物联网中具备终端匿名的加密流量双层过滤方法.pdf

资源描述

1、第卷第期年月西安邮电大学学报J OUR NA LO FX I ANUN I V E R S I T YO FP O S T SAN DT E L E C OMMUN I C A T I ON SV o l N o M a r d o i:/j i s s n 物联网中具备终端匿名的加密流量双层过滤方法冯景瑜,张静,时翌飞(西安邮电大学网络空间安全学院,陕西西安 )收稿日期:基金项目:国家自然科学基金项目();国家电网有限公司科技项目(J )作者简介:冯景瑜(),男,博士,副教授,从事物联网安全研究.E m a i l:f e n g j y x u p t e d u c n张静()

2、,女,硕士研究生,研究方向为隐私保护与物联网安全.E m a i l:z h a n g j i n g c o m摘要:为平衡物联网中加密流量检测困难同流量特征隐私保护需求之间的冲突,提出一种具备终端匿名化的恶意加密流量双层过滤方法.通过终端匿名化方法阻断基于流量特征的终端身份推断,构建对流量检测模块匿名的流量环境.采用终端接入受信度评估构建第一层过滤,将来源于失陷终端的流量阻断,来源于信任终端的流量放行.在第二层过滤中,对加密流量进行随机性检测构建特征空间,采用前馈神经网络(F e e d f o r w a r dN e u r a lN e t w o r k,F NN)以区分不同的加

3、密密码算法,过滤掉不属于协商算法集合的恶意流量.实验分析表明,所提的加密流量双层过滤方法在终端匿名的流量环境下,可通过对失陷终端的准确检测抑制恶意流量,并利用密码体制识别实现对恶意流量的二次过滤.关键词:物联网;匿名化;信任过滤;随机性测试;密码体制识别中图分类号:T P 文献标识码:A文章编号:()A ne n c r y p t e dt r a f f i cd o u b l e l a y e r f i l t e r i n gm e t h o dw i t ht e r m i n a l a n o n y m i t y i nI n t e r n e t o fT h

4、 i n g sF E N GJ i n g y u,Z HAN GJ i n g,S H IY i f e i(S c h o o l o fC y b e r s p a c eS e c u r i t y,X ia nU n i v e r s i t yo fP o s t sa n dT e l e c o mm u n i c a t i o n s,X ia n ,C h i n a)A b s t r a c t:T os o l v e t h ec o n f l i c tb e t w e e ne n c r y p t e dt r a f f i cd e t

5、e c t i o na n dp r i v a c y p r e s e r v i n gt r a f f i c i nt h e I n t e r n e t o fT h i n g s,ad o u b l e l a y e r f i l t e r i n gs c h e m e f o r e n c r y p t e d t r a f f i cw i t ht e r m i n a l a n o n y m i t yi sp r o p o s e d B yb l o c k i n g t h e t e r m i n a l i d e n

6、t i t y i n f e r e n c eb a s e do n t r a f f i c c h a r a c t e r i s t i c s t h o u g h t e r m i n a ld a t a a n o n y m i z a t i o n,a t r a f f i c e n v i r o n m e n t f o r a n o n y m o u s t r a f f i cd e t e c t i o nm o d u l e i s c o n s t r u c t e d A c c e s s t r u s t v a l

7、 u e i s a d o p t e d t oc o n s t r u c t t h e f i r s t f i l t e r i n g l a y e r,i nw h i c ht h e t r a f f i c f r o mt h e c o m p r o m i s e dt e r m i n a lw i l lb eb l o c k e d,w h i l et h et r a f f i c f r o mt h et r u s t e dt e r m i n a lw i l lb er e l e a s e d T h ef e e d

8、f o r w a r dn e u r a ln e t w o r k(F NN)c r y p t o s y s t e mc l a s s i f i e rw i t hr a n d o m n e s s t e s t i sd e s i g n e dt or e a l i z e t h es e c o n df i l t e r i n g l a y e r,w h i c hf i l t e r so u t t h em a l i c i o u s t r a f f i c t h a td o e sn o tb e l o n gt o t

9、h es e to f t h en e g o t i a t e da l g o r i t h m s S i m u l a t i o nr e s u l t ss h o wt h a t t h ed o u b l e l a y e r f i l t e r i n gs c h e m ec a ne n h a n c e t h ea c c u r a c yo fc o m p r o m i s e dt e r m i n a ld e t e c t i o n,s oa st os u p p r e s st h em a l i c i o u s

10、e n c r y p t e dt r a f f i c,a n du s et h ec r y p t o g r a p h i cs y s t e mc o g n i t i o nt oa c h i e v et h es e c o n d a r yf i l t e r i n go fm a l i c i o u st r a f f i c K e y w o r d s:I n t e r n e to fT h i n g s;a n o n y m i z a t i o n;t r u s t f i l t e r;r a n d o m n e s

11、st e s t;c o g n i t i o no fc i p h e rs y s t e m随着微型传感器和驱动器在传统工业体系中的广泛接入,促使传统工业加速转型为具备灵活感知、密集互动、自主保障和调节能力的物联网(I n t e r n e to fT h i n g s,I o T),通过数量庞大的终端第卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方法设备向控制中心提供感知数据以帮助控制中心实施准确的决策.然而,由于缺乏有效保护,终端极易被攻陷,从而变成攻击实施的帮凶.通过控制大量的终端向目标系统释放恶意流量,攻击者可以使系统通信受阻,导致系统宕机.

12、因此,恶意流量检测已作为一个重要的研究方向被广泛应用到入侵检测系统中,以提升目标系统的网络通信质量.为应对日趋开放和动态的网络边界造成的个人隐私泄露风险,通用数据保护规范个人信息安全规范相继出台,以在政策层面对风险进行控制.此外,传输层安全(T r a n s p o r t L a y e rS e c u r i t y,T L S)、互联网安全协议(I n t e r n e tP r o t o c o lS e c u r i t y,I P S e c)等密码安全套件也被广泛应用到信息系统中,以增强个人隐私保护能力.网络通信中充斥着大量以加密形式存在的流量,明文特征作为识

13、别依据的流量检测方法表现堪忧,有效识别恶意加密流量成为了更具挑战性的研究方向之一.目前,针对于加密流量检测的方法大体上可分为基于机器学习的恶意流量识别和基于密码学的恶意流量识别.基于机器学习的恶意流量识别主要通过提取加密流量的特征,构造训练集训练分类模型,通过对模型的优化得到较好的识别率.结合多特征的恶意加密流量检测方法通过融合加密流量会话包长、时间马尔可夫链、证书及协议等特征,构造了一个长达维的特征向量,并利用机器学习方法实现对恶意流量的检测.文献将E f f i c i e n t n e t B 模型迁移到加密流量数据集上进行部分重训,从而实现了在小样本条件下对加密流量的精准检测.基

14、于密码学的恶意流量识别的核心在于通过可搜索加密实现对加密流量中恶意关键字的识别.文献通过将可搜索密文检索技术同深度包检测技术的有效结合,提出了一种针对于加密流量的检测技术.此外,加密恶意流量识别还表现出一些场景特性.在云环境下的恶意流量检测场景下,文献提出了使用信任过滤的方式率先检测出一部分恶意流量源头,以减轻云环境下的检测恶意流量所产生的计算负载.文献针对于车联网环境提出了一种通过路边单元使用H u r s t自相似参数估计检测流量相似性的方法,以检测到恶意流量的突增.考虑到当待检测流量被重定向到流量检测中间件时,中间件常以外部接入的形式存在,将不可避免地引发隐私问题,导致流量特征泄露

15、.因此,为有效缓解流量特征泄露问题,流量特征加密技术被广泛应用.文献提出利用同态加密的方式在两台非共谋的云服务器上实现恶意关键字的匹配和检测,在对流量内容和特征保护的条件下实现恶意流量检测.文献针对于网络流量的异常值检测时涉及的隐私问题,提出了一种用于增量数据集的隐私保护异常值检测协议,通过高效可互换的协议实现了多个加密模块,并集成活动窗口,定期淘汰过期数据,保护流量隐私.尽管这类处理方法使得流量特征得到了保护,但由于数据部分性质缺失,一些依赖于流量特征的识别方法无法发挥其特点.因此,如何平衡流量隐私保护同流量检测效率之间的冲突,成为亟待解决的问题.此外,由不同密码体制所产生的密文在统计特

16、征上表现出一定的差异,利用这些差异化特征的密码体制识别成为了恶意流量检测中新的应用方向.基于随机森林的密码体制分层识别方案,先通过簇分识别加密算法所属的密码体制,再利用单分识别具体的密码算法,其在多分类任务场景下的准确率维持在 .基于决策树的密码体制识别方案,在针对S M 与常用密码体制的二分类识别过程中,识别率表现较为优异.文献基于美国国家标准与技术研究院(N a t i o n a l I n s t i t u t eo fS t a n d a r d sa n dT e c h n o l o g y,N I S T)公布的随机性测试标准提出了新的特征提取方法,并借助随机森林实现

17、密码体制识别,其在较少密文特征下可实现较高的识别准确率.然而,上述工作并未涉及安全套接字层/传输层安全(S e c u r eS o c k e tL a y e r/T r a n s p o r tL a y e rS e c u r i t y,S S L/T L S)常用加密算法的识别,多数识别方法采用传统的机器学习实现,识别效果受限于模型的表现能力.针对加密流量检测的困难性以及流量特征的隐私性需求,拟设计一种具备终端匿名化的加密恶意流量的双层过滤方法.通过终端接入匿名化方法抵御利用流量隐私的终端身份推断,确保流量检测模块对现网流量环境是未知的.此外,针对加密流量检测的困难

18、性,首先,利用终端接入受信程度评估方法,根据接入终端的诚实性从源头阻断恶意流量.其次,根据安全通信过程中的协商密码算法集合,利用随机性检测提取流量特征,区分加密流量使用的密码算法,筛选掉不属于协商算法的恶意加密流量.西安邮电大学学报年月系统架构作为物联网生态重要的一环,大量的物联网终端被广泛部署在偏远地区,难以维护和缺乏必要的安全策略使其长期暴露在风险中.一旦物联网终端失陷,终端设备将变成攻击帮凶,系统中会充斥着大量的恶意流量,造成通信阻塞的同时也将影响控制中心的最终决策.因此,有效检测出恶意流量是阻断这类攻击的重要手段.为检测出物联网中存在的恶意加密流量,并确保流量特征对检测系统未知,提出

19、一种具备终端匿名化的加密流量双层过滤方法.加密流量双层过滤主要包含接入匿名化、接入受信度过滤和协商密码体制过滤,总体架构如图所示.图加密流量双层过滤结构)接入匿名化.对每个接入物联网的终端设备授予一个匿名身份,构建匿名化的流量检测环境,防止攻击者利用流量隐私对物联网终端身份恶意推断.)接入受信度过滤.通过对流量源终端的接入受信任程度进行评估,对不可信终端发送的流量进行阻断,达到从源头过滤恶意流量的目的.接入受信度依据其对当前接入环境的熟悉程度以及终端身份验证的正确性进行评估.对于来自于较高受信度终端所流量予以转发.对于来自于较低受信度终端所发送的流量直接丢弃.对于中等受信度的终端,由于无法对其

20、发布的流量进行判断,将流量转发至第二级过滤.)协商密码体制过滤.考虑到建立安全传输前会协商相应的加密算法,因此在过滤的过程中先对流量密文的随机特征进行识别,分类所属的密码体制,不属于非协商密码体制的流量将被丢弃,属于密码体制的流量将予以转发.加密流量双层过滤方法设计为提升系统的网络通信质量,恶意流量检测方法被广泛应用到入侵检测系统中.传统的流量检测方法通过对流量特征及流量载荷的检测区分恶意流量.然而,随着个人隐私泄露事件频发,越来越多的加密组件被应用到通信过程中.在实际的加密传输中并非所有的内容都是以密文形式存在的,一些流量的显著特征并没有被屏蔽掉.加密流量双层过滤方法首先引入终端匿名接入方法

21、,构造源终端匿名的流量环境,防范流量检测模块利用流量隐私对源终端身份的恶意推断.其次,采用接入终端受信度评估,过滤来自低受信度终端的流量.对于中等受信度终端流量,由于评估困难,转发至第二层过滤.第二层过滤基于深度学习识别出加密流量所使用的密码算法,判断是否是此前协商的密码算法,从而对恶意加密流量进行过滤.此外,检测服务提供者(D e t e c t i o nS e r v i c eP r o v i d e r,D S P)是由一个或一组高可用且计算资源充足的服务器构成,可实现加密流量检测服务的外包化,以缓解物联网的计算负载.终端匿名化接入通过物联网终端的匿名接入,可在不破坏

22、流量特征的前提下,防范利用流量特征对源终端身份的恶意推断.终端匿名化接入方法包含终端匿名身份生成和终端匿名身份验证两个连续阶段.终端匿名身份生成由于D S P往往是半诚实且好奇的,表现为对待检测加密流量有一定程度的好奇,并且可能会绕过一些安全措施直接访问原始数据.因此,为确保匿名环境的安全构建,在匿名身份生成和验证过程中,检测服务提供者应仅具有代理转发的功能.终端匿名身份生成过程如图所示.第卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方法图终端匿名身份生成过程利用代理重加密实现的匿名身份生成包含以下个步骤.步骤每个接入终端选取一个新鲜随机数n作为一个临时的匿名参数,并发送一个匿名

23、身份请求RTI DETp(n TI DsTs(n)tR)rT A给D S P.其中:Tp为接入终端的公钥;TI D为接入终端的真实身份;sTs(n)为接入终端对n的签名;接入终端利用其私钥Ts和目标服务器身份信息,创建一个重加密密钥rT A;tR为匿名服务的请求时间戳.步骤D S P通过rT A计算重加密密文RTI Dr,并转发RTI Dr给匿名服务器.匿名服务器利用其私钥As解密RTI Dr,匿名服务器在中检索n,是一个由匿名服务器维护的匿名参数列表.步骤如果n不在匿名参数列表中,则匿名服务器计算匿名身份PI Dh(TI Dn),并由私有链维护一个真实身份和匿名身份的映射记录表P I D,其

24、中该私有链仅由匿名服务器拥有访问权限.如果n在中,匿名服务器发送一个重置响应给接入终端,并要求接入终端重新选取临时匿名参数n直到该参数不重复,以此确保每个接入终端拥有唯一匿名身份.步骤匿名服务器回复一个匿名身份响应SPI DEAp(PI DsAs(PI D)tS)rA T给D S P.其中:Ap为匿名服务器的公钥;PI D为接入终端的匿名身份;sAs(PI D)为匿名服务器对匿名身份的签名,代表匿名身份PI D由匿名服务器生成;tS为服务响应时间;匿名服务器利用其私钥As和接入终端身份共同生成重加密密钥rA T.步骤匿名化响应SPI Dr由D S P广播.D S P利用rA T和SPI D 计

25、算重代理密文SPI Dr.接入终端利用其私钥Ts解密SPI Dr,接入终端获取其匿名身份PI D.终端匿名身份验证终端匿名身份验证过程如图所示,具体步骤如下.图终端匿名身份验证步骤接入终端发送匿名身份认证请求RVPI D(PI DsTs(PI D)tRv)rT A给D S P.其中:PI D为接入终端的匿名身份;sTs(PI D)为对接入终端匿名身份PI D的签名;接入终端的重加密密钥rT A则利用其私钥Ts和目标服务器身份构建;tRV为匿名服务的认证请求时间戳.步骤 D S P利用rT A计算重加密密文RVPI Dr并转发RVPI Dr给匿名服务器.匿

26、名服务器利用其私钥As解密RVPI Dr,匿名服务器检索PI D在匿名身份映射表P I D中.步骤如果PI D在P I D中,验证结果为vP I D,则匿名服务器回复SVvP I DEDp(vP I DsAs(vP I D)tSV)给D S P.其中:Dp为D S P的公钥;sAs(vP I D)是对验证结果的签名;tSV为服务响应时间.如果PI D不在P I D中,验证结果为vP I D,匿名服务器将返回拒绝响应接入终端.步骤D S P利用其私钥Ds解密SVvP I D 并获得身份验证结果vP I D.如果vP I D,D S P将生成访问令牌分发给接入终端,接入终端持令牌加入物联网环境.终

27、端接入受信度评估根据终端的接入环境和历史行为,基于对终端匿名身份验证和访问环境的熟悉程度,评估终端的接入受信度,从源头上过滤掉恶意流量.如果终端受信度较高,则可默认其发送的流量包是可信的,对其发出的流量予以转发.如果终端受信度较低,则认为流量是恶意的不予转发.西安邮电大学学报年月为方便接入受信度的衡量,将最终的接入受信度以归一化的形式映射到,区间内.B e t a概率密度函数凭借其计算简单、灵活高效的特点适合作为信任评估的计算原型,其表达式为B e t a(,)(,)()()()()式中:为物联网终端设备的行动概率,;为物联网终端设备匿名身份验证成功计数,;物联网终端设备匿名身份验证失败计

28、数,.对终端进行匿名身份验证,并将其作为基本接入受信度的评估因素.设第i个终端用户的匿名身份验证成功为Vi,匿名身份验证失败为Vi,则基于对匿名身份验证的统计计数,物联网终端的基本接入受信度的评估表达式为TB A S EiViViVi()然而,仅根据匿名身份验证得到的基本接入受信度在失陷终端检测中表现出一定的滞后性,一旦终端设备被攻击者攻陷,基本受信度将长时间处于小范围的波动中,无法与物联网终端的实际行为模式相匹配.信任作为一种主观状态,应随着用户的交互行为、环境等因素的动态变化而发生变化,利用静态信任进行计算会使最终结果渐渐偏离现实状态.因此,考虑到终端设备的接入环境时常发生变化,设置接入统

29、计计数c(k),利用终端设备对接入环境熟悉程度辅助进行终端受信度的评估.接入统计计数的表达式为c(k)c(k)()式中:为接入门限;k为接入统计次数.终端设备接入统计计数由第一次设备接入时开始,达到接入门限时,/将被重置为.每次接入统计计数包含当前的访问环境信息.此外,设置可信系数fp和可疑系数fd记录每次终端接入的情况,综合这两种系数实现对终端综合接入受信度的评估.接入可信系数表达式定义为fpn k(e(k)c(k)()式中,e(k)为当前接入环境同历史接入环境的相似指标.若当前接入环境同任一历史接入环境均不相同,设置e(k).若当前接入环境同历史接入环境有重叠,则e(k)m/k,m为与历史

30、接入环境相似的次数.若当前接入环境同上次接入环境完全一致,将e(k)直接置为.最终的接入可信系数由接入环境相似指标和接入统计计数乘积决定.接入可疑系数表达式定义为fdn k(d(k)c(k)()式中,d(k)为当前接入环境同历史接入环境的差异指标.若当前的接入环境同任一历史接入环境均不相同,设置d(k).若当前接入环境同历史接入环境有重叠,则将d(k)置为d(k)(km)/k.若当前的接入环境同上次的接入环境相同,置d(k).最终的接入可疑系数由接入差异指标和接入统计计数的乘积决定.由D S P维护一个接入记录表YC,包含终端设备历史访问环境统计信息.定义Fi(f

31、p,fd),(fp,fd),(fp(n),fd(n)为终端接入产生的历史可信系数和可疑系数.利用接入可信系数和可疑系数,依据每次接入环境的变化,引入威胁衰减因子ti,以对环境的变化做出敏感的变化,其表达式为tim e a n(Fi)njfpjfdj()引入威胁衰减因子ti后,终端综合接入受信度可表示为TC OMPiViViViem e a n(Fi)nj(fpjfdj),TB A S Eiti,TB A S Eiti()基于终端接入受信度的流量过滤步骤如下.步骤执行终端匿名身份验证.从加密流量中提取终端签名sTs(PI D)通过匿名服务器验证终端匿名身份PI D.如果身份验证失败,拒绝转发来源

32、于该终端的流量,更新ViVi.否则,更新匿名身份验证成功计数ViVi.步骤计算终端综合接入受信度TC OMPi.首先根据匿名身份验证结果计算基本受信度TB A S Ei.其次,从接入记录表YC获取终端设备的历史接入环境信息,判断当前环境与历史环境的差异性,计算可信系数fp和可疑系数fd.若终端首次接入当前环境,设置e(k),d(k).若当前的接入环境同上次的接入环境完全相同,则设置e(k),d(k).若当前接入环境同历史接入环境有重叠,则设置e(k)m/k,d(k)(km)/k.之后,依据fp和fd计算威胁衰减因子ti,进而得到终端第卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方

33、法综合接入受信度TC OMPi.步骤判定是否将流量转发至第二层过滤.如果TC OMPi小于受信度门限,则认为该流量可信,允许通过.否则,将流量转发至第二层过滤.终端协商密码体制过滤在建立T L S、I P s e c等安全连接前,首先需要参与双方运行握手流程,对加密通信和数据完整性校验所使用到的密码算法达成共识,将安全通信过程中所使用到的密码算法集合定义为集合.如果在加密通信过程中捕获到使用了不属于上述算法集合的加密流量,则认为其为恶意流量予以拦截.如果检测到的加密算法属于提取协商的算法集合中,予以放行.基于这一思路,利用基于随机性检测的密码体制分类方法实现对加密流量的第二层过滤.根据每种加密

34、算法产生的密文在比特串分布上呈现的随机性特征,训练分类模型以区分不同的加密算法.N I S T提出的S P R e v l a随机性检测和度量标准套件被广泛应用到密文随机性衡量上.S P 拥有种随机性度量指标,通过对特征重要性筛选,选取其中较为常见的种随机性检测指标作为对协商密码体制过滤识别的分类特征.下面介绍种常见的检测指标.)串行测试(S e r i a lT e s t).该指标检测所有连续m比特的序列在待检测序列中出现的频率,代表给定长度模式串分布的均匀性.)单个位测试(M o n o b i tT e s t).该指标以表示待检测序列中、比特出现的比例,完全随机的序列应拥有相同数

35、量的、比特.)块内频率测试(F r e q u e n c y w i t h i n B l o c kT e s t).该指标待检测序列分割为多个序列块,对每个分割后的序列块执行单个位测试.)游程测试(R u nT e s t).游程被定义为n长的具有相同比特位的序列,该指标通过统计一段待测序列中所包含的不同长度游程的数量,衡量与完全随机序列中包含游程数量是否一致.)块内最长游程检验(T e s tf o rL o n g e s tR u nO n e s i naB l o c k).该指标通过将待检测序列划为多个序列块,对每个序列块执行游程检测,衡量待测序列与完全随机序列中

36、包含游程数量是否一致.基于S P 随机性检测套件,在加密块链(C i p h e rB l o c kC h a i n i n g,C B C)和电子密码本(E l e c t r o n i cC o d eB o o k,E C B)工作模式下的高级加密标准(A d v a n c e d E n c r y p t i o nS t a n d a r d,A E S)算法、S M 算法、数据加密标准(D a t aE n c r y p t i o nS t a n d a r d,D E S)算法、数据加密标准(D a t aE n c r y p t i o nS t a n

37、d a r d,D E S)算法以及B l o w f i s h算法所产生的模拟T L S流的随机性检测结果对比分别如图图所示.可以看出,利用S P 随机性检测套件对加密流量进行随机性检测,得到的随机性检测指标的p_v a l u e值有着很好的区分效果,因此可选p_v a l u e值构成的特征空间作为协商密码体制分类模型的输入.图S M 和A E S的块内频率检测结果对比图D E S 和S M 的游程检测结果对比图A E S和B l o w f i s h的序列检测结果对比西安邮电大学学报年月图D E S和S M 的单个位检测结果对比为满足协商密码体制过滤需

38、求,对前馈神经网络结构进行修改,针对协商密码体制过滤的前馈神经网络模型如图所示.图前馈神经网络模型针对协商密码体制过滤的前馈神经网络模型输入层由个输入节点构成,其中种随机性度量指标的p_v a l u e值作为输入特征项(x,x,x),个神经元构成双隐层网络结构(h,h,h),神经元y作为输出项对协商密码体制进行分类.该模型对应一个二分类问题,即通过对高级加密标准电子密码本(A d v a n c e d E n c r y p t i o n S t a n d a r dE l e c t r o n i cC o d eB o o k,A E SE C B)、高级加密标准G

39、 a l o i s/C o u n t e r模式(A d v a n c e dE n c r y p t i o nS t a n d a r dG a l o i s/C o u n t e r M o d e,A E S G CM)、R C(R i v e s tC i p h e r)、高级加密标准加密块链(A d v a n c e dE n c r y p t i o nS t a n d a r dC i p h e rB l o c kC h a i n i n g,A E SC B C)模式和数据加密标准(D a t aE n c r y p t i o nS t a n

40、 d a r d,D E S)等密码算法或工作模式进行识别,判断纯密文流量样本使用的加密算法是否属于T L S套件中的协商密码算法集合,以此区分流量样本类别,实现对恶意加密流量的非解密过滤.F NN基于反向传播(B a c kP r o p a g a t i o n,B P)算法构建对识别结果敏感的反向控制流,通过该反向控制流寻找最优的权重和偏置使得模型损失函数最小化,以实现较好的检测效果.同时,在针对协商密码体制过滤的F NN网络中引入批标准化操作使得数据分布更加合理,提升模型训练效率,并将s i g m o i d作为输出层的激活函数,区分流量样本为恶意流量或良性流量.最终,对于难以根据

41、接入受信度评估的恶意加密流量,根据其加密体制进行快速的过滤.性能分析与讨论仿真实验设置采用P y t h o n 在AMDR y z e n H GH z G B环境下搭建实验平台,对所提方法进行实验分析,验证双层过滤方法对恶意加密流量的检测效果性能.仿真环境参数设置如表所示.表仿真环境参数设置参数描述默认值T模拟物联网终端数量 D不诚实物联网终端占比/R仿真循环轮数受信度门限 Rc o m p终端失陷轮数通过对在现网环境中采集到的流量样本解析,得到其中绝大部分T L S流使用不同密钥长度的A E SG CM或A E SC B C工作模式实现传输数据加密,剩余流量样本则较多的使用到

42、C h a C h a 与R C 加密算法.为验证所提方法有效性,由本地模拟环境生成原始内容为超文本传输协议(H y p e r T e x tT r a n s f e rP r o t o c o l,HT T P)形式的响应载荷,随机生成条长度为字节的文本序列.同时,利用O p e n S S L对随机生成的文本序列进行加密,以此模拟由T L S密码套件所产生的纯密文流量负载.此外,为验证协商密码体制过滤的性能,还额外加入了几种较常见的分组密码加密算法,生成不属于T L S协商密码体制的恶意样本.分组密码加密算法及其工作模式如表所示.表分组密码加密算法及其工作模式密码算法工作模式A

43、E SC B C G CM E C BD E SE C B C B CD E S C B CS M C B CC h a C h a R C C B CB l o w f i s h第卷第期冯景瑜,等:物联网中具备终端匿名的加密流量双层过滤方法实验共使用个加密流量样本,种使用到的密码算法或工作模式产生的样本数量一致.在利用F NN进行协商密码体制过滤过程中,对属于协商密码体制的A E S、C h a C h a 和R C 等种密码算法及工作模式产生的样本标识为良性样本,而其余样本标识为恶意样本,恶意样本与良性样本比例维持在.此外,将数据集依据的比例划分为训练集和测试集.双层流量过滤性能分析

44、所提方法中第一层检测主要依赖于物联网终端的受信任程度实现,接入受信度是实现对恶意加密流量源头过滤的主要依据.设置轮仿真实验,在第轮引入失陷物联网终端,模拟被攻击者所控制的终端并发送恶意流量.观察接入受信度的变化情况如图所示.图物联网终端失陷后接入受信度变化情况由图可以看出,在前轮,物联网终端尚未被攻陷,基本接入受信度和综合接入受信度都趋于增加.在轮之后,物联网终端被攻陷,综合接入受信度开始大范围波动,基本接入受信度的变化范围很小,不利于过滤检测.对于基本接入受信度的评估方法,其接入受信度具有一定程度的静态滞后性,导致失陷物联网终端不容易被察觉.通过引入可信系数fp和可疑系数fd的综合受

45、信度评估方法,可以对物联网终端失陷情形做出快速反应,使得接入受信度迅速衰减.为进一步观察对失陷终端引发的恶意流量的抑制情况,设置物联网终端的总数为 ,其中失陷终端占比,恶意流量抑制变化情况如图所示.可以看出,通过将衰减因子ti引入基本接入受信度,综合受信度可以快速对物联网终端的失陷行为做出反应,从而有效抑制了恶意流量的增加.图恶意流量抑制变化情况将种加密算法加密的条密文样本进行划分,采用A d a m优化器寻找最优的参数组合,如学习率、迭代次数和批处理等.获得的参数将应用到F NN中,并用交叉验证的方式评估F NN模型表现.当学习率为、迭代次数为和批处理为时,F NN对于协商密码体

46、制识别有较好的训练和测试分数.为进一步评估基于前馈神经网络的协商密码体制的识别效果,引入查准率、召回率、准确率和F分数等种常用评价指标,将其分别与卷积神经网络(C o n v o l u t i o n a l N e u r a l N e t w o r k s,C NN)和循环神经网络(R e c u r r e n tN e u r a lN e t w o r k s,R NN)两种深度学习模型进行对比,结果如表所示.表不同模型协商密码体制识别效果对比模型数据集准确率召回率精确率F分数时间开销/sF NN训练测试 C NN训练

47、测试 RNN训练测试由表可知,F NN在准确率、召回率、查准率以及F分数指标的表现上优于C NN和R NN两种深度学习模型.另外,F NN在训练时间开销方面同样表现优秀,这是因为F NN算法相较于R NN拥有更为简单的网络结构.此外,由于C NN依赖于大量的卷积操作,其平均训练时延仍要高于F NN.因此,F NN是更适合于协商密码体制识别的模型算法.西安邮电大学学报年月结语具备终端匿名化的双层加密流量过滤方法在防范利用流量特征进行终端身份推断的同时,实现了对恶意加密流量的过滤.通过设计终端匿名接入方法,为接入物联网终端赋予匿名身份,构建对流量检测模块匿名的流

48、量环境.在第一层过滤中,引入终端接入受信度评估快速检测失陷终端,从源头上抑制恶意流量产生.在第二层过滤中,利用随机性检测构造特征空间,训练前馈神经网络对加密流量进行协商密码体制识别,检测不属于协商算法集的加密流量.实验分析表明,所提方法可以在保障接入终端身份隐私的同时快速检测恶意加密流量,且具有良好的检测效率和时间开销.参考文献诸晓骏,陈曦,李妍,等考虑电动汽车接入的主动配电网优化调度J电力工程技术,():Z HUXJ,CHE NX,L IY,e t a l O p t i m a l d i s p a t c h i n go fa c t i v ed i s t r i b u t i

49、 o nn e t w o r kc o n s i d e r i n ge l e c t r i cv e h i c l ea c c e s sJ E l e c t r i c P o w e r E n g i n e e r i n g T e c h n o l o g y,():(i nC h i n e s e)苏盛,汪干,刘亮,等电力物联网终端安全防护研究综述J高电压技术,():S US,WANGG,CHE NL,e t a l R e v i e wo ns e c u r i t yo fp o w e ri n t e r n e to ft h i n g st

50、 e r m i n a l sJ H i g h V o l t a g eE n g i n e e r i n g,():(i nC h i n e s e)WANGB,S UY,Z HANG M,e t a l Ad e e ph i e r a r c h i c a ln e t w o r kf o rp a c k e t l e v e lm a l i c i o u s t r a f f i cd e t e c t i o nJI E E EA c c e s s,:I n t e r s o f tc o n s u l t i n g G e n e r a lD

展开阅读全文