導(dǎo)語(yǔ)：談流身份鑒別技術(shù)研究進(jìn)度一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1基本概念及框架

S.Muthukrishn最早提出了流數(shù)據(jù)[4]概念，認(rèn)為“流”是建立在“瞬間”基礎(chǔ)上的，具有連續(xù)、無(wú)限、快速的特點(diǎn)。流交換的主體是流，它也是流身份鑒別技術(shù)的研究對(duì)象。流身份鑒別的目的是在流交換中對(duì)流數(shù)據(jù)源身份進(jìn)行鑒別，以保證流身份的可信。

定義1：流[5]是在一段時(shí)間內(nèi)，由<源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)>五元組唯一表示的單向數(shù)據(jù)包集合。流的特點(diǎn)：1）動(dòng)態(tài)性：流中的元素實(shí)時(shí)、有序、連續(xù)地到達(dá)，整個(gè)數(shù)據(jù)集合呈現(xiàn)出動(dòng)態(tài)特征，這意味著所有的數(shù)據(jù)包不是一次到達(dá)的，而是潛在變化的；2）無(wú)限性：動(dòng)態(tài)性導(dǎo)致流是無(wú)界或近似無(wú)界的。隨著時(shí)間的流逝，數(shù)據(jù)包不斷產(chǎn)生直至流終結(jié)。3）單次掃描：由于流的動(dòng)態(tài)性，使得服務(wù)器對(duì)流的處理僅能訪(fǎng)問(wèn)很少的次數(shù)。

定義2：流交換[6]是一段時(shí)間內(nèi)由同一種應(yīng)用產(chǎn)生的在一對(duì)源IP地址和目的IP地址間傳輸?shù)碾p向報(bào)文流。流交換的特點(diǎn)是：1）不可預(yù)測(cè)性：流交換的數(shù)據(jù)量、內(nèi)容不可預(yù)測(cè)；2）低時(shí)延：由于應(yīng)用系統(tǒng)對(duì)延時(shí)敏感，流交換要求具有低延時(shí)特性。

定義3：身份鑒別[7]是采用密碼技術(shù)，依照安全性高的協(xié)議，通過(guò)交換承載信息使系統(tǒng)審查身份的過(guò)程。

定義4：流身份鑒別是在流交換中，以流特征統(tǒng)計(jì)量為基礎(chǔ)，采用密碼技術(shù)，通過(guò)交換承載信息，鑒別信源身份的過(guò)程。流身份鑒別的基本框架[8]如圖1所示。當(dāng)網(wǎng)絡(luò)流數(shù)據(jù)經(jīng)過(guò)監(jiān)測(cè)點(diǎn)A時(shí)，監(jiān)測(cè)點(diǎn)統(tǒng)計(jì)信源發(fā)送的流特性，或改變流的某些特性，并將相應(yīng)的特征信息存入中心服務(wù)器。被監(jiān)測(cè)的流在交換時(shí)會(huì)遭受一些干擾和形變。最終，當(dāng)被擾亂之后的流到達(dá)監(jiān)測(cè)點(diǎn)B時(shí)，監(jiān)測(cè)點(diǎn)通過(guò)統(tǒng)計(jì)流的特征值，或提取流的特征，再和中心服務(wù)器的記錄進(jìn)行對(duì)比，從而裁決經(jīng)過(guò)的流身份。

2面臨的關(guān)鍵問(wèn)題

因?yàn)榱魃矸蓁b別技術(shù)采用基于特征的方式進(jìn)行統(tǒng)計(jì)、標(biāo)記，所以該技術(shù)對(duì)于包丟失、包亂序、流混雜等問(wèn)題較為敏感。而在流交換過(guò)程中，由于網(wǎng)絡(luò)抖動(dòng)或敵手惡意攻擊會(huì)出現(xiàn)以上問(wèn)題，它們統(tǒng)稱(chēng)為流變換問(wèn)題。基于此流變換是流身份鑒別技術(shù)面臨的關(guān)鍵問(wèn)題。已有的流變換問(wèn)題分為兩類(lèi)：流內(nèi)變換問(wèn)題[9-12]，即單一流中數(shù)據(jù)包的變換；流間變換問(wèn)題[13-16]，即多流間相互的變換。

2.1流內(nèi)變換問(wèn)題圖2-5列舉了常見(jiàn)的流內(nèi)變換問(wèn)題。1）虛假數(shù)據(jù)包添加是向流中添加不屬于原有流的數(shù)據(jù)包現(xiàn)象。絕大部分跳板主機(jī)會(huì)利用加密和添加虛假數(shù)據(jù)包實(shí)現(xiàn)流的去關(guān)聯(lián)性；2）包丟失是流交換過(guò)程中出現(xiàn)的有意或無(wú)意的隨機(jī)數(shù)據(jù)包丟棄現(xiàn)象。它在正常的流交換中時(shí)有發(fā)生，也可能是敵手刻意為之；3）包重組是流交換過(guò)程中出現(xiàn)的相鄰包合并或分裂現(xiàn)象。這種情況常常伴隨跳板主機(jī)、網(wǎng)絡(luò)的配置產(chǎn)生。4）包亂序是流交換過(guò)程中出現(xiàn)的數(shù)據(jù)包序號(hào)錯(cuò)亂現(xiàn)象。它常常由網(wǎng)絡(luò)抖動(dòng)、時(shí)間擾亂攻擊等因素引起。

2.2流間變換問(wèn)題圖6-8列舉了常見(jiàn)流間變換問(wèn)題。5）流混雜是多條不相關(guān)的流隨機(jī)混淆成新流的現(xiàn)象。它常出現(xiàn)在匿名通信系統(tǒng)中；6）流分離就是一條流分離成了多個(gè)子數(shù)據(jù)流的現(xiàn)象。這種情況常常伴隨跳板主機(jī)、網(wǎng)絡(luò)的配置產(chǎn)生；7）流合并是多條相同目IP地址的流合并成一個(gè)數(shù)據(jù)流的過(guò)程。它與流分離是相反的過(guò)程。

3典型技術(shù)分析

從時(shí)間角度，為了解決流身份鑒別問(wèn)題，1991年S.Snapp首次提出基于主機(jī)的DIDS方案。由于基于主機(jī)的檢測(cè)方法是建立在信任監(jiān)控主機(jī)的基礎(chǔ)上，一旦有主機(jī)被敵手控制，它提供的信息會(huì)誤導(dǎo)中心服務(wù)器對(duì)流身份的鑒別。于是S.StanifordChen在1995年提出了基于網(wǎng)絡(luò)的Thumbprints方案，該方案通過(guò)提取報(bào)文內(nèi)容摘要獲得會(huì)話(huà)指紋、比較判斷兩個(gè)會(huì)話(huà)的關(guān)聯(lián)性，從而實(shí)現(xiàn)身份鑒別。之后又陸續(xù)有學(xué)者提出了基于包數(shù)量、包時(shí)間、RTT等特征的方案。為了提高檢測(cè)效率、降低計(jì)算復(fù)雜度，1998年D.Schnackenberg提出了基于網(wǎng)絡(luò)的IDIP方案。XinyuanWang等人又提出了基于不同載體的流水印技術(shù)。隨著流水印技術(shù)的廣泛應(yīng)用，鑒別流身份的作用不僅僅局限于判斷該流是否被標(biāo)記過(guò)，而要獲得更多的信息，HoumansadrA等學(xué)者于2012年提出了流指紋鑒別技術(shù)，愈加注重水印的編碼內(nèi)容。通過(guò)文獻(xiàn)分析方法，把流身份鑒別技術(shù)分類(lèi)。首先以可信終端的選擇為依據(jù)，分為基于主機(jī)和基于網(wǎng)絡(luò)兩種類(lèi)型，現(xiàn)有的絕大部分流身份鑒別技術(shù)方案都是基于網(wǎng)絡(luò)實(shí)現(xiàn)的；其次，按照檢測(cè)方式將流身份鑒別技術(shù)分為主動(dòng)檢測(cè)方式和被動(dòng)檢測(cè)方式，被動(dòng)流關(guān)聯(lián)技術(shù)就是通過(guò)被動(dòng)檢測(cè)方式實(shí)現(xiàn)的；主動(dòng)檢測(cè)方式再依據(jù)編碼信息內(nèi)容劃分為主動(dòng)流追蹤技術(shù)和流指紋鑒別技術(shù)。

3.1被動(dòng)流關(guān)聯(lián)

被動(dòng)流關(guān)聯(lián)技術(shù)是以統(tǒng)計(jì)學(xué)為基礎(chǔ)，通過(guò)較長(zhǎng)的觀測(cè)，利用數(shù)據(jù)挖掘得到不同流在統(tǒng)計(jì)方面的特性的技術(shù)，也叫流檢測(cè)。因?yàn)樵诮^大部分應(yīng)用中，流交換是雙向?qū)ΨQ(chēng)或雙向非對(duì)稱(chēng)的，所以流檢測(cè)主要利用相關(guān)流在內(nèi)容、時(shí)間等特性的不變性和相關(guān)性前提下進(jìn)行流的關(guān)聯(lián)。它具有準(zhǔn)確性、非線(xiàn)性[21]和不可感知性的特點(diǎn)。

3.2主動(dòng)流追蹤

主動(dòng)流追蹤技術(shù)以流檢測(cè)為基礎(chǔ)，結(jié)合數(shù)字水印思想，通過(guò)增加不同數(shù)據(jù)流某些方面的特性差異實(shí)現(xiàn)流追蹤，也叫流水印。它主要通過(guò)調(diào)制發(fā)送端數(shù)據(jù)包特性，從而增加不相關(guān)流的差異性、增強(qiáng)相關(guān)流的相似性，并在接收端鑒別這種異同性，以此達(dá)到鑒別流身份的目的。在流檢測(cè)的基礎(chǔ)上，它又具有獨(dú)異性、自同步性、高效性和神秘性的特點(diǎn)。按照上文載體的分類(lèi)，將典型技術(shù)歸納如下：

基于包載荷[29]的流水印技術(shù)：包載荷是數(shù)據(jù)包所攜帶的數(shù)據(jù)量，它又分為存放數(shù)據(jù)的有效載荷（payload）以及其余的“管理”部分。由于包載荷具有較高的健壯性，所以最初的流水印方案是以包載荷為載體的。Wang等人于2001年提出了可休眠的水印追蹤框架。這種方法相較于被動(dòng)流關(guān)聯(lián)，潛在的優(yōu)勢(shì)有：a將入侵檢測(cè)和入侵追蹤分離；b無(wú)需記錄所有進(jìn)出的流；c無(wú)需時(shí)鐘同步，可以有效抵抗包重放；d準(zhǔn)確率高。但該方法基于包內(nèi)容，和具體協(xié)議有關(guān)，要求包是不變量，所以并不適用于加密的情況，且易受到攻擊者檢測(cè)和過(guò)濾。2008年RamsbrockD又提出通過(guò)添加填充字符改變包長(zhǎng)度的方法。這種方法可以應(yīng)對(duì)SSL加密、多節(jié)點(diǎn)、網(wǎng)絡(luò)流量混雜的情況。

基于長(zhǎng)度-時(shí)間[30,31]的流水印技術(shù)：長(zhǎng)度-時(shí)間是通過(guò)調(diào)整包載荷長(zhǎng)度，結(jié)合時(shí)間戳，構(gòu)成的組合載體。由于加密、包重組等方式易造成包載荷的內(nèi)容不可見(jiàn)和長(zhǎng)度變換，從而導(dǎo)致檢測(cè)的效率下降、準(zhǔn)確率降低，所以通過(guò)加入時(shí)間戳信息，結(jié)合包載荷可以提高檢測(cè)的效率和準(zhǔn)確性。Wang于2008年提出了基于長(zhǎng)度-時(shí)間的載體方式，在追蹤僵尸主控機(jī)方面有效地解決了低流量、跳板、加密、流混雜這四個(gè)問(wèn)題。并在PlanetLab平臺(tái)上達(dá)到了近乎100%的檢測(cè)率。但是由于包載荷這種載體本身存在隱蔽性差、載體容量小的問(wèn)題，基于包載荷的流水印技術(shù)在這兩方面先天地存在缺陷。

基于流速率[32-34]的水印技術(shù)：流速率就是流數(shù)據(jù)的速率。針對(duì)包載荷本身存在神秘性差的問(wèn)題，有學(xué)者通過(guò)選用流速率作為載體提高流水印的神秘性。FuXin-wen提出在無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境下，先將時(shí)域水印轉(zhuǎn)換為特征不變的頻率，再利用電磁干擾將水印嵌入無(wú)限網(wǎng)絡(luò)流數(shù)據(jù)的方法。但是這種方法難以抵抗數(shù)字過(guò)濾攻擊，導(dǎo)致水印編碼無(wú)法提取。隨后YuWei又通過(guò)修改發(fā)送者流量的速率，結(jié)合直序擴(kuò)頻技術(shù)，以達(dá)到提高水印容量、可靈活選用參數(shù)、無(wú)需長(zhǎng)時(shí)間訓(xùn)練的目的；但該方案只適用于流量速率固定的情形，與實(shí)際應(yīng)用有一定的差距。2011年Jun等人提出了對(duì)FuXin-wen的方案進(jìn)行了改進(jìn)。它利用PN碼技術(shù)實(shí)現(xiàn)了1）可以較好抵御均方自關(guān)聯(lián)的檢測(cè)；2）可以追蹤匿名網(wǎng)絡(luò)中的多條流。但是這種方法存在的問(wèn)題就是難以產(chǎn)生符合要求的PN序列。

基于包時(shí)延（IPD）[35-43]的水印技術(shù)：IPD是流中特定的一對(duì)數(shù)據(jù)包先后到達(dá)的時(shí)間差。它是針對(duì)包載荷載體容量小的問(wèn)題提出的，且這種載體具有較好的神秘性、對(duì)時(shí)延敏感等優(yōu)點(diǎn)。但是它易受到時(shí)間擾亂。Wang于2003年提出了針對(duì)時(shí)間擾亂問(wèn)題的水印技術(shù)，這種方法針對(duì)加密和符合獨(dú)立恒等分布的隨機(jī)時(shí)間擾亂問(wèn)題具有一定的魯棒性。但是此方案存在三個(gè)問(wèn)題：1）IPD分布模型與實(shí)際不符；2）難以有效應(yīng)對(duì)虛假數(shù)據(jù)包添加；3）由于使用固定的最大包時(shí)延值以及需較多包以嵌入單個(gè)水印位，所以難以有效抵御時(shí)間擾亂。針對(duì)第一個(gè)問(wèn)題，Amir提出了網(wǎng)絡(luò)流數(shù)據(jù)符合泊松分布的假設(shè)，雖然在只有網(wǎng)絡(luò)抖動(dòng)的理想環(huán)境下是成立的，但是在實(shí)際環(huán)境下很難成立。針對(duì)第二個(gè)問(wèn)題，Peng等人將包匹配技術(shù)用于水印方案中，它在一定時(shí)間限制的條件下，提出了權(quán)衡檢測(cè)率、誤報(bào)率和計(jì)算復(fù)雜度的多個(gè)算法。并且通過(guò)實(shí)驗(yàn)證實(shí)了該方案可有效地在有垃圾包的流數(shù)據(jù)中發(fā)掘所有相關(guān)數(shù)據(jù)包，以達(dá)到流身份鑒別的目的。針對(duì)第三個(gè)問(wèn)題，Pan通過(guò)將數(shù)據(jù)包先分組，再隨機(jī)調(diào)整部分包間時(shí)延的方法實(shí)現(xiàn)了嵌入水印。通過(guò)驗(yàn)證每組的平均IPD值的差異以及水印位的值，從而決定是否調(diào)整以及如何調(diào)整包時(shí)間，以此嵌入具有抵御時(shí)間擾亂特質(zhì)的水印。與此同時(shí)，ParkYH提出了自適應(yīng)的水印技術(shù)，這種自適應(yīng)性是通過(guò)測(cè)量包時(shí)延或包大小、對(duì)所要嵌入的水印進(jìn)行調(diào)整來(lái)實(shí)現(xiàn)的。該方法最大的突破在于其可用在數(shù)據(jù)包較少的情況，同時(shí)可以較好地抵抗網(wǎng)絡(luò)抖動(dòng)帶來(lái)的失真。這種方案能容忍任何形式的時(shí)間擾亂，并且正確檢測(cè)率可達(dá)到幾乎100%。由于以上方案在嵌入水印時(shí)要產(chǎn)生較大的延時(shí)，Houmansadr提出了利用直序擴(kuò)頻技術(shù)，引入微小延遲的方案。同時(shí)，他通過(guò)非盲檢測(cè)方式降低了時(shí)間復(fù)雜度，但是該方法存在以下三個(gè)問(wèn)題：1）假設(shè)攻擊者不能夠主動(dòng)對(duì)流進(jìn)行變換；2）需要假設(shè)網(wǎng)絡(luò)數(shù)據(jù)流服從獨(dú)立泊松分布；3）需要數(shù)據(jù)庫(kù)支撐，所以實(shí)際應(yīng)用部署較難。隨后XunGong針對(duì)Houmansadr方案中的第二個(gè)問(wèn)題提出了一種基于隱馬爾科夫模型的隱形水印技術(shù)。該方案利用量化索引調(diào)制方法，將水印隱形地嵌入IPD中。同時(shí)利用基于隱馬爾科夫模型的最大似然解碼方案，以提高水印檢測(cè)的準(zhǔn)確率和效率。

3.3流指紋鑒別所謂指紋是指可以提供數(shù)據(jù)源信息、嵌入端身份等其他依具體應(yīng)用而定的信息。流指紋鑒別技術(shù)是流水印技術(shù)的發(fā)展和提升，目前研究處于起步階段。它以密碼學(xué)和統(tǒng)計(jì)學(xué)為基礎(chǔ)，依托流水印技術(shù)，通過(guò)改進(jìn)水印內(nèi)容，向流中添加唯一指紋信息實(shí)現(xiàn)流數(shù)據(jù)身份的鑒別。流指紋鑒別技術(shù)具有以下新特性：1）唯一性：流指紋信息具有唯一屬性值，可以唯一地標(biāo)識(shí)流的身份。2）大容量：從信息論角度看，相較于流標(biāo)記，指紋信息容量大。

4研究熱點(diǎn)和前景展望

經(jīng)過(guò)學(xué)者們多年的不懈努力，流身份鑒別技術(shù)逐步發(fā)展起來(lái)，并取得了一定的成果。但從解決流變換問(wèn)題的效果和實(shí)際應(yīng)用的狀況來(lái)看，該技術(shù)還未達(dá)到所期待的效果。目前流身份鑒別技術(shù)存在的研究熱點(diǎn)和發(fā)展趨勢(shì)主要有一下四個(gè)方面：

載體選擇方法在流身份鑒別技術(shù)中，載體的選擇是基礎(chǔ)。已有的載體選擇方式比較單一，且每種載體都有自身存在的弊端及針對(duì)它的攻擊。所以通過(guò)研究如何對(duì)載體進(jìn)行優(yōu)化、組合，可從根本上提高流身份鑒別方案抵御流變換的能力。

網(wǎng)絡(luò)流量模型構(gòu)建方法在目前的研究中，網(wǎng)絡(luò)流量對(duì)于指紋嵌入和提取的影響缺乏合適的解決方案模型[49]。且已有的方案都是假設(shè)時(shí)間擾亂是隨機(jī)的，網(wǎng)絡(luò)流量服從泊松分布[50]，這些往往和實(shí)際情況不相符。

指紋信息研究這個(gè)問(wèn)題分為指紋信息的容量、內(nèi)容、和健壯性三方面。指紋信息容量問(wèn)題是流身份鑒別技術(shù)中的一個(gè)難點(diǎn)問(wèn)題。因?yàn)榈侥壳盀橹梗€沒(méi)有可以對(duì)某種載體可嵌入的容量進(jìn)行準(zhǔn)確計(jì)算的理論方法。同時(shí)，已有的指紋信息都是無(wú)意義的，這方面研究有待開(kāi)展。另外，修改流中的某些特征本身易造成指紋存在性及參數(shù)泄露等問(wèn)題，所以如何進(jìn)一步提高指紋的健壯性，從而更好地抵御流變換也是重要的問(wèn)題。

實(shí)際部署研究流身份鑒別技術(shù)的實(shí)際應(yīng)用難點(diǎn)主要包括嵌入點(diǎn)和監(jiān)測(cè)點(diǎn)的部署、自適應(yīng)能力以及多流追蹤能力。首先，現(xiàn)有的不同部署方式缺乏一定的規(guī)范性和合理性分析；其次，針對(duì)不同類(lèi)型流數(shù)據(jù)、不同網(wǎng)絡(luò)環(huán)境，流身份鑒別技術(shù)要能自適應(yīng)地選擇指紋參數(shù)，提高對(duì)環(huán)境的適應(yīng)能力；最后在實(shí)際網(wǎng)絡(luò)環(huán)境下，由于多條流經(jīng)過(guò)同一跳板時(shí)會(huì)有一定的干擾，不利于流身份的鑒別。所以實(shí)際部署難點(diǎn)亟待解決。結(jié)束語(yǔ)流身份鑒別技術(shù)已成為研究的熱點(diǎn)并得到了廣泛的應(yīng)用。隨著該技術(shù)的不斷發(fā)展，它必將在流源身份可信、流范圍控制、監(jiān)管網(wǎng)絡(luò)流和流安全交換等方面發(fā)揮愈加重要的作用。

作者：雷程張紅旗孫奕杜學(xué)繪單位：解放軍信息工程大學(xué)河南省信息安全重實(shí)驗(yàn)室