HTTPS通信流截获解析系统的设计与实现.pdfVIP

HTTPS 通信流截获解析系统的设计与实现 徐楠 陈松乔 眭鸿飞 （中南大学信息科学与工程学院湖南 长沙 410083 ） [摘要] 安全传输协议如 SSL、TLS 虽然可以保障通信内容的机密性，但无法完全隐藏传输数 据长度、通信的持续时间以及通信的频度等信息。本文提出一种新的方法，即利用 HTTPS 通 信流报文的首部信息，解析并重构出与用户浏览序列对应的页面 “指纹”序列，并在分析 SSL 和 HTTP 的通信行为的基础上，给出了基于最大包长度以及时间阈值对 HTTPS 通信流报文进行 解析重组获取页面“指纹”序列的“指纹”序列抽取算法。在此基础上，对 HTTPS 通信流截 获解析系统(HTTPS Traffic Capturing and Parsing System, HTCPS)进行了总体设计。实验 结果表明，该方法不但能够对 HTTPS 通信流进行解析，并且能重构出页面“指纹”序列。 关键词：信息隐藏；通信流分析；匿名通信 引言 虽然采用加密和重路由机制能够在一定程度上抵御通信流分析攻击，但是基 于“指纹”匹配的方法能够识别用户正在访问的网页。这种方法主要从用户通过 加密信道浏览网页时产生的通信流信息重构出网页的HTML文件大小、内嵌对象 文件大小等构造形成 “指纹”，进而搜索目标站点的指纹模型，以识别出用户浏览 的网页。目前，国内的研究仅限于对其基本原理的探讨[17]，国外的研究则限于在 [5] 假设的条件下分析其攻击效果 。 虽然现有的捕包工具如Windump[7] 、Sniffit[8] 、Sniffer pro[9] 、Iris[10] 、 Commview[11]等能在截获通信流数据包的基础上，根据相应的协议进行解析重组， 却无法进一步根据Web 的HTML文件及内嵌对象文件的传输长度以及时序关系等 信息构造出用户浏览Web序列对应的“指纹”序列。因此，必须开发新系统以满 足课题任务要求。 第 1 页 1. 研究内容、意义及研究现状 HTTPS 通信流截获解析系统必须能够在局域网环境中截获 IP 数据包，根据给 定过滤条件，从中抽取与用户浏览 Web 页序列对应的“指纹”序列。具体而言， 系统应当能够捕获局域网内的数据流，获取 HTTPS 通信流中 IP 数据包头中的源、 目的地址、长度、时间等信息；解析所截获 IP 数据包，重组出所传输文件的各项 信息，包括传输长度、传输时间等；根据文件的传输长度及时间，结合 HTTP 协 议通信规程，重构出与用户浏览的 Web 页序列相对应的 “指纹”序列。本课题的 研究对于深入分析通信流分析攻击机制和评估度量通信流掩匿系统性能具有积极 的意义。 2. 相关概念及定义 通信流：通信流为数据包序列 IP , IP ,…,IP ,记为Traffic 。其中，IP (1 ≤i≤ 1 2 n i n)为元组(SrcAddr,DestAddr,SrcPort,DestPort,Type,TimeStamp,Size) ，SrcAddr为数据 包IPi 的源地址，DestAddr为目的地址, SrcPort为源端口号，DestPort为目的端口号, Type 为所属的应用层协议内容,TimeStamp 为捕获时间,Size为数据包有效载荷大 小。 需要注意的是，当通信流为加密通信流时，Size 为去除加密传输协议报文头 后的有效载荷大小。 指纹：给定Web 页p 的指纹为元组(HTMLLen,OBJLenSet)，记为Fingerprint(p) 。 其中 HTMLLen 为页面p 的HTML 文件的传输长度, OBJLenSet 为页面p 所包含的 内嵌对象的传输长度的集合。 通信流 3. HTTPS 通信流截获解析系统总体设计 原始数据包 根据