一种基于tcp/ip侧信道的匿名网络用户溯源方法
【专利摘要】本发明提出一种基于TCP/IP侧信道的匿名网络用户溯源方法,包括以下步骤:1)在关键节点部署流量监控系统;2)根据匿名网络流量特征对流量监控系统所监控的流量进行筛选获得进入匿名网络的用户流量;通过匿名网络中继节点获得匿名网络流出的流量;3)同时提取进入匿名网络的用户流量和匿名网络流出的流量的TCP/IP协议侧信道信息;4)根据TCP/IP侧信道信息关联匿名网络用户和其访问的服务器,破解其匿名性。可以广泛用于打击利用匿名网络的犯罪。
【专利说明】
一种基于TCP/IP侧信道的匿名网络用户溯源方法
技术领域
[0001] 本发明涉及信息安全领域网络攻击溯源方向,是一种面向匿名网络恶意用户的溯 源方法。
【背景技术】
[0002] 匿名通信技术作为一种主要的隐私增强技术被广泛应用与互联网的各个方面,现 有的匿名通信技术主要是通过多次存储转发(利用Mix网络和洋葱路由技术)、改变消息的 外观((报文延迟、乱序、报文填充等))、并利用Mix网络的刷新机制消除消息间的对应关系, 从而为在线用户提供隐私保护,典型的低时延匿名通信系统包括Tor,JAP,I2P等。
[0003] TOR匿名通信系统的发展得到了美国政府、学术研究机构、以及企业的大力支持, 根据1'01??1'〇」6。1:官方网站统计显示[111:丨口://1]161:1';[。8.1:0印1'0」6。1:.0找/]:截止2014年12 月,Tor网络的路由节点数达到6000左右,桥节点数达到1200左右,用户数也接近250万。此 外,根据Tor Project公布的年度财务报告显示,Tor 2013年度获得了来自美国政府的180 万美元资助,其中一部分来自非盈利研发中心SRI International,而另一部分来自支持民 主和人权的国际非盈利基金Internews Network。此外,Tor Project还直接获得了来自美 国国家科学基金会和美国国务院的资助,两者分别为100325美元和256900美元。
[0004] 然而,TOR等匿名网络独特的匿名性在保护正常用户隐私的同时,也为恐怖分子、 谣言制造者、网络攻击者以及毒品、色情等非法交易提供了便利。卡巴斯基实验室的报告显 示,Tor网络已经成了僵尸网络、恶意软件指令服务器和网络黑市的庇护所,2013年以来,藏 匿于Tor网络的非法服务快速增多,卡巴斯基实验室已经发现了至少有900个非法服务(包 括毒品交易网站siIk road、僵尸网络zombie等)使用Tor网络,动用共计5500个服务中继节 点和1000个出口节点。研究发现,Tor网络中有高达32%的匿名服务涉及到色情和毒品交 易。此外,匿名通信工具常常被用于传递敏感信息、发布谣言等。
[0005] 当前对匿名网络用户溯源主要是基于攻击者同时控制匿名网络的入口节点和出 口节点从而监视互联网用户进入匿名网络入口节点和出口节点,然后利用匿名网络流量的 时间和包大小特征进行关联的方法,尽管该方法具有很高的准确性,但是其需要攻击者能 够同时控制匿名网络的入口和出口节点,近年来,随着匿名网络节点规模的持续增长,单一 攻击者很难完全控制所有的用户的流量经过自己的入口和出口节点,因此,该方法的缺点 越来越明显。
[0006] 为提升匿名网络用户溯源的效率,一种可能的思路是在边界AS和IXP部署流量监 控系统,并利用匿名网络流量的时序特征等关联用户和用户访问的目的地。该方法能够有 效弥补上述方法在用户流量可见性方面的不足,但是现有的方法准确度不高、开销大,因 此,无法直接应用到大规模在线匿名网络数据分析中。
【发明内容】
[0007] 针对匿名网络之上日益严峻的非法服务,网络攻击行为,并针对上述现有溯源方 法的种种不足之处,本发明的目的是提出一种基于TCP/IP侧信道的匿名网络用户溯源方 法,可以广泛用于打击利用匿名网络的犯罪。主要包含三个方面:首先,提出了一种面向骨 干网的匿名网络路由路径共谋方法;在此基础之上提出一种匿名网络流量筛选方法;其次, 提出一种基于TCP侧信道的关联方法,从而对匿名网络用户进行追踪溯源。并且,能够在保 证准确性的如提下提尚追踪溯源的效率。
[0008] 为达上述目的,本发明采取的技术方案是:
[0009] -种基于TCP/IP侧信道的匿名网络用户溯源方法,包括以下步骤:
[0010] 1)在关键节点部署流量监控系统;以监控匿名网络用户进入匿名网络的流量和流 出匿名网络的流量,将匿名网络节点共谋问题转化为匿名网络路径共谋问题,其目的是提 高对流量的可见性,从而更大程度上实现对匿名网络链路的共谋攻击。
[0011] 2)根据匿名网络流量特征对流量监控系统所监控的流量进行筛选获得进入匿名 网络的用户流量;通过匿名网络中继节点获得匿名网络流出的流量;
[0012] 3)同时提取进入匿名网络的用户流量和匿名网络流出的流量的TCP/1P协议侧信 道信息;
[0013] 4)根据TCP/IP侧信道信息关联匿名网络用户和其访问的服务器,破解其匿名性。
[0014] 还包括:根据匿名网络下行方向的流量提取TCP/IP侧信道信息,并以与步骤4)同 样的关联方式关联出匿名网络中的每一个用户和服务器。
[0015]进一步地,所述关键节点为覆盖网络中90 %以上的IP地址的控制节点。
[0016] 进一步地,所述控制节点包括边界自治系统AS及互联网交换中心IXP。
[0017] 进一步地,所述TCP/IP协议侧信道信息包括包大小,TCP序列号、TCP确认字符ACK 序列号以及IPID号。
[0018] 进一步地,所述匿名网络流量特征包括包的大小分布和协议握手特征。
[0019] 进一步地,通过匿名网络中继节点获得匿名网络流出的流量包括:下载匿名网络 中继节点,并提取所有标识为出口的中继节点记为集合S exit;采集所有源〈IP、PORT〉e Sexit 的流量,作为成匿名网络流出的流量。
[0020] 进一步地,提取进入匿名网络的用户流量和匿名网络流出的流量的TCP/IP协议侧 信道信息包括:
[0021] 3-1)对获得进入匿名网络的用户流量通过一个初始时刻To及时间窗口 δ进行细 筛;对于进入匿名网络的用户流量按照开始时间为To,结束时间为Το+δ进行分割;对匿名网 络流出的流量按照开始时间为To,结束时间为Το+δ进行分割;
[0022] 3-2)对于进入匿名网络的用户流量,按照源<IP,P0RT>标识每一个匿名网络用户, 并对每一个用户提取其包序列….=?气之 其中上标m表示用户数,下标η表示包数;对于每一个用户的包序列,分别提取包大小,TCP头 部的序列号、ACK序列字段,以及IP头的ID号,分别记为丨 1' = IsfUf
[0023] 3-3)对于流出匿名网络的流量,按照访问的目的地址<IP,P0RT>标识 每一个匿名网络用户访问的服务器,并对每一个服务器请求的数据包提取其包序列 Iki) jf,·.. .j巧.Fw 以:'·. ·叉巧,其中上标m表不服务器数量, 下标η表示包数;对于每一个服务器请求的包序列,提取TCP/IP协议序列号,ACK序列字段,以及 IPID号以及包大小,分别记为i?⑴=kf,#,…,<)丨,
[0024]进一步地,根据TCP侧信道信息关联匿名网络用户和其访问的服务器,破解其匿名 性包括:对于每一个四元组包序列〈31?、5?01?1',01?、0?01?1'〉,根据斯皮尔曼等级相关系数公 式分别计算S和E中变量之间的依赖性,破解了他们的匿名性。
[0025]进一步地,根据匿名网络下行方向的流量提取TCP/IP侧信道信息,并以与步骤4) 同样的关联方式关联出匿名网络中的每一个用户和服务器包括:根据匿名网络下行方向的 流量提取目的地址到匿名网络的出口节点,匿名网络到用户端的数据包序列以及相应数据 的序列号,ACK序列字段,以及IPID号,根据与步骤4)同样的关联方式关联出每一个用户和 服务器,记为〈SIP、SPORT,DIP、DPORT〉。
[0026]通过采取上述技术方案,本发明能够针对TOR匿名网络等,对匿名网络用户进行追 踪溯源,并且具有较高的准确性和效率,适应匿名网络节点规模的持续增长的现状。
【附图说明】
[0027]图1为本发明一实施例中的TOR匿名网络系统中关键节点部署示意图。
[0028] 图2为各个国家所需控制节点数量图。
[0029] 图3为本发明一实施例中提取的TCP/IP协议侧信道信息中TCP头部的架构示意图。
[0030] 图4为本发明一实施例中提取的TCP/IP协议侧信道信息中IP头部的架构示意图。
[0031] 图5为本发明一实施例中溯源准确性和用户匿名访问某一服务的持续时间的关系 图。
【具体实施方式】
[0032] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整的描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。下面配合所附图对本发明的特征和优点作详细说明。 [0033] 实施例:
[0034]本实施例以TOR匿名网络为例,其他的匿名网络的主要步骤、方法都跟TOR匿名网 络一致,假设在To时刻发现一起利用TOR匿名网络对目标服务的网络攻击事件,需要找到攻 击来源,下面将以此为例介绍具体实施步骤。
[0035] 第一步,流量筛选,本发明的匿名网络流量筛选主要包括以下四个步骤:
[0036] ( - )在关键节点部署流量监控系统、以最大程度实现匿名网络路由路径的共谋。 其策略部署方法为将互联网的网络拓扑抽象为一个相互联通的图,则其中的自治系统AS、 互联网交换中心IXP定义为图的顶点,路由路径定义图的边。因此,可以将流量监控系统的 部署问题建模为一个最小顶点覆盖问题。然后求出最小的顶点(边界AS,IXP)所在的位置, 以便让所有在该组织或者区域内的互联网用户的流量都经过其中一个AS或者IXP,由于关 键节点的部署问题为NP难问题,因此,将最小顶点覆盖问题转化为一种近似覆盖的方法,即 在图上选择"控制节点"(各个国家需要部署的控制节点如下图2所示),以覆盖其中90%以 上的IP地址,控制节点的选择算法可以参考公开的文献。
[0037] (二)利用包的大小分布和协议握手特征对TOR匿名网络流量进行初筛[何高峰,杨 明,罗军舟,张璐.Tor匿名通信流量在线识别方法.软件学报,2013,24(3) :540-556],以便 捕获进入匿名网络的用户流量。
[0038] (三)从TOR官方网站[http: //metrics · torpro ject .org/]下载TOR匿名网络中继 节点,并提取所有标识为出口的节点记为集合Sexit。
[0039] (四)采集所有源<IP、P0RT> G Sexit的流量,作为匿名网络流出的流量。
[0040] 第二步:基于第一步,提取匿名网络的流量的TCP/IP协议侧信道信息(TCP头部和 IP头部见图3,图4),以便为后续用户关联算法提供数据支持。
[0041] 1)首先对采集到的用户流量进行细筛,其方法是选择一个初始时刻To(发现来自 匿名网络攻击的时间),和时间窗口 S(比如1分钟)。其次,将采集到的流量按照时间进行分 害J,对于进入匿名网络的流量按照开始时间为To,结束时间为Το+δ进行分割。对流出匿名网 络的流量按照开始时间为To,结束时间为Το+δ进行分割。
[0042] 2)对于进入匿名网络的流量,按照源<IP,P0RT>标识每一个匿名网络用户,并对每 一个用户提取其包序列,={乂1),#,..乂1)丨,一.1^={4\4,...^:^},其中上 标m表示用户数,下标η表示包数。对于每一个用户的包序列,分别提取TCP头部 的序列号、ACK序列字段,以及IP头的ID号,分别记为义 11 …, Mm). _ LJ - j Ly. r, ,,·*.,. 4? 力 j. Ο.
[0043] 3)其次,对于流出匿名网络的流量,按照访问的目的地址〈IP,P0RT>标 识每一个匿名网络访问的服务器,并对每一个服务器请求的数据包提取其包序列 Γ(ι> =={片*',>^,…#、},其中上表示服务器数量,下 标η表示包数。同样,对于每一个服务器请求的包序列,提取TCP/IP协议序列号,ACK序列字 段,以及 IPID 号,分别记为在⑴=,el11},…,Ei^ = {e[m), eiw\ ..., el;]} 〇
[0044] 第三步:根据TCP侧信道信息关联匿名网络用户和其访问的服务器。其方法是对于 每一个四元组包序列〈3吓、3?01?1',01?、0?01?1'〉,该序列中,31?为源1?,3?01?1'为源端口,01? 为目的IP,DP0RT为目的端口。根据斯皮尔曼等级相关系数公式分别计算S和E两个集合中变 量之间的依赖性;其中,S是前面进入匿名网络的流量特征集合,也就是S (1). . . .S(m),E是前 文所述的流出匿名网络的流量特征集合,即E(1). . . .E(m)。
[0045] 。即对于每一个S(k)es分别跟每一个E(k)eE计算斯皮尔曼等级相关系数,其中斯 皮尔曼等级相关系数公式如下所示:
[0046]
[0047]
[0048]然后判断系数P,如果P大于某个阈值则其具有高相关性,则将〈SIP、SP0RT,DIP、 DPORT〉记为用户〈SIP、SPORT〉,访问了目的地址<DIP、DP0RT>,从而破解了他们的匿名性。例 如,具体地,P的值取值范围为(0,1 ),P值越是接近1说明,用户〈SIP、SPORT〉,和目的地址〈 DIP、DP0RT>的流量越相关,也就越能够说明用户<SIP、SP0RT>访问了目的地址<DIP、DP0RT >,而不是其他目的地。
[0049] 第四步:根据匿名网络下行方向的流量提取其TCP/IP侧信道信息,即提取目的地 址至IjTOR出口节点,TOR网络到用户端的数据包序列,以及相应数据的序列号,ACK序列字段, 以及IPID号,最后根据第三步的关联算法关联出每一个用户和服务器,记为〈SIP、SP0RT, DIP、DP0RT〉。
[0050] 通过采用上述实施例中的溯源方法,溯源准确性和用户使用匿名网络访问某一服 务的持续时间的关系曲线如图5所示,图中展示了 4种真实应用场景,分别为:
[0051] Sl-Cl:某一用户在一段时间内通过匿名网络访问某一个服务器,也就是说,服务 端只被一个客户端访问,客户端只使用Tor访问一个服务端;
[0052] S1-CN;某一用户在一段时间内通过匿名网络同时访问多个服务器,也就是说,月艮 务端只被一个客户端访问,客户端使用Tor访问多个服务端;
[0053] SN-CN:多个用户在一段时间内通过匿名网络同时访问多个服务器,也就是说,月艮 务端被多个客户端访问,客户端使用Tor访问多个服务端;
[0054] SN-Cl:多个用户在一段时间内通过匿名网络访问某一个服务器,也就是说,服务 端被多个客户端访问,客户端只使用Tor访问一个服务端。
[0055]从图中的曲线可以看出,采用本发明实施例中的溯源方法对匿名网络用户进行追 踪溯源,能够以较短的时间开销获得非常高的准确性,具有较高的准确性和效率。并且在多 个用户同时匿名访问多个服务器时仍能保证较高的准确性和效率,尤其适应匿名网络节点 规模的持续增长的情况。
【主权项】
1. 一种基于TCP/IP侧信道的匿名网络用户溯源方法,包括W下步骤: 1) 在关键节点部署流量监控系统; 2) 根据匿名网络流量特征对流量监控系统所监控的流量进行筛选获得进入匿名网络 的用户流量;通过匿名网络中继节点获得匿名网络流出的流量; 3) 同时提取进入匿名网络的用户流量和匿名网络流出的流量的TCP/IP协议侧信道信 息; 4) 根据TCP/IP侧信道信息关联匿名网络用户和其访问的服务器,破解其匿名性。2. 如权利要求1所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,还包 括:根据匿名网络下行方向的流量提取TCP/IP侧信道信息,并W与步骤4)同样的关联方式 关联匿名网络中的每一个用户和服务器。3. 如权利要求1所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,所述 关键节点为覆盖网络中90% W上的IP地址的控制节点。4. 如权利要求3所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,所述 控制节点包括边界自治系统AS及互联网交换中屯、IXP。5. 如权利要求1所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,所述 雌口八?协议侧信道信息包括包大小,TCP序列号、TCP确认字符ACK序列号W及IPID号。6. 如权利要求1所述的基于TCP/IP侧信道的匿名网络用户追踪溯源方法,其特征在于, 所述匿名网络流量特征包括包的大小分布和协议握手特征。7. 如权利要求1所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,通过 匿名网络中继节点获得匿名网络流出的流量包括:下载匿名网络中继节点,并提取所有标 识为出口的中继节点记为集合Sexit;采集所有源<1口、口01?1'〉£56、1*的流量,作为成匿名网络 流出的流量。8. 如权利要求7所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,提取 进入匿名网络的用户流量和匿名网络流出的流量的TCP/IP协议侧信道信息包括: 3-1)对获得进入匿名网络的用户流量通过一个初始时刻To及时间窗口 S进行细筛;对于 进入匿名网络的用户流量按照开始时间为To,结束时间为To+S进行分割;对匿名网络流出的 流量按照开始时间为To,结束时间为To+S进行分割; 3-2)对于进入匿名网络的用户流量,按照源<IP,P0RT>标识每一个匿名网络用户,并对 每一个用户提取其包序列J(I) ={坤),种),...却)},???. z(。)=的。),4。;,...4。'1},其中 上标m表示用户数,下标n表示包数;对于每一个用户的包序列,分别提取包大小,TCP头部的 序列号、ACK序列字段,W及IP头的ID号; 3-3)对于流出匿名网络的流量,按照访问的目的地址< IP ,PORT〉标识每 一个匿名网络用户访问的服务器,并对每一个服务器请求的数据包提取其包序列 护)={片\片、,..八1},….=的。\_7_1。>,...7产},其中上标111表示服务器数量,下 标n表示包数;对于每一个服务器请求的包序列,提取TCP/IP协议序列号,ACK序列字段,W 及IPID号W及包大小。9. 如权利要求8所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,根据 TCP侧信道信息关联匿名网络用户和其访问的服务器,破解其匿名性包括:对于每一个四元 组包序列〈51?、5?0^,01?、0?0抓〉,根据斯皮尔曼等级相关系数公式分别计算进入匿名网 络的流量特征集合和流出匿名网络的流量特征集合中变量之间的依赖性,破解了他们的匿 名性。10.如权利要求9所述的基于TCP/IP侧信道的匿名网络用户溯源方法,其特征在于,根 据匿名网络下行方向的流量提取TCP/IP侧信道信息,并W与步骤4)同样的关联方式关联出 匿名网络中的每一个用户和服务器包括:根据匿名网络下行方向的流量提取目的地址到匿 名网络的出口节点,匿名网络到用户端的数据包序列W及相应数据的序列号,ACK序列字 段,W及IPID号,根据与步骤4)同样的关联方式关联出每一个用户和服务器,记为〈SIP、 SPORT,DIP、DPORT〉。
【文档编号】H04L29/06GK105915505SQ201610195866
【公开日】2016年8月31日
【申请日】2016年3月31日
【发明人】谭庆丰, 时金桥, 王学宾
【申请人】中国科学院信息工程研究所