種較為穩(wěn)定的持續(xù)性流量上，只要增加冗余值到足夠大時，可達到100%的檢測率，該方法具有極強的隱蔽性。另一類基于IP的方案[7]是RAINBOW方法，這種方法具有非盲屬性，在檢測結(jié)果時需要原始的未加入水印的數(shù)據(jù)包。

另一類流水印方案是基于時隙（interval）的，在固定的時間間隔內(nèi)被編碼成一批分組的水印模式同樣可以被檢測出來。Wang等[8]提出了一種基于時間質(zhì)心的攻擊方案，這是首次提出針對匿名系統(tǒng)的攻擊，能在很短的時間內(nèi)（約5 500個包）檢測出水印。還有一個類似的設(shè)計[9]是將水印模式被嵌入數(shù)據(jù)包的時間間隔內(nèi)。基于區(qū)間的方案由于成批量的移動數(shù)據(jù)包，容易被敵手發(fā)現(xiàn)并采取相應(yīng)的對策，如將發(fā)出的數(shù)據(jù)包調(diào)整為一個穩(wěn)定的速率以消除潛在的水印攻擊。

選擇Wang等[6]的方案在obfs4上的Tor流量進行實驗，該方案在其特定的實驗環(huán)境下可達到良好效果，但面對為數(shù)據(jù)包時間提供保護的obfs4協(xié)議，其刻意制造的類似水印的時間間隔會對檢測造成極大干擾，原水印模式無法應(yīng)對，將難以區(qū)分原始流量和加水印流量；此外，該方法建立在概率算法的基礎(chǔ)上，需要極其眾多的數(shù)據(jù)包才能驗證結(jié)果，大量持續(xù)穩(wěn)定的數(shù)據(jù)包在實際網(wǎng)絡(luò)環(huán)境中難以采集。針對以上存在的問題，本文在其基礎(chǔ)上加以改進，得到了良好的檢測結(jié)果。

3 IPD質(zhì)心方案

本文采用基于跨包延遲的算法對obfs4上Tor流量進行研究。在Wang等[6]方案的基礎(chǔ)上采用聚類算法，得到類似時隙的時間質(zhì)心，這里把它叫作IPD質(zhì)心。分析原始數(shù)據(jù)流調(diào)制IPD質(zhì)心達到水印嵌入的目的，從而使其可以被追蹤。

3.1 計算IPD

3.2 計算延遲距離

取一個控制極端值剔除的門限，則定義極端值為

3.3 計算IPD質(zhì)心

算法1

輸出：Cluster center0、1with the number of0、1

1) close two points0、1randomly from(s,)

2) repear

5) if0j<1jthen

6) Put(s,) into0

7) else

8) Put(s,) into1

9) end if

12) unti10、1do not change OR exceed limited times

4 實驗及結(jié)果

實驗在美國德克薩斯州達拉斯市、英國倫敦和日本東京部署了3臺服務(wù)器，其中，東京的服務(wù)器配備了完整的Tor網(wǎng)絡(luò)和obfs4網(wǎng)橋，以作為Tor的入口；倫敦服務(wù)器作為出口節(jié)點；達拉斯市的服務(wù)器作為訪問的目標服務(wù)器。通過連接?xùn)|京服務(wù)器的obfs4網(wǎng)橋進入Tor網(wǎng)絡(luò)，匿名訪問達拉斯市服務(wù)器，每次實驗以連續(xù)的1 000個含有負載的TCP數(shù)據(jù)包作為研究對象，前500個TCP分組無水印，后500個TCP分組加入水印，且水印占比為50%。由于obfs4本身會自發(fā)地額外增加時間間隔，相當(dāng)于增加為“1”位的水印，因此實驗中采用的水印位均為“1”。

為了防止Tor更換線路對實驗造成影響，多次測試并根據(jù)源碼進行分析，得出如下結(jié)論：若當(dāng)前線路能夠正常且良好地工作，10 min內(nèi)新產(chǎn)生的TCP流都被Tor安排使用該線路；一旦線路發(fā)生問題，Tor立即開辟一條新的路由節(jié)點線路。對實驗計時，確保每次實驗均在10 min內(nèi)完成，且保持TCP連接不中斷，實際采集到的數(shù)據(jù)流的出口節(jié)點保持不變，即Tor沒有更換線路。隨后的實驗均以該方式實施。

隨機取出2個數(shù)據(jù)包使取樣率小于“90%”，目的是在使用盡可能多數(shù)據(jù)包的前提下保證取樣的隨機性，此時=500，=226。計算出未加水印的原始實驗數(shù)據(jù)IPD如圖1所示，未加水印的原始延遲距離如圖2所示，IQR的門限值取0.8，進行異常值篩選，篩選后的概率分布如圖3所示。進行-means聚類后，得到的結(jié)果如表1所示。為避免個別聚類結(jié)果有偏差，所示數(shù)據(jù)均為計算100次后取得數(shù)學(xué)期望值，本文后續(xù)所呈現(xiàn)兩種模式的數(shù)據(jù)均為期望值。

圖1 跨包延遲IPD的概率分布函數(shù)

圖2 延遲距離的概率分布函數(shù)

圖3 IQR異常值識別后概率分布函數(shù)

表1 原始數(shù)據(jù)聚類結(jié)果

從兩次聚類的結(jié)果可以明顯看出：加入水印后的遠0端聚類中心1內(nèi)聚集數(shù)，相比原始遠0端聚類中心1發(fā)生了變化，如圖4所示，且占比約等于水印占比。移除水印后，得到的聚類結(jié)果恢復(fù)如表1所示。由此可以得出，該方案注入的水印有較穩(wěn)定的特征，水印加入與否對比明顯，檢測結(jié)果清晰。

表2 加入水印聚類結(jié)果

圖4 加水印前后結(jié)果對比

由于obfs4存在有3種模式，iat-mode可取值有0、1、2，官方聲明后兩種模式會對數(shù)據(jù)包的時間和大小采取進一步處理，以干擾潛在的分析機制檢測出obfs4的流量。下面分別對這3種模式進行實驗，將上下行分組大小和時間進行了統(tǒng)計，得到的結(jié)果如下，圖5是固定大小、持續(xù)發(fā)送的數(shù)據(jù)包上下行統(tǒng)計結(jié)果，圖6是持續(xù)增長大小、持續(xù)發(fā)送的數(shù)據(jù)包上下行統(tǒng)計結(jié)果。

圖5 固定大小、持續(xù)發(fā)送的數(shù)據(jù)包上下行統(tǒng)計

在統(tǒng)計中可以發(fā)現(xiàn)，-=1時，包大小和包速率穩(wěn)定的情況下，可選保護機制不會產(chǎn)生作用，傳輸時間甚至比模式-=0時還短；而當(dāng)保護機制啟動時，可以明顯看出延長了整體的傳輸時間，刻意增加了許多較大的時間間隔以干擾流水印等方式的檢測效果。對兩種模式采用相同的實驗步驟取得的結(jié)果如圖7所示，水印值分別設(shè)置為50 ms和300 ms。實驗結(jié)果表明，本文方案能夠應(yīng)對obfs4上Tor流量的3種不同模式。

圖6 持續(xù)增長大小、持續(xù)發(fā)送的數(shù)據(jù)包上下行統(tǒng)計結(jié)果

圖7 加水印前后聚類中心分布

圖8 原算法加水印前后計算結(jié)果

圖9 3種不同容錯值下的檢測率

5 結(jié)束語

綜上所述，本文方案具有較高的檢測率、識別率和穩(wěn)健性，體現(xiàn)在：定性分析得到的圖像足以判斷加入水印與否，定量分析為其提供了更加準確的結(jié)果判定，檢測率均能達到94%以上；真實復(fù)雜的流量環(huán)境中能夠唯一識別目標流量；水印特征保持穩(wěn)定不會被輕易移除，對obfs4上不同模式的Tor流量都能得到良好的結(jié)果。相比原始方法，采用統(tǒng)計算法聚類代替概率算法，區(qū)分原始流量與加水印流量效果明顯，所使用數(shù)據(jù)包數(shù)量較小，檢測率有了顯著提高，且運行時CPU速度無顯著增加。

由于不同實驗環(huán)境的數(shù)據(jù)流會根據(jù)當(dāng)前情況調(diào)制水印，網(wǎng)絡(luò)的延遲較大對應(yīng)水印值也大，檢測效果會動態(tài)地變化，而IPD質(zhì)心方案采用半盲的方式，先對原始流量進行分析以確定水印大小，從容應(yīng)對各種環(huán)境。無論水印的大小如何選擇，在搭載obfs4的Tor流量上總會出現(xiàn)與加入水印大小相同的延遲距離。不同的obfs4模式也會干擾性地增加額外延遲。本文方案使用=0.8的IQR進行極端值排查，過于異常的間隔時間被剔除，基于-means聚類算法的特性，小幅增加時間間隔對聚類中心的影響甚微，靠近峰值的大量數(shù)據(jù)會使其歐氏距離包含其中，對水印占比造成的影響很小，不足以導(dǎo)致結(jié)果產(chǎn)生決定性誤差。

向bridges@torproject.org發(fā)送電子郵件從而獲取了492個obfs4網(wǎng)橋，其中458個網(wǎng)橋采用的是-=0，34個obfs4網(wǎng)橋采用的是-=1，沒有-=2的情況。鑒于Tor的連接速度相對緩慢，多數(shù)用戶為提高傳輸效率不采用后兩種模式，盡管本文方法在-=0的情況下具有較好的使用效果，但對比后兩種方案的穩(wěn)定性略顯不足，從實際應(yīng)用的角度出發(fā)應(yīng)進一步提高這種模式的算法穩(wěn)定性。

相比原方案，本文方案在水印隱蔽性和水印容量上均存在不足。流水印技術(shù)的隱蔽性和健壯性無法同時滿足，從與當(dāng)前廣泛使用的ANFW技術(shù)進行對比[11]可以看出。Lei等[12]運用最優(yōu)化理論模型證明了這個非此即彼的問題：衡量不可見性的失真函數(shù)，與衡量健壯性的距離函數(shù)在理想條件下相等，均小于一個閾值；該閾值越大，失真越多，不可見性越弱，健壯性則更加頑強；反之依然成立。本文方案水印的嵌入只通過增加時間間隔實施，隱蔽性相對較弱，對于一些針對水印的攻擊不能有效地應(yīng)對，如MFA攻擊[13]，該方法可以尋求水印存在的規(guī)律從而進行抹平或偽造。如何提高隱蔽性是下一步工作的重點。

原方案用對稱中心的位置代表“0”“1”兩種狀態(tài)，可包含的水印容量足，但代價是需要較為持續(xù)穩(wěn)定的數(shù)據(jù)流量。IPD質(zhì)心方案舍棄了水印容量以換取少量數(shù)據(jù)流量的需求，在實際應(yīng)用中對追蹤目標及時采取應(yīng)對措施，比增加多樣化的水印容量、隱藏自身檢測行為更行之有效。

此外，本文方案水印大小的選取依賴正常流量的分析，因此是半盲屬性的，主要適用于針對某一特定的流量進行追蹤。若應(yīng)用于大范圍、多流量的匿名網(wǎng)絡(luò)分析，半盲屬性會成為整個方案的短板。降低對正常流量的依賴也有待未來的研究。

[1] WANG X, REEVES D. Robust correlation of encrypted attack traffic through stepping stones by flow watermarking[J]. IEEE Transactions on Dependable and Secure Computing, 2011, 8(3):434-449.

[2] SNOEREN A. PATRIDGE C, et al. Hash-based IP traceback[C]// Proceedings of ACM SIGCOMM, 2001: 3-14.

[3] GOODRICH M T. Efficient packet marking for large-scale iptraceback[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security (CCS 2002). 2002: 117-126.

[4] 呂博, 廖勇, 謝海永. Tor匿名網(wǎng)絡(luò)攻擊技術(shù)綜述[J]. 中國電子科學(xué)研究院學(xué)報, 2017(1): 14-15.

LV B, LIAO Y, XIE H Y. Survey on attack technologies to Tor anonymous network[J]. Journal of CAEIT, 2017(1): 14-15

[5] 何永忠, 李響, 陳美玲, 等. 基于云流量混淆的Tor匿名通信識別方法[J]. 工程科學(xué)與技術(shù), 2017(2): 121-122.

HE Y Z, LI X, CHEN M L, et al. Identification of Tor anonymous communication with cloud traffic obfuscation[J]. Advanced Engineering Sciences, 2017(2): 121-122.

[6] WANG X, CHEN S, JAJODIA S. Tracking anonymous peer-to-peer VoIP calls on the Internet[C]//ACM Conference on Computer and Communications Security. 2005: 81-91.

[7] HOUMANSADR A, KIYAVASH N, BORISOV N. RAINBOW: a robust and invisible non-blind watermark for network flows[C]// Network and Distributed System Security Symposium, San Diego, 2009.

[8] WANG X, CHEN S, JAJODIA S. Network flow watermarking attack on low-latency anonymous communication systems[C]// IEEE Symposium on Security and Privacy. IEEE Computer Society, 2007: 116-130.

[9] PYUN Y J, PARK Y H, WANG X, et al. Tracing traffic through intermediate hosts that repacketize flows[C]//IEEE International Conference on Computer Communications. 2007: 634-642.

[10] PANCHENKO A, LANZE F, ZINNEN A, et al. Website fingerprinting at internet scale[C]// Network and Distributed System Security Symposium. 2016.

[11] 郭曉軍, 程光, 朱琛剛, 等. 主動網(wǎng)絡(luò)流水印技術(shù)研究進展[J]. 通信學(xué)報, 2014, 35(7): 178-192.

GUO X J, CHENG G, ZHU C G, et al. Progress in research on active network flow watermark[J]. Journal on Communications, 2014, 35(7): 178-192.

[12] LEI C, ZHANG H, LIU Y, et al. Net-flow fingerprint model based on optimization theory[J]. Arabian Journal for Science & Engineering, 2016, 41(8): 3081-3088.

[13] KIYAVASH N, HOUMANSADR A, BORISOV N. Multi-flow attacks against network flow watermarking schemes[C]//Conference on Security Symposium. USENIX Association, 2008: 307-320.

Improved method of Tor network flow watermarks based on IPD interval

DU Jie, HE Yongzhong, DU Ye

School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044, China

Tor is an anonymous network mechanism that provides services for hiding traffic sources, but it has the problem that the entry traffic flows of Tor are clearly identifiable. Bridge protocols such as obfs4 come into being to solve this problem, which brings new challenges that have not yet been overcome. An IPD interval scheme is proposed, which uses the clustering characteristics of-means to improve the original scheme, so that the added flow watermark can be detected efficiently in the three modes of obfs4 bridges. The results of experiments show that the improved algorithm has higher detection rate and recognition rate, and has good adaptability to variable netflow traffic, which is conducive to the construction of a nice secure network environment.

active traffic analysis, network flow watermarks, anonymous communication, Tor

TP391.1

A

10.11959/j.issn.2096?109x.2019041

杜捷（1993? ），男，青海海東人，北京交通大學(xué)碩士生，主要研究方向為網(wǎng)絡(luò)安全、匿名通信。

何永忠（1969? ），男，重慶人，博士，北京交通大學(xué)副教授、碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)安全、計算機安全、密碼協(xié)議。

杜曄（1978? ），男，黑龍江哈爾濱人，博士，北京交通大學(xué)副教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)安全、態(tài)勢感知、軟件可靠性分析與評估。

2018?11?28；

2018?12?26

杜捷，418382002@qq.com

杜捷, 何永忠, 杜曄. 基于改進IPD質(zhì)心的Tor網(wǎng)絡(luò)流水印檢測方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2019, 5(4): 91-98.

DU J, HE Y Z, DU Y. Improved method of Tor network flow watermarks based on IPD interval [J]. Chinese Journal of Network and Information Security, 2019, 5(4): 91-98.