今日动态

生物通首页 > 今日动态 > 正文

一种具有强大同步能力的自适应网络流水印技术

时间:2026年2月23日
来源:Computer Networks

编辑推荐:

网络流量水印技术通过主动嵌入源身份信息实现攻击溯源,但现有方法难以适应动态网络环境。本文提出自适应性网络流量水印方法(CMD),采用融合复制、合并和延迟包的调制策略,通过同步头传递自适应参数,结合随机重传行为嵌入水印,在提升抗干扰能力的同时降低2%包丢失率,实验验证检测率达94%且误检率低于2%。

广告
   X   

李腾尧|刘凯月|丁世昌|杨春芳|罗向阳
信息工程大学,郑州,450001,河南,中国

摘要

恶意网络流量通常被封装在加密的数据负载中,并通过多个中间节点转发,这使得检测和追踪变得极其困难。通过主动将源身份信息嵌入网络流量中,网络流量水印技术成为一种可靠的方法,可以连续标记这些流量的来源。然而,当前的方法无法动态适应变化的网络条件和会话流量,导致明显的数据包丢失和时间抖动。为了在水印性能和通信效率之间取得更好的平衡,提出了一种具有强大同步功能的自适应网络流量水印方法。水印的关键参数是根据网络流量速率自适应估计的。利用这些自适应参数,采用复制、合并和延迟数据包等融合行为来建立强大的水印同步机制,从而可靠地传递参数值和水印位的起始位置。为了最小化嵌入的影响,只嵌入占比较高比例的水印位,并且该嵌入过程具有相对于网络流量的自适应重传行为。通过在互联网上进行的实验,所提出的方法实现了94.0%的平均检测率和98.4%的平均检测准确性,同时仅增加了大约2.0%的数据包丢失。

引言

当攻击者在互联网上实施恶意行为时,他们不可避免地会通过尽可能擦除攻击痕迹来隐藏自己。通常,攻击行为的网络流量被伪装成正常的加密流量,并通过多个中间节点传输。这些中间节点用于转发数据包,避免暴露和追踪真实的源身份(例如IP地址、用户账户)。因此,在这种情况下很难感知到是谁以及何时攻击了系统。对于这些伪装后的流量,只能获得最后一个中间节点的身份[1],而无法获取攻击源的任何信息。隐藏在互联网背后的原始攻击者保持了高度的隐蔽性,这对网络防御构成了不确定的潜在威胁[2]。为了检测和识别攻击源,重建攻击行为网络流量之间的关联是至关重要的。
无论是什么类型的攻击流量,数据包都是其基本载体。数据包之间的和数据包内部的特征是标记源身份的可能领域。通过将水印嵌入流量特征序列中,网络流量水印(NFW)被设计为建立真实通信关系的主动方式[3]。依靠这些不可见的水印,攻击者的身份被写入流量特征序列并在传输过程中保持不变。一旦流量到达检测节点,就可以及时检测和提取出身份。与被动的网络流量分析相比,NFW在检测准确性、较低的历史数据需求以及近乎实时的检测能力方面具有优势[4]。因此,NFW被广泛用于追踪攻击者、分析僵尸网络、监控数据泄露等。如图1所示,当A对B发起攻击行为时,从A到B的网络流量需要进行水印处理。来自A的网络流量会在数据包时间、数据包大小或数据包顺序上进行修改,以将源身份嵌入到邻居节点e2或源节点e1中。随后,网络流量可能被中继到中间节点(例如s1s2),这迫使流量分成多个子流量。最终,在通往B的路径上,网络流量在目标d1或邻居节点d2中被监控,并进入检测程序以在线提取源身份。在加密通信的情况下,可以建立A和B之间的关联。对于追踪攻击者而言,嵌入和检测的部署位置分别是e2d2。由于这种场景是非合作性的,e1不受我们控制,d1的位置也不确定。对于分析僵尸网络,嵌入节点部署在e2,该位置足够接近僵尸网络的源节点。检测节点部署在d1,数量有限,用于根据DDoS攻击的特点分析攻击行为。对于监控数据泄露,嵌入节点部署在e1,这些节点包含敏感数据。因为所有节点都受我们控制,所有数据资产都需要保护,所以检测节点部署在d2,通常是内网的边界网关节点。
尽管当前的NFW方法[6]、[7]、[8]、[9]能够在稳定且已知的网络环境中实现具有鲁棒性和隐蔽性的水印,但在面对新的网络条件和不同的应用流量时仍然不实用。一些水印的关键参数依赖于流量特征,而这些参数仅针对当前的网络环境进行了手动优化。水印的静态配置仅适用于已知或相似的网络条件,其中数据包时间、数据包顺序和数据包大小的特征分布处于相同的范围内。然而,一旦网络条件和流量会话发生变化,原始配置就无法立即适应新的环境。如果没有对网络环境进行适应,水印位的偏差和丢失就会出现在水印流量的不确定位置,导致水印效果变得低效甚至无效。同时,当前的NFW方法主要注重鲁棒性,忽视了对通信性能的影响。然而,如果在嵌入过程中插入较长的时间间隔和大量数据包丢失,通信性能会明显下降,甚至可能导致通信中断。尽管通过更多的调制操作可以提高水印的鲁棒性,但也会破坏水印的隐蔽性和可行性。水印调制越多,引入的干扰就越多,从而影响通信性能。
本文提出了一种具有强大同步功能的自适应网络流量水印方法(称为CMD),以使水印更加适应性和实用性。在嵌入过程中,将复制、合并和延迟数据包的混合调制同步嵌入到流量前段,从而对网络噪声具有鲁棒性。同步同时携带水印存在的信息和水印位的起始位置。为了更好地适应环境,不需要与检测方共享额外的参数。水印嵌入的时间窗口参数T是根据网络条件在同步过程中确定的。在随机时间间隔后,通过数据包重传的模仿行为嵌入水印位。为了减轻对通信的影响并提高隐蔽性,数据包重传的时间和次数会根据当前的流量传输速率进行自适应调整。嵌入操作遵循随机分布,以避免水印信息泄露。在检测过程中,即使存在数据包丢失、时间抖动、数据包顺序混乱等网络噪声,也可以从同步中提取出水印的关键参数和水印位的起始位置。基于强大的同步和行为级嵌入,网络条件和流量会话的自适应性在鲁棒性和隐蔽性方面得到了改进。本文的主要贡献如下:
提出了一种强大的同步头部,用于标记水印的存在和水印位的起始位置。该同步头部利用数据包时间、数据包数量和数据包大小的多种调制操作,对数据包丢失和时间抖动具有鲁棒性。同时,同步头部将时间窗口参数可靠地传递给检测方,避免了对外部参数的依赖。
  • 提出了一种基于重传行为的水印嵌入和检测新方法。为了实现隐蔽性,重传行为是随机的,并且仅针对占比较高比例的水印位发生。由于重传行为是TCP流量会话中的正常响应,因此容易规避中间节点中的过滤机制。
  • 设计了自适应的流量特征调制,以确保水印与网络条件和流量会话相匹配。在水印嵌入之前,仅使用少量数据包来估计合理的时间窗口参数。在嵌入过程中,重传时间和频率根据随机分布确定,以适应网络流量速率,从而确保通信效率。
  • 在6个国家分布的节点上进行了广泛的在线实验。结果表明,所提出的水印方法在面对网络噪声时具有鲁棒性和隐蔽性。当水印长度、通信链路和中间节点数量发生变化时,水印的性能仍然具有适应性和稳定性。与现有技术方法相比,所提出的方法在检测准确性和数据包丢失率方面更优越。
    • 本文的章节结构如下:第2节分析当前的NFW方法。第3节介绍所提出方法的概述。第4节和第5节详细介绍了所提出方法的内容,包括水印嵌入和检测。第6节在互联网上进行了实验并分析了水印性能。第7节总结了本文。

    相关工作

    一般来说,网络流量水印的载体包括:数据负载、数据包大小、数据包顺序、流量速率和数据包时间[10]。对于追踪加密流量,数据负载载体足够可靠,但由于中间节点对加密数据负载的修改可能会破坏通信内容,因此很少被采用。Ling [11]利用数据包大小分布作为载体,建立了随机值与数据包大小序列之间的映射关系。

    概述

    水印分为嵌入和检测两部分,如图2所示。嵌入部分包括水印同步嵌入和水印信息嵌入。水印同步嵌入包括3个子模块:参数适应、混淆和自同步,这些模块用于标记嵌入的身份信息的起始位置。

    水印同步嵌入

    可靠的同步头部是检测受网络噪声影响的水印流量的关键。为了提高水印的鲁棒性和适应性,设计了三个子模块来设置同步。参数适应子模块用于确定合理的水印参数(包括平均IPD μ、流量速率v、组时间窗口T等)。混淆子模块用于使嵌入的起始位置足够随机,以提高隐蔽性。

    水印同步检测

    在网络流量传输过程中,重传行为相对稳定,不会降低通信效率。对于同步,特定的三次重复数据包提供的重传行为有助于对T参数进行自适应分析。有了准确的参数T,同步就变成了对同步头部的搜索过程。

    实验

    在本节中,我们分析了所提出方法在不同参数配置下的性能。基于各种网络流量,进一步验证了该方法的鲁棒性、隐蔽性和适应性。与现有技术方法相比,分析了我们方法的嵌入和检测性能。为了方便起见,将所提出的方法简称为CMD,指的是其三个核心调制操作。

    结论

    基于对数据包的复制、合并和延迟的融合调制,CMD被设计用于建立自适应的网络流量水印。水印使用自同步来对齐嵌入起始位置,从而提高检测率。在嵌入水印位时,利用重传行为作为核心调制来实现强大且隐蔽的水印。为了适应更多场景,CMD设计为不共享任何参数。

    CRediT作者贡献声明

    李腾尧:撰写 – 审稿与编辑,撰写 – 原稿撰写,验证,方法论,形式分析,概念化。刘凯月:撰写 – 审稿与编辑,方法论,形式分析。丁世昌:撰写 – 审稿与编辑。杨春芳:撰写 – 审稿与编辑。罗向阳:撰写 – 审稿与编辑,监督。

    利益冲突声明

    作者声明他们没有已知的竞争性财务利益或个人关系可能影响本文报告的工作。

    热点排行
    生物通微信公众号
    微信
    新浪微博
    我要投稿

    返回顶部

    生物通 版权所有