网页指纹攻击可获取HTTPS网络流量中的信息,进而泄露用户隐私。研究网页识别有助于发现当前加密协议存在的安全漏洞,这对于改进用户隐私保护策略具有重要意义,同时也有助于提升网络服务提供商的网络管理水平。目前的网页识别研究并未充分考虑应用层特征,且忽视了实际的网页浏览场景(如浏览器缓存机制)。鉴于HTTPS协议栈和网页加载方式的特性,研究提出了一种利用应用数据单元的二阶段网页识别方法Penetrator。应用数据单元特征还原增强了HTTPS流量中的应用层信息的利用率,以应用数据单元长度序列为特征进行网页识别。通过理论分析和实验验证,证明了应用层特征对于加密网页识别的有效性。实验表明,Penetrator能够有效消除HTTPS协议栈引入的误差,提取协议误差率低于0.98%的应用数据单元长度序列。通过与现有方法的对比,证明了Penetrator在网页识别中的优越性。
加密移动应用网络流量的准确分析与有效识别,是网络管理、信息监管、安全检测的重要前置条件,对网络空间安全与治理具有重要意义。为了对加密移动应用流量进行有效识别,提出了一个基于多维特征学习的加密移动应用流量分类方法。该方法首先从移动应用流量中提取传输层负载特征和会话交互特征,然后建立多维特征深度学习模型,利用卷积神经网络学习负载数据中的空间特征、长短时记忆网络学习负载数据中的时序特征以及利用图卷积神经网络学习移动应用的会话交互特征,进一步实现多维特征的拼接融合,达到加密移动应用流量的分类识别目的。基于加密移动应用数据集,实验验证了所提出的方法在加密移动应用流量分类方面的性能优化效果。
随着以Tor over VPN为代表的隧道化匿名网络技术的逐渐流行,对其承载服务的识别能进一步增强对恶意网络行为流量的意图识别,对网络空间安全治理具有显著意义。现有研究缺乏针对Tor over VPN流量承载服务类型的识别,因此提出一种基于自注意力卷积循环神经网络的Tor over VPN流量承载服务识别方法。首先,对Tor over VPN流量样本进行包级别时空特征提取,建立多维时空特征集。同时考虑到识别任务中对深层次时空特征的挖掘需求,采用融合自注意力机制的卷积循环神经网络模型,实现对Tor over VPN流量的服务识别。实验结果表明,服务识别的平均准确率达96.2%。
网络流量检测和识别是一个持久的话题,但是对网络流量行为与实体的关联研究较少,流量主体不明。由于加密流量的广泛应用,在安全运营中较难获取对网络通信传输的可见性,而检测网络攻击和异常行为通常需要获取加密流量对应的底层明文信息。在本文中,我们探索了通过进程行为实体运行时采集上下文信息的方式,对加密流量行为测量提供信息增益,实现加密流量的实体行为内视。我们的工作为加密流量的测量和可见性,增加了观测维度,提供精准的平行安全监测和高效的实体行为回溯分析能力,能够在一定程度上缓解网络空间防御视角下的遥测难题,从而有效提高加密流量隐蔽威胁监测的预警能力,并提升威胁实体恶意行为分析工作的回溯取证效率。
加密流量分类是识别加密流量背后运行的服务、应用、协议等方面的技术,以提高网络服务质量或提供网络安全保障。主流的加密流量分类方案通过在大规模数据集上进行训练实现可靠的分类性能。然而,随着互联网技术的持续发展,网络流量规模、计算节点、网络服务等持续增长,出现大量的针对不同类别的加密流量分类需求,收集并标注足够多的加密流量变得越来越不切实际。因此,研究一种能够利用较少加密流量样本进行准确的加密流量分类,并且能够将模型快速推广的技术至关重要。提出一种基于少样本学习的加密流量分类方法,该方法基于元学习思想对加密流量分类任务进行模拟和优化。此外,利用预训练的卷积神经网络模型作为特征提取器,并基于卷积神经网络中神经元特有的计算结构介绍了一种新颖的参数分解方法,让模型能够快速适应不同任务的数据分布。在文章的最后,设置了N-way K-shot的对照实验,实验表明文章提出的方法在K=10时准确率稳定在98%左右,相较于参考模型能够使用更少样本得到更高准确率。
洋葱路由 (Tor,the onion route)网络加密流的关联分析是其追踪溯源的核心技术之一;针对当前基于深度学习的流关联方法存在的时间特征不可靠且初级特征表征能力不强的问题,提出了一种基于时频分析和图卷积神经网络的关联分析方法,该方法使用Tor网络流量的数据包长度信息作为原始特征序列,将数据包的包长度序列通过时频分布函数映射到时频域,并进一步将其嵌入为图结构数据,同时使用图卷积神经网络提取高阶特征,最后将得到的高阶特征输入三元组网络以实现相似流量的关联。实验结果表明误报率为0.1%时,所提方法的关联准确率可达到83.4%,明显优于已有的DeepCorr和Attcorr方法。
随着互联网络的快速发展与应用普及,虚拟专用网络(VPN,virtual private network)技术被越来越多的企业和个人用于规避网络审查,这给网络空间监管与治理带来了巨大挑战,VPN加密流量的识别对于网络空间的治理愈发重要。因此,针对VPN流量识别问题,受VPN软件测速的启发,提出了一种多策略混合VPN节点识别方法,该方法融合了基于随机森林算法的测速单元发现、基于DBSCAN聚类算法的VPN节点推荐以及基于主动探测的VPN节点验证等多种策略,实现了从VPN发现到验证的闭环;在真实千亿级超大规模网络流量元数据集上,对提出的方法进行验证;实验结果表明,基于随机森林算法的分类模型,对测速行为识别的泛化准确率可在90%以上;基于主动探测验证机制对疑似VPN进行验证,准确比例达90.6%;多策略混合VPN识别方法可有效识别VPN节点,为VPN加密流量识别研究提供了新的视角。
隐私集合求交技术(PSI,private set intersection)是一种重要的隐私保护计算协议,用于在不泄露集合数据的情况下,安全地计算两个或多个参与方之间的集合交集。随着互联网和大数据的快速发展,用户对数据隐私保护的关注度不断提高,对于PSI的研究不仅在理论上具有重要意义,而且在实际应用中也具备极高的价值。PSI技术发展迅速且种类复杂多样,了解基于不同密码原语构建的PSI协议及其适用场景以及根据需求选择适当的PSI方案具有重要的实际意义。旨在全面概述PSI及其变体的研究进展和应用领域,并对隐私集合求交技术在实际产品中的应用进行调研。还对现有的主要PSI开源库进行了测试,评估它们的性能和适用性。最后,讨论隐私集合求交技术领域存在的挑战以及未来的发展方向。通过对PSI的全面介绍和深入研究,可以更好地理解该技术的重要性和应用价值,为隐私保护提供更加有效的解决方案,并推动PSI技术在实际场景中的广泛应用和发展。