文章信息
论文题目:RAINBOW: A Robust And Invisible Non-Blind Watermark for Network Flows
期刊(会议):NDSS
时间:2009
级别:CCF A
文章链接:https://www.researchgate.net/profile/Nikita-Borisov-2/publication/221655453_RAINBOW_A_robust_and_invisible_non-blind_watermark_for_network_flows/links/00b495242b7444bb0a000000/RAINBOW-A-robust-and-invisible-non-blind-watermark-for-network-flows.pdf
概述
本文提出了一种新的流量链接方案,称为RAINBOW。与被动技术一样,我们的方案将记录流入流量的时序,并将其与流出流量相关联。不过,我们也会通过延迟一些数据包来插入水印值。由于水印是独立于流量生成的,这将减少两个不相关流量之间自然相似性的影响,并允许在更短的时间内做出流量关联决策。我们使用扩频技术,使我们的延迟比以前的工作要小得多。我们使用的延迟量级仅为几毫秒;这意味着我们的水印不仅不会干扰正常用户的流量模式,而且几乎不会被发现,因为延迟量级与自然网络抖动量级相同。
背景
应用场景:跳板检测
为了解决被动流量分析的一些效率问题,Wang等人提出了使用水印的方法。在这种情况下,边界路由器会修改流入流量的流量时序,使其包含特定的模式——水印。如果流出的流量中出现了相同的模式,就会检测到跳板。如图1(b) 所示。
RAINBOW水印
我们的方案具有鲁棒性(抗被动干扰)和隐蔽性。不过,为了在保持检测效率的同时实现不可见性,我们使该方案具有非盲目性;也就是说,我们会记录流入流量的时序,并与流出流量的时序进行比较。这样,即使是低振幅水印,我们也能进行稳健的水印测试。
水印嵌入
水印嵌入过程如图2所示。假设带有数据包定时信息 { t i u ∣ i = 1 , ⋯ , n + 1 } \{t_{i}^{u}|i=1,\cdots ,n+1\} {tiu∣i=1,⋯,n+1}的数据流进入了边界路由器,在这里它将被嵌入水印(我们使用上标u表示"无水印"数据流)。在嵌入水印之前,流量的包间延迟(IPD) τ i u = t i + 1 u − t i u \tau _{i}^{u}=t_{i+1}^{u}-t_{i}^{u} τiu=ti+1u−tiu会被记录到IPD数据库中,水印检测器可以访问该数据库。随后,通过将数据包延迟一定时间来嵌入水印,从而使第i个水印数据包的IPD为 τ i w = τ i u + w i \tau _{i}^{w}=\tau _{i}^{u}+w_{i} τiw=τiu+wi。水印成分 { w i } i = 1 n \{w_{i}\}_{i=1}^{n} {wi}i=1n以相等的概率取值±a:
w i = { + a w. p. 1 2 − a
