专利名称:被动模式下的隐藏文件传输服务定位方法
技术领域:
本发明涉及网络安全特别是匿名通信领域,具体来说是ー种匿名通信的监管技术,利用FTP协议的特点对隐藏服务进行定位,以追踪并取缔非法的FTP服务。
背景技术:
首先对本发明中用到的缩写进行定义OP (Onion Proxy):洋葱代理;OR (Onion Router):洋葱路由器;HS (Hidden Service):隐藏服务;HSA (Hidden Service Authority):隐藏服务权威;RP (Rendezvous Point):汇聚点;InP (Introduction Point):服务导入点;AES (Advanced Encryption Standard):高级加密标准;AES-CTR (AES in counter mode) AES 计数器模式;FTP (File Transfer Protocol):文件传输协议;Tor是ー种根据MIX原理设计的基于传输层TCP的匿名通信系统,能够有效地保护网络用户的身份隐私。一个完整的Tor网络由客户端、目录服务器、洋葱路由器以及应用服务器组成。客户端是运行在用户主机上的本地程序,称之为洋葱代理(Onion Proxy, OP),负责为用户构建匿名路径并将数据封装成长度的数据单元(Cell)进行传递;目录服务器主要存储洋葱路由的节点信息,包括节点描述符、公开密钥等;洋葱路由器(Onion Router,OR)负责组成匿名电路对用户数据进行重路由,Tor默认一条匿名路径由3个OR组成,分别为入口节点(Entry Node)、中间节点(Middle Node)和出口节点(Exit Node);应用服务器则提供具体的TCP应用服务,如FTP等。除对普通用户提供匿名服务外,Tor还对网络服务提供者的匿名性进行保护,称之为隐藏服务(Hidden Service, HS),它包括五个组成部分,分别为用户、隐藏服务权威(Hidden Service Authority,HSA)、隐藏服务器、汇聚点(Rendezvous Point, RP)和服务导入点(Introduction Point, InP)。隐藏服务器在服务导入点注册■服务信息,用户从隐藏服务权威获得隐藏秋服务器的服务导入点的信息,而后和汇聚点建立连接,同时通过导入点向隐藏服务器发起请求,服务器建立与汇聚点的匿名信道。这样,用户、汇聚点以及隐藏服务器间将建立一条匿名连接,通过此连接提供服务将不会暴露服务提供者的真实身份与位置。为抵御流量分析攻击,Tor将应用层数据封装成长度相等的数据单元(Cell)进行传输,并且一些控制与管理命令也被填充成同样长度,以提高整个系统的安全性。Tor的数据单元分控制单元(Control Cell)和中继单元(Relay Cell)两种,长度均固定为512字节,分为头部与载荷两部分。其中,头部包含ー个2字节的电路标识(CircID)字段和ー个I字节的命令(CMD)字段,头部在传输过程中不会被加密,因此中继的OR节点都可以查看头部信息。由于不同通信双方的数据单元有可能在同一 TLS连接中进行传输,电路标识用于记录该数据单元所属的匿名电路(Circuit),同一 OP-OR或OR-OR间的匿名电路标识各不相同,OR节点利用电路标识建立路由表并据此对数据单元进行转发。根据命令字段可将数据単元分为控制単元和中继单元,其中控制单元负责传递管理信息,如匿名电路的创建与维护等,由接收到该数据单元的OP或OR节点进行处理;中继单元则负责传递端到端的通信数据,其载荷部分由建立匿名电路过程中协商的对称密钥层层加密,只有出口节点才能完全解密数据获得信息明文。对于中继单元,除标准的头部外,在载荷部分还有ー个额外的头部,用于记录端到端数据的相关信息。整个载荷部分采用AES计数器模式(AES in countermode, AES-CTR)进行加解密,在出ロ节点处将明文数据传递给最終的接收者。
发明内容
本发明的目的是为了克服隐藏服务在保证了服务提供者隐私的同时也给非法服务带来了可乘之机,提出了一种被动模式下的隐藏文件传输服务定位方法,解决了在隐藏FTP服务的定位问题,以对非法FTP服务进行审查和取缔,为网络犯罪的监管提供必要的技术手段。本发明米用的技术方案是一种被动模式下的隐藏文件传输服务定位方法,包括以下步骤I)配置适当数量的洋葱路由器或Bridge节点由于匿名电路的入口节点直接与隐藏服务器(Hidden Server,HS)相连接,因此其能够获得HS的IP地址,若监管者能够控制该入口节点,则可以很方便地完成对隐藏服务的定位。由于Tor的OR节点是志愿提供的,任何人均可配置其运行的Tor软件使其成为OR节点,因此监管者可以利用这ー特性在Tor网络中插入若干受其控制的OR节点。在构建匿名电路吋,Tor采用带宽加权方法选择OR节点,但带宽信息仅由各节点上报而并不进行验证,因此监管者OR节点可谎报其具有Tor所允许的最大带宽50MB/s,从而比正常OR节点获得更大概率被选为构建匿名电路的节点。此外,还可利用Tor的抗阻塞机制,通过提供Bridge的方式完成对匿名电路入口节点的占据。在占据入口节点后,监管者首先假设其前ー跳节点均为隐藏服务器,随后通过以下步骤对其进行验证并排除误报;2)监管者启动Tor客户端并连入Tor网络,利用FTP客户端以特定的方式访问隐藏FTP服务监管者在本地主机上运行Tor客户端并连入Tor网络,配置FTP客户端利用Tor访问隐藏服务。监管者访问隐藏服务的目的除获取其内容外,还要通过特殊的访问方式引发匿名电路中特定的流量波动,以供监管者控制的节点进行检测。Tor将所有的数据封装在Cell中传输,中间节点无法获知其中的具体内容,唯一可利用的便是统计传递Cell的数量。FTP协议有主动和被动两种方式,如图I所不,但由于Tor本质上是ー个传输层的代理,因此不可能按照主动方式打开端口供FTP服务器连接,因此通过Tor访问FTP只能采用被动方式。为在被动下引发可检测的流量特征,本发明设计了以下两种方法 21)在FTP客户端与服务器建立TCP连接后,通过该连接发送一系列命令以进行相应的文件操作,如更改当前目录、建立新目录、删除文件等,可通过命令的数目检测流量。由于Tor中的数据是加密传递的,OR只能通过Cell的数量识别流量,为使不同的命令不被封装在同一个Cell中,发送命令时需留出相应的间隔;22)在首次下载某一文件吋,需利用Tor的OP记录传输该文件所需的Cell数量,当传输完成后再次下载同一文件,并通过检测Cell数量的方式检测流量波动;3)在监管者所控制的洋葱路由器或Bridge上检测特定的流量特征,根据步骤2),所需检测的特征为一定时间窗ロ内传向同一方向的Cell数量,若其个数与发出的命令数量或下载文件的大小相一致(依据不同的访问模式),则可判定检测到特定流量,记录下相应的IP地址和时间;
4)多次重复步骤2)和3),将检测到特定流量特征的时间与访问隐藏FTP服务的时间进行关联,可供选择的关联參数包括相关性系数等;5)对于关联结果大于设定阈值的对象,判断其是否为洋葱路由器或Bridge节点,若都不符合,则可判定其为隐藏服务器由于整个隐藏服务的匿名电路中的所有节点的流量特征相同,因此需确定检测到特定流量的节点的准确位置。由于Tor的电路长度默认为3跳,因此若检测到相关流量的OR直接与汇聚点(Rendezvous Point, RP)相连,则可判定其为出ロ节点,前一跳不可能是隐藏服务器,此时需切断匿名电路,并在隐藏服务器重新建立电路后继续检测;否则,查看目录服务器以判断当前OR节点的前一跳节点是否为公开的OR节点,若不是,则建立一个ー跳的电路连接前ー跳节点,若不能连上,则其为隐藏服务器。有益效果本发明利用FTP协议的特点,通过制造可识别的流量波动并进行检测,实现了在被动模式下对隐藏FTP服务的定位,为非法服务的监管提供了必要的技术手段。
图I为本发明所述的FTP协议两种方式的对比图。
具体实施例方式下面结合具体实施方式
对本发明作进ー步说明I.配置适当数量的洋葱路由器或Bridge节点,以占据匿名电路的入口节点由于匿名电路的入口节点直接与隐藏服务器(Hidden Server,HS)相连接,因此其能够获得HS的IP地址,若监管者能够控制该入口节点,则可以很方便地完成对隐藏服务的定位。由于Tor的OR节点是志愿提供的,任何人均可配置其运行的Tor软件使其成为OR节点,因此监管者可以利用这ー特性在Tor网络中插入若干受其控制的OR节点。在构建匿名电路吋,Tor采用带宽加权方法选择OR节点,但带宽信息仅由各节点上报而并不进行验证,因此监管者OR节点可谎报其具有Tor所允许的最大带宽50MB/s,从而比正常OR节点获得更大概率被选为构建匿名电路的节点。此外,还可利用Tor的抗阻塞机制,通过提供Bridge的方式完成对匿名电路入ロ节点的占据。根据相关文献,占据入口节点的概率除与带宽密切相关外,还与监控节点的规模有关,在资源允许的情况下,还可通过增加监控节点的数量占据更多的入口节点。在占据入ロ节点后,监管者首先假设其前一跳节点均为隐藏服务器,随后通过以下步骤对其进行验证;2.访问隐藏服务,生成特定流量并检测关联
a)根据发送的FTP命令数量进行关联(I)建立FTP连接并获取文件列表。在监管者Tor客户端与隐藏服务器建立匿名路径后,为访问FTP,FTP客户端发出TCP连接请求。因此,客户端OP将发送ー个RELAY_BEGIN中继单元,隐藏服务器则返回ー个RELAY_CONNECTED中继单元表示TCP连接建立完成,随后客户端OP通过ー个RELAY_DATA中继单元发送命令获取文件列表。在此过程中,匿名电路上的OR节点不知道中继单元的具体命令,但可检测到向隐藏服务器方向发送了两个中继单元,在两个中继单元之间,相反方向返回了ー个中继单元。(2)发送FTP命令。在获取当前目录列表后,FTP客户端可继续发送命令进行各种文件操作,如切換当前目录、建立新目录、删除文件等,直至发送下载文件的命令。监管者控制发出命令的时间间隔,以使对于每个命令,客户端OP均会向隐藏服务器方向发送ー个单独RELAY_DATA中继单元。监管者记录下发出的命令个数以及发出的具体时间。
(3)检测流量模式。匿名电路上的OR节点无法获知中继单元的具体命令,但可以区分数据单元是中继単元还是命令単元,并且知道数据单元所属的电路标识。如果将“向隐藏服务器发送ー个中继単元一隐藏服务器返回一个中继単元一向隐藏服务器发送ー个中继单元”视为ー个流量特征组件(Characteristic Component),假设获取目录列表后一共发出m个命令,则在整个过程中匿名电路上将产生I个流量特征组件并在其后跟随m个发往隐藏服务器方向的中继单元,直至下载文件时为建立新的TCP连接再次发送ー个特征组件。在监管者访问隐藏服务的过程中,其控制的OR节点记录每条匿名电路上的数据单元,若恰好在这些数据单元中检测到上述m+2模式,则认为检测到访问隐藏服务所产生的特定流量。监管者记录检测到特定流量的时间以及相应匿名电路前一跳节点的IP地址。(4)通信流量关联。监管者重复步骤1-3,通过多次访问隐藏FTP服务并下载文件,分别检测其产生的流量特征。对于记录有相同IP地址的检测结果,计算隐藏服务访问与通信流量波动之间的关联性。本发明采用相关系数(correlation coefficient)表示关
联性,其计算方法为
权利要求
1.一种被动模式下的隐藏文件传输服务定位方法,其特征在于包括以下步骤 1)配置适当数量的洋葱路由器或Bridge节点 由于匿名电路的入口节点直接与隐藏服务器HS相连接,因此其能够获得HS的网络IP地址,监管者控制该入口节点,即很方便地完成对隐藏服务的定位;第二代洋葱路由系统Tor在选择入口节点时根据的是带宽加权算法,即带宽越高的洋葱路由器OR成为匿名电路入口节点的概率越大,监管者配置若干OR节点并上报其所允许的最大带宽50MB/S,则有很大的可能性占据匿名电路的入口节点;此外,还利用Tor的抗阻塞机制,通过提供Bridge的方式完成对匿名电路入口节点的占据; 2)连入Tor网络,利用FTP客户端访问隐藏FTP服务,FTP客户端为生成和记录特定流量采取特殊的访问行为及方式 监管者在本地主机上运行Tor客户端并连入Tor网络,配置FTP客户端利用Tor访问隐藏服务;由于每条FTP命令均需ー个数据单元进行传递,另外所下载的文件大小也不尽相同,因此通过控制发送命令的数目或传递的文件,在隐藏FTP服务器和Tor网络中生成特定的流量; 3)在监管者所控制的洋葱路由器或Bridge上检测特定的流量特征,即FTP命令数目和文件大小,其在匿名电路上形成不同的数据单元数目; 4)将检测到特定流量特征的时间与访问隐藏FTP服务的时间进行关联; 5)对于关联结果大于设定阈值的对象,进行确认工作,判断其是否为洋葱路由器或Bridge节点,若都不符合,则可判定其为隐藏服务器 由于整个隐藏服务的匿名电路中的所有节点的流量特征相同,因此需确定检测到特定流量的节点的准确位置,具体可根据该节点是否与汇聚点RP相连及其前一跳节点是否为公开OR节点或Bridge进行判断。
2.根据权利要求I所述的被动模式下的隐藏文件传输服务定位方法,其特征在于所述步骤2)中,FTP客户端为生成和记录特定流量采取的特殊访问行为及方式 DFTP客户端连接隐藏的FTP服务器,并每隔一定时间发送一条FTP命令,如切換工作目录、显示远程目录文件和子目录列表,通过对命令的发送时间加以控制,以使其分散到不同的数据单元中,以便对其进行检测; 2)Tor客户端记录FTP客户端下载某一文件所需的数据单元Cell数量,在一定时间间隔后重新下载该文件。
3.根据权利要求I所述被动模式下的隐藏文件传输服务定位方法,其特征在于所述步骤3)中,在监管者所控制的洋葱路由器或Bridge上检测特定的流量特征的方法 1)由于FTP客户端每隔一定时间发送ー个FTP命令,每个命令均通过ー个数据单元传递,节点根据转发的指向隐藏服务器方向的数据单元的数量检测特定流量并记录时间; 2)由于下载文件的大小是固定的,节点根据从隐藏服务器端返回数据的数据单元的数量检测是否是下载某文件所产生的特定流量。
4.根据权利要求I所述被动模式下的隐藏文件传输服务定位方法,其特征在于所述步骤5)中,对于关联结果大于设定阈值的对象,进行确认工作,具体方法为若节点与RP相连接,则前ー跳不可能是隐藏服务器,否则,查看Tor的目录服务器,判断前一跳节点是否为公开的OR节点,或建立单跳匿名电路判断前一跳节点是否为Bridge,若均不成立,则前一跳必然为隐藏服务 器。
全文摘要
本发明公开了一种被动模式下的隐藏文件传输服务定位方法,主要解决在被动访问模式下对匿名通信系统Tor所提供的隐藏FTP服务进行定位的问题,以对非法FTP服务进行审查和取缔,为网络犯罪的监管提供必要的技术手段。该方法首先假设占据了可疑匿名电路的入口节点,通过FTP客户端的特殊访问模式,利用FTP协议的特点引发匿名电路中的特定流量特征,然后将访问隐藏服务的时间与检测到特定流量特征的时间进行关联,若关联结果大于设定的阈值且检测到流量特征的节点的前一跳不为Tor的洋葱路由节点,则该节点的前一跳节点为隐藏服务器,从而完成了对隐藏FTP服务的定位。
文档编号H04L29/08GK102664904SQ201210152929
公开日2012年9月12日 申请日期2012年5月16日 优先权日2012年5月16日
发明者何高峰, 刘波, 张璐, 杨明, 罗军舟 申请人:东南大学