基於主動流量分析的匿名通信追蹤技術研究

針對Internet上匿名通信系統帶來的匿名黑客攻擊、非法音視頻數據傳播等匿名濫用問題，擬採用主動流量分析技術，從通信流、匿名協定和通信內容三個層次展開匿名通信追蹤技術的研究，重點解決其中的準確性、效率和隱秘性問題。通過對匿名通信流量的建模分析，選擇合適的流特徵作為主動流水印的載體，並設計在嫌疑流量的流層次嵌入水印的高效編/解碼算法和流調製/解調方法以確定通信關係。通過對線空間模型的擴展，建立通用的匿名協定分析方法，尋找並利用協定的設計缺陷製造流量波動，達到在協定層次快速追蹤的目的。通過向通信內容中嵌入隱秘流量生成器STG，並分析正常通信流量與嵌入STG後流量波動變化的規律，提出基於統計分析的內容層次的流識別技術。本項目將揭示匿名通信流量形成和變化的規律，設計多層次的匿名通信追蹤技術，並開發實用的追蹤工具軟體，對於安全技術的發展和匿名網路犯罪的防範，具有重要的理論意義和套用價值。

針對Internet上匿名通信系統帶來的匿名黑客攻擊、非法音視頻數據傳播等匿名濫用問題，本項目採用主動流量分析技術，分別從通信流、匿名協定和通信內容三個層次進行了匿名通信追蹤技術的研究。在通信流層，針對SSH 單代理匿名通信系統，提出了基於RTT 統計特性的目標站點分析方法。通過計算目標用戶與遠程WEB站點之間的HTTP Get報文與Response報文間的時延獲得RTT的均值與方差，並採用貝葉斯分類算法進行決策，從而識別出用戶所訪問的WEB站點。針對多代理匿名通信系統，設計了一種新型的流水印追蹤方案。在擴頻流水印模型的基礎上，引入與特定流無關的基於時隙質心的水印載體進行水印的嵌入，可以有效地對匿名濫用進行追蹤，確認網路主體間的通信關係。在匿名協定層，由於Tor封裝的等長信元經過TLS層和IP層的快取和重新封裝，在實際傳輸時報文具有一定的長度分布特徵。基於該特性，提出了一種針對Tor的新型的數包攻擊技術。通過調製出口節點Tor協定層進入TLS層的信元數量，嵌入基於網路層報文大小的隱藏信號，而在入口節點通過檢測相應信號來實現對匿名通信關係的確認。在通信內容層，針對Anonymizer匿名通信系統，提出了LSP報文（Least Significant Packet）的概念，並在此基礎上設計了一種基於報文大小的攻擊方法。通過控制Web站點伺服器的反向代理伺服器，調製其Web流量的報文大小嵌入隱蔽信息，並在Anonymizer客戶端監聽目標用戶的流量，識別該用戶接收的流量中是否被嵌入了隱蔽的信息，從而確定Anonymizer通信雙方的通信關係。蒙特卡洛採樣技術的套用保證了該方法的隱秘性。針對基於Tor的匿名Web訪問，提出了基於隱秘流量生成器STG（Secret Traffic Generator）的匿名Web流量追蹤方法。通過向正常Web通信內容中嵌入不易被用戶察覺卻能引起流量特徵變化的網頁對象，並在入口節點處分析正常通信內容流量與嵌入STG後的流量波動變化的規律，以此實現了對匿名通信的追蹤。通過本項目的研究，分析和揭示了匿名通信流量形成和變化的規律，設計了多層次的匿名通信追蹤技術，並開發了實用的追蹤工具軟體，達到了預期的研究目標。項目組在TON、TC、SuperComputing、FGCS和INFOCOM等國際期刊和會議上錄用和發表論文31篇，申請國家發明專利3項。