物聯網中具備終端匿名的加密流量雙層過濾方法

馮景瑜,張 靜,時翌飛

(西安郵電大學 網絡空間安全學院,陜西 西安 710121)

隨著微型傳感器和驅動器在傳統工業體系中的廣泛接入,促使傳統工業加速轉型為具備靈活感知、密集互動、自主保障和調節能力的物聯網(Internet of Things,IoT)[1],通過數量龐大的終端設備向控制中心提供感知數據以幫助控制中心實施準確的決策。然而,由于缺乏有效保護,終端極易被攻陷,從而變成攻擊實施的幫兇。通過控制大量的終端向目標系統釋放惡意流量,攻擊者可以使系統通信受阻,導致系統宕機[2]。因此,惡意流量檢測已作為一個重要的研究方向被廣泛應用到入侵檢測系統中,以提升目標系統的網絡通信質量[3]。為應對日趨開放和動態的網絡邊界造成的個人隱私泄露風險,《通用數據保護規范》[4]《個人信息安全規范》[5]相繼出臺,以在政策層面對風險進行控制。此外,傳輸層安全 (Transport Layer Security,TLS)、互聯網安全協議(Internet Protocol Security,IPSec)等密碼安全套件[6]也被廣泛應用到信息系統中,以增強個人隱私保護能力。網絡通信中充斥著大量以加密形式存在的流量,明文特征作為識別依據的流量檢測方法表現堪憂,有效識別惡意加密流量成為了更具挑戰性的研究方向之一。

目前,針對于加密流量檢測的方法大體上可分為基于機器學習的惡意流量識別和基于密碼學的惡意流量識別[7]?；跈C器學習的惡意流量識別主要通過提取加密流量的特征,構造訓練集訓練分類模型,通過對模型的優化得到較好的識別率。結合多特征的惡意加密流量檢測方法[8]通過融合加密流量會話包長、時間馬爾可夫鏈、證書及協議等特征,構造了一個長達863維的特征向量,并利用機器學習方法實現對惡意流量的檢測。文獻[9]將Efficientnet-B0模型遷移到加密流量數據集上進行部分重訓,從而實現了在小樣本條件下對加密流量的精準檢測?；诿艽a學的惡意流量識別的核心在于通過可搜索加密實現對加密流量中惡意關鍵字的識別。文獻[10]通過將可搜索密文檢索技術同深度包檢測技術的有效結合,提出了一種針對于加密流量的檢測技術。此外,加密惡意流量識別還表現出一些場景特性。在云環境下的惡意流量檢測場景下,文獻[11]提出了使用信任過濾的方式率先檢測出一部分惡意流量源頭,以減輕云環境下的檢測惡意流量所產生的計算負載。文獻[12]針對于車聯網環境提出了一種通過路邊單元使用Hurst自相似參數估計檢測流量相似性的方法,以檢測到惡意流量的突增。

考慮到當待檢測流量被重定向到流量檢測中間件時,中間件常以外部接入的形式存在,將不可避免地引發隱私問題,導致流量特征泄露[13]。因此,為有效緩解流量特征泄露問題,流量特征加密技術被廣泛應用[14]。文獻[15]提出利用同態加密的方式在兩臺非共謀的云服務器上實現惡意關鍵字的匹配和檢測,在對流量內容和特征保護的條件下實現惡意流量檢測。文獻[16]針對于網絡流量的異常值檢測時涉及的隱私問題,提出了一種用于增量數據集的隱私保護異常值檢測協議,通過高效可互換的協議實現了多個加密模塊,并集成活動窗口,定期淘汰過期數據,保護流量隱私。盡管這類處理方法使得流量特征得到了保護,但由于數據部分性質缺失,一些依賴于流量特征的識別方法無法發揮其特點[14]。因此,如何平衡流量隱私保護同流量檢測效率之間的沖突,成為亟待解決的問題。

此外,由不同密碼體制所產生的密文在統計特征上表現出一定的差異,利用這些差異化特征的密碼體制識別成為了惡意流量檢測中新的應用方向?；陔S機森林的密碼體制分層識別方案[17],先通過簇分識別加密算法所屬的密碼體制,再利用單分識別具體的密碼算法,其在多分類任務場景下的準確率維持在60%～70%?；跊Q策樹的密碼體制識別方案[18],在針對SM4與常用密碼體制的二分類識別過程中,識別率表現較為優異。文獻[19]基于美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)公布的隨機性測試標準[20]提出了新的特征提取方法,并借助隨機森林實現密碼體制識別,其在較少密文特征下可實現較高的識別準確率。然而,上述工作并未涉及安全套接字層/傳輸層安全(Secure Socket Layer / Transport Layer Security,SSL/TLS)常用加密算法的識別,多數識別方法采用傳統的機器學習實現,識別效果受限于模型的表現能力。

針對加密流量檢測的困難性以及流量特征的隱私性需求,擬設計一種具備終端匿名化的加密惡意流量的雙層過濾方法。通過終端接入匿名化方法抵御利用流量隱私的終端身份推斷,確保流量檢測模塊對現網流量環境是未知的。此外,針對加密流量檢測的困難性,首先,利用終端接入受信程度評估方法,根據接入終端的誠實性從源頭阻斷惡意流量。其次,根據安全通信過程中的協商密碼算法集合,利用隨機性檢測提取流量特征,區分加密流量使用的密碼算法,篩選掉不屬于協商算法的惡意加密流量。

1 系統架構

作為物聯網生態重要的一環,大量的物聯網終端被廣泛部署在偏遠地區,難以維護和缺乏必要的安全策略使其長期暴露在風險中[21]。一旦物聯網終端失陷,終端設備將變成攻擊幫兇,系統中會充斥著大量的惡意流量,造成通信阻塞的同時也將影響控制中心的最終決策。因此,有效檢測出惡意流量是阻斷這類攻擊的重要手段。

為檢測出物聯網中存在的惡意加密流量,并確保流量特征對檢測系統未知,提出一種具備終端匿名化的加密流量雙層過濾方法。加密流量雙層過濾主要包含接入匿名化、接入受信度過濾和協商密碼體制過濾,總體架構如圖1所示。

圖1 加密流量雙層過濾結構

1)接入匿名化。對每個接入物聯網的終端設備授予一個匿名身份,構建匿名化的流量檢測環境,防止攻擊者利用流量隱私對物聯網終端身份惡意推斷。

2)接入受信度過濾。通過對流量源終端的接入受信任程度進行評估,對不可信終端發送的流量進行阻斷,達到從源頭過濾惡意流量的目的。接入受信度依據其對當前接入環境的熟悉程度以及終端身份驗證的正確性進行評估。對于來自于較高受信度終端所流量予以轉發。對于來自于較低受信度終端所發送的流量直接丟棄。對于中等受信度的終端,由于無法對其發布的流量進行判斷,將流量轉發至第二級過濾。

3)協商密碼體制過濾?？紤]到建立安全傳輸前會協商相應的加密算法,因此在過濾的過程中先對流量密文的隨機特征進行識別,分類所屬的密碼體制,不屬于非協商密碼體制的流量將被丟棄,屬于密碼體制的流量將予以轉發。

2 加密流量雙層過濾方法設計

為提升系統的網絡通信質量,惡意流量檢測方法被廣泛應用到入侵檢測系統中。傳統的流量檢測方法通過對流量特征及流量載荷的檢測區分惡意流量。然而,隨著個人隱私泄露事件頻發,越來越多的加密組件被應用到通信過程中。在實際的加密傳輸中并非所有的內容都是以密文形式存在的,一些流量的顯著特征并沒有被屏蔽掉。

加密流量雙層過濾方法首先引入終端匿名接入方法,構造源終端匿名的流量環境,防范流量檢測模塊利用流量隱私對源終端身份的惡意推斷。其次,采用接入終端受信度評估,過濾來自低受信度終端的流量。對于中等受信度終端流量,由于評估困難,轉發至第二層過濾。第二層過濾基于深度學習識別出加密流量所使用的密碼算法,判斷是否是此前協商的密碼算法,從而對惡意加密流量進行過濾。此外,檢測服務提供者(Detection Service Provider,DSP)是由一個或一組高可用且計算資源充足的服務器構成,可實現加密流量檢測服務的外包化,以緩解物聯網的計算負載。

2.1 終端匿名化接入

通過物聯網終端的匿名接入,可在不破壞流量特征的前提下,防范利用流量特征對源終端身份的惡意推斷。終端匿名化接入方法包含終端匿名身份生成和終端匿名身份驗證兩個連續階段。

2.1.1 終端匿名身份生成

由于DSP往往是半誠實且好奇的,表現為對待檢測加密流量有一定程度的好奇,并且可能會繞過一些安全措施直接訪問原始數據。因此,為確保匿名環境的安全構建,在匿名身份生成和驗證過程中,檢測服務提供者應僅具有代理轉發的功能。終端匿名身份生成過程如圖2所示。

圖2 終端匿名身份生成過程

利用代理重加密實現的匿名身份生成包含以下5個步驟。

步驟2DSP通過rT-A計算重加密密文R[TID]r,并轉發R[TID]r給匿名服務器。匿名服務器利用其私鑰As解密R[TID]r,匿名服務器在И中檢索n,И是一個由匿名服務器維護的匿名參數列表。

步驟3如果n不在匿名參數列表И中,則匿名服務器計算匿名身份PID=h(TIDn),并由私有鏈維護一個真實身份和匿名身份的映射記錄表ΓPID,其中該私有鏈僅由匿名服務器擁有訪問權限。如果n在И中,匿名服務器發送一個重置響應給接入終端,并要求接入終端重新選取臨時匿名參數n直到該參數不重復,以此確保每個接入終端擁有唯一匿名身份。

步驟5匿名化響應S[PID]r由DSP廣播。DSP利用rA-T和S[PID]計算重代理密文S[PID]r。接入終端利用其私鑰Ts解密S[PID]r,接入終端獲取其匿名身份PID。

2.1.2 終端匿名身份驗證

終端匿名身份驗證過程如圖3所示,具體步驟如下。

圖3 終端匿名身份驗證

步驟2DSP利用rT-A計算重加密密文RV[PID]r并轉發RV[PID]r給匿名服務器。匿名服務器利用其私鑰As解密RV[PID]r,匿名服務器檢索PID在匿名身份映射表ΓPID中。

步驟4DSP利用其私鑰Ds解密SV[vPID]并獲得身份驗證結果vPID。如果vPID=1,DSP將生成訪問令牌分發給接入終端,接入終端持令牌加入物聯網環境。

2.2 終端接入受信度評估

根據終端的接入環境和歷史行為,基于對終端匿名身份驗證和訪問環境的熟悉程度,評估終端的接入受信度,從源頭上過濾掉惡意流量。如果終端受信度較高,則可默認其發送的流量包是可信的,對其發出的流量予以轉發。如果終端受信度較低,則認為流量是惡意的不予轉發。

為方便接入受信度的衡量,將最終的接入受信度以歸一化[22]的形式映射到[0,1]區間內。Beta概率密度函數憑借其計算簡單、靈活高效的特點適合作為信任評估的計算原型[23],其表達式為

(1)

式中：θ為物聯網終端設備的行動概率,0<θ<1;α為物聯網終端設備匿名身份驗證成功計數,α>0;β物聯網終端設備匿名身份驗證失敗計數,β>0。

對終端進行匿名身份驗證,并將其作為基本接入受信度的評估因素。設第i個終端用戶的匿名身份驗證成功為Vi1,匿名身份驗證失敗為Vi2,則基于對匿名身份驗證的統計計數,物聯網終端的基本接入受信度的評估表達式為

(2)

然而,僅根據匿名身份驗證得到的基本接入受信度在失陷終端檢測中表現出一定的滯后性,一旦終端設備被攻擊者攻陷,基本受信度將長時間處于小范圍的波動中,無法與物聯網終端的實際行為模式相匹配。信任作為一種主觀狀態,應隨著用戶的交互行為、環境等因素的動態變化而發生變化,利用靜態信任進行計算會使最終結果漸漸偏離現實狀態[24]。因此,考慮到終端設備的接入環境時常發生變化,設置接入統計計數c(k),利用終端設備對接入環境熟悉程度輔助進行終端受信度的評估。接入統計計數的表達式為

(3)

式中：τ為接入門限;k為接入統計次數。終端設備接入統計計數由第一次設備接入時開始,達到接入門限時,1/τ將被重置為0。每次接入統計計數包含當前的訪問環境信息。此外,設置可信系數fp和可疑系數fd記錄每次終端接入的情況,綜合這兩種系數實現對終端綜合接入受信度的評估。

接入可信系數表達式定義為

(4)

式中,e(k)為當前接入環境同歷史接入環境的相似指標。若當前接入環境同任一歷史接入環境均不相同,設置e(k)=0。若當前接入環境同歷史接入環境有重疊,則e(k)=m/k,m為與歷史接入環境相似的次數。若當前接入環境同上次接入環境完全一致,將e(k)直接置為1。最終的接入可信系數由接入環境相似指標和接入統計計數乘積決定。

接入可疑系數表達式定義為

(5)

式中,d(k)為當前接入環境同歷史接入環境的差異指標。若當前的接入環境同任一歷史接入環境均不相同,設置d(k)=1。若當前接入環境同歷史接入環境有重疊,則將d(k)置為d(k)=(k-m)/k。若當前的接入環境同上次的接入環境相同,置d(k)=0。最終的接入可疑系數由接入差異指標和接入統計計數的乘積決定。由DSP維護一個接入記錄表YC,包含終端設備歷史訪問環境統計信息。

定義Fi={(fp1,fd1),(fp2,fd2),…,(fp(n-1),fd(n-1))}為終端接入產生的歷史可信系數和可疑系數。利用接入可信系數和可疑系數,依據每次接入環境的變化,引入威脅衰減因子ti,以對環境的變化做出敏感的變化,其表達式為

(6)

引入威脅衰減因子ti后,終端綜合接入受信度可表示為

TCOMPi=

(7)

基于終端接入受信度的流量過濾步驟如下。

步驟1執行終端匿名身份驗證。從加密流量中提取終端簽名sTs(PID)通過匿名服務器驗證終端匿名身份PID。如果身份驗證失敗,拒絕轉發來源于該終端的流量,更新Vi2=Vi2+1。否則,更新匿名身份驗證成功計數Vi1=Vi1+1。

步驟2計算終端綜合接入受信度TCOMPi。首先根據匿名身份驗證結果計算基本受信度TBASEi。其次,從接入記錄表YC獲取終端設備的歷史接入環境信息,判斷當前環境與歷史環境的差異性,計算可信系數fp和可疑系數fd。若終端首次接入當前環境,設置e(k)=1,d(k)=0。若當前的接入環境同上次的接入環境完全相同,則設置e(k)=1,d(k)=0。若當前接入環境同歷史接入環境有重疊,則設置e(k)=m/k,d(k)=(k-m)/k。之后,依據fp和fd計算威脅衰減因子ti,進而得到終端綜合接入受信度TCOMPi。

步驟3判定是否將流量轉發至第二層過濾。如果TCOMPi小于受信度門限σ,則認為該流量可信,允許通過。否則,將流量轉發至第二層過濾。

2.3 終端協商密碼體制過濾

在建立TLS、IPsec等安全連接前,首先需要參與雙方運行握手流程,對加密通信和數據完整性校驗所使用到的密碼算法達成共識,將安全通信過程中所使用到的密碼算法集合定義為集合Ξ。如果在加密通信過程中捕獲到使用了不屬于上述算法集合Ξ的加密流量,則認為其為惡意流量予以攔截。如果檢測到的加密算法屬于提取協商的算法集合中,予以放行?；谶@一思路,利用基于隨機性檢測的密碼體制分類方法實現對加密流量的第二層過濾。根據每種加密算法產生的密文在比特串分布上呈現的隨機性特征,訓練分類模型以區分不同的加密算法。

NIST提出的SP800-22 Revla隨機性檢測和度量標準套件被廣泛應用到密文隨機性衡量上[25]。SP800-22擁有15種隨機性度量指標,通過對特征重要性篩選,選取其中較為常見的11種隨機性檢測指標作為對協商密碼體制過濾識別的分類特征。下面介紹5種常見的檢測指標。

1)串行測試(Serial Test)。該指標檢測所有連續m比特的序列在待檢測序列中出現的頻率,代表給定長度模式串分布的均勻性。

2)單個位測試(Monobit Test)。該指標以表示待檢測序列中0、1比特出現的比例,完全隨機的序列應擁有相同數量的0、1比特。

3)塊內頻率測試(Frequency within Block Test)。該指標待檢測序列分割為多個序列塊,對每個分割后的序列塊執行單個位測試。

4)游程測試(Run Test)。游程被定義為n長的具有相同比特位的序列,該指標通過統計一段待測序列中所包含的不同長度游程的數量,衡量與完全隨機序列中包含游程數量是否一致。

5)塊內最長游程檢驗(Test for Longest Run Ones in a Block)。該指標通過將待檢測序列劃為多個序列塊,對每個序列塊執行游程檢測,衡量待測序列與完全隨機序列中包含游程數量是否一致。

基于SP800-22隨機性檢測套件,在加密塊鏈(Cipher Block Chaining, CBC)和電子密碼本(Electronic Code Book, ECB)工作模式下的高級加密標準(Advanced Encryption Standard, AES)算法、SM4算法、數據加密標準(Data Encryption Standard, DES)算法、數據加密標準3(Data Encryption Standard 3, DES3)算法以及Blowfish算法所產生的模擬TLS流的隨機性檢測結果對比分別如圖4—圖7所示?？梢钥闯?利用SP800-22隨機性檢測套件對加密流量進行隨機性檢測,得到的隨機性檢測指標的p_value值有著很好的區分效果,因此可選p_value值構成的特征空間作為協商密碼體制分類模型的輸入。

圖4 SM4和AES的塊內頻率檢測結果對比

圖5 DES3和SM4的游程檢測結果對比

圖6 AES和Blowfish的序列檢測結果對比

圖7 DES和SM4的單個位檢測結果對比

為滿足協商密碼體制過濾需求,對前饋神經網絡結構進行修改,針對協商密碼體制過濾的前饋神經網絡模型如圖8所示。

圖8 前饋神經網絡模型

針對協商密碼體制過濾的前饋神經網絡模型輸入層由11個輸入節點構成,其中11種隨機性度量指標的p_value值作為輸入特征項(x1,x2,…,x11),16個神經元構成雙隱層網絡結構(h1,h2,…,h8),神經元y1作為輸出項對協商密碼體制進行分類。該模型對應一個二分類問題,即通過對高級加密標準電子密碼本(Advanced Encryption Standard Electronic Code Book,AES ECB)、高級加密標準Galois/Counter模式(Advanced Encryption Standard Galois/Counter Mode,AES GCM)、RC4(Rivest Cipher 4)、高級加密標準加密塊鏈(Advanced Encryption Standard Cipher Block Chaining,AES CBC)模式和數據加密標準(Data Encryption Standard, DES)等密碼算法或工作模式進行識別,判斷純密文流量樣本使用的加密算法是否屬于TLS套件中的協商密碼算法集合,以此區分流量樣本類別,實現對惡意加密流量的非解密過濾。FNN基于反向傳播(Back Propagation,BP)算法構建對識別結果敏感的反向控制流,通過該反向控制流尋找最優的權重和偏置使得模型損失函數最小化,以實現較好的檢測效果。同時,在針對協商密碼體制過濾的FNN網絡中引入批標準化操作使得數據分布更加合理,提升模型訓練效率,并將sigmoid作為輸出層的激活函數,區分流量樣本為惡意流量或良性流量。最終,對于難以根據接入受信度評估的惡意加密流量,根據其加密體制進行快速的過濾。

3 性能分析與討論

3.1 仿真實驗設置

采用Python3.7在AMD Ryzen5 4600H 3.00 GHz 16 GB環境下搭建實驗平臺,對所提方法進行實驗分析,驗證雙層過濾方法對惡意加密流量的檢測效果性能。仿真環境參數設置如表1所示。

表1 仿真環境參數設置

通過對在現網環境中采集到的流量樣本解析,得到其中絕大部分TLS流使用不同密鑰長度的AES GCM或AES CBC工作模式實現傳輸數據加密,剩余流量樣本則較多的使用到ChaCha20與RC4加密算法[27]。為驗證所提方法有效性,由本地模擬環境生成原始內容為超文本傳輸協議(Hyper-Text Transfer Protocol,HTTP)形式的響應載荷,隨機生成20 000條長度為1 000～1 200字節的文本序列。同時,利用OpenSSL對隨機生成的文本序列進行加密,以此模擬由TLS密碼套件所產生的純密文流量負載。此外,為驗證協商密碼體制過濾的性能,還額外加入了幾種較常見的分組密碼加密算法,生成不屬于TLS協商密碼體制的惡意樣本。分組密碼加密算法及其工作模式如表2所示。

表2 分組密碼加密算法及其工作模式

實驗共使用200 000個加密流量樣本,10種使用到的密碼算法或工作模式產生的樣本數量一致。在利用FNN進行協商密碼體制過濾過程中,對屬于協商密碼體制的AES、ChaCha20和RC4等3種密碼算法及工作模式產生的樣本標識為良性樣本,而其余樣本標識為惡意樣本,惡意樣本與良性樣本比例維持在1∶1。此外,將數據集依據7∶3的比例劃分為訓練集和測試集。

3.2 雙層流量過濾性能分析

所提方法中第一層檢測主要依賴于物聯網終端的受信任程度實現,接入受信度是實現對惡意加密流量源頭過濾的主要依據。設置80輪仿真實驗,在第30輪引入失陷物聯網終端,模擬被攻擊者所控制的終端并發送惡意流量。觀察接入受信度的變化情況如圖9所示。

圖9 物聯網終端失陷后接入受信度變化情況

由圖9可以看出,在前30輪,物聯網終端尚未被攻陷,基本接入受信度和綜合接入受信度都趨于增加。在30輪之后,物聯網終端被攻陷,綜合接入受信度開始大范圍波動,基本接入受信度的變化范圍很小,不利于過濾檢測。對于基本接入受信度的評估方法,其接入受信度具有一定程度的靜態滯后性,導致失陷物聯網終端不容易被察覺。通過引入可信系數fp和可疑系數fd的綜合受信度評估方法,可以對物聯網終端失陷情形做出快速反應,使得接入受信度迅速衰減。

為進一步觀察對失陷終端引發的惡意流量的抑制情況,設置物聯網終端的總數為1 000,其中失陷終端占比40%,惡意流量抑制變化情況如圖10所示?？梢钥闯?通過將衰減因子ti引入基本接入受信度,綜合受信度可以快速對物聯網終端的失陷行為做出反應,從而有效抑制了惡意流量的增加。

圖10 惡意流量抑制變化情況

將10種加密算法加密的200 000條密文樣本進行劃分,采用Adam優化器尋找最優的參數組合,如學習率、迭代次數和批處理等。獲得的參數將應用到FNN中,并用交叉驗證的方式評估FNN模型表現。當學習率為1、迭代次數為10和批處理為16時,FNN對于協商密碼體制識別有較好的訓練和測試分數。

為進一步評估基于前饋神經網絡的協商密碼體制的識別效果,引入查準率、召回率、準確率和F1分數等4種常用評價指標,將其分別與卷積神經網絡(Convolutional Neural Networks,CNN)和循環神經網絡(Recurrent Neural Networks,RNN)兩種深度學習模型進行對比,結果如表3所示。

表3 不同模型協商密碼體制識別效果對比

由表3可知,FNN在準確率、召回率、查準率以及F1分數指標的表現上優于CNN和RNN兩種深度學習模型。另外,FNN在訓練時間開銷方面同樣表現優秀,這是因為FNN算法相較于RNN擁有更為簡單的網絡結構。此外,由于CNN依賴于大量的卷積操作,其平均訓練時延仍要高于FNN。因此,FNN是更適合于協商密碼體制識別的模型算法。

4 結語

具備終端匿名化的雙層加密流量過濾方法在防范利用流量特征進行終端身份推斷的同時,實現了對惡意加密流量的過濾。通過設計終端匿名接入方法,為接入物聯網終端賦予匿名身份,構建對流量檢測模塊匿名的流量環境。在第一層過濾中,引入終端接入受信度評估快速檢測失陷終端,從源頭上抑制惡意流量產生。在第二層過濾中,利用隨機性檢測構造特征空間,訓練前饋神經網絡對加密流量進行協商密碼體制識別,檢測不屬于協商算法集的加密流量。實驗分析表明,所提方法可以在保障接入終端身份隱私的同時快速檢測惡意加密流量,且具有良好的檢測效率和時間開銷。