http
论文2
中国是如何发现和封锁shadowsocks协议
被动流量分析 主动探测
客户端建立socks 加密所以无法拦截
协议多 (AES) 完全保密
只建立一个TCP
异步IO
stream ciphers 问题多
所以引入AEAD ciphers
加密方式
客户端发送host:port结构的数据
OutlineVPN只支持AEAD
墙如何发现SS
被动流量分析,主动探测
实验分析
观察结果
重放攻击 160-700长度的数据包重点监测
非重放攻击 随机生成 :NR1 NR2
Server反应
信息熵 7
防范防火墙
被动流量:第一个握手包:拆成两个
针对主动探测:不论发什么包,都是timeout
论文3
威胁模型 tor网络
网络指纹实别 可以抽象为分类问题
两个概念 positive precision
true positive(tpr
wrong positive(wpr
false positive(fpr
precision= tpr/(tpr+wpr+r*fpr)
trace
延迟开销
论文4
深度学习网站指纹攻击(DF)
通讯模式
威胁模型:
WF攻击
WF防御:添加虚拟数据包/传输时延
封闭世界 :攻击者掌握受害者所有可能访问的网站
开放世界
数据集格式: 1,-1 代表传出,传入
用cnn训练了一个分类器
论文5
网络指纹攻击(TF)
Tor
流量捕获一些特征,
分类器进行分类
DF需要数据量太多,定期更新分类器
之前的攻击,太多假设(攻击和训练集在类似时间和环境)
三元组网络,深度学习网络(少量数据,有挑战性的场景(很久前收集的数据,仍然可以用来攻击,比机器学习好,小型开放世界仍然有效)
WF改进目标:
预训练模型(之后再用新的少量数据训练即可使用)
更换目标攻击网站,低训练量
N-shot learning
三元组网络:三个子网络(三个相同的平行的DF)
三个输入 anchor positive negative
A, A类别
P,A类别
N,非A类别
A,P距离最小, A,N距离最大
AP距离<AN距离
两个阶段:预训练阶段,攻击阶段
特征提取器
攻击阶段:N-training,
每个网站收集N个样本,放入特征提取器,得到N个向量,训练KNN分类器
6个实验,3个封闭
预训练和攻击阶段使用包含相同网站的数据是否会提升成功率:结果为否
原因:学习的是区分不同网站,而不是识别某一个特定网站
可以用旧数据训练的特征提取器
和迁移学习对比
N较小时,TF较好
开放世界: 40W未监控集(最大的)
论文6
闭塞系统