本发明专利技术属于网络信息安全技术领域,具体涉及一种网络流量分析对抗方法及装置。基于分割流量的网络流量分析对抗方法,包括:步骤一:数据发送端将接收的原始数据包进行分割及封装,获得若干个子数据包;步骤二:将子数据包发送到中间交换结点,并由中间交换节点转发至数据接收端;步骤三:数据接收端接收所有的子数据包,检查无误后,按照顺序将子数据包恢复为原始数据包,发送至目的地或继续转发。本发明专利技术相比于其他传统的网络流量分析对抗方法,不引入冗余的数据信息,减少了网络带宽开销和延迟。相比于聚合流量的方法,提升了网络中活跃用户少的情况下的保护效果。少的情况下的保护效果。少的情况下的保护效果。
【技术实现步骤摘要】
基于分割流量的网络流量分析对抗方法及装置
[0001]本专利技术属于网络信息安全
,具体涉及一种网络流量分析对抗方法及装置。
技术介绍
[0002]在过去的网络环境中,网络信息疏于加密保护,用户和网站的信息在网络中以明文的形式传递。这样的信息传递方式带来了巨大的数据泄露风险,处于数据传输路径中的MITM(Man In The Middle中间人)可以轻易获取到用户和网站的完整信息。随着网路安全意识的提高,SSL/TLS(安全套接字/传输层安全)的使用率从2014年的26%提高到2018年的70%,越来越多的网站使用https对数据进行加密传输。这类方法使得网络中的数据包内容得到加密,在密码安全的前提下中间人无法通过从中间网络结点获得的网络流量中直接取得数据内容。
[0003]如今的网络环境中,活跃的重要流量几乎都是加密的,但是仍然可以借助机器学习等技术,分析这些加密的流量的其他特征,获得额外的各种信息,这就是网络流量分析技术。
[0004]这一技术应用场景丰富,例如Website Fingerprinting(网页指纹):用户选择使用代理和DNS over https或Tor(洋葱路由)等方法匿名接入网络。这类方法使得网络中数据报的头部地址信息进一步受到混淆,不能简单判断用户访问的目的网站。但是,通过分析这类流量的特征可以非常准确的判断正在访问的网站,即得到了这个网站的指纹(Website Fingerprinting)。除了网站指纹信息,相同的分析策略还可以使用在用户所使用的应用,所使用的设备上,得到应用的指纹,设备型号的指纹,设备操作系统的指纹等等。这一系列的信息可以反映用户本身的行为特征,组合成用户的肖像,进一步威胁用户的隐私信息。
[0005]一般来说,上述的网络流量分析方法是通过分析用户流量的外部特征,包括数据包所使用的网络协议类型,尺寸大小、时间戳、方向等,来推断用户更多的隐私信息。因此,安全设计研究人员一般通过掩盖用户加密流量的这些外部特征来实现隐私保护,具体有以下几种方式:(1)对数据包注入一些冗余信息,改变数据包的尺寸大小;(2)数据包的转发加入等待延迟,影响攻击者收到数据包的时间戳;(3)注入冗余的数据包,影响流量整体的特征;(4)对若干数据包进行聚合操作,将若干数据包打包在一起,影响流量整体的特征。
[0006]上述这些隐私保护方法可以有效的降低流量分析(一般为分类、聚类等目的)的效果,(包括recall, precision, FPR等指标),但是他们仍然存在其他的问题:(1)引入较大的网络开销例如在洋葱路由中,每一个数据包都会通过冗余信息注入得到完全相同的尺寸。一些其他的方法中,引入延迟和冗余数据包显然也会增加带宽和速率开销;
(2)有较大的使用限制例如,有的保护方法虽然可以用较小的开销达到良好的保护效果,但是往往是针对于某种类型的流量分析方法,如针对于使用深度学习方法的分析方法,针对使用近邻算法的分析方法等。另外对于聚合流量的方法,网络中活跃的用户越多时效果越好,因此不能保证活跃用户较少或者只有一个用户时的保护效果和低开销。
技术实现思路
[0007]为了解决现有技术存在的问题,本专利技术提出基于分割流量的网络流量分析对抗方法,旨在掩盖用户的网络流量特以征保护用户信息。该方法在较少活跃用户的情况下也能保证良好的保护效果和较小的网络额外开销,降低对用户体验的影响。另外,用户可以根据使用场景和网络状况设置该方法的配置项,提高保护效果或网络吞吐量。
[0008]本专利技术解决其技术问题采用的技术方案是:基于分割流量的网络流量分析对抗方法,包括:步骤一:数据发送端将接收的原始数据包进行分割及封装,获得若干个子数据包;步骤二:将子数据包发送到中间交换结点,并由中间交换节点转发至数据接收端;步骤三:数据接收端接收所有的子数据包,检查无误后,按照顺序将子数据包恢复为原始数据包,发送至目的地或继续转发。
[0009]作为本专利技术的一种优选方式,对原始数据包进行分割及封装的方法包括:(1)确定分割序列,按照分割序列,将原始数据包分割成若干部分;(2)将上一步分割得到的每一部分数据封装成完整的子数据包。
[0010]进一步地,所述分割序列采用随机数、固定值或者根据原始数据包改变的动态值生成,所述分割序列的第i个元素表示分割后第i部分的长度,所有部分的长度之和等于原始数据包的长度。
[0011]进一步地,所述步骤二中,将得到的子数据包按顺序组成子数据包序列,确定发送序列并发送;所述发送序列中元素从发送端口集合中随机取值,发送端口集合表示所有可用的发送端口号的集合;发送序列的第i个元素表示第i个子数据包在数据发送端的发送端口。
[0012]进一步地,对每一部分数据进行封装的方法包括:使用原始数据包的头部信息及控制信息进行封装,所述控制信息包括:分割的每一部分数据、该部分数据的序号、该部分数据的长度。
[0013]进一步地,第一部分数据的控制信息中还包括分割序列。
[0014]进一步地,子数据包封装的头部信息中还包括标识信息,所述标识信息用于表明该数据包是某原始数据包的子数据包。
[0015]进一步地,所述步骤三具体包括以下步骤:(1)数据接收端使用子数据包的标识信息进行判断,将标识信息相同的子数据包放入相同缓冲中等待重组,并生成接收序列;所述接收序列根据接收到的子数据包中控制信息生成;(2)所有子数据包接收完毕后,检查缓冲中子数据包的完整性和正确性;当确认缓冲中包含了所有正确的子数据包后,按照顺序将所有子数据包的数据部分组合起来,恢复
为原始数据包。
[0016]进一步地,子数据包的完整性和正确性的检查方法为:将接收到的第一个子数据包中数据部分包含的分割序列与接收序列进行对比。
[0017]为了进一步解决本专利技术的技术问题,本专利技术还提供一种基于分割流量的网络流量分析对抗装置,包括:数据发送端:用于将接收的原始数据包按照分割序列进行分割,并将分割后的数据封装成若干子数据包,发送至中间交换节点,由中间交换节点进行转发;所述子数据包使用原始数据包的头部信息及控制信息封装而成,所述控制信息包括:分割的每一部分数据、该部分数据的序号、该部分数据的长度;数据接收端:用于接收所述中间交换节点转发的子数据包,并对接收的子数据包进行检查和重组,恢复成原始数据包,发送至目的地或继续转发。
[0018]本专利技术的基于分割流量的网络流量分析对抗方法及装置,具有以下有益效果:1.本专利技术将数据接收端和数据发送端部署于网络中的交换结点中,且只有少部分边缘交换结点需要部署,整个方案对用户透明,用户端不需要进行额外的安装即可使用,保证了方案的易用性。
[0019]2.本专利技术可以通过简单配置项,灵活平衡网络开销和保护效果,方便用户基于自身需求配置,适应多种网络环境。
[0020]3.本专利技术相比于其他传统的网络流量分析对抗方法,不引入冗余的数据信息,减少了网络带宽开销和延迟。相比于聚合流量的方法,提升了网络中活跃用户少的情况下的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于分割流量的网络流量分析对抗方法,其特征在于,包括:步骤一:数据发送端将接收的原始数据包进行分割及封装,获得若干个子数据包;步骤二:将子数据包发送到中间交换结点,并由中间交换节点转发至数据接收端;步骤三:数据接收端接收所有的子数据包,检查无误后,按照顺序将子数据包恢复为原始数据包,发送至目的地或继续转发。2.根据权利要求1所述的基于分割流量的网络流量分析对抗方法,其特征在于,所述步骤一中,对原始数据包进行分割及封装的方法包括:(1)确定分割序列,按照分割序列,将原始数据包分割成若干部分:(2)将分割得到的每一部分数据封装成完整的子数据包。3.根据权利要求2所述的基于分割流量的网络流量分析对抗方法,其特征在于,所述分割序列采用随机数、固定值或者或根据原始数据包改变的动态值生成,分割序列的第i个元素表示分割后第i部分的长度,所有部分的数据长度之和等于原始数据包的数据长度。4.根据权利要求3所述的基于分割流量的网络流量分析对抗方法,其特征在于,对每一部分数据进行封装的方法包括:使用原始数据包的头部信息及控制信息进行封装,所述控制信息包括:分割的每一部分数据、该部分数据的序号、该部分数据的长度。5.根据权利要求4所述的基于分割流量的网络流量分析对抗方法,其特征在于,第一部分数据的控制信息中还包括分割序列。6.根据权利要求4所述的基于分割流量的网络流量分析对抗方法,其特征在于,子数据包封装的头部信息中还包括标识信息,所述标识信息用于表明该数据包是某原始数据包的子数据包。7.根据权利要求1所述的基于分割流量的网络流量分析...
【专利技术属性】
技术研发人员:郭乐,李松繁,卢卡,
申请(专利权)人:山东大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。