今天为大家介绍一篇发表于 ACM CCS 2024 的工作。我们提出包长语义分析方法,实现仅通过分析包长度之间的关联性,检测隧道中被完全加密的攻击流量。
项目源代码链接:
https://github.com/fuchuanpu/Exosphere
https://drive.google.com/file/d/1_P8HIs3Q9f_HlA9_x2HMr0q6ScPzrF0g/view
Detecting Tunneled Flooding Traffic via Deep Semantic Analysis of Packet Length Patterns
Chuanpu Fu, Qi Li, Meng Shen, and Ke Xu
01
研究背景:加密隧道
加密隧道协议,将用户原始的数据包完全加密,而后封装在全新的数据包当中。其可以从根本上防御流量窃听攻击,因为隧道协议将隐藏数据包的每一个比特,包含包头和负载,导致中间人无法获得数据包的任何内容。
这些加密隧道是出色的隐私保护工具,因此大量地出现在广域网场景下。
02
科学问题:如何高效检测隧道内的攻击流量
然而攻击者也会滥用这些加密隧道来传递恶意流量。通过加密隧道,攻击者可以保证不暴露数据包首部和负载中任何一个字节。
通过这种方式,攻击者可以轻松绕过现有的全部攻击流量识别系统。因为它们的特征提取器无法获取真实的包头来提取特征;这些包头被隧道协议彻底加密封装。最终,流量特征和分类结果都为正常。
在不知道任何数据包内容信息的条件下,如何检测隧道内部的攻击流量,仍是一个开放性科学问题。
03
研究动机:包长关联性分析
我们意识到,处于隧道外的流量检测系统唯一可以观测的包特征只有包长度。
同时,我们的真世界测量研究发现,攻击数据包的长度呈现显著的关联性,即攻击数据包长度是相似的。因为攻击行为频繁地、周期地、持续地发送长度相似的数据包,例如洪范行为和扫描行为。
因此,我们尝试采用神经网络抽取这种关联性。从而检测呈现显著关联性的攻击数据包的包长模式。
04
解决方案:基于语义分析的检测方案
我们采用语义分析网络,利用卷积核抽取包间关联性,检测呈现显著关联的攻击包的长度模式。
方案分为两个部分:长度模式提取 和 语义分割网络
1. 长度模式提取:我们同时提取时间尺度和空间尺度的包长度特征。包含了测量、标准化、分割等一系列步骤。
2. 语义分析网络:我们采用语义分割网络,用卷积神经网络提取包长模式的关联信息。网络结构包含对称的下采样和上采样两部分:
下采样网络逐步压缩输入特征,综合包长度关联性输出语义特征;上采样网络逐步拓张语义特征,利用语义特征分类数据包。
05
实验验证
小规模部署:我们在小规模网络下部署了我们的系统,验证了对于多种隧道中的攻击流量均有效。
准确度比较:我们方案检测隧道内攻击的准确度,达到了现有攻击流量检测系统检测隧道外攻击的准确度,这些现有系统均无法检测隧道内的攻击。
检测吞吐:高速网络实验平台上的结果显示,在线检测吞吐超过了 9 MPPS。
07
结语
本文旨在解决加密隧道内攻击流量识别问题。我们考量攻击者利用加密隧道传递攻击流量,隐藏全部包头和负载,导致现有检测系统无法抽取特征,从而攻击者可以绕过这些检测系统。
我们提出包长度语义分析方法,用语义分割网络识别攻击数据包呈现出的强关联性的包长模式。该方案仅测量包长度,在不获取任何包头和负载信息的条件下,可检测出隧道内的攻击流量。同时,在高速网络试验台上达到了极低的延迟和极高的检测吞吐。
原文始发于微信公众号(赛博新经济):基于包长语义的隧道内部攻击流量识别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论