本发明专利技术公开了一种基于聚合流量的网络流量隐私保护方法,用户数据包依次经过靠近用户端的边缘交换节点A、若干中间交换节点、靠近服务端的边缘交换节点B后,到达目的地;边缘交换节点A作为聚合端,将若干个具有相同目的边缘交换节点B的用户数据包打包成聚合数据包P后,再发送到中间交换节点进行转发;边缘交换节点B作为拆分端,从中间交换节点接收到聚合数据包P,再拆分成原来的用户数据包,发送至目的地或继续转发。本发明专利技术所公开的方法掩盖用户网络流量特征保护用户隐私,同时维持较小的额外开销,降低对用户体验的影响;另外,用户可以修改保护方法的参数,以提高保护效果或提高网络吞吐量。吐量。吐量。
【技术实现步骤摘要】
一种基于聚合流量的网络流量隐私保护方法
[0001]本专利技术涉及网络流量分析
,特别涉及一种基于聚合流量的网络流量隐私保护方法。
技术介绍
[0002]在过去的网络环境中,网络信息疏于加密保护,用户和网站的信息在网络中以明文的形式传递。这样的信息传递方式带来了巨大的数据泄露风险,处于数据传输路径中的中间人(MITM:Man In The Middle)可以轻易获取到用户和网站的完整信息。随着网路安全意识的提高,安全套接字/传输层安全(SSL/TLS)的使用率从2014年的26%提高到2018年的70%,越来越多的网站使用https对数据进行加密传输。这类方法使得网络中的数据包内容得到加密,在密码安全的前提下中间人无法通过从中间网络节点获得的网络流量中直接取得数据内容。
[0003]如今的网络环境中,活跃的重要流量几乎都是加密的,但是仍然可以借助机器学习等技术,分析这些加密的流量的其他特征,获得额外的各种信息,这就是网络流量分析技术。
[0004]这一技术应用场景丰富,例如网页指纹(Website Fingerprinting):用户选择使用代理和DNS over https或Tor(洋葱路由)等方法匿名接入网络。这类方法使得网络中数据报的头部地址信息进一步受到混淆,不能简单判断用户访问的目的网站。但是,通过分析这类流量的特征可以非常准确的判断正在访问的网站,即得到了这个网站的指纹(Website Fingerprinting)。除了网站指纹信息,相同的分析策略还可以使用在用户所使用的应用,所使用的设备上,得到应用的指纹,设备型号的指纹,设备操作系统的指纹等等。这一系列的信息可以反映用户本身的行为特征,组合成用户的肖像,进一步威胁用户的隐私信息。
[0005]一般来说,上述的网络流量分析方法是通过分析用户流量的外部特征,包括数据包所使用的网络协议类型,尺寸大小、时间戳、方向等,来推断用户更多的隐私信息。因此,安全设计研究人员一般通过掩盖用户加密流量的这些外部特征来实现隐私保护。一般的方式包括:
[0006](1)对数据包注入一些冗余信息,改变数据包的尺寸大小;
[0007](2)数据包的转发加入等待延迟,影响攻击者收到数据包的时间戳;
[0008](3)注入冗余的数据包,影响流量整体的特征。
[0009]目前这类隐私保护方法可以有效的降低流量分析(一般为分类、聚类等目的)的效果,(包括recall,precision,FPR等指标),但是他们仍然存在其他的问题:
[0010](1)引入较大的网络开销,例如在洋葱路由中,每一个数据包都会通过冗余信息注入得到完全相同的尺寸。一些其他的方法中,引入延迟和冗余数据包显然也会增加带宽和速率开销。
[0011](2)可能有较大的使用限制,例如,有的保护方法虽然可以用较小的开销达到良好的保护效果但是往往是针对于某种类型的流量分析方法,如针对于使用深度学习方法的分
析方法,针对使用近邻算法的分析方法等等。
技术实现思路
[0012]为解决上述技术问题,本专利技术提供了一种基于聚合流量的网络流量隐私保护方法,掩盖用户网络流量特征保护用户隐私,同时维持较小的额外开销,降低对用户体验的影响;另外,用户可以根据自身信息重要程度或所使用服务对于实时性的要求修改保护方法的参数,以提高保护效果或提高网络吞吐量。
[0013]为达到上述目的,本专利技术的技术方案如下:
[0014]一种基于聚合流量的网络流量隐私保护方法,用户数据包依次经过靠近用户端的边缘交换节点A、若干中间交换节点、靠近服务端的边缘交换节点B后,到达目的地;在网络流量传输过程中的隐私保护方法包括如下步骤:
[0015]步骤一,边缘交换节点A作为聚合端,将若干个具有相同目的边缘交换节点B的用户数据包打包成聚合数据包P后,再发送到中间交换节点进行转发;
[0016]步骤二,边缘交换节点B作为拆分端,从中间交换节点接收到聚合数据包P,再拆分成原来的用户数据包,发送至目的地或继续转发。
[0017]上述方案中,所述步骤一的具体方法如下:
[0018](1)目的判断:边缘交换节点A识别到达该节点的用户数据包的目的地,为其分配相应的flow id;
[0019](2)打包:边缘交换节点A将有相同flow id的用户数据包放入相同缓冲中,并加入控制信息进行打包,形成数据;
[0020](3)分割:将缓冲进行分割,来适应网络最大传输单元的限制,缓冲中的数据作为聚合数据包P的数据部分;
[0021](4)封装:向上一步得到的数据部分提供头部信息,将其封装成完整的聚合数据包P,依次发送这些聚合数据包P。
[0022]上述方案中,所述步骤二的具体方法如下:
[0023](1)组合检查:边缘交换节点B通过检查收到的聚合数据包P的头部信息判断其flow id,将聚合数据包P的数据部分除去控制信息加入缓冲中,通过控制信息判断是否失序,缓冲是否已经完整,是否有错误的聚合数据包P加入;通过组合若干个聚合数据包P,得到完整的缓冲;
[0024](2)拆分发送:得到完整缓冲后,边缘交换节点B通过缓冲中的控制信息提取到原始的数据包,根据边缘交换节点B的交换规则将这些数据包发送到对应的端口。
[0025]进一步的技术方案中,所述控制信息包括缓冲长度、序号、本部分长度。
[0026]通过上述技术方案,本专利技术提供的一种基于聚合流量的网络流量隐私保护方法具有如下有益效果:
[0027]1、本专利技术的方法部署于网络中各个交换节点中,对用户透明,用户不需要安装设置额外配置即可使用,保证了方案的易用性。
[0028]2、本专利技术可以灵活平衡保护开销和网络吞吐量,参数少而且易懂,方便用户基于自身需求配置。
[0029]3、本专利技术相比于其他的网络流量分析保护措施,不引入冗余的数据信息,减少了
网络带宽额外开销和延迟,提升了用户的体验。
附图说明
[0030]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
[0031]图1为本专利技术实施例所公开的一种典型线性网络拓扑结构示意图。
[0032]图2为本专利技术实施例所公开的一种典型树状网络拓扑结构示意图。
[0033]图3为单个缓冲的基本结构示意图。
[0034]图4为分割缓冲以及所加入的控制信息的示意图。
具体实施方式
[0035]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0036]本专利技术提供了一种基于聚合流量的网络流量隐私保护方法,网络流量的传输采用网络拓扑结构,假设网络中的交换节点有两种,第一种称为边缘交换节点(Edge Node),这一类节点物理上或网络上靠近用户,是用户流量的出口,可能是用户家中的无线路由,NAT路由出口,网关等。第二种称为中间交换节点(Core No本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于聚合流量的网络流量隐私保护方法,用户数据包依次经过靠近用户端的边缘交换节点A、若干中间交换节点、靠近服务端的边缘交换节点B后,到达目的地;其特征在于,在网络流量传输过程中的隐私保护方法包括如下步骤:步骤一,边缘交换节点A作为聚合端,将若干个具有相同目的边缘交换节点B的用户数据包打包成聚合数据包P后,再发送到中间交换节点进行转发;步骤二,边缘交换节点B作为拆分端,从中间交换节点接收到聚合数据包P,再拆分成原来的用户数据包,发送至目的地或继续转发。2.根据权利要求1所述的一种基于聚合流量的网络流量隐私保护方法,其特征在于,所述步骤一的具体方法如下:(1)目的判断:边缘交换节点A识别到达该节点的用户数据包的目的地,为其分配相应的flow id;(2)打包:边缘交换节点A将有相同flow id的用户数据包放入相同缓冲中,并加入控制信息进行打包,形成数据;(3)分割:将缓冲进行分割,来适应网...
【专利技术属性】
技术研发人员:郭乐,李松繁,卢卡,
申请(专利权)人:山东大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。