2015 多标签
- 作者站在什么样的角度,解决了什么问题;
- 通过什么样的方法设计实现了问题解决;
- 作者通过什么结果来证明了自己对于问题的有效解决(包括指标和实验设定)?
很多人认为现在的挑战威胁模型的假设极大的简化问题,高估了攻击者的能力。
主要思想:由于思考时间,用户在打开第一页后会短暂延迟访问第二页。 我们分析延迟中传输的匿名流量,并选择细粒度的特征来识别第一页。 此外,我们排除第一页的流量并利用粗略特征来识别第二页。
第一个针对重叠匿名流量进行WF攻击的。 首先,评估 WF 攻击威胁模型的实际可行性,并通过允许受害者在后台加载另一个页面来放宽一些假设。 其次,进行数据预处理以确定流量是否重叠。 然后根据用户的检索模式提取适当的特征来创建指纹。最后,分别用朴素贝叶斯分类器识别两个页面。
本文的其余部分安排如下。 第二节介绍了相关工作。 在第三节和第四节中,我们评估了威胁模型并提出了一种新颖的 WF 方法。 我们在第五节中提供了实验结果。第六节总结了本文并讨论了未来的工作。
攻击者分两个阶段实施WF攻击:在训练阶段,他通过在与受害者相似的网络环境中收集加密流量来创建目标网站的大型指纹数据库。 然后他用标记的指纹数据训练适当的分类器。在测试阶段,攻击者窃听受害者的流量并使用经过训练的分类器对其进行识别。
网站指纹攻击
A. 数据预处理
由于威胁模型允许受害者同时打开两个页面,因此需要先确定未知流量是否重叠,如果最大相似度小于阈值,则确定X为重叠流量。
B. 特征提取与分类
当确认未知流量是由两个页面产生的,分别提取不同的特征,识别指纹。
1)第一个加载页面
第一个加载页面的传输流量不受第一二页之间的空闲时间影响,因此可以提取几个细粒度的特征来做分类:
- 没有大小为零的数据包。大小为零的数据包是所有 HTTP 流量中都存在的 TCP ACK 数据包。这些数据包无法提供用于识别的有用信息,并且可能会混淆其他功能。所以在实验中应该对它们进行过滤。
- RTT。我们计算第一个 Get 数据包和第一个 Response 数据包之间的延迟。该功能可以反映Web服务器的一些位置信息。
- 首先获取数据包大小。 第一个Get数据包是对htrnl文档的请求,其大小部分取决于URL的长度。除非网站的 URL 发生更改,否则它不会发生显着变化。
- Html 文档大小。html文档用于描述网页的结构和内容。 即使某些对象发生变化,它的大小也是一个稳定的值。为了获得此功能,我们添加了响应第一个 GET 数据包的所有数据包大小。假设第二个 GET 数据包在时间 t 发送,我们将计算 (t + RTT) 之前收到的所有传入数据包。
- 单向数据包排序。页面的结构在其数据包序列中引入了逻辑顺序。考虑到重叠的流量可能会破坏排序信息,我们只提取空闲时传输的单向有序数据包序列。
2)第二个加载页面
从重叠的实例中排除第一页的流量,提取统计信息来识别剩余的流量。
3)分类
朴素贝叶斯进行分类。
扫一扫
516
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
