学习笔记：匿名通信与暗网研究综述

本文仅为作者学习笔记，内容源自论文“匿名通信与暗网研究综述——罗军舟等”本身以及相关网络搜索

1、匿名通信与暗网

匿名通信指采取一定的措施隐蔽通信流中的通信关系，使窃听者难以获取或推知通信双方的关系及内容。匿名通信的目的就是隐蔽通信双方的身份或通信关系，保护网络用户的个人通信隐私。——MBA智库百科

匿名通信是一项技术，用于保护通信双方的隐私，使窃听者无法获取通信双方的关系及内容。匿名通信系统是提供匿名通信服务的一套完整网络，主要由提供加密服务的节点组成。暗网是匿名通信系统的其中一种表现形式，利用隐藏服务机制，使监管者无法有效监控暗网中的非法活动。

学术界对匿名通信系统研究的2个方向: 专注于匿名通信系统本身，分析其安全性并提出相关的隐私增强技术：包括匿名接入、匿名路由、隐藏服务等机制的优化，流量混淆和协议伪装等技术的设计和应用。; 针对匿名通信系统和暗网的攻击和监管：利用流量分析，系统/协议漏洞分析，提出去匿名化的攻击方法，包括暗网隐藏节点发现，隐藏服务定位，暗网用户的网络行为分析，暗网流量追踪，通信关系确认等。

2、匿名通信系统的分类和基本工作原理：Tor、I2P、Freenet、Zeronet

3、匿名通信关键技术

3-1、匿名接入：bridge、meek、FTE、Flashproxy

3-2、匿名路由：洋葱路由、大蒜路由、基于DHT的路由

3-3、暗网服务技术：Tor、I2P、Freenet、Zeronet

4、匿名通信攻防研究

4-1、匿名通信攻击技术：主动攻击、被动攻击、单端攻击、端到端攻击

4-2、匿名通信增强技术

目前已存在一些用来防御各种攻击的研究工作，从广义地讲，可以从网络层、协议层和应用层3个角度进行部署。

阻止网络层攻击的基本思路是去除与用户相关连流量的特征，包括：数据包大小分布、数据包顺序、流速率、流量时间等。

包填充技术可以基于一定填充策略填充数据包大小，以便去除数据包长度相关特征。

Wright等人提出了流量整形技术，使数据包长度与目标页面流量数据包分布相似，可以有效防御Liberatore等人提出的攻击方法。
Chan-Tin等人提出了一种基于聚类的流量整形技术，使簇中的不同网站流量特征看起来基本相同，从而使分类精度从70%下降到不足1%。

流量填充技术可以将伪数据包注入到用户的原始流量中，以便模糊流量大小。例如，为了阻止网站指纹攻击，网络服务器可以首先选择目标页面，然后模仿目标网页的数据包大小分布。

为了应对Panchenko等人的网站指纹攻击，Tor项目提出通过随机化HTTP流水线管道中的最大请求数来进行防御。
Nithyanad等人指出，在Tor暗网中40%的链路易受AS级别的流量关联攻击，为此他们提出了一种新的Tor客户端Astoria，通过网络测量和路径预测来进行智能路由选择，降低来自AS级别的威胁。
Juen等人通过路径预测技术来抵御来自AS和网络交换机的流量分析攻击，但该方法仍然有提升空间。

在协议层，报文填充和流量填充技术可以隐藏与用户相关联的流量特征。Secure Shell（SSH）、TLS和IPSec应用这一的报文填充技术可以将明文与块密码边界对齐，从而在一定程度上模糊包大小。为了进一步提高安全性，可以选择随机数量的数据包进行填充。此外还可以使用协议级流量填充技术。例如，Tor通常不将填充数据单元的功能用于链路级填充，因为它会显著降低链路的性能，因此可以设计协议级报文填充和流量填充技术，以在一定程度上减少开销。

在应用层，可以利用HTTP特征和背景流量（即诱饵网页）从用户流中移除流量特征。例如，HTTP流水线技术和HTTP range字段可以用于调整传入和传出的数据包大小。此外，在客户端改变HTTP请求的顺序可以在一定程度上改变流量模式。为了在应用层使用背景流量技术，当用户浏览目标网页时，可以在背景浏览中加载诱饵网页。但这种类型的防御技术只能用于一些特定的协议（如HTTP），不能广泛应用于所有协议。Wang等人提出了一种高效的网站指纹防御技术Walkie-Talkie，通过修改浏览器以半双工模式进行通信，可以模拟突发序列，使敏感和非敏感页面的浏览模式类似。实验结果表明Walkie-Talkie能够以较低的带宽和时间开销防御网站指纹攻击。

5、暗网治理技术研究

针对暗网服务滥用的问题，提出了对暗网bridge节点的发现方法。通过分析典型匿名通信系统Tor节点的选择算法，提出以节点注入方式枚举在线bridge节点的方法，并利用协议特征以区分客户端、正常匿名入口节点和bridge节点。通过理论分析推算枚举所有节点的时间，并根据理论结果指导实际部署，以达到最优的资源配置和最快的bridge节点捕获速率。此外，在获取部分bridge节点的基础上，通过对受控网络的监控，分析出入流量中存在的bridge节点网络连接特征，从而关联更多的bridge节点。

针对匿名通信系统Tor的暗网因此服务节点，提出了隐藏服务定位技术，为暗网中的非法内容监管提供支持。在分析Tor隐藏服务节点与客户端之间的匿名通信协议的基础上，部署部分Tor入口节点，控制客户端不断向目标隐藏服务节点发起连接，以产生具有可检测特征的隐蔽、快速流量，并在受控制节点观察流量特征以定位和确认隐藏服务节点。通过对暗网通信系统选路算法的理论分析，推算其隐藏服务节点选择受控制节点的概率，以此指导节点部署规模，以最小资源代价实现暗网隐藏服务节点的捕获。

针对滥用暗网的用户，提出暗网用户的上网行为分析技术，为暗网用户的监管提供支撑。暗网用户流量经过加密、混淆等操作后，其识别难度大大增加，为此提出了暗网通信流量识别技术。针对典型暗网系统，分别从协议设计和实现机制入手，研究匿名通信性系统中通信数据的缓存、封装和调度机制。同对数据包分布、流量统计属性等不同层面特性的综合分析，筛选匿名通信流量的可区分特性，并从理论上分析证明特征选择的合理性。在此基础上，研究并选取合适的机器识别方法，实现对匿名通信流量的快速、准确在线识别。

在识别暗网用户的基础上，为进一步推测暗网用户加密流量中的应用类型，提出了暗网通信应用分类技术。在各种交互式和非交互式暗网通信应用流量进行深入分析的基础上，建立包括上下行流量比、并发连接数等指标的流统计模型，并将其作为先验知识。针对采集的流量样本使用特征选择算法，获取不同匿名协议相应的对噪声不敏感、区分度高的特征。在此基础上，选择抗干扰分类性能稳定的分类模型，对匿名通信流量上应用层进行分类，建立分类评价模型，根据分类误差率、计算时间复杂度等指标，对所选特征和分类模型进行评价。

针对暗网用户和网站访问流量，提出了暗网加密流量内容分析技术，以推测用户访问的站点。分布针对单跳和多跳匿名通信系统，研究其采用的安全传输和匿名协议，并深入分析上层应用对暗网通信包长、时间间隔、以及并发匿名链路数量等流量特征的影响。在此基础上，重点针对HTTP等典型暗网通信流量，通过被动和主动方式采集并预处理流量数据，提取特征生成指纹，从而建立所关注木匾站点的指纹库，使用高效分类模型将未知暗网流量与指纹库中的数据进行匹配，分析可能的暗网通信目的端。

对于访问非法站点的用户，提出了不同层次的通信追踪技术，能够快速、准确、隐蔽地确认匿名流量之间的通信关系。通过分析匿名通信机制以及各种网络干肉对网络流量时间特征的影响，利用随机过程理论建立干扰环境下匿名通信流量时间特征变化的数据模型。在通用流水印追踪架构的基础上，根据水印追踪的隐蔽性和健壮性要求，利用信息论方法评估基于现有流水印机制构建的隐蔽信道的容量。在此基础上，引入最优停止理论，研究并设计了自适应的水印嵌入与检测机制。