基于深度神经网络burst特征分析的网站指纹攻击方法
发布时间:2022-01-08 07:02
以Tor为代表的匿名网络是一种隐匿用户数据传输行为的通信中介网络.不法分子利用匿名网络从事网络犯罪,对网络监管造成了极大的困难.网站指纹攻击技术是破解匿名通信的可行技术,可用于发现基于匿名网络秘密访问敏感网站的内网用户行为,是网络监管的重要手段.神经网络在网站指纹攻击技术上的应用突破了传统方法的性能瓶颈,但现有的研究未充分考虑根据突发流量(burst)特征等Tor流量特征对神经网络结构进行设计,存在网络过于复杂和分析模块冗余导致特征提取和分析不彻底、运行缓慢等问题.在对Tor流量特征进行研究和分析的基础上,设计了轻便的基于一维卷积网络的burst特征提取和分析模块,提出了基于深度神经网络分析burst特征的网站指纹攻击方法.进一步,针对在开放世界场景中仅使用阈值法简单分析指纹向量的不足,设计了基于随机森林算法的指纹向量分析模型.改进后的模型分类准确率达到了99.87%,在缓解概念漂移、绕过网站指纹攻击防御机制、识别Tor隐藏网站、小样本训练模型和运行速度等方面均有优异的性能表现,提高了网站指纹攻击技术应用到真实网络的可实践性.
【文章来源】:计算机研究与发展. 2020,57(04)北大核心EICSCD
【文章页数】:21 页
【部分图文】:
Tor网络原理示意图
网站指纹(WF)攻击是一个本地的、被动地获取用户进出流量、不主动干预流量状态的一种流量窃听攻击.如图2所示,WF攻击的发起者可以是用户与Tor入口节点之间链路上的本地管理员(local administrator)、服务提供商(Internet server provider, ISP)、自治系统(auto-nomous system, AS)或者控制了Tor入口节点的攻击者.网络管理员首先定义需要监控的敏感网站集,通过前期获取用户端近端流量样本和网站标记形成训练数据,完成训练的模型部署在用户端近端的链路上.基于被动监听用户的进出流量判断用户当前是否正在访问被监控网站,以达到网络监管的目的.WF攻击通常基于3种模型假设:
封闭世界场景假设(CW)和开放世界场景假设(OW)是WF攻击技术研究中2个重要的场景验证.DBF模型由DBF-CW和DBF-OW这2个子模型构成,如图3所示.DBF-CW基于深度神经网络对被监控网站的网页流burst特征进行深度分析和学习,输出网页流的指纹向量,若网页流属于被监控网站集,则利用指纹向量可直接得到该被监控流的网站域名CW标记.CW标记为多分类标记,每一类为一个具体的网站域名.以往的研究通常仅训练一个WF模型同时用于2个场景,在OW场景中对模型输出的指纹向量基于阈值判断的方式实现二分类决策.DBF-OW同样是基于DBF-CW输出的指纹向量进行再分析,但放弃了阈值法的使用,而是利用随机森林(RF)算法对被监控网站流和非监控流进行二分类特性学习以构建模型,在OW场景下实现二分类获取流的OW标记,即识别该网页流是否属于被监控网站集,OW是二类标记,即被监控网站标记和非监控网站标记.在模型训练阶段,对于CW场景,DBF-CW与常规WF模型相同,使用被监控网站流的训练数据特征和标记对模型进行训练,即给定训练实例集I和标记集L,基于特征设计提取各实例I (i) (j) 的特征值F (i) (j) ,对初始神经网络NN进行训练.如式(1)所示,mNs是标记为l Ν s (CW) 的被监控网站训练实例数.而在OW场景中,不同于一般WF模型仅需要被监控网站集进行模型训练,DBF还需要非监控网站集数据训练模型.DBF-OW首先依照CW场景训练DBF-CW模型,然后使用DBF-CW输出被监控集和非监控集训练数据的指纹向量,R (i) (j) ←DBF_CW(F (i) (j) ),再基于这些指纹向量和对应的二分类标记训练初始的随机森林模型,如式(2)所示,m′0和m′1分别是标记为l 0 (ΟW) 和l 1 (ΟW) 的训练实例数.
【参考文献】:
期刊论文
[1]匿名通信与暗网研究综述[J]. 罗军舟,杨明,凌振,吴文甲,顾晓丹. 计算机研究与发展. 2019(01)
[2]机器学习在网络空间安全研究中的应用[J]. 张蕾,崔勇,刘静,江勇,吴建平. 计算机学报. 2018(09)
[3]An Active De-anonymizing Attack Against Tor Web Traffic[J]. Ming Yang,Xiaodan Gu,Zhen Ling,Changxin Yin,Junzhou Luo. Tsinghua Science and Technology. 2017(06)
[4]针对SSH匿名流量的网站指纹攻击方法[J]. 顾晓丹,杨明,罗军舟,蒋平. 计算机学报. 2015(04)
本文编号:3576106
【文章来源】:计算机研究与发展. 2020,57(04)北大核心EICSCD
【文章页数】:21 页
【部分图文】:
Tor网络原理示意图
网站指纹(WF)攻击是一个本地的、被动地获取用户进出流量、不主动干预流量状态的一种流量窃听攻击.如图2所示,WF攻击的发起者可以是用户与Tor入口节点之间链路上的本地管理员(local administrator)、服务提供商(Internet server provider, ISP)、自治系统(auto-nomous system, AS)或者控制了Tor入口节点的攻击者.网络管理员首先定义需要监控的敏感网站集,通过前期获取用户端近端流量样本和网站标记形成训练数据,完成训练的模型部署在用户端近端的链路上.基于被动监听用户的进出流量判断用户当前是否正在访问被监控网站,以达到网络监管的目的.WF攻击通常基于3种模型假设:
封闭世界场景假设(CW)和开放世界场景假设(OW)是WF攻击技术研究中2个重要的场景验证.DBF模型由DBF-CW和DBF-OW这2个子模型构成,如图3所示.DBF-CW基于深度神经网络对被监控网站的网页流burst特征进行深度分析和学习,输出网页流的指纹向量,若网页流属于被监控网站集,则利用指纹向量可直接得到该被监控流的网站域名CW标记.CW标记为多分类标记,每一类为一个具体的网站域名.以往的研究通常仅训练一个WF模型同时用于2个场景,在OW场景中对模型输出的指纹向量基于阈值判断的方式实现二分类决策.DBF-OW同样是基于DBF-CW输出的指纹向量进行再分析,但放弃了阈值法的使用,而是利用随机森林(RF)算法对被监控网站流和非监控流进行二分类特性学习以构建模型,在OW场景下实现二分类获取流的OW标记,即识别该网页流是否属于被监控网站集,OW是二类标记,即被监控网站标记和非监控网站标记.在模型训练阶段,对于CW场景,DBF-CW与常规WF模型相同,使用被监控网站流的训练数据特征和标记对模型进行训练,即给定训练实例集I和标记集L,基于特征设计提取各实例I (i) (j) 的特征值F (i) (j) ,对初始神经网络NN进行训练.如式(1)所示,mNs是标记为l Ν s (CW) 的被监控网站训练实例数.而在OW场景中,不同于一般WF模型仅需要被监控网站集进行模型训练,DBF还需要非监控网站集数据训练模型.DBF-OW首先依照CW场景训练DBF-CW模型,然后使用DBF-CW输出被监控集和非监控集训练数据的指纹向量,R (i) (j) ←DBF_CW(F (i) (j) ),再基于这些指纹向量和对应的二分类标记训练初始的随机森林模型,如式(2)所示,m′0和m′1分别是标记为l 0 (ΟW) 和l 1 (ΟW) 的训练实例数.
【参考文献】:
期刊论文
[1]匿名通信与暗网研究综述[J]. 罗军舟,杨明,凌振,吴文甲,顾晓丹. 计算机研究与发展. 2019(01)
[2]机器学习在网络空间安全研究中的应用[J]. 张蕾,崔勇,刘静,江勇,吴建平. 计算机学报. 2018(09)
[3]An Active De-anonymizing Attack Against Tor Web Traffic[J]. Ming Yang,Xiaodan Gu,Zhen Ling,Changxin Yin,Junzhou Luo. Tsinghua Science and Technology. 2017(06)
[4]针对SSH匿名流量的网站指纹攻击方法[J]. 顾晓丹,杨明,罗军舟,蒋平. 计算机学报. 2015(04)
本文编号:3576106
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3576106.html
