[论文精读]TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor

期刊名称:IEEE Transactions on Information Forensics and Security

发布链接:TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor | IEEE Journals & Magazine | IEEE Xplore

中文译名:TorWard:发现,阻止和追踪 Tor 上的恶意流量

 阅读原因:计网、网安、方班

论文主要探讨了在Tor网络上发现、阻止和追踪恶意流量的方法和技术。下面是内容分析:

1.前置知识:

 网络基础知识

  • TCP/IP协议栈:了解传输控制协议(TCP)和互联网协议(IP)的基本工作原理。
  • 路由器和网关:理解网络中路由器和网关的作用及其在数据包转发过程中的角色。
  • NAT(网络地址转换):掌握NAT的基本原理及其在网络中的应用。

网络安全与隐私保护

  • 匿名通信系统:了解匿名通信系统的基本原理,如Tor、I2P等。
  • 加密技术:熟悉对称加密和非对称加密技术,以及其在保护数据隐私中的应用。
  • 入侵检测系统(IDS):了解IDS的基本概念及其在网络安全防护中的作用。

Tor网络的工作原理

  • 洋葱路由(Onion Routing):掌握Tor网络的核心原理,即通过多层加密和多节点跳转实现用户匿名。
  • Tor组件:了解Tor客户端、Tor路由器、目录服务器和应用服务器的功能和作用。
  • Tor控制协议:理解Tor控制协议如何用于配置和管理Tor网络中的节点。

恶意流量分析与追踪

  • 僵尸网络:了解僵尸网络的结构和工作机制,特别是命令和控制服务器的作用。
  • 垃圾邮件和拒绝服务攻击(DoS):理解这些常见网络攻击的原理和方法。
  • 双音多频信令(DTMF):掌握DTMF信号的基本概念及其在通信中的应用。

2. 研究背景和问题:

背景

 Tor 网络的基本体系结构:

它由四个组件组成:Tor 客户端、Tor  路由器、目录服务器和应用服务器。一般来说,Tor 客户端安装 Tor 代理(OP),  它是 Tor 网络和客户端之间的接口。Tor 路由器(OR)构成核心 Tor 网络,并在 Tor  客户端和应用服务器之间中继流量。目录服务器保存所有公共 Tor 路由器的信息。应用服务器承载 TCP 应用服务,例如 web。Tor 还提供了隐藏服务来隐藏服务器的位置。

 常见的集中式僵尸网络 C&C 的架构

由三个组件组成:

(i) Bot master,它依赖 C&C 通道向其机器人发出命令,并通过 C&C 服务器从受感染的主机接收信息;
(ii) C&C 服务器,它代表 botmaster 将命令中继给机器人,从机器人收集信息或将结果转发给 botmaster;
(iii) Bot,它们是带有机器人软件的受感染计算机,并从 C&C 服务器接收控制命令以实际实施攻击。

问题

 1. Tor网络的滥用问题

  • 恶意活动:Tor网络被广泛用于匿名通信,但也被滥用于非法活动,如僵尸网络、垃圾邮件发送、拒绝服务攻击和恶意软件传播。
  • 法律和行政投诉:Tor出口路由器管理员经常面临法律和行政投诉,这使得在敏感环境中监控和分析恶意流量变得复杂。

2. 系统性研究的不足

  • 现有解决方案的局限性:目前对Tor上恶意流量的系统性研究依然不足,特别是在安全分析和流量追踪方面的有效解决方案尚未完善。
  • 手动配置的困难:Tor上恶意流量的多样性和复杂性导致了难以手动配置路由器的策略来阻止潜在的恶意流量。

3. 敏感环境中的监控与分析

  • 避免法律问题:如何在不触发法律和行政投诉的情况下,在敏感环境中(如大学校园网络)监控和分析恶意流量。
  • 动态管理工具:通过开发自动管理工具来动态添加和删除防火墙规则,实现有效的流量控制和管理。

4. 恶意流量的发现与阻断

  • IDS的应用:通过部署入侵检测系统(IDS)来检查Tor出口路由器上的流量,并利用自动管理工具动态地中断恶意流量。
  • 透明代理与重定向:将出口路由器的出站Tor流量重定向到透明代理,形成一个两跳电路,再将流量传递到Tor网络中,以吸引更多的Tor客户端选择该路由器。

5. 恶意流量的追踪

  • 双音多频信令(DTMF)方法:使用基于DTMF的方法来追踪僵尸网络流量,评估检测率和误报率,验证了该方法在嵌入信号情况下的有效性。
  • 实验验证:通过广泛的理论分析和实际实验相结合,验证了TorWard系统的有效性和可行性。

6. 本文贡献

设计并实现了TorWard,他在Tor出口路由上集成了一个入侵检测系统IDS,用于Tor恶意流量的发现、分类和相应。本文的TorWard可以发现和分类Tor中的恶意流量,还可以阻止和跟踪恶意流量

3. 技术框架:

 

  • Tor的组成: Tor由四个组件组成:Tor客户端、Tor路由器、目录服务器和应用服务器。
  • 系统架构: 本文设计了一个包含防火墙、入侵检测系统(IDS)、透明代理和Tor出口路由器的技术框架。通过一台带有两个网络接口的计算机作为连接到校园专用网络的网关,另一台计算机作为Tor出口路由器连接到网关。
  • 端口转发和自动管理工具: 使用防火墙实现出口路由器与公网之间的端口转发,并开发了自动管理工具来动态添加和删除防火墙规则。
  • 透明代理和流量重定向: 将出口路由器的出站Tor流量重定向到透明代理,并将出口路由器设置为接受所有流量,提供高带宽以吸引更多的Tor客户端选择该路由器。透明代理在网关上运行,接收并重定向出站Tor流量,形成一个两跳电路,再将流量传递到Tor网络中。

 

4. 实验设计与结果分析:

  • 实验验证: 通过实验和实际数据分析验证了TorWard系统的有效性。
  • 流量统计: 使用一个或多个Tor出口路由器可以获得可靠的Tor流量统计数据。
  • 恶意流量分析: 通过分析不同类型的恶意流量,揭示了僵尸网络主机和命令控制服务器利用Tor隐藏其通信的可能性。
  • 双音多频信令(DTMF)方法: 为追踪僵尸网络流量,研究使用了基于DTMF的方法,评估了检测率和误报率。实验表明,在嵌入信号的情况下,可以成功提取特征频率追踪恶意流量,误报率较低,验证了该追溯方法的有效性。

5. 结论与展望:

  • TorWard系统的贡献: TorWard系统用于发现、分类和响应Tor恶意流量,特别是通过IDS检查Tor出口路由器上的流量,并通过将流量重定向到Tor来避免管理和法律问题。
  • 动态中断恶意流量: 为了阻止出口路由器上的恶意流量,部署了IDS来将警报转发给TorWard的哨兵代理,该代理可以通过Tor控制协议动态地中断恶意流量。
  • DTMF信令方法的应用: 设计了一种有效的双音多频(DTMF)基于信令的方法来跟踪跨Tor的恶意流量。作为一个具有重要实际意义的例子,成功地通过Tor跟踪了僵尸网络流量。
  • 理论与实验的结合: 通过广泛的理论分析和实际实验相结合,验证了TorWard的有效性和可行性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/880577.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Android Studio中断点调试

1. Source 2. lunch 3. mmm development/tools/idegen 4. ./development/tools/idegen/idegen.sh 这一步会在源码主目录下生成android.iml和android.ipr 5. 修改android.iml文件 由于我们一般调试的是frameworks/base/core和frameworks/base/services目录,故我…

jvm专题 之 内存模型

文章目录 前言一个java对象的运行过程jvm内存分布程序的基本运行程序对象什么是对象对象的创建一、类加载检查二、对象内存分配三、初始化零值四、设置对象头五、执行初始化方法 对象的访问定位 对象与类的关系由类创建对象的顺序 对象的创建 前言 一个程序需要运行&#xff0…

JNI实现Java调用C++函数

1. 测试环境 操作系统:win10JDK版本:JDK11 安装教程gcc版本:8.1.0 2. 声明native方法 // HelloJNI.java public class HelloJNI {// 输出Hello JNI from CPP. private native static void sayHello();// 实现两个整数相加private native s…

Android手机投屏方案实现方式对比

文章目录 1.概述2.术语解释2.1 miracast2.2 scrcpy2.4 Wifi Direct2.5 app_process 3.技术实现对比3.1 Miracast3.1.1 Miracast介绍3.1.2 Miracast原理3.1.3 Miracast优缺点分析 3.2 Scrcpy3.2.1 scrcpy 介绍3.2.2 scrcpy的实现原理3.2.3 scrcpy的优缺点分析 3.3 Google cast3.…

【学习笔记】手写 Tomcat 四

目录 一、Read 方法返回 -1 的问题 二、JDBC 优化 1. 创建配置文件 2. 创建工具类 3. 简化 JDBC 的步骤 三、修改密码 优化返回数据 创建修改密码的页面 注意 测试 四、优化响应动态资源 1. 创建 LoginServlet 类 2. 把登录功能的代码放到 LoginServlet 类 3. 创…

Python 算法交易实验89 QTV200日常推进-模式思考

说明 过去几天大A的表现还是比较戏剧化的。 让我想到了: 1 价稳量缩模式。之前很长一段时间都是这种状态,最终还是大爆发了,这个可取。2 周期模式。假设价格是一个周期为T(T可变)的正弦波,所以最终还是回到了几个月前的位置&…

软件测试分类极简理解

基础 - 测试分类(4 种) 1、功能测试(难度:2) 功能测试用于测试软件的功能是否满足需求规格说明书 它验证软件是否能够执行预期的操作 2、性能测试(难度:4) 性能测试用于测试软件…

windows环境Python开发环境搭建指南(附实例源码和讲解教程)

windows环境Python开发环境搭建指南(附实例源码和讲解教程) 本指南将帮助您从零开始搭建一个Python开发环境,包括安装Python、配置环境变量、设置pip镜像源以及创建虚拟环境等步骤。请按照以下步骤操作: 1. 安装Python 首先,请访问Python官…

UE学习篇ContentExample解读------Blueprints Advanced-下

文章目录 总览描述批次阅览2.1 Timeline animation2.2 Actor tracking2.3 Button Trigger using a blueprint interface2.4 Opening door with trigger2.5 Child Blueprints 概念总结致谢: 总览描述 打开关卡后,引入眼帘的就是针对关卡的总体性文字描述&…

【NodeJS】npm、yarn、pnpm当前项目设置国内镜像源

全局设置镜像源,可以参考下这篇文章,还挺详细:《npm、yarn、pnpm 最新国内镜像源设置和常见问题解决》 临时设置镜像源:《npm永久或临时切换源》 有时候可能要同时多个开发项目,又不想修改全局的镜像源(具体场景…自行…

物联网系统中基于IIC通信的数字温度传感器测温方案

01 物联网系统中为什么要使用数字式温度传感器芯片 物联网系统中使用数字式温度传感器芯片的原因主要有以下几点: 高精度与稳定性 高精度测量:数字式温度传感器芯片,如DS18B20,采用芯片集成技术,能够有效抑制外界不…

若依开源系统多数据源整合clickhouse数据库详细步骤

1.添加依赖【pom.xml文件】 <!-- clickhouse数据源依赖--><dependency><groupId>ru.yandex.clickhouse</groupId>

JavaSE之异常专题

JavaSE之异常专题 1. java的异常体系 Java.lang.Throwable&#xff1a;java中的所有错误和异常的父类Error&#xff1a;代表系统级别错误&#xff08;属于严重问题&#xff09;&#xff0c;也就是说系统一旦出现问题&#xff0c;sun公司会把这些问题封装成Error对象给出来Exc…

算法宝典——二分查找算法

1.认识二分查找 二分查找的时间复杂度:O(logN) 二分查找属于算法中耳熟能详的一类&#xff0c;通常的我们会说只有数组有序才可以使用二分查找&#xff0c;不过这种说法并不完全正确&#xff0c;只要数据具有"二段性"就可以使用二分查找&#xff0c;即我们可以找出一…

【零散技术】Odoo PDF 打印问题问题合集

序言:时间是我们最宝贵的财富,珍惜手上的每个时分 Odoo PDF打印 是一个必备功能&#xff0c;但是总会遇到一些奇奇怪怪的问题&#xff0c;此帖仅做记录&#xff0c;方便查阅。 目录 1、样式丢失 2、部分结构丢失 3、没有中文字体 1、样式丢失 这种情况一般是由于 …

ppt压缩有什么简单方法?压缩PPT文件的几种方法

ppt压缩有什么简单方法&#xff1f;许多用户常常面临文件过大的问题&#xff0c;尤其在需要通过电子邮件发送或上传至网络平台时&#xff0c;大文件会带来诸多麻烦。此外&#xff0c;较大的文件可能导致软件响应缓慢&#xff0c;从而影响整体的演示体验。因此&#xff0c;寻找有…

C++ 基础入门-命名空间、c++的输入输出、缺省参数、函数重载、引用、内联函数超详细讲解

这篇文章主要对c的学习做一个基础铺垫&#xff0c;方便后续学习。主要通过示例讲解命名空间、c的输入输出cout\cin&#xff0c;缺省参数、函数重载、引用、内联函数&#xff0c;auto关键字&#xff0c;for循环&#xff0c;nullptr以及涉及到的周边知识&#xff0c;面试题等。为…

机械键盘驱动调光DIY--【DAREU】

1 下载键盘对应的驱动&#xff0c;不要装到C盘 达尔优驱动下载中心 2 驱动更改教程 标准模式 键盘功能 鼠标功能 切换灯光 切换配置文件 多媒体 windows快捷键 禁用 Fn 启动程序 文本功能 光标定位 FN模式 灯光效果设置 注意 宏--自定义功能

RK3568平台(camera篇)tp9930调节亮度色度锐度对比度

一.TP9930说明 1.1说明 TP9930是支持高清传输视频接口(HD)的通用HD/SD视频解码器- TVI)视频、NTSC/PAL CVBS视频以及常见的HD模拟视频格式解码。它集成了4个多标准解码器,可同时对现有的HD模拟格式进行4通道解码。它还可以与任何传统的CVBS相机兼容,以实现向后兼容性。…

spring:spring 中的初始化操作

参考 https://www.jb51.net/program/322735nvy.htmhttps://blog.csdn.net/weixin_40511641/article/details/136843198