引用
张凯杰, 刘光杰, 翟江涛, 等. 基于时频分析和图卷积神经网络的Tor网络流量关联方法[J]. 网络空间安全科学学报, 2023, 1(3): 52-58
ZHANG Kaijie, LIU Guangjie, ZHAI Jiangtao, et al. Traffic Correlation Method for Tor Network Based on Time-Frequency Analysis and GCN[J]. Journal of Cybersecurity, 2023, 1(3): 52-58
背 景
匿名通信网络利用加密多跳和随机路径技术保护用户通信的匿名性和隐私性[1],最广泛的应用是洋葱路由[2](Tor),通过全球众多志愿节点的三层加密传输[3],隐藏通信双方的关系,使得传统网络追踪难以奏效[4]。尽管Tor的流量加密难以追踪,但现有技术中深度学习进行流关联分析表现出较高的关联准确度[11]。本文提出一种新的时频分析和图卷积神经网络结合的Tor流量关联方法。
理论依据
(1)时频特征分析
本文使用时频分析方法短时傅里叶变换分析Tor匿名网络的包长度时间序列[17],将时间序列升维到时频域后,进一步,通过哈希编码技术对STFT结果进行压缩,以提高流关联分析的鲁棒性和计算效率。这种方法在处理Tor网络的复杂包间隔抖动问题时显示出高效性和可靠性。
(2)图结构表示分析
本研究通过图结构表示Tor网络流量状态转移,利用时频特征分析后的矩阵构建图,节点表示流量状态,边代表状态转移概率[19-21]。利用DeepCoFFEA数据集对Tor数据包长度进行分析[15],发现数据包长度集中在少数几个值如图1所示,使得图节点数量有限,因此使用图卷积神经网络处理较小规模图的流关联分析是有效的。
图1数据包长度分布信息
创新****点
本文提出一种利用图卷积神经网络和三元组网络结合的方法来分析和关联Tor网络流量,如图2所示。通过短时傅里叶变换和哈希编码,将数据包长度信息转化为图结构,使用GCN捕捉节点间的特征关联。引入图池化层以降低计算复杂度,通过余弦相似度计算流特征向量的关联性。三元组网络通过锚点、正样本和负样本的方式优化模型,使用三元组损失函数增强流量关联分析的精确度和鲁棒性,有效地区分关联和非关联流量。
图1 图卷积神经网络结构
实验方案及结论
在本文中,我们提出了一种基于图卷积神经网络和三元组网络的流关联模型,并在DeepCoFFEA数据集上测试,与当前流行的流关联模型DeepCorr[11]、AttCorr[14]和DeepCoFFEA[15]进行性能比较。实验结果如表1显示,本文方法在假阳率为0.001时,真阳率达到83.4%,表现优于比较模型。这一成果证明了使用数据包长度特征进行流关联的有效性和鲁棒性,特别是在低误报率下实现高关联准确率,显著提升了Tor匿名流量的识别能力。
表1 不同流关联模型实验结果的比较
总结展望
本文提出了一种新颖的基于时频特征分析和图卷积神经网络的Tor流关联方法。此方法通过短时傅里叶变换提取基于数据包长度和方向的时频特征,并使用哈希编码对时频矩阵进行压缩。通过将数据包构建为拓扑图并应用图卷积神经网络进行特征学习,本方法能在保持低误报率的同时提高准确率。未来工作将聚焦于优化此技术以应对网络噪声和流量混淆,进一步提高准确率,扩展到更广泛的应用场景,并开发更具鲁棒性的算法。
论文全文下载方式
1 识别下方二维码;2 点击文末“阅读原文”。
来源:《网络空间安全科学学报》第三期
《网络空间安全科学学报》由中国航天科技集团有限公司主管、 中国航天系统科学与工程研究院主办,双月刊,国内外公开发行(CN 10-1901/TP,ISSN 2097-3136)。办刊宗旨为“搭建网络空间安全领域学术研究交流平台,传播学术思想与理论,展示科学研究、创新技术与应用成果,助力网络空间安全学科建设,为网络强国建设提供坚实支撑与服务”。
电话:010-89061756/ 89061778
