马香港 李腾耀 刘粉林 冯王昕 杨春芳
摘 要:针对基于间隔质心的流水印缺乏纠错能力且难以抵御多流攻击的问题,提出一种基于动态间隔压缩的鲁棒网络流水印算法。该算法在基于间隔质心流水印基础上利用编解码技术增强其糾错能力,将携带同一水印信息的网络流量采用动态间隔压缩的方式调制为多种模式以抵御多流攻击。同时在检测端对水印进行分层检测,减少检测端计算资源浪费。实验结果表明,当检测阈值设为0.8时,误报率低于5%,且水印检测率可高于原始间隔质心方法10%左右,合并多条水印数据流后也无明显静默间隔。可见该算法具有良好的鲁棒性和隐蔽性,能够有效提高网络流水印的可用性。
关键词:网络流水印;匿名网络;流关联;多流攻击
中图分类号:TP393.08 文献标志码:A 文章编号:1001-3695(2023)10-040-3144-05
doi:10.19734/j.issn.1001-3695.2023.01.0039
Robust network flow watermarking algorithm based ondynamic interval compression
Ma Xianggang1,2,Li Tengyao2,3,Liu Fenlin2,3,Feng Wangxin2,3,Yang Chunfang2,3
(1.School of Cyber Science & Engineering,Zhengzhou University,Zhengzhou 450001,China;2.Key Laboratory of Cyberspace Situation Awareness of Henan Province,Zhengzhou 450001,China;3.State Key Laboratory of Mathematical Engineering & Advanced Computing,Zhengzhou 450001,China)
Abstract:To address the problem that the interval centroid-based watermarking lacks of error correction capability and is difficult to resist multi-flow attacks,this paper proposed a robust network flow watermarking algorithm based on dynamic interval compression.The method used coding and decoding technology to enhance the error correction capability of the interval centroid-based watermarking,and modulated the network traffic carrying the same watermark information into multiple modes by dynamic interval compression to resist multi-flow attacks.Meanwhile,it detected the watermark in layers at the detection side to reduce the waste of computational resources.The experimental results show that when the detection threshold is set to 0.8,the false positive rate is lower than 5%,and the watermark detection rate can be higher than the original interval centroid-based method by about 10%,and there is no obvious silent interval after merging multiple watermarked flows.It can be seen that the algorithm has good robustness and concealment,and can effectively improve the usability of network flow watermarking.
Key words:network flow watermark;anonymous network;flow correlation;multi-flow attacks
0 引言
随着社会信息化的不断加深,网络安全越来越成为人们关注的焦点。人们希望能对网络攻击行为进行追踪溯源以采取相应的应对措施,但网络入侵者在进行攻击时往往通过跳板或匿名网络技术(如Tor[1]、Crowds和 Anonymize等)隐藏其真实身份,再结合流量加密技术,使得流量的追踪溯源变得极为困难。人们根据网络数据包的时间间隔、包大小等流量特征在通信上下游中体现的关联特性发展出流关联技术。流关联技术用于识别两条流是否相关,其主要分为被动流量关联技术和主动网络流水印技术两种。其中被动流量关联不修改目标流的任何特征,通过监测网络流并根据流量的观测特征来确定流量是否相关,但其计算复杂度和误报率较高,且由于其观测分析的时间长,不适用于实时环境。主动网络流水印技术通过向数据流中嵌入水印以达到追踪溯源的目的[2],因具有计算复杂度小、实时性高等优势而被广泛研究。
网络流水印技术通过在会话的上游部署水印嵌入设备,主动地向流量中嵌入水印信息,并在会话下游检测水印,根据流量中的水印信息判断流量间可能存在的关联关系[3]。其水印载体一般选取与数據包内容无关的流量特征,如网络流的包大小、包数量、间隔质心等[4]。目前根据不同载体发展出众多网络流水印方法,基于间隔质心的流水印是研究的一个热点,因其改变间隔内多个包的统计特征,少量数据包的丢失也不会对整体数值产生很大影响,具有较强的鲁棒性。Wang等人[5]针对低延迟匿名通信系统提出了第一种基于间隔质心的流水印方法ICBW(interval centroid based watermarking)。嵌入水印时,嵌入端将流划分为相同长度的间隔,通过操纵每个间隔内的质心来嵌入水印。Pyun等人[6]提出的IBW(interval-based watermarking)方法同样将流划分为等长间隔,其根据相邻间隔中的数据包数量关系嵌入水印。Ling等人[7]利用TCP滑动窗口机制提出SBTT方法(SDN-based traceback technique),通过修改数据包TCP头部中的通告窗口大小字段,隐蔽地调整流速率以嵌入水印。这些流水印方法虽对时间扰动具有较强鲁棒性,但也都存在嵌入水印模式单一、不能抵御多流攻击的问题,被嵌入同一水印的流都具有相同的模式,攻击者通过观察多条被嵌入水印流量可以发现水印的存在[8]。 Houmansadr等人[9]提出了一种可抵抗多流攻击的可扩展水印SWIRL,其设计了基间隔和标记间隔两种间隔,嵌入水印时计算基间隔的质心并使用量化函数进行量化,不同的量化结果会在标记间隔上插入不同的模式,使得携带相同水印的不同流可具有不同的模式,可抵御多流攻击,但其基间隔和标记间隔这种复杂的设计也会导致鲁棒性降低。现实中网络环境错综复杂,携带水印的流量经过网络传输后可能导致水印信息出错,以上方法面对此问题时使用添加冗余的方法,但其编码效率较低,在数据包数量有限的情况下并不适用,因此一些工作将纠错编码用于网络流水印中用于提高其纠错效率。Luo等人[10]基于ICBW和移动通信中的PN码提出ICBSSW(interval centroid based spread spectrum watermarking scheme)方法,通过使用PN码对水印信息进行扩频提高流水印的纠错能力,对于不同的流可采用不同PN码使其抵御多流攻击,但ICBSSW方案较为复杂,且时空开销较大。Iacovazzi等人[11]基于丢包机制提出DropWat流水印方法,通过网络对丢包的反应修改数据包之间的延迟时间,达到隐蔽地嵌入水印的效果;根据Tor中的拥塞机制,又提出INFLOW流水印方法[12],通过丢弃客户端的ACK包间接地生成其水印模式。Yang等人[13]基于INFLOW流水印提出了ON/OFF流水印方法,其在发送端的流量中按照预定的时间间隔丢弃数据包创建水印序列,根据发送端和接收端水印序列的L1距离判断流量间的相关性。以上三种基于丢包的流水印方法为网络流水印的嵌入提供了新的思路,且具有良好的水印检测率,但丢包这种方式会使得网络的稳定性降低。
综上所述,现有的基于间隔质心的网络流水印方法在一些关键问题上仍存在不足。一方面,网络流水印技术经过复杂网络环境传输后会出现比特错误,流水印方法的纠错机制仍需完善。另一方面,随着多流攻击[14]等流水印存在性检测技术的发展,流水印需要具备较高的隐蔽性。另外现有流水印方法中接收方往往对经过的所有流量都进行提取水印的操作,造成接收方计算资源浪费。
为此,本文提出一种可以基于动态间隔压缩的鲁棒网络流水印算法,具体步骤包括编码、调制、判断、解调、解码,该方法将基于间隔质心的流水印与卷积编码和维特比软译码结合使流水印具有较强纠错能力,增强流水印在复杂网络传输下的鲁棒性;调制流量时采用动态间隔压缩,使嵌有同一水印的多条流量模式多样化且具有较强的随机性,以抵御多流攻击;在检测端对水印进行分层检测,能够在较少数据包条件下快速定位携带水印的流量,降低检测端的计算资源需求。
1 应用场景
针对网络入侵者试图通过多跳板隐匿其攻击行为的情形,可在入侵者源节点的抵近节点位置部署水印嵌入端,在待保护的重要边界节点部署水印检测端。当网络入侵者尝试通过多跳板对内部主机进行攻击和渗透时,可以依托网络流水印技术,在流量离开嵌入节点前嵌入网络入侵者的身份标识,该会话在包含网络噪声的互联网环境下会持续携带源节点身份标识。一旦该流量抵达边界检测节点时,即可通过网络流水印的检测机制,从混合流量中准确检测和锁定该恶意流量,并从该流量中提取网络入侵者源节点的身份标识,从而实现针对网络入侵者的可靠溯源追踪,具体如图1所示。
在该应用场景下,网络流水印需要主动嵌入网络入侵者的身份标识,以实现可靠的追踪溯源效果,但受包括时延抖动、丢包等在内的网络噪声影响,网络流水印易出现偏移、损坏和丢失。同时,针对同一目标的多条水印流量存在相似性,易导致网络流水印及其携带的信息被网络入侵者察觉甚至捕获。因此,在该应用场景下需要着重增强网络流水印的鲁棒性和隐蔽性,在保证水印抗网络噪声的同时,削弱网络流水印的多流相似性。
2 基于动态间隔压缩的鲁棒网络流水印
针对以上场景,本文提出基于动态间隔压缩的鲁棒网络流水印系统架构,如图2所示。水印嵌入端包括编码模块和流量调制模块;水印检测端包括判断水印有无模块、流量解调模块和解码模块。各模块的水印形式用表1中的符号进行表示。
在一次完整的网络流水印追踪溯源过程中,首先由水印嵌入端对目标流量分配一个原始水印w,原始水印首先由编码模块进行卷积编码以提高网络流水印的纠错能力。然后将上一步得到的编码序列通过流量调制模块进行处理,此模块会将编码序列以调制包到达时间的方式调制到目标数据流中。水印检测端尝试从经过的每一条流中提取水印,首先其通过判断水印有无模块分析流量中是否被嵌入了水印,若流量中存在水印则通过解调模块和解码模块进行处理,得到解码水印信息。解码水印与原始水印w的余弦相似度小于某个阈值时则可判断流量之间的关联关系。
以上介绍了网络流水印系统架构的整体工作流程,下面详细介绍水印嵌入端和水印检测端的工作过程,并对其中的重点模块进行详细介绍。
2.1 水印嵌入端
水印嵌入端主要包括编码模块和流量调制模块,其拦截所经过的流量,将目标流量存入缓冲区,并通过执行以下列步骤完成水印的嵌入:
a)记录流中每个数据包的时间戳,划分为等长间隔并分组。
b)对于所要嵌入的水印,首先将其通过编码模块进行编码以得到编码序列。
c)将编码序列通过流量调制模块以调制包到达时间的方式调制到目标数据流中。
d)将已嵌入水印的流量重放。
在水印嵌入端,对于给定的目标流F,首先将其进行间隔划分。在划分间隔时设定一个固定的偏移Offset>0(用符号o表示),然后按照长度为T的间隔(也称时隙)将流划分为2nL份,用I=[I1,I2,…,I2nL]表示,其中第i个间隔Ii的持续时间为[o+iT,o+(i+1)T]。使用随机数发生器(SNG)和特定的种子从集合I中挑选,使其均分为A、B两组,A=[IA1,IA2,…,IAnL],B=[IB1,IB2,…,IBnL],第i位编码序列si调制到对应的间隔组IAi、IBi中,如图3所示。
2.1.1 编码模块
将原始水印信息w嵌入流前,先对原始水印进行编码,本文编码模块采用卷积码作为编码方案。卷积码的结构通常被记为(n,k,m),编码时k位信息会被编码成n位。m为约束长度,编码后的n位信息不仅与当前k位信息有关,还与前(m-1)k位信息有关。原始水印w与编码器做卷积运算后得到由0、1组成的序列,将其稍作变换(其中0变换为-1,1变为+1)后得到由1、-1组成的序列,称之为编码序列s。
2.1.2 流量调制模块
流量调制模块负责调整流F的间隔质心,使其能够表示编码序列s。本方法选择的水印载体为流量的间隔质心,首先介绍一下流量中间隔质心的基本定义:对于持续时间为[o+iT,o+(i+1)T]的间隔Ii,设tj为此间隔内第j个包的时间戳,则此间隔Ii的间隔质心用式(1)表示。
本文调整间隔质心时运用了前向压缩和后向压缩两种操作,如图4所示。
在长度为T的间隔中,定义Δti为此间隔内数据包的时间戳大小距其所在间隔起始时间点的偏移值,Δt′i为嵌入水印后数据包的时间戳距其间隔起始時间点的偏移值。a为一个小于T的数值,其大小代表间隔质心调整的幅度。前向压缩中令
间隔质心随前向压缩而向左移动,如图4操作1所示,此时有
将间隔质心的值Ci根据式(6)进行量化,得到值qi;qi代表了间隔内质心的位置。qi=0时表示间隔质心位于中心,qi<0时表示间隔质心位于靠左位置,可能经过了前向压缩;qi>0时表示间隔质心位于靠右位置,可能经过了后向压缩。在理想情况下,不携带水印信息的流量的间隔质心Ci应该趋于间隔的中心位置T/2处[5],此处质心经量化后值应为0,而携带水印的间隔质心经量化后则接近(T+a)/2或(T-a)/2。为简单起见,取a=T/2,使得前向压缩的质心值量化后接近-1,后向压缩的质心值量化后接近1。
要调制编码序列s=[s1,1…sn,1…s1,L…sn,L]到流量中,只需调制每个编码序列si对应的间隔组Ai、Bi的间隔质心,调制时采用动态间隔压缩的方式,如式(7)所示。若第i位编码序列si=+1,则对间隔IAi、IBi以同样的方式进行调制:同时前向压缩或同时后向压缩。若第i位编码序列si=-1,则对间隔IAi、IBi以不同的方式进行调制:IAi前向压缩、IBi后向压缩或IAi后向压缩、IBi前向压缩。调制时以等概率从每种调制方式中选择,这种动态间隔压缩的方式使得调制长度为nL的编码序列到流量中时有2nL种不同的模式,可以有效防止多流攻击。
2.2 水印检测端
水印检测端主要包括判断水印有无模块、流量解调模块和解码模块,其监听经过的流量,并尝试从经过的流中提取水印,通过执行以下列步骤完成水印的检测:
a)记录每个数据包的时间戳,划分为等长间隔并分组。
b)提取所有间隔的间隔质心和,根据阈值判断流量中是否被嵌入了水印,若不存在水印不再进行下一步。
c)若流量中存在水印,则对流量进行解调得到解调序列。
d)将解调序列进行维特比软译码进行解码,得到解码水印。
e)与原始水印计算余弦相似度,根据阈值判断流量是否关联。
检测端首先对经过的每条流进行划分间隔的操作,根据与水印嵌入端共享的参数Offset、T,将流划分成长度为T的间隔的集合I′=[I′1,I′2,…,I′2nL],通过共享随机数种子,将其均分为A′、B′两组,A′=[IA′1,IA′2,…,IA′nL],B′=[IB′1,IB′2,…,IB′nL]。
2.2.1 判断水印有无
对每条流量划分间隔后需判断该流中是否存在水印。对于流中每一个间隔,首先根据式(1)计算此间隔的质心C′i,然后根据式(2)将得到的质心值进行量化,所有的间隔经量化后的值组成集合[q′1,q′2,…,q′2nL],计算此集合内各值绝对值的总和Sumq=∑2nLi=1q′i。对于不带水印的流量,因每个间隔的质心C′i趋于间隔的中心位置T/2处,故[q′1,q′2,…,q′2nL]中每一位接近0,Sumq接近于0;对于带水印的流量,[q′1,q′2,…,q′2nL]中的每一位接近于+1或-1,Sumq接近于2nL。设置一个检测阈值α,当Sumq>2αnL时,判断为有水印,否则为无水印。设Df代表流中是否存在水印,根据式(8)可判断流量中是否存在水印。
另外在对流划分间隔时,起始点Offset可能会发生偏移,导致前向压缩的间隔质心值变大(或变小),后向压缩的间隔质心值变小(或变大)。但在本方法中,一条流内采用前向压缩和后向压缩的间隔数量是大致相等的,而前向压缩间隔质心变大(或变小)的值与后向压缩的间隔质心值变小(或变大)的值相等,起始点偏移后计算得到的Sumq仍接近于2αnL,因此本方法可抵御起始点偏移。
2.2.2 流量解调模块
流量中如果发现存在水印,则接下来对流量进行解调,即从流量的间隔质心中恢复调制过的序列。这里将恢复后的调制序列称为解调序列r,r=[r1,1,…,rn,1,…,r1,L,…,rn,L]。若解调序列ri对应的间隔组为IA′i、IB′i,其质心量化值为qA′i、qB′i,则根据调制时的方式可知ri绝对值为(|qA′|+|qB′|)2,若qA′i、qB′i同号,则符合“+1”的调制方式,水印ri符号为正;若qA′i、qB′i异号,则符合“-1”的调制方式,水印ri符号为负。如图5所示为解调IA′i、IB′i恢复ri的一个示例。另外在传输过程间隔质心会发生偏移,当间隔质心的偏移小于T/4时,根据IA′i、IB′i仍可成功恢复ri,当间隔质心的偏移过大时,解调可能会出错,但当错误在一定范围内时仍可以依靠编解码模块来进行错误的纠正。照此规则最终得到全部的解调序列r。
2.2.3 解码模块
解码模块负责对解调序列r进行解码,得到最终的水印信息。解码时以解调序列r为基础,将其送入网格图中进行维特比软译码,计算解调序列在网格图中的路径与其他所有可能出现的、连续的网格图路径的距离,最终得到解码水印信息。计算解码水印和发送端编码水印w的余弦相似度,根据相似度大小进行流量的关联,若相似度大小大于设置的某个阈值则判定监测的两端流量是关联的。
3 误码率分析
网络流水印系统实际部署时需要考虑其可靠性,而误码率是体现其是否可靠的重要指标。受网络拥塞、抖动等因素的影响,接收端接收到水印信息与发送端发送的水印信息可能不完全相同,而水印信息发生错误的比例越高,越不能判断流量间的关联关系。
设发送端发送编码序列为s(i)=[s(i)1,1,…,s(i)n,1,…,s(i)1,L,…,s(i)n,L],其中,水印位数为n,输入一位水印位,输出L位编码位。接收端收到的码字为r=[r1,1,…,rn,1,…,r1,L,…,rn,L],经过信道传播后,传输的水印会发生偏差,将偏差定义为w,则r=s(i)+w,其中w=[w1,1,…,wn,1,…,w1,L,…,wn,L],w是均值为0、方差为σ2w的高斯白噪声。随意设另一个码字为s(j),当接收端收到的码字r没有被解碼为s(i),而被解码成s(j)时即发生错误。此时有
其中:dE与卷积码的自由距离有关;σw为水印传输产生的偏差的方差。由此得出结论,想要降低水印传输过程中的误码率,需要增大卷积码码字间的自由距离或者降低水印的单比特错误率,降低单比特错误率可以通过增加质心偏移幅度、增大间隔长度或提高信道信噪比实现。
4 实验
为评估本文流水印方案的性能,建立了相关的实验环境,分别在美国弗吉尼亚、中国杭州和成都部署了服务器。杭州端服务器作为发送端重放流量数据并通过一台水印嵌入器改变数据包的时间间隔嵌入水印,带水印的流量经位于弗吉尼亚的服务器中转,最终到达位于成都的水印检测器提取水印。根据理论分析部分可知,质心偏移幅度、间隔长度、信道的信噪比以及丢包率均会影响水印检测率,接下来对上述参数进行实验分析。
4.1 不同参数条件下的性能测试
首先测试不同参数条件下流水印的性能,涉及的参数有质心偏移幅度、卷积码译码方式和间隔长度等,性能测试的度量参数有检测率、误报率,其中检测率为正确标记为带水印的流量占被测试流量的比例,误报率为被检测错误地分类为带水印的流量占总流量的比例。
4.1.1 质心偏移幅度参数测试
为测试流水印正确分类有无水印流量的比例,进行如下实验,将质心偏移幅度a分别设置为40~120 ms,检测阈值α分别设为0.6、0.8,实验结果如图6所示,其中横坐标a表示质心偏移幅度。从图中可以看出,随着质心偏移幅度的提高,检测率随之提高,随着质心偏移幅度和检测阈值的提高,误报率随之减小,与理论分析相一致。当质心偏移幅度达到100 ms,检测阈值为0.8时,检测率已高于95%,具有较好的检测性能。
4.1.2 卷积码译码方式测试
传统水印方法采用硬判决将接收到的时间序列根据判断规则解码为0、1信息位,例如在ICBW方法中,只要A组间隔质心大于B组间隔质心时水印位就被解码为1,这种硬判决丢失了传输过程中信道干扰信号的统计信息。本文将间隔质心量化为一个连续值,相比于0、1值,连续值反映了一些细节特征。为了测试卷积码软硬译码对水印检测率的影响,在设置间隔长度为240 ms、原始数据流长度,自由距离为5,检测阈值α为0.8的情况下测试软硬译码对检测率的影响。实验结果如图7所示,从图中可以看出,维特比软译码较硬译码具有一定的优势。
将卷积编码的自由距离从4增加到6,使用100条数据流测试卷积码自由距离对水印检测率的影响。实验结果如图8所示,从图中可以看出,随着卷积码自由距离的增大,检测率逐渐增加,实验结果与理论分析一致。整体上看,当间隔为200、自由距离为5后检测率基本保持在98%以上,具有良好的效果。
4.1.3 间隔长度参数测试
文献[5]指出,基于间隔质心的流水印技术通过增加间隔T的长度可以增加水印信息载体的稳定性。为了检测间隔长度T对水印信息检测率的影响,将卷积码自由距离设置为5,检测阈值设为0.8,质心偏移幅度a设为T/2进行测试,间隔T分别设定为140 ms、160 ms、180 ms、200 ms、220 ms、240 ms,每个间隔大小的实验都进行了100次。本文分别测试了不同间隔大小下流水印检测的成功率,并将本文方案与IBW、ICBW和ICBSSW方法进行对比,实验结果如图9所示。从图中可以看出,随着间隔长度的增大,水印检测率整体上保持增大的趋势,当间隔长度达到220 ms时,水印检测率可达到99%以上。
4.2 鲁棒性验证
4.2.1 信噪比对检测率的影响
为了检测网络数据流在传输过程中的时间扰动对本文方法的影响,向数据流中添加高斯白噪声模拟网络抖动对流量造成的干扰,对水印检测率进行测试实验。在设定间隔的长度为220 ms,卷积码自由距离为5,检测阈值α分别为0.8的情况下,将高斯白噪声的信噪比SNR从5 dB递增到50 dB测试流水印系统的检测率,并与IBW、ICBW、ICBSSW和SBTT方法进行对比,实验结果如图10所示,横坐标表示信噪比,纵坐标表示水印检测率。可以看出,链路的抖动干扰越大,水印的检测成功率越低。且经综合比较,本文方法具有较高准确率,在不向网络数据流中添加高斯白噪声影响时,信噪比高于30时,能够达到97%以上的检测准确率。
4.2.2 丢包对检测率的影响
为了检测数据包丢失对网络流水印的影响,将原始数据流中的数据包随机进行丢失测试。在设定间隔的长度为220 ms,卷积码自由距离为5,检测阈值α分别设为0.8的情况下,将丢包比例从4%增加到20%,测试其对流水印系统检测率的影响,并与IBW、ICBW、 ICBSSW和SBTT方法进行对比,实验结果如图11所示,横坐标表示丢包的百分比,纵坐标表示水印检测率。可以看出随着丢包率的增大,各方法的水印检测率均有一定程度的下降。其中SBTT方法基于流速特征,当丢失的包分布較平均时对其影响较小,ICBSSW和本文方法均采用了纠错编码增强了流水印的纠错能力,对丢包也具有一定的抵御效果,而IBW和ICBW方法在丢包比例较高时效果较差。
4.3 隐蔽性检验
流水印技术除了需要较强的鲁棒性外,还需要有较强的隐蔽性。多流攻击是攻击者将嵌入水印的多条已标记数据流合并为一条数据流,通过观察合并后的流量时间特征来判断流量中是否存在水印[15]。正常流量的多条数据流合并为一条数据流后数据包较为分散,而嵌入水印信息的数据流则会出现明显的静默间隔。分别对比10条未携带水印信息的数据流和10条携带水印信息的数据量的数据包到达情况。结果如图12所示,可以看出多条原始流量在合并后流量较为均匀,而其余方法标记数据流合并后则出现了明显的静默间隔,相比而言,本文所提方法水印信息不明显,与原始数据流差异不大,隐蔽性较好。
5 结束语
针对基于间隔质心的流水印缺乏纠错能力且难以抵御多流攻击的问题,本文提出一种兼具鲁棒性和隐蔽性的流水印方法,采用卷积编码和维特比软译码来提高流水印的可靠性,对流量采取动态间隔压缩调制为多种模式以抵抗多流攻击。理论分析与实验结果表明,该方案具有良好的鲁棒性和隐蔽性,较以往方法具有一定的性能提升。未来的研究工作包括设计更高效的编解码算法,以及提升流水印在其他检测技术下的隐蔽性。
参考文献:
[1]Dingledine R,Mathewson N,Syverson P.Tor:the second-generation onion router[C]//Proc of the 13th USENIX Security Symposium.[S.l.]:USENIX Association,2004:303-320.
[2]卓中流.匿名网络追踪溯源关键技术研究[D].成都:电子科技大学,2018.(Zhuo Zhongliu.Research on the key technologies of network tracing in the anonymous network[D].Chengdu:University of Electronic Science and Technology of China,2018.)
[3]Zhang Liancheng,Kong Yazhou,Guo Yi,et al.Survey on network flow watermarking:model,interferences,applications,technologies and security[J].IET Communications,2018,12(14):1639-1648.
[4]Iacovazzi A,Elovici Y.Network flow watermarking:a survey[J].IEEE Communications Surveys and Tutorials,2017,19(1):512-530.
[5]Wang Xinyuan,Chen Shiping,Jajodia S.Network flow watermarking attack on low-latency anonymous communication systems[C]//Proc of IEEE Symposium on Security and Privacy.Piscataway,NJ:IEEE Press,2007:116-130.
[6]Pyun Y J,Park Y H,Wang Xinyuan,et al.Tracing traffic through intermediate hosts that repacketize flows[C]//Proc of the 26th IEEE International Conference on Computer Communications.Piscataway,NJ:IEEE Press,2007:634-642.
[7]Ling Zhen,Luo Junzhou,Xu Danni,et al.Novel and practical SDN-based traceback technique for malicious traffic over anonymous networks[C]//Proc of IEEE INFOCOM - IEEE Conference on Computer Communications.Piscataway,NJ:IEEE Press,2019:1180-1188.
[8]张连成,王禹,孔亚洲,等.网络流水印安全威胁及对策综述[J].计算机研究与发展,2018,55(8):1785-1799.(Zhang Liancheng,Wang Yu,Kong Yazhou,et al.Survey on security threats and counter measures of network flow watermarking[J].Journal of Computer Research and Development,2018,55(8):1785-1799.)
[9]Houmansadr A,Borisov N.SWIRL:a scalable watermark to detect correlated network flows[C]//Proc of the 18th Annual Network and Distributed System Security Symposium.[S.l.]:Internet Society,2011:1-15.
[10]Luo Junzhou,Wang Xiaogang,Yang Ming.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J].Journal of Network and Computer Applications,2012,35(1):60-71.
[11]Iacovazzi A,Sarda S,Frassinelli D,et al.DropWat:an invisible network flow watermark for data exfiltration traceback[J].IEEE Trans on Information Forensics and Security,2018,13(5):1139-1154.
[12]Iacovazzi A,Sarda S,Elovici Y,et al.INFLOW:inverse network flow watermarking for detecting hidden servers[C]//Proc of the 37th IEEE Conference on Computer Communications.Piscataway,NJ:IEEE Press,2018:747-755.
[13]Yang Kai,Liu Zhihong,Zeng Yong,et al.Sliding window based ON/OFF flow watermarking on Tor[J].Computer Communications,2022,196:66-75.
[14]Kiyavash N,Houmansadr A,Borisov N.Multi-flow attacks against network flow watermarks:analysis and countermeasures[EB/OL].(2012-03-10).https://arxiv.org/abs/1203.1390.
[15]Zhang Liancheng,Zhu Junhu,Yan Xuexiong,et al.Initial offset randomization based multi-flow attack resistance method[C]//Proc of the 3rd IEEE International Conference on Computer and Communications.Piscataway,NJ:IEEE Press,2018:1303-1307.
收稿日期:2023-01-23;修回日期:2023-03-20 基金項目:国家自然科学基金资助项目(61872448,62172435,62072057);河南省科技攻关计划资助项目(222102210075);河南省重点研发与推广专项(科技攻关)资助项目(222102210018)
作者简介:马香港(1995-),男,河南周口人,硕士研究生,主要研究方向为网络安全;李腾耀(1991-),男(通信作者),河北辛集人,讲师,博士,主要研究方向为主动防御与网络安全(litengyao@aliyun.com);刘粉林(1964-),男,江苏溧阳人,教授,博导,主要研究方向为信息隐藏与分析、网络安全等;冯王昕(1994-),男,福建厦门人,硕士研究生,主要研究方向为网络安全;杨春芳(1983-),男,福建莆田人,副教授,博导,主要研究方向为信息隐藏与检测.