基于时间特征的HTTPS中间人攻击检测方法.pdf

《基于时间特征的HTTPS中间人攻击检测方法.pdf》由会员分享，可在线阅读，更多相关《基于时间特征的HTTPS中间人攻击检测方法.pdf（7页珍藏版）》请在咨信网上搜索。

1、收稿日期:修回日期:基金项目:国家重点研发计划前沿科技创新专项基金资助项目()作者简介:姜 博()男硕士生主要研究方向为网络安全:.:/基于时间特征的 中间人攻击检测方法姜 博 林 伟(信息工程大学河南 郑州)摘要:中间人攻击是网络攻击的一种常用手段其中超文本传输安全()协议的中间人攻击危害较大已有检测方法主要面向单客户端以证书匹配验证为主要手段部署成本和性能开销较高 通过分析()握手阶段的密钥协商、证书验证等关键报文提出基于时间特征的 中间人攻击检测方法从流量角度提供了一种检测思路具有更广泛的适用场景 实验结果表明该方法在互联网环境测试数据集下具有较高的准确率关键词:协议流量劫持中间人攻击攻

2、击检测机器学习中图分类号:文献标识码:文章编号:().引言网络安全领域已成为世界各国重要角力点攻防斗争日趋激烈部分高级持续威胁()组织可能已经通过网络攻击系统入侵国内部分关键网络节点伺机执行情报搜集和特定目标攻击任务 以美国为例其国家安全局()开发的“量子”()系统支持通过多种方式进行网络流量劫持和注入攻击可以劫持全世界任意地区任意上网用户的正常网页浏览流量 调查表明美国 下属特定入侵行动办公室()近年对中国国内的网络目标实施了上万次的恶意网络攻击控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等)第 卷第 期 年 月信 息 工 程 大 学 学 报 .流量

3、被劫持后可用于执行中间人()攻击等多种攻击样式针对基于 的应用层加密协议中间人可以充当会话代理同通信双方建立双向连接获取、篡改和转发原始数据 基于()协议的超文本传输安全()协议是目前访问网站最常用的加密协议当前客户端侧针对/协议的中间人攻击检测研究主要基于单个网络终端使用证书交叉比对验证、引入额外的网页内容校验和构造异常探测包等方法在部署成本、检测效率和应用场景上都存在一定局限性本文针对前述攻击场景基于国内网络环境对中间人攻击展开研究提出基于时间特征的客户端侧 中间人攻击检测方法 该方法通过提取 流量在 握手阶段密钥交换、证书验证等报文的时延特征使用机器学习算法训练出最佳模型并使用实际互联网

4、流量作为测试集进行了性能验证在该测试集上的整体准确率为 相关工作 协议最高版本为.国际工程任务组()基于该版本规范制定出.协议标准最新版本为.为不引起混淆除特别说明版本外本文统称其为 协议针对 协议的中间人攻击有 种方式:和 将客户端一侧的 连接降级为 连接避免浏览器证书检查 同客户端和服务端建立双向 连接获取通信数据是目前主要的攻击方式 要求中间人伪造的网站证书能够被浏览器或用户信任对于非法证书安全意识不高的用户可能会直接忽略浏览器警告攻击者还可能通过攻击防护不严的认证中心()机构获取私钥从而签发合法证书全球已数次发生此类事件 此外权力部门可以强制 针对特定目标颁发合法证书从而秘密劫持网络通

5、信美国的 机构主导了证书市场被许多国家和组织使用其执行此类攻击更不容易被发现 目前检测 中间人攻击的研究主要有基于证书和基于流量 种方式基于证书的检测方法使用证书哈希、证书认证主体等信息作为主要依据 文献开发了一个浏览器插件通过对比网站证书链中的 机构所属国家变化检测和阻止攻击 文献使用分布在多个国家的采集节点构造可信证书库通过在客户端还原网站证书链同证书库进行匹配来判断是否遭到中间人攻击 文献提出在多个网络和自治系统内部署终端探针对服务端证书进行交叉验证检测中间人攻击推导了封闭模型用于估计在一定概率下检测中间人所需探针的平均数量 文献提出一种签名检查协议客户端通过独立于公钥基础设施()的签名

6、保护信道从第三方服务器远程检索站点证书指纹与本地接收的证书指纹进行比对 文献针对安卓软件提出混合证书验证方法通过代理本机所有 流量检查证书可信度并使用社交网络的在线帮助功能进行辅助验证 文献针对 网络环境提出通过蜜罐诱探攻击和本地 代理实时获取服务端证书同本地证书知识库进行比对基于流量的检测方法使用时间特征、指纹特征等作为主要依据 文献首次尝试通过主动探测服务器根据数据包往返时间的比值来识别是否为反向代理 其研究表明使用恶意代理的网站与合法网站的 /时间比累积函数有较大差异 文献针对 提出了基于时间分析的检测方法 握手时间同阈值对比异常后结合证书验证进行投票表决 该方法仅使用握手总时延同阈值进

7、行比对对网络环境适应性较差需要有先验统计数据 文献首次分析了在野使用的基于反向代理原理的网络钓鱼工具包此类钓鱼网站使用合法证书且在任何节点访问得到的证书都相同 通过分析和实验确定了部分包时延和 库版本概率等特征使用随机森林作为分类器通过检测可疑域名网站在互联网中识别出多个 钓鱼网站 该方法通过主动构造和发送多种格式数据包的实现特征提取有一定的性能和网络开销 虽然其对基于反向代理原理的中间人工具包泛化性较好但实验表明无法检测到网络中存在的透明代理综上所述基于证书的检测方式主要面向单客户端以在线证书交叉验证或证书库匹配为检测手段规模化部署和维护存在较高成本信任模型较为复杂引入了新的隐私风险且频繁的

8、证书验证请求有较大的性能开销 基于流量特征的检测方式现有研究较少存在泛化性及效率不高、应用场景不足等问题 信 息 工 程 大 学 学 报 年 中间人攻击.攻击模型互联网环境下的流量劫持有多种方式如地址解析协议()欺骗、域名系统()欺骗、网络钓鱼、透明代理、域间路由劫持()、()劫持等其目的都是将通信流量定向到中间人在此基础上中间人在客户端与服务端之间充当代理转发数据攻击模型如图 所示图 中间人攻击模型.握手过程为使网站支持 网站所有者需要向 提交认证材料申领数字证书证书包含持有者、域名及公钥等信息 通常情况下 在通信时仅要求服务器向客户端提供证书 在成功建立 连接后为减少下次通信的握手时间以及

9、运算开销可以缓存协商的会话密钥、加密套件等供后续请求使用称为会话复用 本文对会话复用和 握手阶段的密钥协商细节不做讨论主要介绍通信双方首次建立连接时的消息顺序及作用.协议已得到主流浏览器的支持但通过对综合排名网站.中 网站进行访问和分析使用.协议的网站约占 本文主要关注基于.的 协议.握手过程如图 所示(根据密钥协商算法不同部分报文字段略有区别)的 次握手建立连接后进入 握手阶段消息 由客户端发出 报文包含支持的 版本、加密套件和可选字段等消息 由服务端发出 报文包含确定使用的 版本、加密套件和可选字段等 报文包含服务端使用的证书链客户端在接收到服务端证书后通过在线证书状态协议()或操作系统、

10、浏览器内置的可信根证书对其进行合法性验证消息 由客户端发图 .握手过程出 报文包含预主密钥或者 交 换 的 协 商 参 数 报文表明此后客户端送的消息均已加密 报文包含由前述所有握手消息计算得到的 由服务端对其进行验证消息 由服务端发出报文作用同消息 消息 及后续是由协商出的加密算法和对称密钥加密的通信数据.基于 的中间人攻击 称为密钥伪造攻击或证书替换攻击当检测到目标客户端向目标网站 发起 连接请求或在 报文的服务器名称指示()字段中检测到目标网站域名时使用 私钥签发证书 伪造的证书对真实服务端域名等信息进行了签名认证如果该证书合法或已被用户信任浏览器不会弹出任何警告信息中间人即可同客户端和

11、服务端建立双向 会话 中间人攻击检测方法从客户端角度看中间人与正常 服务端并无大的差别载荷均为加密的正常 报文设计良好的中间人工具会尽可能地模拟常见 服务端的行为特征和 握手特征甚至直接改造开源 服务端软件面对未知的中间人攻击工具检测方法需要有好的泛化性时间序列特征、统计特征、协议基本特征、报文负载多协议特征等 加密流量分类研究中的常用特征并不适合作为检测依据 本文通过分析 协议 第 期姜 博等:基于时间特征的 中间人攻击检测方法在有无中间人攻击状态下的时延差别提出基于时间特征的中间人检测方法()从会话流中提取出时延比特征使用机器学习算法构建分类器对 中间人攻击进行检测.主要框架首先收集正常

12、网站访问流量和中间人攻击下的 网站访问流量将其存储到 文件中而后根据四元组提取出双向会话流 计算会话流中 握手阶段关键包的时延构建特征向量集 基于该特征向量集使用多种机器学习算法构造分类器 通过测试集评估不同分类器的性能选出最佳分类器模型对后续流量进行中间人检测框架如图 所示图 中间人检测框架.特征选择为减小影响范围和降低暴露风险攻击者更有可能只在特定网络位置或少量高价值会话上执行针对性攻击并会尽量靠近目标客户端 此时客户端 握手包到达中间人的时间会比无中间人时到达服务端的时间短由于中间人要先将 请求转发到服务器再将服务器响应转发给客户端有中间人时的 数据响应时间会大于无中间人时的响应时间 给

13、出定义如下:之间数据包网络平均往返时间:服务端处理 请求平均时间:中间人处理、转发数据平均时间:客户端获取 数据时延与 次握手时延的比值令客户端为 中间人为 服务端为 忽略协议栈处理报文的时间理想情况下无中间人时有()有中间人时有()由于 故 同样握手阶段的证书验证数据包也有类似特点作为初步验证在客户端 下一跳路由设置中间人(分别运行中间人工具、)通过多次访问网站(百度搜索引擎:.为避免负载均衡影响使用其固定:.)得到 值曲线如图 所示结果表明 值在中间人攻击条件下比无中间人时高出了数倍符合前文分析图 值曲线.检测方法基于以上分析结合.节总结出的攻击模式选取部分关键报文的时间差如图 所示图 关

14、键报文时间差设特征向量()其中:()为特征个数 给出 计算公式:/()式中:为客户端与中间人的 握手时延为两者的协商确认报文、对应数据包需中间人转发满足.节分析的 值特点由此给出、的定义 为均衡时间波动造成的影响基于 与、信 息 工 程 大 学 学 报 年与 值的近似关系给出 与 的定义本文基于 .机器学习库使用随机森林()、极致梯度提升树()、支持向量机()种机器学习算法检测 中间人攻击 通过构建特征向量集合作为数据集按照:比例分割为训练集和测试集 使用训练集训练得到分类器最佳模型使用测试集评估不同分类器模型的性能 所有训练和测试数据通过 操作打乱顺序训练集使用 算法进行调优 折交叉验证 实

15、验实验部分首先完成攻击环境搭建、流量采集、数据包处理和特征提取工作将采集的流量区分训练集和测试集训练选择出最佳方法和最优模型而后采集互联网正常 流量和 中间人攻击流量作为测试集使用最优模型检验 方法检测中间人攻击的实际效果.准备工作出于负载均衡和安全性等考虑部分网站使用、等反向代理隐藏真实服务端其中一些代理同 中间人原理是基本一致的为了区分正常网站使用的代理和中间人需要采集充分的流量样本数据 考虑到境外网站数据安全和网络节点不可控因素较多本文进行训练数据准备时对象限定为 在中国大陆境内的 服务器在最优模型用于现网流量检测时 通常不做要求通过亚太网络信息中心()提供的亚太地区 分配信息表提取出中

16、国大陆境内 网段 选择.中 的网站作为数据采集对象在接近网关的内部终端上使用 进行自动化访问.环境搭建由于在网关外互联网环境下实施中间人攻击较为困难在内部网络搭建连接互联网的模拟攻击环境并基于该环境完成训练数据采集工作实验拓扑如图 所示图 模拟实验环境拓扑在该环境中 路由器被攻击者控制通过隧道封装将目标客户端流量转发到数据包处理器解封装隧道报文后将 流量转发给 攻击者基于 操作系统设置 规则将流量转发到本机中间人工具监听端口分别运行支持.的 .、.、.、.执行中间人攻击.数据采集基于上述测试环境分别在无中间人和开启攻击的环境下通过在客户端运行 访问 网站并使用 抓取 流量保存为尽可能保证流量没

17、有被中间人攻击在腾讯云的 个不同地区(北京、南京、上海、广州、成都、重庆)云节点共 台云服务器上对 字段中的域名和 发起 请求进行证书交叉验证将保存 流量的 文件按照双向会话流拆分并提取服务端 在国内的会话流有效特征由于不同工具的实现细节不同提取的记录数量存在差异如表 所示表 有效特征记录正常攻击点 第 期姜 博等:基于时间特征的 中间人攻击检测方法.实验结果.评价指标本文将正常 流量样本看做负类/阴性样本中间人 流量样本看做正类/阳性样本 在模型训练评估阶段使用准确率()、精确率()、召回率()和 分数作为评价指标 从实际应用角度讲希望尽量减少对正常流量的误报和对中间人流量的漏报在最终互联网

18、流量验证阶段使用误报率()和漏报率()作为评价指标 相关定义如下:将样本预测为正类预测正确:将样本预测为负类预测正确:将样本预测为正类预测错误:将样本预测为负类预测错误 ()()()()()().性能评估)选择最佳分类器从正常 数据中随机抽取 条记录 种中间人工具数据中分别随机抽取 条记录按照 的比例组成数据集 按照 比例分为训练集、测试集使用.节方法训练和测试 种机器学习分类器模型性能结果如表 所示表 分类器性能数据集分类器准确率精确率召回率 值.结果表明 种分类器准确率在 以上说明本文所选择特征具有较高的区分度 在数据集相同的情况下 分类器的性能与 分类器非常接近两者均优于 分类器考虑到特

19、征维度较低选择 作为最佳分类器用于后续的实验)分类器泛化性能评估为了衡量分类器检测未知中间人攻击工具的性能在数据集 中将正常 流量和 种中间人工具的数据作为训练集重新训练 分类器模型剩下的 种中间人工具的数据作为测试集检验其泛化能力如表 所示表 分类器泛化性能测试集准确率精确率召回率 值.结果表明 分类器在检测未知中间人工具时准确率为 以上有较好的泛化性能)现网环境攻击检测前述步骤已经选择出最佳分类器 评估了其泛化性能从正常 数据和中间人工具数据中按照正负样本比例 随机抽取记录组成训练集 使用.节方法训练出最终的 分类器模型用于实际互联网流量检测在实验室工作网络中针对部分终端进行 中间人攻击采

20、集互联网 访问流量作为测试数据将正负样本分开检测结果如表 所示整体检测结果如表 所示表 分类检测结果检测类别总数正类负类误报率漏报率正常流量 .中间人 .表 整体现网流量检测结果检测类别准确率精确率召回率 值所有流量.结果表明模拟实验环境训练出的最佳 模型在现网环境中仍有较高的性能该数据集下的准确率为.误报率和漏报率约为 在 网站以 为关键词收集到近年来发生的针对、和 的真实中间人攻击案例的 个 文件从中提取出了 条有效特征均被最优 模型检测出中间人攻击进一步验证了本文方法的有效性 结束语本文通过分析 协议的部分关键报文提出一种基于时间特征的 中间人攻击检测 信 息 工 程 大 学 学 报 年

21、方法通过构建时延比特征向量使用随机森林算法检测攻击 互联网环境流量检测结果表明该方法能够有效检测出真实发生的 中间人攻击但对正常流量仍有一定的误报 可以考虑将该检测方法同高速流量处理技术相结合部署在网关等节点结合证书辅助验证等方式提高网络边界检测攻击的能力参考文献:公司.美国安局 黑客组织量子攻击系统技术分析/.().:./.国家计算机病毒应急处理中心计算机病毒防治产品检验中心.西北工业大学遭美国 网络攻击事件调查报告(之一)/.().:./.:.:().:.杨健.中间人攻击检测系统的设计与实现.南京:东南大学.:/.:.:.:.:.:.:.:.:.赵森栋.安全套接层中间人攻击与防护研究.哈尔滨:哈尔滨工程大学.:.:.:.():.:.陈国伟伍小明.透明网关与透明代理结合的防火墙的设计与实现.计算机应用研究():./.:.佘华君姜开达黄保青.基于 会话劫持的校园网安全告警系统.厦门大学学报(自然科学版)(增刊):.().:.:.康鹏杨文忠马红桥.协议恶意加密流量识别研究综述.计算机工程与应用():.(编辑:冯 春)第 期姜 博等:基于时间特征的 中间人攻击检测方法