基于規則擬合的TCP數據包流量混淆系統

張琪鑫　吳　超　羅　娜　魏松杰

(南京理工大學計算機科學與工程學院　江蘇 南京 210094)

0　引　言

以互聯網信息傳播為基礎的信息技術時代，網絡數據交換越發頻繁，應用程序的網絡流量在承載并傳輸用戶信息的同時，也成為行為模式分析、數據挖掘、用戶追蹤、隱私泄露的一個薄弱環節。雖然通過數據加密技術和網絡安全協議，可以保證網絡數據在傳播過程中內容的保密性和完整性，但通過對于指定網絡接入設備和應用程序的連接會話、數據流量的分布情況的分析記錄，可以輕易地區分并識別不同的網絡流量發送實體，進而對于特定的網絡接入設備和應用程序進行特征描述和行為追蹤[1]。這類方法在網絡流量分析和異常檢測中為研究者提供了基于流量工程的獨特檢測方法，但在網絡攻擊者和隱私竊取者手里，也成為了嗅探、識別用戶網絡行為隱私的雙刃劍[2-3]。

流量混淆作為網絡流量數據在分發共享過程中的一個隱私保護手段，可以實現在不改變流量數據包的分布特征、時序狀態和數據一致性的前提下，對于指定包頭信息的混雜和模糊，典型的如Anonym、Anontool等[4-5]。但這些混淆工具不適用于對于網絡流量的實時在線處理，無法支持具有隱私保護的匿名通信過程。流量混淆方法可以用于在線匿名通信，例如常用的匿名通信系統Tor[6]。為了抵御流量分析和流量監管，Tor引入了多種傳輸插件對其流量進行混淆。Meek作為Tor的一種最常用的傳輸插件，它把Tor的流量偽裝成訪問云服務平臺的流量。Meek通過第三方服務器進行流量轉發，使得傳輸內容看起來像是在訪問另一個站點[7]。但是基于Tor的匿名通信系統，也存在著以下不足[8]：

1) 依賴基于瀏覽器代理的加密技術，通過瀏覽器建立HTTPS隧道進行流量傳輸，從而隱藏Tor的TLS指紋特征。

2) 由于Tor匿名流量必須經過第三方服務器，所以它的連接特征、數據流統計特征和數據流動態特征趨于固定，可以被基于SVM等的機器學習算法分類建模，實現對Tor匿名流量的識別。

3) Tor系統的混淆無法根據用戶需求定制方案。

本文針對以上Tor匿名通信系統的不足，面向移動智能設備平臺上的應用程序流量，立足于對于網絡TCP數據包流量的實時處理與在線混淆，設計并實現了一個基于規則擬合的數據包混淆系統，其主要功能與創新點如下：

1) 設計并實現了一個基于混淆規則的流量擬合系統，可以實時地在網絡連接端口實現TCP數據包的嗅探、緩存、處理、轉發。

2) 提出的混淆方法完全從數據流統計特征、數據流靜態特征和數據流動態特征進行處理，混淆后的TCP數據包流量難以被現有的面向網絡時序數據的機器學習算法分析建模或分類識別。

3) 用戶可以對數據包的分布、間隔、順序、長度等四種時序特征處理方法進行組合定制，實現自己所需的TCP流量的混淆效果。

4) 系統實現作為獨立程序運行在網絡層，不需要第三方軟件環境，混淆窗口和細粒度可以被用戶自由定制。

1　系統設計

本系統基于OSI網絡層次結構模型，在網絡層實現面向TCP數據包的流量混淆功能，在網絡端口實現數據包的截取和緩存，在應用程序實現對于混淆規則的配置和管理，具體系統架構如圖1所示。運行在設備網絡連接端口上的數據包嗅探程序，將所有符合混淆規則的IP網絡流量，例如指定協議和端口的數據包，進行截取并存入相應的緩存隊列。混淆引擎接收應用層程序和用戶對于混淆目標的設置，并將設置的規則與模板提供給網絡流量混淆引擎。網絡流量混淆引擎根據規則設定，調用相應的混淆功能模塊，對緩存隊列中的數據包進行在線處理，將處理結果即混淆后的新的數據包通過鏈路層注入到網絡環境中。

圖1　流量混淆的系統結構圖

圖2具體描述了運行在網絡層的數據包混淆流程。本系統目前共支持四種數據包混淆操作，即針對數據包的分布擬合、時間間隔、相鄰順序和包長度的調整和混雜操作。分布擬合功能就是將截取的多組數據包分析后按照指定時序特征發送出去，是對于已知樣本數據包的分布特征的模擬，這需要應用層提供作為被模擬對象的數據包流樣本。時間間隔混淆就是在不改變數據包個數和相鄰順序的前提下，將數據包之間的發送時間間隔進行調整和控制，以便符合應用程序設置的間隔時間分布規律。順序混淆是指將一段時間窗口中的相鄰數據包的局部發送順序進行調整亂序。長度混淆是指對于相鄰數據包進行符合混淆規則的合并和拆分，其效果為數據包個數的改變。未來根據用戶的隱私保護和流量亂序的需求，并可以開發并配置更多的混淆操作功能模塊。所有混淆模塊對數據包流的混淆操作后，必須保證相應的TCP連接不能中斷，并且收到服務器返回的應答信息也不能出錯，即不能影響應用層的正常通信功能。

圖2　數據包流量混淆的流程

2　混淆方法

本節主要介紹四種流量混淆操作的基本思路。其中流量分布擬合即將A流量的分布擬合成符合另一流量B特性的新流量。其他三種混淆方式則在時間、順序、長度上進行數據包流的混雜效果。同時這三種方式也可以互相疊加重復。例如，mixorder(order1,order2,mixinterval(normal,traffic))的方式就是先對traffic數據包的時間間隔按照正態分布混淆后，再將混淆后的數據包的order1和order2的次序對調。

2.1　流量分布擬合simulate(trafficA,trafficB)

先讀取trafficA的流量信息，著重分析其包間間隔的時序特征，隨后我們再讀取trafficB的流量信息，著重分析其包計數。再將trafficA的時序特征擬合到trafficB上，就能實現流量分布特征的擬合目的。

2.2　時間間隔mixinterval(distribution,traffic)

通過總結Tor匿名通信系統固定數據流統計特征的不足，本系統采用隨機化的辦法，將數據包之間的時間間隔混淆成無法體現用戶流量特性的多種隨機分布再發送出去，支持正態分布mixinterval(normal,traffic)、指數分布mixinterval(exp,traffic)等。

2.3　包序混淆mixorder(order1,order2,traffic)

典型的TCP協議實現具有差錯控制機制，即對于提前到達的亂序數據包暫不確認，直到前面的順序數據包到達后再一起進行累計確認。依托于這一機制，將一個session內指定時間窗口的數據包順序進行混淆。若超時發送方仍未收到確認，發送方將重發該數據段，造成接收方收到重復數據段，接收方只需要簡單地丟棄重復段即可，不影響連接雙方的正常通信。

2.4　長度混淆mixamount(seq,amount,traffic)

利用TCP連接的Seq和Ack連接機制，將一個會話內指定的數據包拆分為多個數據包，或者將多個連續數據包進行報文合并，以期改變會話過程中數據包的個數，以及單個數據包的長度[9]。圖3顯示了該混淆操作的一個具體的混淆示例。

圖3　數據包的長度混淆示例

3　實驗結果與分析

為了驗證所提出的面向TCP數據包的流量混淆系統的有效性和運行效率，對主流移動應用Android平臺進行了混淆的系統實現和實驗驗證。其中混淆模塊采用Android系統中的VpnService形式進行實現。對于數據包的各種混合操作采用Python腳本程序實現。在實驗過程中運行的網絡連接端口的網口監控和數據包抓取采用scapy開源軟件[10]，它是一款功能豐富的交互式數據包處理、網絡掃描和發現工具。提供多種類別的交互式數據包構造和分析方法，能方便地對數據包進行編輯、發送、嗅探、應答和反饋匹配等。

3.1　實驗方法

實驗設計：將不同類型的Android應用App單獨運行在模擬器上，采用ADT中的Monkey工具進行人機交互并捕獲產生的網絡流量數據。在此基礎上，進行以下兩種方式的流量清洗與選擇：(1) 過濾掉TCP/IP等其他協議的通信數據；(2) 過濾掉一些不完整或中斷的TCP連接的數據流量。在網絡流量清洗后，進行流量分布擬合與流量混淆兩類實驗，其中流量混淆由包間隔混淆、包順序混淆、包長度混淆三種方式疊加而成，并采用了不同的混淆參數進行三次混淆實驗。

特征提取：分析pcap流量文件，提取了總包數、總連接數、平均TCP連接時長、源地址端口信息熵、目的地址IP信息熵、目的地址端口信息熵。信息熵表示信息的分散與混亂程度，能夠一定程度上量化信息的價值。信息熵的計算公式如下：

(1)

式中：pi表示每一種信源Ui出現的概率，若某一信息的取值確定且唯一，例如源地址端口的IP信息，那么該信息的信息熵為0，即該信息只存在有一種取值，沒有繼續探索的價值。因此，實驗分析中并沒有使用源端口IP信息熵。

相似度分析：實驗采用歐幾里德距離與余弦相似度進行流量擬合與混淆的相似度評估。歐幾里德距離衡量的是空間中兩點的實際距離，即與流量各個維度的特征值大小直接相關，距離越小，兩點位置越近。余弦相似度則是度量空間兩個向量的夾角，強調的是方向上的差異，相似度越接近1，則兩向量越相似。若對于兩個網絡流量中的TCP數據包序列X和Y可以分別提取出一系列特征：X(x1,x2,…,xn),Y(y1,y2,…,yn)，則兩點之間的歐幾里德距離與余弦相似度的計算公式如式(2)、式(3)所示，式(4)可進一步將歐幾里德距離轉換為相似度Sim1進行度量。實驗采用Sim1、Sim2這兩種評估方式綜合度量流量擬合與混淆的效果，更具有說服力與可信度。

(2)

(3)

(4)

3.2　實驗結果

針對Android應用程序的網絡流量分析和行為建模方面的研究，已經發現具有相似功能的應用程序在網絡流量上具有行為一致性，而不同類型應用程序的網絡流量則在時序特征上差別較大[3]。以下實驗將選用具有不同網絡流量特征的三類應用程序進行流量混淆和比較。

3.2.1流量擬合

實驗中采用Android平臺上的新聞類應用“百度新聞”、社交類應用“陌陌”與視頻類應用“愛奇藝視頻”進行流量擬合分析。具體方法是通過分析百度新聞、陌陌與愛奇藝視頻的流量，使得愛奇藝視頻應用、陌陌應用的流量特征與分布與百度新聞相似，從而實現指定目標流量對象的擬合。

如圖4(a)所示，展示了三種不同類型APP的典型網絡行為。因為新聞類應用的特點是一次點擊返回大量回復，所以圖中顯示的百度新聞在0～0.5秒內已經返回了80%的數據包。視頻類應用的特點是連續綿長的連接，所以愛奇藝視頻在圖中顯示為較為均勻的分布特征。社交類應用在無廣告時都是發送消息時才會發送流量，所以陌陌在圖中表現為時斷時續的階梯型特征。圖4(b)是將視頻類和社交類應用擬合成新聞類應用后的分布圖，除了在拐點處有細小差別外，其余時間間隔的分布與新聞類的行為特征無異。如果不考慮數據包的內容信息，單從時序特征分析，愛奇藝這種視頻類和陌陌這種社交類的流量特性已經非常類似于新聞類的流量特征。混淆后的網絡流量在TCP/IP層完全可以抵御基于類別的數據流量分析和建模。

圖4　網絡流量的數據包分布擬合

3.2.2流量混淆

本實驗中對搜狐新聞與百度新聞的流量進行包間隔混淆、包順序混淆、包長度混淆三種方式的疊加混淆，同時還修改了源地址與目的地址的端口信息，混淆結果如表1和表2所示。

表1　搜狐新聞App的流量混淆結果

表2　百度新聞App的流量混淆結果

由數據可知，每一列的特征值并不是處于相同規模，因此采用式(5)進行歸一化預處理：

(5)

歸一化后，實驗分別采用歐幾里德相似度式(4)與余弦相似度式(3)計算原始流量與混淆后流量的相似度Sim1、Sim2。表3、表4分別為搜狐新聞特征值歸一化的結果與相似度計算結果。表5、表6為百度新聞特征歸一化后的結果與相似度計算結果。歐幾里德相似度的取值范圍為[0,1]，越接近1則越相似；余弦相似度的取值范圍為[-1,1]，越接近1表示方向越相似，等于0表示方向不相似，越接近-1則表示方向完全相反。由表4、表6可發現，兩個應用的混淆效果都較好，歐幾里德相似度都低于0.3，余弦相似度都小于0，證明本文提出的混淆方法的有效性。

表3　搜狐新聞應用的流量歸一化處理結果

表4　搜狐新聞應用的流量混淆結果

表5　百度新聞應用的流量歸一化處理結果

表6　百度新聞應用的流量混淆結果

4　結　語

本文針對TCP網絡流量數據包，設計并實現了一個在線流量混淆系統，可以實現流量擬合和流量混雜兩大功能，并支持不同混淆的規則定義與操作組合。通過實驗結果分析可以看出，擬合流量的相似度很高，對流量的混淆也具有選擇性與針對性。本系統目前采用VpnService方式部署在Android平臺上時，每秒能同時并發處理上千個應用數據包請求，且能在1秒內完成對流量的擬合和模擬，用戶端幾乎沒有延遲感。

本系統專注于數據流統計特征、數據流靜態特征、數據流動態特征的混淆，并不依賴于第三方服務器，但是可以擴展并部署在第三方代理服務器上；也不需要指定的瀏覽器插件，基于最常用的TCP連接，即可實現對既有數據包的擬合和混淆，擬合和混淆均不會斷開原先連接，且能收到既定的回復；用戶還可以自定義自己的混淆方式，大大增強了混淆的靈活性。

[1] RezaeiTabar A H,Diyanat A,Khonsari A.On the Perfect Privacy:A Statistical Analysis of Network Traffic Approach[J].IEEE Communications Letters,2016,20(7):1357-1360.

[2] Lakhina A,Crovella M,Diot C.Mining anomalies using traffic feature distributions[C]//ACM SIGCOMM Computer Communication Review.ACM,2005,35(4):217-228.

[3] Wei S,Wu G,Zhou Z,et al.Mining network traffic for application category recognition on Android platform[C]//Progress in Informatics and Computing (PIC),2015 IEEE International Conference on.IEEE,2015:409-413.

[4] Foukarakis M,Antoniades D,Antonatos S,et al.Flexible and high-performance anonymization of NetFlow records using anontool[C]//Security and Privacy in Communications Networks and the Workshops,2007.SecureComm 2007.Third International Conference on.IEEE,2007:33-38.

[5] Farah T,Trajkovic L.Anonym:A tool for anonymization of the Internet traffic[C]//Cybernetics (CYBCONF),2013 IEEE International Conference on.IEEE,2013:261-266.

[6] Tor Anonymity Network[OL].https://www.torproject.org/.

[7] 李響.基于Meek的Tor匿名通信識別方法的研究和實現[D].北京交通大學,2016.

[8] 周勇.基于Tor的匿名通信研究[D].西安電子科技大學,2013.

[9] 楊偉偉,劉勝利,蔡瑞杰,等.一種Tor匿名通信系統的改進方案[J].信息工程大學學報,2012,13(4):503-507.

[10] 李樹軍.Scapy在網絡協議分析實驗教學中的應用[J].實驗科學與技術,2014,12(6):110-113.