论文研究-Tor流量伪装技术研究 .pdf

所需积分/C币:25 2019-08-27 21:50:09 355KB .PDF
收藏 收藏
举报

Tor流量伪装技术研究,孟浩,闫茹,随着网络技术的快速发展,在网络中的隐私保护成为人们越来越关注的话题。为了满足用户对个人信息的保护,Tor这种低延迟、可提供匿
山国武获论文在线 流量输入 流量输入 B过期 发送填充流量 开始 流量输入 Gt过期 B G 发送填充流量 流量转发 流量转发 图自适应填充状态转换 等人在论文中提出了一种基于 和提出的 臼适应填充的根据帶宽区分突发状态的令牌链路填充方案 这种方案提供了相对于自适应填充来说更 加复杂的填充方案。其中包括加入控制命令、通知传输开始时间以及填充关闭方式。文章中 对 的有效性和带宽开销进行了硏究,并将其与现有的基于链路填充的防御方案进 行了对比,结果表明, 具有较低的带宽开销成本,并且提供了合理的保护。实验 结果表明, 在引入中等带宽开销的情况下,不会在通信中引入任何延迟,这使得 特别适用于等低延迟通信。此外,文章中还评估了 在真实网终中的 有效性。 等人提出了一种匿名机制,隐减用户在网络上的活动。该机制提供了 合成虚拟流量生成器(),其能够在用户不活动期间使用基于来自实际流量的样本来 合成虚拟流量,并通过自适应填充的方式发送到网络中。生成的流量的统计属性和流量模式 与用户活动期间发送的实际流量非常相似。真实流量和虚拟流量之间的紧密相似性以及在任 何长度的不活动时段产生流量的能力使得攻击者难以区分用户的活动与不活动的时问段特 征。由于发送的流量统计属性没有显著变化,这表明网络活动和用户状态没有变化。因此, 它保护了用户的隐私。论文通过实验表明,从提供匿名和隐藏用户活动的角度来看,论文中 提出的流量生成器优于现有的流量生成器。 等和 等的研究表明,即使是被恒定速率覆盖流量保护的数据包流也容易 受到数据包间时间间隔统计分析的影响。等人提出利用 和 提出的自适应 填充方案生成可交包间闫隔的覆盖流量。 依赖链路填充技术 等人提山了·种基于中继节点的填充方案 ,依赖 链路填充)。该方案利用数据包延迟和虚拟数据包的组合来混淆数据包流中的定时模式。延 迟的管理使用严格的上限来限制管理的延迟的长度,类似地,虚拟数据包的插入使用最小传 输速率。与简单地填充流量相比,在虚拟数据包旁边使用数据包延迟可以更有效地消除计时 从响使网络上的所有流看起来都很相似。 等人提岀的依赖链嵱填充算法根据输入流 的包时序生成发送调度。文章中证明了网络的完全匿名可以通过操纵发送包的时间间隔来实 山国武获论文在线 现,从而使所有的数据流看起来都是相似的。并且作者在文章中指出相对」独立的链路填充 算法,依赖的链路填充算法提供了严柊的时延边界,没有丢包,能够动态适应传入流中的流 量率变化。 等人在论文中提出了一种变体数据包发送间隔链路填充模型()来防范 流量分析攻击。特别是,这种模型适用于速度和延迟要求不高的低速或中速网络。 对匿名网络的节点链路中每个节点的输出数据包进行整形,并使数据包发送间隔成为具有不 同尾部索引的多个重尾分布的混合,并且还利用节点的控制单元动态调整重尾分布,以适应 传入流量的变化。从相同的匿名节点开始的每个链路发送相同人小的分组,并且分组发送 间隔分布是只有不同尾部索引α的多个重尾分布的混合。此外,每个匿名节点都有一个突发 控制单元,可以动态调整缓冲区大小和重尾分布,以适应传入流量的变化。仿貞结果表明, 的工作可以有效抵御流量分析攻山。 固定速率填充技术 鬥定速率填充即填充的流量特征(数据包长度、发送时间、发送地址等信息)是固定的 或者说是预先制定好的,和当前的网络状态、链路状态无关,这种沇量填充机制是最简单 最常用的方案。年来自新加坡国立大学来自等人提出了一种针对关键任务应用程 序的匿名规范流量模式。这种方案的主要思想通过真实流量来进行填充,并保证填充数据包 字节数一致以及发送速率恒定。这种流量模式主要应用于链路层和网终层,并且主要包含三 部分的内容。首先,采用参数协商的方式对网络链路进行安全关联。为了对抗密码分析,这 些参数应该定期协商,如果提供了链路加密,则不需要此协议;其次,流量归一化和匿名化 是该方案的主要部分。它关注的是如何产生互补的流量,并将其与实际流量相结合,使链路 上的流量正常化,并通过加密每个数据包的电址实现匿名;第三,使用缓存管理来提高 流量规范化时加密操作的效率。由」数据包长度的范围是有限的,并且一个数据流中的数据 包具有相同的源和目标地址,因此可以获得较高的缓存命中率。 年等人在论文中评佔了填充单个包的影响,发现这和方案难以隐藏流量定 变中的粗粒度特性或者隐藏页面的总大小和请求页面的时间。 等人模拟了一种名为 的方案验证固定速率填充的策略,该策略使用 固定大小数据包的恒定速率流量。作者通过实验表明过度的带宽开销可以换取适度的安全 性。传输结朿后停止填充的条件对于调整管理费用和安全性之间的权衡至关重要。当页面加 载完成时, 停止。此外 和 都试图优化 的原始设 没有设置最小填充持续时间,而是当传输的字节总数是某个参数的倍数时停止 填充。这种方法将网页分组为匿名集,生成的填充量取决于网页的总大小。考虑到浏 览流量的不对称性,等人还建议独立处理传入和传出流量,使用不同的数据包大小和不 司的填充率。此外,作者还对进行了概述。在 根据页面大小设置匿名分组之 后,他们建议要么填充的乘方,要么填充传输的应用程序数据的乘方。 山国武获论文在线 系统中的流量伪装技术 洋葱路由的岀现,通过防范流量过滤,嗅觉分析等技术,在很长一段时间能够让 的用户在因特网实现匿名交流。( )会对使用他们的上行线路的 端点活动进行记录,一般来说仅用」监测攻击和服务失败。截至到版木为 时, 并没有对所持有和保留的记录进行控制,甚至绝大多数节点运营者均不清楚他 们的的记录政策,或者相关的数据共亨政策。对相关活动的记录一般形式为 或者 流记录。随着技术的不断发展,研究人员从年到 年的调查中发现,利用思科的 可以识别匿名用户 为了防止攻击者通过这种方式监测、分析用户流量,官方从 版本开始引入 的功能来抵抗这种通信流分析攻击,并通过个版本的迭代,来完成部分流 量伪装的功能,版本迭代如图所示。版本 初步提出在网络中加入 的思想。版本 方面添加了一些流量填充功能以抵御基于 的流量分 析攻击,另一方面为未来的流量填充的实现做一些基础性工作。版本,落实 的设计方案。 Padding版本迭代 0.2.9.1- alpha 0.3.1.1- Alpha 3.1.7 初步提出在Tor网络中加入p 添加了一些流量填充功能 adding的思想 抵御基于Netf1ow的流量分 落实 padding的设计方案 析攻击 图 版本达代 客户端和入∏节点都会对所有应用连接维持个计吋器,每次·个非填充包被对端 接收或发送时,终端将会通过 分发方式从到之间抽取个超时值。这个 时间范围取决于一致性参数。如果连接在计时器超时前开始活动了,计时器会重置为 间一个新的随机值,如果连接保持不活动直到计时器超时,一个单独的 将被发送到该连接上,其原理如图所示。通过这和方式,连接填充只会 发生在空闲阶段,并且总会在不活动网络流生存周期结束前传输一个数据报。会使用 进行抽样,在这种方法中,是一个统一的随机变量,范围为到( 则随机变量 有 。当双端均从中产生超时值, 则双向填充数据包发送率为第三个随机变量 通过这种方式,我们保证了超时 范围的中点是填充数据报双向发送期望的均值时间。 山国武获论文在线 AP OR ∈1.5,9.5 T T OR AP □正常流量□填充流量 图伪流量实现塬理 为了允许移动客户端可以减少或者禁用他们的填充开支,客户端可以发送 到中继节点。这个数据元用来告诉中继减缓发送填充数据 元。若客户端选择了填充减少,它会持续发送填充数据元,但在时间间隔为 的范围中抽样,仍然使用 分配方式。填充是单向的,则预计的填充规律取决于 而不是,对于 范围内的取值,可预计在 (也就是秒) 的时间内发送一次填充包。我们将链路可用超时减半(减为 )这会导致客户端 的连接会在其空闲后很快关闭以减少耗费。这两个变化导致了每次用连接的填充 耗费从 减到了,对于连续的使用,最大的耗费从 减少到了 。如果 客户端选择了完全禁用填充,它会发送一个 包来告诉中继 不要进行填充,接下来它将不会发送仼何填充数据包 流量伪装方案缺陷 香农的完美保密原理提供了流量瑱充的理论依据:若能变化原始通信流量,使其符合预 定的统讣特征模式,信道中的流量将失去分析意义。流量填充乂分为链路填充和端到端瑱充 前者工作于数据链路层,可以隐藏信息的内容、源地址和目的地址,但该方法要求所有通信 对之间都要共享加密方法,资源消耗大,会造成较大的延迟,并且难以将资源消耗分派到每 个用户,而有些用户不需要这些保护。后者的L作在传输层或之上,虽然该方法的源地址和 目的地址没有受到保护,但他更遹宜作为安全机制。伪沇量垃圾数据填充技术可以抵抗沇量 收击,但是加大了网络的开销。 在许多匿名通信系统中都有使用伪流量或者类似的机制,例如 等。在 中也使用了伪流量的机制,以保持单个时间片内所有用户都发送相同数量的消息。这 些系统使用伪流量机制都是为了更好的保护用户的匿名性。系统到目前还没有使用伪流 量机制。如果将伪流量的设计架设到网络中,对于客户端用户来说,一方面,伪流量需 要通过洋葱代理( )来产牛,在一定稈度上延缓了用户流量发送的时间;另 方面,因为伪流量需要经过恻络,即使用洋葱代理生成的链路,将流量包通过目的接 收端,并且需要目的接收端的的洋葱代理来鉴别伪流量,进而将伪流量丟弃或做其他的处理, 山国武获论文在线 所以增加了洋葱代理甄别伪流量的负担。对于洋葱路由节点( )来说,由 于伪流量需要通过网络,也即伪流量也需要通过洋葱路由节点,降低了洋葱路由节点的 带宽,从而影响了真实流量的传播速度。对于整个网络来说,网络拥塞一直是网络 的核心问题,因为在网终中传输的基本上都是即时流量,或者说需要及时响应的流量 比如浏览网页等需求,但是山于路由选举算法和受到带宽的影响,使得流量在传输过程 中速度较慢。通过将伪流量架设到网终中,伪流量与真实流量一样,也按照路由选 择算法选出的路径进行传输,势必会占用更多的带宽,从而降低了网终的整体性能。 在当前网络中实现的流量填充的方案中,当确定要发送填充流量的时,k络节 点才会去产生填充流量,并且这种方案中是通过在的 中填充随机宇节来完成流 量填充的,并不依赖」节点转发或发送的用户真实流量。这种设计与实现方案, 方面会加大和网络节点的压力,另外一方面该填充流量并不能完全模拟用户行为的 流量,逻辑上不能亢全伪装用户的流量,属于一种垃圾包的填充方案。并且在当前伪流 量的实现方案仅仅只是把流量发送到入凵节点,并没有进行网络传统的三跳结构。如果 攻击者架设一台入凵节点服务器,通过监控入凵节点的入凵流量与出凵流量,如果出凵流量 大于入凵流量,就可以进行一定的统计分析,进而分析出流量的发送机制 结论 本文对名网络中的流量伪装技术进行了研究和总结,对网络中的流量伪装方案进 行了分析。流量伪装技术在一定程度上抵抗流量分析攻山,但同时也带来了增大网络开销的 问题。如何将伪流量机制引入到网络中,并解决由此带来的网络性能问题将是作者下 步的研究内容。 参考文献 山国武获论文在线

...展开详情
试读 8P 论文研究-Tor流量伪装技术研究 .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    论文研究-Tor流量伪装技术研究 .pdf 25积分/C币 立即下载
    1/8
    论文研究-Tor流量伪装技术研究 .pdf第1页
    论文研究-Tor流量伪装技术研究 .pdf第2页
    论文研究-Tor流量伪装技术研究 .pdf第3页

    试读已结束,剩余5页未读...

    25积分/C币 立即下载 >