物联网中具备终端匿名的加密流量双层过滤方法.pdf
《物联网中具备终端匿名的加密流量双层过滤方法.pdf》由会员分享,可在线阅读,更多相关《物联网中具备终端匿名的加密流量双层过滤方法.pdf(10页珍藏版)》请在咨信网上搜索。
1、第 卷 第期 年月西安邮电大学学报J OUR NA LO FX I ANUN I V E R S I T YO FP O S T SAN DT E L E C OMMUN I C A T I ON SV o l N o M a r d o i:/j i s s n 物联网中具备终端匿名的加密流量双层过滤方法冯景瑜,张静,时翌飞(西安邮电大学 网络空间安全学院,陕西 西安 )收稿日期:基金项目:国家自然科学基金项目();国家电网有限公司科技项目(J )作者简介:冯景瑜(),男,博士,副教授,从事物联网安全研究.E m a i l:f e n g j y x u p t e d u c n张静()
2、,女,硕士研究生,研究方向为隐私保护与物联网安全.E m a i l:z h a n g j i n g c o m摘要:为平衡物联网中加密流量检测困难同流量特征隐私保护需求之间的冲突,提出一种具备终端匿名化的恶意加密流量双层过滤方法.通过终端匿名化方法阻断基于流量特征的终端身份推断,构建对流量检测模块匿名的流量环境.采用终端接入受信度评估构建第一层过滤,将来源于失陷终端的流量阻断,来源于信任终端的流量放行.在第二层过滤中,对加密流量进行随机性检测构建特征空间,采用前馈神经网络(F e e d f o r w a r dN e u r a lN e t w o r k,F NN)以区分不同的加
3、密密码算法,过滤掉不属于协商算法集合的恶意流量.实验分析表明,所提的加密流量双层过滤方法在终端匿名的流量环境下,可通过对失陷终端的准确检测抑制恶意流量,并利用密码体制识别实现对恶意流量的二次过滤.关键词:物联网;匿名化;信任过滤;随机性测试;密码体制识别中图分类号:T P 文献标识码:A文章编号:()A ne n c r y p t e dt r a f f i cd o u b l e l a y e r f i l t e r i n gm e t h o dw i t ht e r m i n a l a n o n y m i t y i nI n t e r n e t o fT h
4、 i n g sF E N GJ i n g y u,Z HAN GJ i n g,S H IY i f e i(S c h o o l o fC y b e r s p a c eS e c u r i t y,X ia nU n i v e r s i t yo fP o s t sa n dT e l e c o mm u n i c a t i o n s,X ia n ,C h i n a)A b s t r a c t:T os o l v e t h ec o n f l i c tb e t w e e ne n c r y p t e dt r a f f i cd e t
5、e c t i o na n dp r i v a c y p r e s e r v i n gt r a f f i c i nt h e I n t e r n e t o fT h i n g s,ad o u b l e l a y e r f i l t e r i n gs c h e m e f o r e n c r y p t e d t r a f f i cw i t ht e r m i n a l a n o n y m i t yi sp r o p o s e d B yb l o c k i n g t h e t e r m i n a l i d e n
6、t i t y i n f e r e n c eb a s e do n t r a f f i c c h a r a c t e r i s t i c s t h o u g h t e r m i n a ld a t a a n o n y m i z a t i o n,a t r a f f i c e n v i r o n m e n t f o r a n o n y m o u s t r a f f i cd e t e c t i o nm o d u l e i s c o n s t r u c t e d A c c e s s t r u s t v a l
7、 u e i s a d o p t e d t oc o n s t r u c t t h e f i r s t f i l t e r i n g l a y e r,i nw h i c ht h e t r a f f i c f r o mt h e c o m p r o m i s e dt e r m i n a lw i l lb eb l o c k e d,w h i l et h et r a f f i c f r o mt h et r u s t e dt e r m i n a lw i l lb er e l e a s e d T h ef e e d
8、f o r w a r dn e u r a ln e t w o r k(F NN)c r y p t o s y s t e mc l a s s i f i e rw i t hr a n d o m n e s s t e s t i sd e s i g n e dt or e a l i z e t h es e c o n df i l t e r i n g l a y e r,w h i c hf i l t e r so u t t h em a l i c i o u s t r a f f i c t h a td o e sn o tb e l o n gt o t
9、h es e to f t h en e g o t i a t e da l g o r i t h m s S i m u l a t i o nr e s u l t ss h o wt h a t t h ed o u b l e l a y e r f i l t e r i n gs c h e m ec a ne n h a n c e t h ea c c u r a c yo fc o m p r o m i s e dt e r m i n a ld e t e c t i o n,s oa st os u p p r e s st h em a l i c i o u s
10、e n c r y p t e dt r a f f i c,a n du s et h ec r y p t o g r a p h i cs y s t e mc o g n i t i o nt oa c h i e v et h es e c o n d a r yf i l t e r i n go fm a l i c i o u st r a f f i c K e y w o r d s:I n t e r n e to fT h i n g s;a n o n y m i z a t i o n;t r u s t f i l t e r;r a n d o m n e s
11、st e s t;c o g n i t i o no fc i p h e rs y s t e m随着微型传感器和驱动器在传统工业体系中的广泛接入,促使传统工业加速转型为具备灵活感知、密集互动、自主保障和调节能力的物联网(I n t e r n e to fT h i n g s,I o T),通 过 数 量 庞 大 的 终 端第 卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方法设备向控制中心提供感知数据以帮助控制中心实施准确的决策.然而,由于缺乏有效保护,终端极易被攻陷,从而变成攻击实施的帮凶.通过控制大量的终端向目标系统释放恶意流量,攻击者可以使系统通信受阻,导致系统宕机.
12、因此,恶意流量检测已作为一个重要的研究方向被广泛应用到入侵检测系统中,以提升目标系统的网络通信质量.为应对日趋开放和动态的网络边界造成的个人隐私泄露风险,通用数据保护规范 个人信息安全规范相继出台,以在政策层面对风险进行控制.此外,传 输 层 安 全(T r a n s p o r t L a y e rS e c u r i t y,T L S)、互联网安全协议(I n t e r n e tP r o t o c o lS e c u r i t y,I P S e c)等密码安全套件也被广泛应用到信息系统中,以增强个人隐私保护能力.网络通信中充斥着大量以加密形式存在的流量,明文特征作为识
13、别依据的流量检测方法表现堪忧,有效识别恶意加密流量成为了更具挑战性的研究方向之一.目前,针对于加密流量检测的方法大体上可分为基于机器学习的恶意流量识别和基于密码学的恶意流量识别.基于机器学习的恶意流量识别主要通过提取加密流量的特征,构造训练集训练分类模型,通过对模型的优化得到较好的识别率.结合多特征的恶意加密流量检测方法通过融合加密流量会话包长、时间马尔可夫链、证书及协议等特征,构造了一个长达 维的特征向量,并利用机器学习方法实现对恶意流量的检测.文献 将E f f i c i e n t n e t B 模型迁移到加密流量数据集上进行部分重训,从而实现了在小样本条件下对加密流量的精准检测.基
14、于密码学的恶意流量识别的核心在于通过可搜索加密实现对加密流量中恶意关键字的识别.文献 通过将可搜索密文检索技术同深度包检测技术的有效结合,提出了一种针对于加密流量的检测技术.此外,加密恶意流量识别还表现出一些场景特性.在云环境下的恶意流量检测场景下,文献 提出了使用信任过滤的方式率先检测出一部分恶意流量源头,以减轻云环境下的检测恶意流量所产生的计算负载.文献 针对于车联网环境提出了一种通过路边单元使用H u r s t自相似参数估计检测流量相似性的方法,以检测到恶意流量的突增.考虑到当待检测流量被重定向到流量检测中间件时,中间件常以外部接入的形式存在,将不可避免地引发隐私问题,导致流量特征泄露
15、.因此,为有效缓解流量特征泄露问题,流量特征加密技术被广泛应用.文献 提出利用同态加密的方式在两台非共谋的云服务器上实现恶意关键字的匹配和检测,在对流量内容和特征保护的条件下实现恶意流量检测.文献 针对于网络流量的异常值检测时涉及的隐私问题,提出了一种用于增量数据集的隐私保护异常值检测协议,通过高效可互换的协议实现了多个加密模块,并集成活动窗口,定期淘汰过期数据,保护流量隐私.尽管这类处理方法使得流量特征得到了保护,但由于数据部分性质缺失,一些依赖于流量特征的识别方法无法发挥其特点.因此,如何平衡流量隐私保护同流量检测效率之间的冲突,成为亟待解决的问题.此外,由不同密码体制所产生的密文在统计特
16、征上表现出一定的差异,利用这些差异化特征的密码体制识别成为了恶意流量检测中新的应用方向.基于随机森林的密码体制分层识别方案,先通过簇分识别加密算法所属的密码体制,再利用单分识别具体的密码算法,其在多分类任务场景下的准确率维持在 .基于决策树的密码体制识别方案,在针对S M 与常用密码体制的二分类识别过程中,识别率表现较为优异.文献 基于美国国家标准与技术研究院(N a t i o n a l I n s t i t u t eo fS t a n d a r d sa n dT e c h n o l o g y,N I S T)公布的随机性测试标准 提出了新的特征提取方法,并借助随机森林实现
17、密码体制识别,其在较少密文特征下可实现较高的识别准确率.然而,上述工作并未涉及安全套接 字 层/传 输 层 安 全(S e c u r eS o c k e tL a y e r/T r a n s p o r tL a y e rS e c u r i t y,S S L/T L S)常用加密算法的识别,多数识别方法采用传统的机器学习实现,识别效果受限于模型的表现能力.针对加密流量检测的困难性以及流量特征的隐私性需求,拟设计一种具备终端匿名化的加密恶意流量的双层过滤方法.通过终端接入匿名化方法抵御利用流量隐私的终端身份推断,确保流量检测模块对现网流量环境是未知的.此外,针对加密流量检测的困难
18、性,首先,利用终端接入受信程度评估方法,根据接入终端的诚实性从源头阻断恶意流量.其次,根据安全通信过程中的协商密码算法集合,利用随机性检测提取流量特征,区分加密流量使用的密码算法,筛选掉不属于协商算法的恶意加密流量.西安邮电大学学报 年月系统架构作为物联网生态重要的一环,大量的物联网终端被广泛部署在偏远地区,难以维护和缺乏必要的安全策略使其长期暴露在风险中.一旦物联网终端失陷,终端设备将变成攻击帮凶,系统中会充斥着大量的恶意流量,造成通信阻塞的同时也将影响控制中心的最终决策.因此,有效检测出恶意流量是阻断这类攻击的重要手段.为检测出物联网中存在的恶意加密流量,并确保流量特征对检测系统未知,提出
19、一种具备终端匿名化的加密流量双层过滤方法.加密流量双层过滤主要包含接入匿名化、接入受信度过滤和协商密码体制过滤,总体架构如图所示.图加密流量双层过滤结构)接入匿名化.对每个接入物联网的终端设备授予一个匿名身份,构建匿名化的流量检测环境,防止攻击者利用流量隐私对物联网终端身份恶意推断.)接入受信度过滤.通过对流量源终端的接入受信任程度进行评估,对不可信终端发送的流量进行阻断,达到从源头过滤恶意流量的目的.接入受信度依据其对当前接入环境的熟悉程度以及终端身份验证的正确性进行评估.对于来自于较高受信度终端所流量予以转发.对于来自于较低受信度终端所发送的流量直接丢弃.对于中等受信度的终端,由于无法对其
20、发布的流量进行判断,将流量转发至第二级过滤.)协商密码体制过滤.考虑到建立安全传输前会协商相应的加密算法,因此在过滤的过程中先对流量密文的随机特征进行识别,分类所属的密码体制,不属于非协商密码体制的流量将被丢弃,属于密码体制的流量将予以转发.加密流量双层过滤方法设计为提升系统的网络通信质量,恶意流量检测方法被广泛应用到入侵检测系统中.传统的流量检测方法通过对流量特征及流量载荷的检测区分恶意流量.然而,随着个人隐私泄露事件频发,越来越多的加密组件被应用到通信过程中.在实际的加密传输中并非所有的内容都是以密文形式存在的,一些流量的显著特征并没有被屏蔽掉.加密流量双层过滤方法首先引入终端匿名接入方法
21、,构造源终端匿名的流量环境,防范流量检测模块利用流量隐私对源终端身份的恶意推断.其次,采用接入终端受信度评估,过滤来自低受信度终端的流量.对于中等受信度终端流量,由于评估困难,转发至第二层过滤.第二层过滤基于深度学习识别出加密流量所使用的密码算法,判断是否是此前协商的密码算法,从而对恶意加密流量进行过滤.此 外,检 测 服 务 提 供 者(D e t e c t i o nS e r v i c eP r o v i d e r,D S P)是由一个或一组高可用且计算资源充足的服务器构成,可实现加密流量检测服务的外包化,以缓解物联网的计算负载.终端匿名化接入通过物联网终端的匿名接入,可在不破坏
22、流量特征的前提下,防范利用流量特征对源终端身份的恶意推断.终端匿名化接入方法包含终端匿名身份生成和终端匿名身份验证两个连续阶段.终端匿名身份生成由于D S P往往是半诚实且好奇的,表现为对待检测加密流量有一定程度的好奇,并且可能会绕过一些安全措施直接访问原始数据.因此,为确保匿名环境的安全构建,在匿名身份生成和验证过程中,检测服务提供者应仅具有代理转发的功能.终端匿名身份生成过程如图所示.第 卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方法图终端匿名身份生成过程利用代理重加密实现的匿名身份生成包含以下个步骤.步骤每个接入终端选取一个新鲜随机数n作为一个临时的匿名参数,并发送一个匿名
23、身份请求RTI DETp(n TI DsTs(n)tR)rT A给D S P.其中:Tp为接入终端的公钥;TI D为接入终端的真实身份;sTs(n)为接入终端对n的签名;接入终端利用其私钥Ts和目标服务器身份信息,创建一个重加密密钥rT A;tR为匿名服务的请求时间戳.步骤D S P通过rT A计算重加密密文RTI Dr,并转发RTI Dr给匿名服务器.匿名服务器利用其私钥As解密RTI Dr,匿名服务器在中检索n,是一个由匿名服务器维护的匿名参数列表.步骤如果n不在匿名参数列表中,则匿名服务器计算匿名身份PI Dh(TI Dn),并由私有链维护一个真实身份和匿名身份的映射记录表P I D,其
24、中该私有链仅由匿名服务器拥有访问权限.如果n在中,匿名服务器发送一个重置响应给接入终端,并要求接入终端重新选取临时匿名参数n直到该参数不重复,以此确保每个接入终端拥有唯一匿名身份.步骤匿名服务器回复一个匿名身份响应SPI DEAp(PI DsAs(PI D)tS)rA T给D S P.其中:Ap为匿名服务器的公钥;PI D为接入终端的匿名身份;sAs(PI D)为匿名服务器对匿名身份的签名,代表匿名身份PI D由匿名服务器生成;tS为服务响应时间;匿名服务器利用其私钥As和接入终端身份共同生成重加密密钥rA T.步骤匿名化响应SPI Dr由D S P广播.D S P利用rA T和SPI D 计
25、算重代理密文SPI Dr.接入终端利用其私钥Ts解密SPI Dr,接入终端获取其匿名身份PI D.终端匿名身份验证终端匿名身份验证过程如图所示,具体步骤如下.图终端匿名身份验证步骤接 入 终 端 发 送 匿 名 身 份 认 证 请 求RVPI D(PI DsTs(PI D)tRv)rT A给D S P.其中:PI D为接入终端的匿名身份;sTs(PI D)为对接入终端匿名身份PI D的签名;接入终端的重加密密钥rT A则利用其私钥Ts和目标服务器身份构建;tRV为匿名服务的认证请求时间戳.步骤 D S P利 用rT A计 算 重 加 密 密 文RVPI Dr并转发RVPI Dr给匿名服务器.匿
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联网 具备 终端 匿名 加密 流量 双层 过滤 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。