BUFLO(2012)
- 作者站在什么样的角度,解决了什么问题;
- 通过什么样的方法设计实现了问题解决;
- 作者通过什么结果来证明了自己对于问题的有效解决(包括指标和实验设定)?
考虑在加密隧道上设置HTTP流量,用于隐藏用户访问的网站的身份。
提供了首次对通用流量分析(TA)对策的全面分析。我们的研究表明,九种已知的对策容易受到利用流量粗略特征(如总时间和带宽)的简单攻击。我们所考虑的对策包括 TLS、SSH 和 IPsec 标准化的对策,甚至还有更复杂的对策,如 Wright 等人的流量变形方案。我们的研究结果之一是,尽管使用了流量变形,人们仍然可以仅使用上下游总带宽来识别两个网站中哪个被访问过,准确率高达 98%。我们发现的一个含义是,在网站识别方面,带宽效率高的通用 TA 反制措施不太可能提供先前工作所针对的安全类型。
一种常见的TA对策是通过在加密之前添加填充来隐藏明文长度,这些默认最危险的侧信道信息是数据包长度。但通过对比将得出结论:
- 这些对策都没有效果。使用两个分类器,一个是叫做VNG++新型navie贝叶斯分类器(结合了粗特征),一个是新提出的支持向量机分类器SVM
- 隐藏数据包长度是不够的
- 粗信息不太可能被有效隐藏。研究了一个低效的BuFLO,以固定间隔发送固定大小的数据包,使用虚拟数据包来填充和扩展传输
BuFLO
通过删除所有侧信道信息来击败任何TA分类器。工作方式是以固定间隔发送固定长度的数据包,至少持续固定时间。如果一个数据流的时间超过了固定的超时时间,BuFLO 会让它结束,同时仍以固定间隔发送固定长度的数据包。在理想情况下,BuFLO 不会泄露数据包长度或数据包定时,因此 BuFLO 应该能很好地关闭使 TA 分类器发挥作用的侧信道。
但是效果并非如理想状况下积极,效率极低。
扫一扫
4504
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
