[发明专利]一种基于发包速率的加密流量分析防御方法

说明书

本发明公开了一种基于发包速率的加密流量分析防御方法，着眼于基于发包速率的防御方法，在互联网飞速发展与网络安全、个人隐私愈加被重视的背景下，基于发包速率的概率分布，提出一种在减少发包速率差异化的同时保证插入哑包所带来的额外带宽开销最小化，使得加密流量分析技术不能准确识别某一流量数据所代表的网络行为的防御方法。本发明充分挖掘发包速率的统计特性，应用于不同安全协议下的加密流量防御，具有很强的适应性和可行性。

技术领域

本发明属于网络安全与用户隐私领域，特别涉及一种基于发包速率的加密流量分析防御方法。

背景技术

近年来频繁发生的用户隐私泄露事件受到全世界的广泛关注，企业和个人在网络上传输信息时也十分重视信息的隐私性和安全性。据调查统计，目前已有超过60％的网络流量采用TLS/SSL进行加密通信，对信息进行加密可以保证传输内容的安全性，但是用户在访问网站时与该网站之前进行的流量通信行为却不能被加密，加密流量识别技术(WebsiteFingerprinting)就能在未知通信内容的情况下，在网络数据包层面统计发现不同网站请求行为产生的通信流量之间的差异性，借助机器学习模型对这些加密流量进行分类。可见，尽管安全协议的使用保证了用户的通信内容不被泄露，但是用户的行为极有可能被特定的组织或个人识别。如何减小通信流量之间的差异性，即数据包大小或发包速率等，使得用户的行为不能被加密流量分析技术准确识别是非常值得关注的问题。

选择一种合理有效的基于发包速率的防御方法，是一个非常重要的问题，理由包括：(1)网络传输的数据量越来越大，防御需要额外的带宽开销，而带宽资源有限。(2)额外的哑包发送，加重通信双方的负载，会带来不可忽略的时间延迟。

国内外相关的基于发包速率的防御方法是以固定速率发送数据包。这种防御策略会带来很高的时间延迟，导致用户的请求不能被及时响应，严重影响用户的上网体验，且中间插入的哑包也会增加额外的带宽开销。

由此可见，现有的基于发包速率的防御方法为了达到较好的防御效果付出了高额的代价。而另一方面，协调防御效果和防御代价二者的平衡性，大大提高了防御手段在真实网络环境下的可行性。

发明内容

本发明的目的在于提供一种基于发包速率的加密流量分析防御方法，以解决上述问题。

为实现上述目的，本发明采用以下技术方案：

一种基于发包速率的加密流量分析防御方法，包括以下步骤：

步骤1：给定在某一匿名网络或加密代理传输下连续抓取n天的流量数据pcap文件，将其解析为时间戳，数据包长度，数据传输方向格式的流量数据序列；

步骤2：根据流量数据序列中每条数据的数据传输方向不同，将其分为发送方向上的序列和接收方向上的序列；

步骤3：在发送方向的流量数据序列上做以下处理：从第二条数据开始，计算每条数据和上一条数据的时间戳差值，再对每一个差值求以10为底的对数log10(x)并向下取整，统计出数据条数最多的5个对数值，再计算以10为底，分别以这5个值为指数的间隔值，记为{x₁,x₂,x₃,x₄,x₅}；设置最大间隔值为x_max，要求x_max大于x_i(i＝1,2,3,4,5)；

步骤4：当前数据包发送后，启动一个超时时间为x_max的定时器，同时在5个间隔值中进行加权随机抽样，选择一个x_i表示从当前开始等待x_i时间后发送一个哑包，在等待期间如果有下一个真实数据包可以发送就取消发送哑包，直接发送真实数据包；否则，就继续抽样选择x_i连续发送哑包直到定时器超时；

步骤5：重复步骤4，直至需要传输的数据包发送完毕。