【论文阅读】CCSv6 ADetection ModelforDNS-over-HTTPS Tunnel UsingAttention Mechanism overIPv6 (CCF C)

最新推荐文章于 2024-02-17 21:34:07 发布
最新推荐文章于 2024-02-17 21:34:07 发布
阅读量265 收藏 1
点赞数
文章标签: 论文阅读 https 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingffffighting/article/details/132807854
版权

论文题目:CCSv6 ADetection ModelforDNS-over-HTTPS Tunnel UsingAttention Mechanism overIPv6

名称:CCSv6 ADetection ModelforDNS-over-HTTPS Tunnel UsingAttention Mechanism overIPv6

作者:信工所二室 liu qingyun老师团队

收录:2023 IEEE Symposium on Computers and Communications (ISCC) (CCF C)

研究背景:

很多人研究DoH隧道都是基于IPv4的DoH,很少人了解基于IPv6的DoH和基于IPv4的DoH有什么不同。大部分IPv4网络中DoH隧道检测的方法可以应用于IPv6网络,但大多数分类器的迁移学习能力较差。

研究内容:
模型结构:

分为DoH流量过滤、特征提取、分类模型三部分组成,整体框架如下:

image

DoH流量过滤:

根据https://publicdns.info长期提供的公共DoH解析器地址列表对捕获到的流量进行过滤,得到DoH流量。

特征提取:

使用DoHlyzerv6对每个流提取29个特征。DoHlyzerv6是在DoHlyzer基础上开发的python工具。可以从捕获的IPv6PCAP文件中提取统计特征和时序特征,输出CSV文件。

分类模型:

emm有点没看懂 CNN+attention

数据集分析:

数据集由IPv4数据和IPv6数据组成。根据不同的采集位置将IPv6数据集划分为若跟子集。如图所示。

image-20230911105638897

采用不同的设置来模拟IPv6中受害者和攻击者之间可能存在的环境差异。我们采用的设定图所示。

image-20230911105808052

设置三台运行Centos的服务器作为操作系统。两台服务器位于北京和上海,模拟受害者。另一台服务器位于北京,模拟攻击者。所有服务器只能通过IPv6通信。

良性流采集:使用两个受害服务器、两个浏览器(Chrome、Firefox)以及四个不同的DoH递归服务器来生成良性DoH流量。在每个设置中,自动访问200个可以通过IPv6访问的网站。

DoH隧道采集:将北京服务器作为域名的NS,并运行DNSTT、GoDoH、DNSExfiltrator和DeimosC2四个工具的服务器端程序。另外两个受害者服务器运行四个工具的客户端。使用textfiles,每个DoH隧道至少包含10组DNS查询和响应。

IPv4数据集直接来自CIRA - CIC - DoHBrw - 2020数据集,目的是评估本文提出的模型在未知环境下的迁移学习能力。

本文提出模型的SHAP汇总图。该图说明IPv6数据集和IPv4数据集共享相同的特征空间,但服从不同的分布。

image-20230911112620554
实验结果分析:

首先在IPv6数据集上进行训练和测试。最后利用PIv4数据集验证本文模型的迁移学习能力。

**评价指标:**准确率、精确率、召回率、F1分数。

实验结果:在IPv4上证明有效的DoH隧道检测模型(DT、RF、GB)在IPv6数据集上仍然有效。

image-20230911113048009

1)分析地理位置影响因素:利用不同地理位置的数据进行训练和测试,实验结果如图所示。实验结果表示,所有分类器的性能受位置的影响不大。原因可能是流的时长和字节数等相关特征,在IPv6情况下,由于较大的网络带宽和较小的路由器,不会随着DoH查询的发起位置变化而出现明显波动。所以对于DoH防御者来说,使用局部数据训练的分类器是有效的,仅依靠地理上的临近性不足以逃避检测。

image-20230911142422727

2)分析不同递归服务器影响因素:利用使用不同递归服务器的数据分别进行训练和测试。实验结果如图所示。实验结果表明,使用不同数据集进行训练和测试,会使F1-score降低明显。原因可能是因为Cloudflare和Alidns数据集相关特征字节数不同,这种差异可能是由公共服务器采取的填充策略不同造成的。因此防御者应该使用多种服务器的数据进行训练。

image-20230911143442498

模型迁移能力验证:在IPv6数据集上训练,在IPv4数据集上测试。

实验结果如图所示。所有分类器的性能都有明显的下降。本文提出的模型仍然保持很高的性能。

造成这找原因的可能是,简单分类器可能使用单一流的不同特征进行分类而IPv4和IPv6数据集具有不同的特征倾向。对于基于IPv6训练的分类器,其对于字节相关特征个数的判定边界,并不完全适用于IPv4数据集。

使用SHAP来描述两个数据集上的特征的重要性。

IPv4

image-20230911144939202

IPv6

image-20230911144957577
实验总结:

本文对DoH隧道分类器的影响因素进行了分析,如递归解析器的位置,攻击者离受害者的距离等因素。同时讨论了模型的迁移性,结果表明本文使用的CNN-attention模型相比DT、RF等机器学习模型有着更强的迁移性。

疑惑:讨论攻击者和受害者距离这个影响因素的时候,使用了北京和上海的服务器。我感觉并没有举例很远,而且性能确实有下降。如果更换一下攻击者服务器,使用境外的服务器等举例更远的,可能性能下降更加明显。不过IPv6相比IPv4可能确实影响程度更低一点。受制于篇幅大小,关于不同特征重要性的分析可能有点少。

lingffffighting
关注
CCS6.0新手教学——简单概述
Gary_HanJR的博客
04-11 2414
简要介绍了CCS6.0创建项目的基本流程
基于IPV6数据分析
weixin_30312563的博客
03-21 129
基于IPv6的数据包分析 一.实验拓扑 二、配置过程 1、给R1、R2、R3 手动配置地址,配置命令让R4、R5自动获取端口地址。 2、R1、R2、R3配置静态路由(以R2为例) (conf)#ipv6 route ::/0 2001:db8:74:1:1(下一跳的端口地址) 三/全局互通 四.抓包分析 128报文 作用:用于发送到目的节点,以使目标节点立即发回一...
IPv6数据包知识详解
l_215851356的专栏
03-24 4070
作为网络的基础,协议类型现在在使用的有两种,一个是IPv4,一个就是IPv6。为了能容纳更多的信息,我们扩展了网络地址,也就是IPv6诞生的原因,所以,在这里我们来介绍一下它的结构也就是IPv6数据包的技术知识。 技术信息概述 IPv6包由IPv6包头(40字节固定长度)、扩展包头和上层协议数据单元三部分组成。 IPv6包扩展包头中的分段包头(下文详述)中指名了IPv6包的分段情况。 其中...
CCS v6 导入工程调试仿真烧写程序教程
qq_43811597的博客
03-22 5466
器 USB 口连接到电脑上→点击 CCS6 的 Connect 键;这是推荐的上电顺序,当。连接好→将配置的 USB 线或电源适配器给开发板供电并将电源开关按下→仿真。点击CCS图标,选择要放置的workplace。选择load按钮,选中工程生成的.out文件。然后点击烧写按钮:点击这个“甲壳虫”的标号。3.编译程序:点击这个“小锤子”的标号。然后就可以点击仿真进行调试了。发生连接错误时请按此顺序上电。就可以在板子上看到实现结果。选择好之后,点击save。
Code Composer Studio V6 (CCS) - 添加 simulation 功能
最新发布
既然选择了远方 便只顾风雨兼程 - 永强
02-17 728
Code Composer Studio V6 (CCS) - 添加 simulation 功能
CCSv5-China-University-Site_License.rar
05-04
《CCSv5-China-University-Site_License》是一款针对中国大学的专用许可证文件,用于Texas Instruments(TI)的Code Composer Studio(CCS)集成开发环境的版本5。这款强大的工具是专门设计来支持数字信号处理器...
CCSv5.2-Chinese-use.rar_CCSV5.2_ccsv5
09-14
**CCSv5.2中文使用说明** **一、CCSv5.2简介** CCS,全称为Code Composer Studio,是由Texas ...通过阅读提供的"CCSv5.2中文使用说明.pdf",你将能更好地掌握这款工具,提高开发效率,实现更高效的嵌入式系统开发。
CCSv6 软件仿真 simulation 支持C6678
04-15
如何在CCSv6中添加对simulator的支持呢?实现C6678 软件仿真可按照如下步骤进行: 因为CCSv6与CCSv5.5比较类似,所以可以将CCSv5.5的simlutor功能移植过来。 (1) 拷贝整个CCSv5.5的目录ccsv5\ccs_base\simulation ...
ccsv6版本 安装说明和软件配置等注意事项
01-16
首先我们需要来安装 TI DSP 的软件开发环境 CCS(Code Composer Studio)。如 果您曾经使用过其他公司的仿真器产品。我们推荐使用 CCS6.0 版本,因为暂时合众达 公司的 XDS510PLUS 和 XDS560PLUS 仿真器只支持 CCS...
ccsv5-china-university-site_license.lic
07-25
ccsv5-china-university-site_license.lic是一种许可证文件,用于中国大学网站上的CCSV5(Code Composer Studio version 5)软件的授权。CCSV5是一款经典的嵌入式开发工具,由Texas Instruments(德州仪器)开发,供...
论文笔记】An Explainable AI-based Intrusion Detection System for DNS over HTTPS (DoH) Attacks
DumplingY的博客
01-04 953
本文使用公开的CIRA-CICDoHBrw-2020数据集开发了一个平衡堆叠随机森林分类器,以检测和分类DoH攻击。使用可解释的人工智能方法,展示了基础特征的贡献,试图从模型中提供透明和可解释的结果。
用CCSv6导入工程遇到的问题记录
qq_40864299的博客
04-27 4337
导入工程后提示问题: please install the C2000V18.1 compiler before importing this project 需要安装18.1版本的编译器。那好,我在TI的官网上下载一个装上,不过在这个过程中我只找到了18.12的版本,不明所以的我就这么给装上了。 编译器安装路径在c->ti->ccsv6->tools->compiler...
ccsv6烧写程序加密方法
weixin_40785694的博客
02-28 3263
在程序Debug运行时,选择“Tools—>On Chip Flash” 在Code Security Password单元中填入密码,再点击Program Password按钮,然后点击Lock按钮,芯片被加密; 对控制板断电后,关掉并重启CCS6.0,再给控制板上电,此时,加载已编译好的程序,不能连接,DSP28335芯片已加密。 要进行芯片解密,将板子断电,连接仿真器,进行Debug,...
DoHlyzer_fixed
04-20
杜海兹 一组工具,用于捕获HTTPS流量,从中提取统计信息和时间序列特征,并进行分析,重点是检测和表征DoH(HTTPS上的DNS)流量。 致谢 该项目已通过加拿大互联网注册管理局(CIRA)从2019年7月至2020年Jyy的资助得以实现。 模组 DoHlyzer当前由几个独立的模块组成,每个模块都具有分析DoH流数据所需的某些功能。 仪表 DoHMeter模块负责: 从网络接口捕获HTTPS数据包或读取输入的PCAP文件 按数据包的源地址和目标地址以及端口将其分组为流 提取用于流量分析的功能,包括统计和时间序列功能 分析仪 该模块可用于创建建议的DNN模型,并根据可通过Meter模块创建的聚集块文件对它们进行基准测试。 可视化器 该模块可用于可视化由“仪表”模块创建的团块文件。 先决条件 需要运行DoHlyzer Python包列在requirements.txt文件。 您可以通过以
CCS V6环境配置MCSDK组件
学习雷锋好榜样
07-30 5330
前言:要开发一块FPGA和C6678DSP(8核)的板卡,后期编程要用到TI公司对应的CCS编程环境以及针对多核编程的MCSDK组件。鉴于是初学,我想装个最新版本,而且MCSDK貌似去年TI公司才发布,我怕版本太低不能用。上网查了好久资料都没有一个讲的很详细的教程,对于一个初学者来说便无从下手了。无奈辗转反侧找到了TI官网那里,满眼的英文,脑子里突然冒出一句:如果计算机是中国人发明的,程序语言都是
Version 1.0.1.zip_28335 ccsv6_28335示波器_Versin1.0.1Build6_Version
07-15
基于28335的简易示波器工程 ccsv6
ccsv6 simulation.zip
03-16
压缩包"ccsv6 simulation.zip"很可能包含了设置和使用C6678软件仿真的详细步骤、示例代码或特定库文件。为了充分利用这些资源,建议按照博主提供的指南进行操作。这可能包括创建新项目、导入库、配置仿真器设置以及...
CIRA大气:大气条件达2000公里-matlab开发
05-30
这是一个使用 NRL 的 MSIS-E 2000 将 CIRA 干燥大气实施到 2000 公里高度的课程。它计算大气成分及其密度、温度、压力。 这扩展了计算温度和密度的高度梯度的实现。 这种大气对太阳通量 (F10.7) 和 Ap 指数以及季节性变化有React。
CCSv6.0以上版本实现软件仿真
热门推荐
lygoflying的专栏
03-31 2万+
CCS6.0以上版本实现软件仿真,有利于开发平台的搭建。
CCS v6.1下完成TI-RTOS配置
lvySam的博客
06-16 1万+
TI-RTOS是实时操作系统的TI微控制器。TI-RTOS实现更快的发展不再需要开发人员编写和维护的系统软件,如调度程序,协议栈和驱动程序。它结合了实时多任务内核与其他中间件组件,包括TCP / IP和USB协议栈,FAT文件系统和设备驱动程序,使开发人员能够专注于差异化他们的应用程序。TI-RTOS提供整个TI微控制器的设备一致的嵌入式软件平台,因此很容易端口遗留应用程序的最新设备。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值