文章信息

論文題目：基于時(shí)隙的多重冗余流指紋模型
期刊（會(huì)議）：網(wǎng)絡(luò)與信息安全學(xué)報(bào)
時(shí)間：2023
級(jí)別：CCF C

概述

為確保內(nèi)生網(wǎng)絡(luò)流量安全可信，本文在研究流水印及其擴(kuò)展的流指紋機(jī)制的基礎(chǔ)上，提出了一種改進(jìn)型的基于時(shí)隙的多重冗余流指紋模型，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于內(nèi)核的流指紋原型系統(tǒng)，并闡述了該流指紋模型的應(yīng)用場(chǎng)景。

相關(guān)工作

根據(jù)流標(biāo)記的嵌入位置（或稱載 波特征），流水印或流指紋機(jī)制可劃分為三大類： 基于數(shù)據(jù)包內(nèi)容、基于流速率、基于時(shí)間。典型 流水印/流指紋載波特征如表1所示。

指紋模型設(shè)計(jì)與實(shí)現(xiàn)

模型設(shè)計(jì)

冗余編碼：每一比特的指紋都連續(xù)重復(fù)n次，如當(dāng)n為3時(shí)，0重復(fù)為 000，1重復(fù)為111，由于數(shù)據(jù)流在傳輸過(guò)程會(huì)遭受自然的抖動(dòng)或惡意的攻擊，所以在接收端提取指紋時(shí)，認(rèn)為連續(xù)的兩個(gè)相同的比特即最終結(jié)果，如001、100、000都解碼為0，110、011、 111都解碼為1。
除了考慮每一比特的冗余外，為了防止重復(fù)比特之間的干擾，還可以考慮將整個(gè)比特重復(fù)r次，如指紋比特若為1001，當(dāng)r為3時(shí)，則編碼為1001 1001 1001。

流指紋嵌入過(guò)程如圖1所示。

在嵌入端，用隨機(jī)函數(shù)生成指紋序列后，對(duì)每一位指紋比特進(jìn)行處理。在流的時(shí)間偏移量起始處，將流的一部分劃分為連續(xù)的多個(gè)相同的時(shí)間間隔，依次每3個(gè)連續(xù)的時(shí)間間隔T對(duì)應(yīng)一位指紋比特，操作每3個(gè)時(shí)間間隔的前兩個(gè)，實(shí)現(xiàn)比特嵌入，如指紋比特為“0”時(shí)，只需將第一個(gè)時(shí)間間隔內(nèi)的數(shù)據(jù)包延遲到第二個(gè)時(shí)間間隔內(nèi)發(fā)送；指紋比特為“1”時(shí)，需將第二個(gè)時(shí)間間隔內(nèi)的數(shù)據(jù)包延遲到第3個(gè)時(shí)間間隔發(fā)送。值得注意的是，由于網(wǎng)絡(luò)中自然的抖動(dòng)等影響，引入冗余編碼r來(lái)提高指紋的健壯性。

在提取端，遵循流指紋嵌入方案，按照與發(fā)送端相同的時(shí)間偏移以及時(shí)間間隔劃分接收到的流，再比較第一個(gè)時(shí)間間隔和第二個(gè)時(shí)間間隔內(nèi)的數(shù)據(jù)包數(shù)量，如果第一個(gè)間隔內(nèi)的數(shù)據(jù)包數(shù)量大于第二個(gè)時(shí)間間隔內(nèi)的數(shù)據(jù)包，則解碼為1，反之應(yīng)解碼為0。

指紋的嵌入和提取步驟可概括為：嵌入端收到流$F_i$，根據(jù)該條流的信息用隨機(jī)函數(shù)生成指紋序列$f_i$，然后通過(guò)操作$F_i$中數(shù)據(jù)包的發(fā)送時(shí)間將指紋$f_i$嵌入流中。指紋的提取端在收到數(shù)據(jù)流的第一個(gè)數(shù)據(jù)包開始，記錄每個(gè)數(shù)據(jù)包到達(dá)的時(shí)間，從含有指紋的流$F_i^{{}^{\prime }}$中，解碼出指紋信息$f_i^{{}^{\prime }}$，從嵌入指紋$f_i$所用的編碼時(shí)隙中計(jì)算得到${\bar{Y}}_r^{f_i^{{}^{\prime }}}$的值，將其和0進(jìn)行比較，得到${\bar{Y}}_r^{f_i^{{}^{\prime }}}$為正值表明指紋位是0，若得到負(fù)值表明指紋位是1。${\bar{Y}}_r^{f_i^{{}^{\prime }}}$表示第二個(gè)時(shí)隙中數(shù)據(jù)包數(shù)目和3個(gè)時(shí)間間隔總數(shù)據(jù)包均值之間的差值在冗余度為r時(shí)的均值。

后續(xù)通過(guò)一些計(jì)算表明，增加冗余度r能夠提高檢測(cè)率，以及對(duì)惡意干擾（時(shí)間延遲干擾、垃圾數(shù)據(jù)包干擾、丟包干擾）的抵抗能力。

系統(tǒng)實(shí)現(xiàn)

指紋系統(tǒng)實(shí)現(xiàn)包括應(yīng)用層和內(nèi)核層，應(yīng)用層主要作為交互的界面，進(jìn)行參數(shù)的增加、查詢等以及相應(yīng)流的指紋生成和指紋的冗余編碼，內(nèi)核與應(yīng)用層之間利用ioctl函數(shù)進(jìn)行交互。流指紋原型系統(tǒng)模塊層次如圖8所示，具體如下：

1. 系統(tǒng)初始化：包括設(shè)定模塊運(yùn)行模式、初始化參數(shù)。
2. 參數(shù)設(shè)置模塊：流指紋的參數(shù)應(yīng)該在嵌入端和提取端協(xié)商共享參數(shù)，本文設(shè)計(jì)時(shí)簡(jiǎn)化了雙方的協(xié)商，在兩端分別設(shè)定同樣的參數(shù)。
3. 指紋編解碼模塊：設(shè)定參數(shù)后，設(shè)定不同的運(yùn)行模式，對(duì)流進(jìn)行指紋的編碼和解碼。
4. 數(shù)據(jù)包管理模塊：按照指定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行捕獲，發(fā)送給指紋的嵌入/提取模塊。
5. 指紋的嵌入/提取模塊：根據(jù)生成的指紋序列，更改數(shù)據(jù)包發(fā)送的時(shí)間。

模型評(píng)估與應(yīng)用

模型評(píng)估

為對(duì)模型進(jìn)行評(píng)估，本文搭建如圖9所示的網(wǎng)絡(luò)拓?fù)溥M(jìn)行實(shí)驗(yàn)。用戶1、用戶2為兩個(gè)實(shí)體筆記本終端，分別運(yùn)行iperf3軟件，從而在兩端產(chǎn)生交互的流量以用于流指紋的嵌入和提取；其余路由器節(jié)點(diǎn)使用VMware搭建的虛擬節(jié)點(diǎn)；各個(gè)路由器節(jié)點(diǎn)之間運(yùn)行OSPF路由協(xié)議。在接入網(wǎng)關(guān)1上實(shí)施指紋的嵌入，接入網(wǎng)關(guān)2、3上進(jìn)行指紋的提取。中間路由器R322在實(shí)驗(yàn)中利用TC（traffic control）模擬網(wǎng)絡(luò)中的延遲丟包等干擾行為。
在兩個(gè)終端上使用iperf3進(jìn)行TCP流量的傳輸，用戶1是發(fā)送端，用戶2和用戶2’是接收端。iperf3通過(guò)不同端口發(fā)送10條流，帶寬為60 Mbit/s。 在實(shí)驗(yàn)評(píng)估中，測(cè)試了兩種場(chǎng)景。場(chǎng)景1中流指紋傳遞跨越一個(gè)路由器（不包含嵌入端和提取端，標(biāo)記為 R=1），即只在圖9中的區(qū)域1內(nèi)傳遞。場(chǎng)景2中流指紋傳遞跨越4個(gè)路由器（標(biāo)記為 R=4），即從區(qū)域1傳遞到區(qū)域 2。在兩種場(chǎng)景下，啟用與嵌入提取無(wú)關(guān)的背景流（用 bf 表示）驗(yàn)證，其中有6條VLC播放器的流，4條SSH流，圖9中紅色箭頭表示背景流和iperf3測(cè)試流的混合流。

得到實(shí)驗(yàn)結(jié)果如下圖所示：

模型應(yīng)用

用于檢測(cè)中間人攻擊，如下圖所示：

總結(jié)

為了支持內(nèi)生安全的數(shù)據(jù)可信，本文在基于流水印/指紋機(jī)制研究的基礎(chǔ)上，設(shè)計(jì)了一種基于時(shí)隙的多重冗余流指紋模型，并對(duì)該模型進(jìn)行了在網(wǎng)絡(luò)典型干擾（如丟包、延遲等）環(huán)境下的評(píng)估，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)流指紋原型系統(tǒng)，在系統(tǒng)的內(nèi)核層進(jìn)行了指紋的編解碼、嵌入和提取，并對(duì)本文的流指紋模型系統(tǒng)的應(yīng)用場(chǎng)景進(jìn)行了闡述。