郭曉軍，程光，朱琛剛，TRUONG Dinh-Tu，周愛平

(1. 東南大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210096；2. 西藏民族學(xué)院 信息工程學(xué)院，陜西 咸陽 712082；3. 東南大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)和信息集成教育部重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 210096)

1 引言

近年來，隨著Internet爆炸式的發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)重，尤其在經(jīng)濟(jì)利益的驅(qū)使下，各種網(wǎng)絡(luò)攻擊手段層出不窮，給用戶帶來巨大經(jīng)濟(jì)損失。一方面，為了逃避檢測和追蹤，攻擊者往往并不直接對(duì)目標(biāo)主機(jī)發(fā)起攻擊，而是使用SSH[1]，IPsec協(xié)議[2]登錄跳板節(jié)點(diǎn)（stepping stone）主機(jī)[3～6]、借助匿名通信系統(tǒng)[7～9]、僵尸網(wǎng)絡(luò)[10～12]等手段來隱藏自己的真實(shí)身份，給攻擊流追蹤、真實(shí)攻擊源定位、網(wǎng)絡(luò)監(jiān)控與管理等方面造成了巨大困難；另一方面，由于經(jīng)濟(jì)、政治利益等因素，犯罪分子可利用匿名通信系統(tǒng)（如Tor、Mixmaster等）傳播賭博、色情、暴力、反動(dòng)等不良信息，這些違法通信行為嚴(yán)重污染了合法用戶的網(wǎng)絡(luò)環(huán)境，也使對(duì)這些行為的犯罪取證及網(wǎng)絡(luò)審查面臨嚴(yán)峻挑戰(zhàn)。

針對(duì)上述問題，傳統(tǒng)的入侵檢測系統(tǒng) IDS（intrusion detection systems）與流關(guān)聯(lián)（flow correlation）技術(shù)主要采用被動(dòng)網(wǎng)絡(luò)流量分析方法[3～5,13,14]。該類方法通過布置在網(wǎng)絡(luò)關(guān)鍵位置的節(jié)點(diǎn)來收集網(wǎng)絡(luò)流量，借助于分析和比較各網(wǎng)絡(luò)流量中數(shù)據(jù)分組數(shù)量[5]、大小[13]、時(shí)序等特征[15,16]，來確認(rèn)各網(wǎng)絡(luò)流之間的關(guān)聯(lián)匹配關(guān)系。但此類方法要捕獲和檢查所有網(wǎng)絡(luò)流量，會(huì)明顯增加網(wǎng)絡(luò)設(shè)備的時(shí)空開銷，其離線分析方式也導(dǎo)致識(shí)別滯后性，實(shí)時(shí)性較差，可擴(kuò)展性不強(qiáng)，難以應(yīng)用在大規(guī)模、高帶寬網(wǎng)絡(luò)環(huán)境，尤其面對(duì)加密流量及匿名通信環(huán)境更顯得力不從心。為了改善傳統(tǒng)被動(dòng)式方法的不足，應(yīng)對(duì)加密流量及匿名通信環(huán)境中流追蹤和定位問題，主動(dòng)網(wǎng)絡(luò)流水?。ˋNFW）技術(shù)應(yīng)運(yùn)而生。

ANFW 技術(shù)主要借鑒數(shù)字水印(digital watermarking)[17]的思想，通過主動(dòng)改變可疑發(fā)送端（sender）所產(chǎn)生流[18]的某些特征，使之隱蔽地?cái)y帶一些特殊標(biāo)記信息，即水印（watermark），在經(jīng)過通信網(wǎng)絡(luò)傳輸后，若從可疑接收端（receiver）所嗅探的網(wǎng)絡(luò)流中能檢測出相應(yīng)的水印，則認(rèn)為sender和receiver之間存在網(wǎng)絡(luò)流關(guān)聯(lián)，從而可認(rèn)定它們之間存在明確的通信關(guān)系，是一種主動(dòng)網(wǎng)絡(luò)流量整形與分析技術(shù)。與傳統(tǒng)被動(dòng)網(wǎng)絡(luò)流量分析相比，ANFW方法顯著優(yōu)勢在于能夠較好地適用于存在加密流量、跳板節(jié)點(diǎn)、匿名通信等多種網(wǎng)絡(luò)環(huán)境，其過程對(duì)于可疑收發(fā)雙方無法察覺，即具備透明性，且可用較少的時(shí)空開銷確認(rèn)sender和receiver通信關(guān)系，具有較高的識(shí)別率，此外，還可同時(shí)面向多數(shù)據(jù)流的追蹤和定位等。因此，該技術(shù)近年來也逐漸成為網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)。

目前，國內(nèi)外學(xué)者已在主動(dòng)網(wǎng)絡(luò)流水印系統(tǒng)模型、流水印載體選擇及流水印調(diào)制解調(diào)技術(shù)等方面開展了較多研究工作。本文試圖以 TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)為核心，從層次的視角對(duì)現(xiàn)有主動(dòng)網(wǎng)絡(luò)流水印技術(shù)研究進(jìn)行歸納和總結(jié)，并對(duì)未來主動(dòng)網(wǎng)絡(luò)流水印技術(shù)發(fā)展趨勢及可能的研究方向進(jìn)行了展望。

2 主動(dòng)網(wǎng)絡(luò)流水印概述

2.1 通用模型

一些學(xué)者已從不同的角度給出了ANFW模型[19,20]。為了更好理解主動(dòng)網(wǎng)絡(luò)流水印本質(zhì)和描述方便，本文在借鑒已有研究工作的基礎(chǔ)上給出了ANFW的通用模型。

定義1 ANFW可描述為一個(gè)六元組＜OF,W,AP,EM,DE,CM＞。其中，

1)OF(original flows)為原始網(wǎng)絡(luò)流集合，本文中，OF={f1,f2,…,fn}，fi（i=1,2,…,n）為sender產(chǎn)生的流。

2)W為嵌入的水印信息，W={ w1,w2,…,wl}，|W|=l(l＞0)，wi為水印信息位，且 wi∈{0,1}，l稱為水印容量。

3)AP(assist parameters)是在流fi中嵌入水印W時(shí)所需的輔助參數(shù)集合，AP={ap1,ap2,…,apm}，其中，api為輔助參數(shù)，如fi中各數(shù)據(jù)分組之間的時(shí)間間隔、PN(pseudo-noise)碼[21]等。不同ANFW方法具有多個(gè)不同的輔助參數(shù)。

4)EM為調(diào)制或嵌入水印函數(shù)

5)DE為解調(diào)或提取水印函數(shù)

其中，fr為receiver處捕獲的網(wǎng)絡(luò)流。

6)CM 為比較函數(shù)，Th為預(yù)先設(shè)置的閾值。

圖1給出了主動(dòng)網(wǎng)絡(luò)流水印機(jī)制的通用模型。水印嵌入器（watermark embedder）首先收集 Bob產(chǎn)生的流 fi，選取流 fi某個(gè)特征（如速率、分組間隔等）作為承載水印 W 的載體，然后在式(1)的控制下，主動(dòng)改變該特征并使之呈現(xiàn)不同狀態(tài)，用以表示水印信息位wi，從而完成水印W在流fi中的嵌入過程。水印檢測器（watermark decoder）捕獲到達(dá)Alice的流fr，應(yīng)用式(2)提取出fr所攜帶的水印W'，若W'與W滿足式(3)，則說明fr是 fi在經(jīng)過通信網(wǎng)絡(luò)傳輸后疊加網(wǎng)絡(luò)噪聲（如網(wǎng)絡(luò)擁塞、抖動(dòng)等）所形成的流，從而確認(rèn)Bob與Alice之間存在通信行為，否則，則認(rèn)為fr與 fi無關(guān)，即Bob與 Alice不存在通信行為。

2.2 應(yīng)用場景示例

ANFW 技術(shù)可通過調(diào)整網(wǎng)絡(luò)中流特征來確定可疑發(fā)送端與可疑接收端之間是否存在明確的通信關(guān)系，尤其適用于加密流量、跳板節(jié)點(diǎn)、匿名通信等多種網(wǎng)絡(luò)環(huán)境。為更好地理解 ANFW 機(jī)制及其應(yīng)用，此處給出一個(gè)ANFW在匿名通信網(wǎng)絡(luò)Tor[7]中的應(yīng)用示例，如圖2所示。

Tor是一個(gè)開源項(xiàng)目，借助洋蔥頭路由器 OR（onion router）來隱藏原始TCP流量的真實(shí)信息，為TCP應(yīng)用提供匿名通信服務(wù)，可看成基于Internet的覆蓋網(wǎng)。在Tor匿名網(wǎng)絡(luò)中，OR與OR之間構(gòu)成匿名信道或者加密信道，使用TLS（transport layer security）協(xié)議加密原始 TCP流量，且并將其轉(zhuǎn)變?yōu)榇笮∠嗤臄?shù)據(jù)分組。這樣，原始TCP流量中的一些敏感信息（如源宿IP地址、端口號(hào)等）就變成了密文，即使數(shù)據(jù)分組被捕獲也無法識(shí)別，達(dá)到了匿名原始TCP流量的目的。

圖1 ANFW技術(shù)通用模型

圖2 ANFW在匿名網(wǎng)絡(luò)Tor中應(yīng)用示例

攻擊者可利用Tor網(wǎng)絡(luò)的匿名性特點(diǎn)，在隱藏自己真實(shí)主機(jī)信息的情況下對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行入侵或攻擊。很顯然，若采用被動(dòng)流量為分析方法是難以對(duì)攻擊源頭進(jìn)行準(zhǔn)確追蹤和定位的。在此情況下，ANFW技術(shù)提供了一種可行的解決途徑。首先可在被侵害主機(jī)Victim所在網(wǎng)絡(luò)關(guān)鍵位置（如網(wǎng)關(guān)）啟用ANFW嵌入器，主動(dòng)調(diào)制Victim所產(chǎn)生的向外的流的特征，以使流攜帶水印信息W，該流經(jīng)過 Tor匿名通信網(wǎng)絡(luò)傳輸后可能會(huì)到達(dá)網(wǎng)絡(luò)A1、A2或 A3，此時(shí)部署在網(wǎng)絡(luò) A1、A2及 A3關(guān)鍵位置的 ANFW 檢測器會(huì)對(duì)進(jìn)入本網(wǎng)的流進(jìn)行水印信息檢測和提取，若檢測得到的水印信息為W，則可確定攻擊者位置存在于本網(wǎng)絡(luò)中，為下一步準(zhǔn)確找出攻擊者精確位置提供依據(jù)，以達(dá)到對(duì)攻擊源的定位與追蹤。此外，也可將ANFW嵌入器、ANFW 檢測器作為功能模塊嵌入在OR中，方便部署與應(yīng)用。

2.3 面向的主要角色

ANFW面向的主要角色是指ANFW技術(shù)在實(shí)際應(yīng)用中所涉及的主要人員，如圖3所示。本文根據(jù)已有研究文獻(xiàn)的描述、ANFW原理及應(yīng)用領(lǐng)域，從網(wǎng)絡(luò)安全的角度將 ANFW 面向的主要角色總結(jié)為4類，分別為：攻擊者、普通用戶、網(wǎng)絡(luò)管理員及網(wǎng)絡(luò)執(zhí)法者。

圖3 涉及ANFW的主要角色

攻擊者可分為2類，一類是指惡意和非法使用ANFW技術(shù)檢測、跟蹤通信網(wǎng)絡(luò)中正常用戶間通信行為的人員，如在匿名通信系統(tǒng)中，此類攻擊者就可以利用ANFW技術(shù)在收發(fā)雙方未覺察的情況下，確認(rèn)和跟蹤收發(fā)雙方的關(guān)系，從而破壞匿名通信系統(tǒng)的匿名性，為后續(xù)實(shí)施其他網(wǎng)絡(luò)攻擊提供可靠信息；另一類是指以故意移除或破壞 ANFW 為目標(biāo)的人員，如一些違法人員會(huì)操縱匿名系統(tǒng)中主機(jī)傳播色情、謠言等不良信息，甚至進(jìn)行其他犯罪（賭博、倒賣個(gè)人隱私信息等），當(dāng)網(wǎng)絡(luò)監(jiān)管人員利用ANFW技術(shù)對(duì)這些違法主機(jī)進(jìn)行跟蹤時(shí)，違法人員很可能會(huì)利用一些技術(shù)手段[22]對(duì)潛在的 ANFW 進(jìn)行移除，以逃避檢測和追蹤。

普通用戶是指在網(wǎng)絡(luò)中正常合法通信的主機(jī)。一方面，他們是 ANFW 技術(shù)的保護(hù)對(duì)象，ANFW可作為判斷這些普通用戶是否已變?yōu)閟tepping stone[19]、僵尸主機(jī)[23]等的一種重要技術(shù)手段；另一方面，普通用戶也可主動(dòng)利用 ANFW 技術(shù)來確定自身所訪問網(wǎng)絡(luò)信息來源的真實(shí)性和可靠性。

網(wǎng)絡(luò)管理員可利用ANFW技術(shù)確定和追蹤所轄子網(wǎng)或子域內(nèi)存在的網(wǎng)絡(luò)入侵事件和攻擊行為，記錄關(guān)鍵信息，形成證據(jù)日志，并聯(lián)合IPS（intrusion prevention system）、防火墻等系統(tǒng)遏制相關(guān)網(wǎng)絡(luò)攻擊行為。同時(shí)，也可在多個(gè)子網(wǎng)或子域展開合作，共享各自證據(jù)日志信息，以構(gòu)建和還原完整的網(wǎng)絡(luò)入侵路徑[24]，追蹤和定位網(wǎng)絡(luò)攻擊真實(shí)來源。

網(wǎng)絡(luò)執(zhí)法者從網(wǎng)絡(luò)管理員處調(diào)取與網(wǎng)絡(luò)犯罪行為相關(guān)的證據(jù)日志，并匯集其他安全系統(tǒng)（如IPS/IDS、網(wǎng)絡(luò)信息審計(jì)系統(tǒng)等）提供的信息及現(xiàn)實(shí)證據(jù)，形成完整的證據(jù)鏈，提高網(wǎng)絡(luò)犯罪案件偵破效率，有效打擊和遏制網(wǎng)絡(luò)犯罪活動(dòng)。

2.4 主動(dòng)網(wǎng)絡(luò)流水印技術(shù)分類

對(duì)已有ANFW方法可以從不同的角度得到不同的分類。如根據(jù)提取水印W'時(shí)是否使用流fi初始特征信息（流fi被嵌入水印W前的特征信息），可分為非盲水?。∟W,non-blind watermarking）和盲水?。˙W,blind watermarking）。NW類方法需要借助于流fi初始特征信息（可由watermark decoder預(yù)先將fi初始特征信息存放于AP中）才能完成水印信息提取，而BW類方法則不需要。

本文根據(jù)網(wǎng)絡(luò)流的定義及承載水印W的流特征，依托TCP/IP網(wǎng)絡(luò)層次模型，將現(xiàn)有ANFW方法分為基于流速率特征[21,28,29]、基于流內(nèi)分組間隔特征[30～33]、基于流時(shí)間時(shí)隙分割特征[20,34～37]及基于分組載荷[25～27]等類別，如圖4所示。

圖4 按TCP/IP網(wǎng)絡(luò)層次模型分類ANFW

從圖4中可以看出，當(dāng)前網(wǎng)絡(luò)流水印技術(shù)的研究多數(shù)集中在網(wǎng)際互聯(lián)層和傳輸層，這是由于一方面流定義及特征[18]主要涉及此兩層，另一方面，在匿名通信和加密流量的環(huán)境下，難以在數(shù)據(jù)分組的應(yīng)用層載荷中嵌入水印W，使ANFW技術(shù)失效，而在網(wǎng)際互聯(lián)網(wǎng)層和傳輸層應(yīng)用 ANFW 技術(shù)則不受此限制。

3 典型的主動(dòng)網(wǎng)絡(luò)流水印技術(shù)

網(wǎng)際互聯(lián)層和傳輸層的ANFW技術(shù)基本都是以網(wǎng)絡(luò)流的某些與分組內(nèi)容無關(guān)的特征為載體來完成水印W的嵌入，且當(dāng)網(wǎng)絡(luò)流經(jīng)過通信網(wǎng)絡(luò)傳輸后，W仍能被恢復(fù)。這些被選取的網(wǎng)絡(luò)流特征，稱為水印載體。根據(jù)使用不同的水印載體，網(wǎng)際互聯(lián)層和傳輸層的ANFW 技術(shù)主要包括基于流速率特征、基于流內(nèi)分組間隔特征及基于流時(shí)間時(shí)隙分割特征等。

3.1 基于流速率特征

此類方法核心思想是選取整個(gè)流持續(xù)時(shí)間內(nèi)的不同時(shí)間段，在水印信息W的作用下，通過一定的方法略微調(diào)整這些時(shí)間段內(nèi)的網(wǎng)絡(luò)流速率，以表示水印信息位wi（1或0），從而達(dá)到在網(wǎng)絡(luò)流中嵌入水印W的目的。

Yu等[21]將CDMA無線通信系統(tǒng)使用的DSSS（direct sequence spread spectrum）機(jī)制引入到主動(dòng)網(wǎng)絡(luò)流水印中，如圖5所示，該方法稱為DSSS-W。

圖5 DSSS原理

DSSS-W 在發(fā)送端利用式(4)將原始水印信號(hào)W擴(kuò)頻為WD，其中，C=(c1,…,cm)為PN碼，wi,cj∈{?1,1}（此處用?1代表水印信息位'0'，下同）。

wiD為原始水印為wi擴(kuò)頻后對(duì)應(yīng)的水印信號(hào)，且wiD=(wic1… wicm)，wicj持續(xù)時(shí)間為IPN。

接著利用式(5)在IPN時(shí)間內(nèi)對(duì)流速率進(jìn)行略微改變，連續(xù)應(yīng)用式(5)m次即可完成水印位wi的嵌入，剩余水印信息位的嵌入方法相同，從而可完成整個(gè)水印W的嵌入。

其中，S為流原始平均速率，Tx為水印W嵌入后的流速率，A（A＞0）為調(diào)節(jié)幅度。

接收端所接收的流速率為Rx，如式(6)所示。

其中，z為通信網(wǎng)絡(luò)在流傳輸過程中產(chǎn)生的噪聲。為恢復(fù)水印W，先利用高通濾波器對(duì)Rx濾除直流分量 S后得到式(7)中的，接著，與 PN 碼相乘得到，如式(8)，并利用低通濾波器濾除噪聲zC。最后應(yīng)用簡單的決策規(guī)則恢復(fù)出每一個(gè)wi，從而還原出整個(gè)原始水印W。

圖6 DSSS水印產(chǎn)生嵌入與檢測模塊

圖6給出了DSSS-W方法的整體過程，類似的方法還有文獻(xiàn)[28,29]等。

可以看出，此類方法簡單易用，例如只需要在IPN內(nèi)（IPN的值必須合理設(shè)置）根據(jù)wiD=?1或wiD=1使發(fā)送端的流 fi暫停發(fā)送或繼續(xù)發(fā)送即可完成 WD在流fi中的嵌入；其次，具有同時(shí)并行追蹤多個(gè)流的能力，對(duì)水印W可使用一組不同且相關(guān)性較小的PN碼使之?dāng)U展為一組不同的WD，將這些WD賦予多個(gè)不同的流，從而接收端可根據(jù)不同 WD很容易區(qū)分出不同的流。

但此類方法也存在一些明顯缺點(diǎn)，只適用于跟蹤速率較大、持續(xù)時(shí)間較長的目標(biāo)流，目標(biāo)流速率較大才能確保嵌入水印位時(shí)調(diào)節(jié)流速率的幅度對(duì)流平均速率沒有太大影響，以保證所嵌入水印位的隱蔽性，目標(biāo)流持續(xù)時(shí)間長才能保證將WD的所有信息位嵌入進(jìn)目標(biāo)流中；與后續(xù)方法相比，該類方法在流中所能嵌入的水印信息位個(gè)數(shù)較少，即可嵌入的水印信息W的容量l較小，這是由于采用DSSS原理將一位原始水印wi擴(kuò)頻為m位的 wiD才嵌入進(jìn)流中，從而導(dǎo)致整個(gè)流只能攜帶較少的水印信息位數(shù)；對(duì)數(shù)據(jù)分組延遲、抖動(dòng)、網(wǎng)絡(luò)噪音流量等的抗干擾能力較弱，即頑健性不強(qiáng)，由于此類方法是以調(diào)整和檢測流的速率特征來嵌入和恢復(fù)水印信息位的，而這些客觀因素極易導(dǎo)致流速率特征發(fā)生明顯變化，使流攜帶水印信息難以恢復(fù)，最終導(dǎo)致此類方法失效。此外，由于在調(diào)整多比特水印信息位時(shí)采用同一PN碼，其所標(biāo)記的流會(huì)呈現(xiàn)自相似性，因此DSSS-W類方法也容易受到 MSAC（mean-square autocorrelation）攻擊[38]。

3.2 基于流內(nèi)分組間隔特征

為使ANFW適用于較短的網(wǎng)絡(luò)應(yīng)用流，提高ANFW在流中嵌入水印信息W的容量，該類方法選取流內(nèi)分組間隔時(shí)間IPD（inter-packet delay）作為水印載體，通過略微調(diào)整多個(gè)IPD或IPD均值大小，來嵌入水印信息位wi，實(shí)現(xiàn)流內(nèi)攜帶水印W的目的。

圖7 水印位w嵌入前后ipd與ipdw的對(duì)應(yīng)關(guān)系

Wang等[30]提出了基于IPD的ANFW 方法WBIPD(watermark based on IPD)。該方法隨機(jī)選取發(fā)送端流內(nèi)2個(gè)數(shù)據(jù)分組Pi和Pj，計(jì)算其ipd=ti-tj,ti與tj分別為Pi和Pj到達(dá)或離開網(wǎng)絡(luò)中某節(jié)點(diǎn)的時(shí)刻，利用式(9)和式(10)改變ipd的值為ipdw，如圖7所示，從而完成水印W嵌入過程。

在接收端利用式(11)進(jìn)行水印解碼。

其中，s為量化步長，函數(shù)q(x,y)=round(x,y)表示取與x最近的整數(shù)。

為了提高抗時(shí)間干擾攻擊的能力，可使用式(12)中多個(gè)數(shù)據(jù)分組對(duì)的ipd平均值ipdavg來代替式(9)中單個(gè)的ipd，如圖8所示，m為所選擇的數(shù)據(jù)分組對(duì)數(shù)目。

圖8 將nbit水印位嵌入n個(gè)不同ipdavg

從上述過程來看，WBIPD巧妙地調(diào)整分組間IPD來嵌入水印信息位，與DSSS-W相比，不僅對(duì)流的操作更為細(xì)粒度化，使WBIPD能應(yīng)用于較短的流，而且在流中可嵌入更多的水印信息位，能顯著增大流攜帶水印信息W的容量。但由于在計(jì)算ipdavg時(shí)需借用緩沖區(qū)來暫存流的若干數(shù)據(jù)分組，會(huì)明顯增加數(shù)據(jù)分組的延遲，這使該方法難以跟蹤實(shí)時(shí)性較強(qiáng)的流。

針對(duì)WBIPD的缺陷，Wang等[31]在后續(xù)研究中以追蹤實(shí)時(shí)匿名VOIP電話流量為研究對(duì)象，提出一種優(yōu)于WBIPD的ANFW方法，該方法先依據(jù)一定的概率從流的n個(gè)數(shù)據(jù)分組中隨機(jī)選取2r個(gè)數(shù)據(jù)分組{P1,…,P2r}，并與該流的其他數(shù)據(jù)分組{P1+d,…,P2r+d}構(gòu)成 2r個(gè)分組對(duì)即＜P1,P1+d＞,…,＜P2r,P2r+d＞，d（d＞0）為增量。

其次，計(jì)算每個(gè)分組對(duì)的 ipd值，并將此 2r個(gè) ipd值隨機(jī)分為2組 IPD1和 IPD2，且|IPD1|=|IPD2|=r（r為冗余度，0＜ r＜(n?d)/2）。

圖9 文獻(xiàn)[31]中方法簡單示例

與前述2種方法不同，一些研究者采用了非盲水印的思路來操作 IPD[19,33,40]，其中典型代表就是Houmansadr等[19]設(shè)計(jì)的RAINBOW方法，原理如圖10所示。RAINBOW最大特點(diǎn)在于檢測水印W時(shí)需要參考流的原始IPD值，其過程分為4步。

水印嵌入器：

圖10 RAINBOW模型

水印檢測器：

4)使用式(17)計(jì)算Y與E的內(nèi)積值N(Y,E)，其中，E={eia}。

若N(Y,E)小于預(yù)先設(shè)置的閾值時(shí)，則判斷當(dāng)前流包含水印W，否則與IPD數(shù)據(jù)庫中其他流的原始IPD作比較，重復(fù)步驟3)和步驟4)。

可以看出，RAINBOW 只調(diào)整一個(gè) IPD即可在流中嵌入wi，水印信息容量完全取決于流的IPD數(shù)目，其實(shí)驗(yàn)結(jié)果表明對(duì)于較長的流，水印信息容量可達(dá)上千比特；對(duì)流的IPD調(diào)節(jié)幅度也較小，不易被攻擊者察覺，隱蔽性較好；借助數(shù)據(jù)庫保存的原始流IPD改善decoder端提取水印信息位的準(zhǔn)確性；但數(shù)據(jù)庫的使用也使得RAINBOW在跟蹤流數(shù)較多時(shí)空間復(fù)雜度急劇增大；在流關(guān)聯(lián)時(shí)，從待確定流中檢測出的水印信息需要逐個(gè)與數(shù)據(jù)庫中多條已存在流的IPD記錄進(jìn)行對(duì)比，明顯增加了時(shí)間開銷，難以應(yīng)對(duì)實(shí)時(shí)性強(qiáng)的網(wǎng)絡(luò)應(yīng)用流，降低了該方法的實(shí)用性。

圖11 RAINBOW嵌入水印位wi的過程

3.3 基于流時(shí)間時(shí)隙分割特征

為有效應(yīng)對(duì)在匿名通信系統(tǒng)中通過添加啞數(shù)據(jù)分組（chaff packet）、分組重組（repacketization）、分組丟棄及多流混合等方式破壞流水印，提高ANFW技術(shù)對(duì)通信網(wǎng)絡(luò)噪聲流量的頑健性，該類方法在整個(gè)流持續(xù)時(shí)間內(nèi)隨機(jī)選取一個(gè)時(shí)間段，并將其分割為若干相等的時(shí)間間隔，稱為時(shí)隙（interval），通過改變落在每個(gè)時(shí)隙內(nèi)數(shù)據(jù)分組發(fā)送時(shí)刻或調(diào)整時(shí)隙內(nèi)的數(shù)據(jù)分組數(shù)量來嵌入水印W。

Wang等[34]提出了時(shí)隙質(zhì)心水印機(jī)制 ICBW（interval centroid based watermarking），如圖12所示。ICBW首先從流起始時(shí)刻的隨機(jī)偏移o(o＞0)處開始的一個(gè)時(shí)間段Td，分割為2n個(gè)長度為T的時(shí)隙 Ii(i=1,2,…,2n)。

其次，利用式(18)計(jì)算時(shí)隙Ii的質(zhì)心，其中ni為Ii內(nèi)出的現(xiàn)數(shù)據(jù)分組個(gè)數(shù)，Δ tij為Ii內(nèi)第 j個(gè)數(shù)據(jù)分組距離Ii起始位置的時(shí)間偏移，服從均勻分布。

再次，將 2n個(gè) Ii隨機(jī)分為A和 B 2組，且|A|=|B|=n。以概率1/|W|從A、B中各取r個(gè)時(shí)隙，并按式(19)及式(20)計(jì)算此r個(gè)時(shí)隙的質(zhì)心Ai和Bi。其中，IAi,j和IBi,j分別代表嵌入wi時(shí)從A組和B組所選取的r個(gè)時(shí)隙的第j個(gè),NAi,j和NBi,j為時(shí)隙IAi,j和IBi,j含有的數(shù)據(jù)分組個(gè)數(shù)。

最后，由于Yi=Ai－Bi服從對(duì)稱軸為0的均勻分布，因此，可通過給 Ai或 Bi增加 a（0＜ a＜T）使 Yi所服從均勻分布的對(duì)稱軸變?yōu)閍/2或?a/2，以此變化來表示水印信息位wi，從而完成wi在流中的嵌入。

ICBW利用均勻分布原理通過調(diào)整2組時(shí)隙內(nèi)若干數(shù)據(jù)分組的時(shí)間偏移來嵌入一個(gè)水印信息位，即使受到流混合、流分割、流合并等因素的干擾，但只要時(shí)隙內(nèi)數(shù)據(jù)分組數(shù)據(jù)足夠多，仍能通過時(shí)隙組質(zhì)心來減少或消除這些因素帶來的影響，保證水印信息位的正確恢復(fù)，具有較好的頑健性，實(shí)驗(yàn)結(jié)果也證明了這點(diǎn)；其水印信息容量比DSSS-W要大，與WBIPD相當(dāng)，但小于RAINBOW方法；然而，ICBW方法易遭受MFA(multi-flow attack)攻擊[41]，即將經(jīng)ICBW方法處理過的多條流進(jìn)行對(duì)比時(shí)，可以造成所嵌入的水印信息W的暴露。

圖12 ICBW水印技術(shù)原理

針對(duì)ICBW的缺點(diǎn)，Wang等[35]提出了一種可抵抗 MFA攻擊的雙時(shí)隙質(zhì)心水印機(jī)制 DICBW(double interval centroid based watermark)，如圖13所示。DICBW與ICBW區(qū)別在于：

1)計(jì)算Ai和Bi時(shí)，DICBW所使用的時(shí)隙IAi,j和IBi,j必須為相鄰時(shí)隙而非隨機(jī)選取的時(shí)隙。

2)使用式(21)計(jì)算時(shí)隙 Bi。其中，為B組時(shí)隙IBi,j內(nèi)第k個(gè)數(shù)據(jù)分組距離時(shí)隙 IBi,j起始位置的時(shí)間偏移量，NBi,j為時(shí)隙IBi,j內(nèi)數(shù)據(jù)分組個(gè)數(shù)。

水印信息位wi的嵌入過程與ICBW方法類似。實(shí)驗(yàn)結(jié)果表明，與ICBW相比，DICBW在抵抗MFA攻擊和時(shí)間擾動(dòng)，應(yīng)對(duì)流合并、流分割等流變換等方面有更好的效果。

圖13 DICBW嵌入水印位過程

為同時(shí)應(yīng)對(duì) MSAC和 MFA攻擊，Luo等[36]將ICBW與DSSS-W結(jié)合，提出了ICBSSW(interval centroid based spread spectrum watermarking scheme)方法，此方法先使用PN碼將水印信息位wi擴(kuò)頻為wiD，與DSSS-W不同的是，wiD為的嵌入不是通過調(diào)制流速率實(shí)現(xiàn)的，而是使用ICBW方法中的調(diào)整時(shí)隙質(zhì)心差實(shí)現(xiàn)的。ICBSSW 綜合了 ICBW 與DSSS-W的優(yōu)點(diǎn)，不僅能在同一網(wǎng)絡(luò)節(jié)點(diǎn)并行跟蹤多個(gè)流，而且由于采用不同的PN碼來標(biāo)記不同的流，使得這些流即使遭受MSAC和MFA攻擊的情況下也很難呈現(xiàn)出所攜帶水印信息的規(guī)律，具有較好的隱藏性，同時(shí)在應(yīng)對(duì)流混合、流分割、流合并等方面也具有較好的效果。但 ICBSSW 計(jì)算過程相對(duì)于ICBW和DSSS-W要復(fù)雜一些，時(shí)空開銷也要多一些。與ICBSSW類似的方法還有文獻(xiàn)[32]。

與ICBW，ICBSSW，DICBW不同，Pyun等[37]提出的 IBW 水印技術(shù)是通過改變相鄰時(shí)隙對(duì) Ii和Ii+1中數(shù)據(jù)分組數(shù)目來嵌入水印信息位wi。IBW有l(wèi)oad和clear 2種基本操作。load操作是將時(shí)隙Ii-1內(nèi)的所有數(shù)據(jù)分組延遲到時(shí)隙Ii內(nèi)，而clear操作是將時(shí)隙Ii內(nèi)的所有數(shù)據(jù)分組延遲到Ii+1內(nèi)。當(dāng)wi=0時(shí)，對(duì)時(shí)隙Ii內(nèi)的數(shù)據(jù)分組進(jìn)行l(wèi)oad操作，同時(shí)對(duì)時(shí)隙 Ii+1數(shù)據(jù)分組進(jìn)行 clear操作；相反，當(dāng) wi=1時(shí)，則對(duì)Ii和進(jìn)行clear操作，同時(shí)在Ii+1進(jìn)行l(wèi)oad操作。為避免嵌入多個(gè)水印信息位時(shí)多個(gè)時(shí)隙對(duì)間產(chǎn)生沖突，應(yīng)保證2個(gè)連續(xù)的時(shí)隙隔對(duì)之間至少有一個(gè)時(shí)隙，以起到隔離作用。雖然 Pyun等從理論分析和實(shí)驗(yàn)兩方面證明 IBW 方法對(duì)時(shí)間擾動(dòng)和分組重組干擾有較好的抵抗性，但由于該方法通過改變時(shí)隙內(nèi)數(shù)據(jù)分組數(shù)目來嵌入水印位信息，因此難以處理添加啞數(shù)據(jù)分組的干擾，而且也容易遭受MFA攻擊。

此外，SWIRL (scalable watermark that is invisible and resilient to packet losses)[42]呈現(xiàn)采用了另一種時(shí)隙特征變換的流水印方法。該方法將流時(shí)間分成若干時(shí)隙對(duì)，每一時(shí)隙對(duì)中的2個(gè)時(shí)隙按時(shí)間先后順序分別命名為base interval和mark interval。首先對(duì) base interval利用式(18)計(jì)算其時(shí)隙質(zhì)心Cbase，并利用量化公式將Cbase轉(zhuǎn)變?yōu)橐粋€(gè)服從均勻分布的量v。其次，將mark interval均勻分割為h個(gè)子間隔，每個(gè)子間隔又均分為m個(gè)slot，并依據(jù)h個(gè)子間隔與v的排列關(guān)系從每個(gè)子間隔中選出一個(gè)slot。最后，將每個(gè)子間隔中未被選中slot內(nèi)的數(shù)據(jù)分組通過延遲操作改變到已選中的slot內(nèi)，從而完成水印信息位的嵌入。從實(shí)驗(yàn)結(jié)果來看，該方法在大規(guī)模流量的情況下可以應(yīng)對(duì)分組丟失、網(wǎng)絡(luò)抖動(dòng)的干擾，能有效抵御MFA攻擊、Tor擁塞攻擊[43]等,但攻擊者可通過注入特定的流讓SWIRL來嵌入水印信息，并將此時(shí)的流與其原先的時(shí)間模式進(jìn)行對(duì)比即可了解SWIRL嵌入水印信息的情況[44]。

除使用上述3類流時(shí)間特征外，也有研究者提出了基于流內(nèi)分組亂序特征的 ANFW 方法PROFW(packet reordering based flow watermarking)[45]。分組序是指數(shù)據(jù)分組報(bào)頭中的序號(hào)信息，如 TCP中的序號(hào)、IPSec數(shù)據(jù)分組的認(rèn)證頭(authentication header)和封裝安全載荷(encapsulating security payload)中的序號(hào)等，在自然通信狀態(tài)下不可避免會(huì)出現(xiàn)流內(nèi)數(shù)據(jù)分組發(fā)送與到達(dá)順序不一致的分組亂序現(xiàn)象。PROFW首先將水印W看作為k個(gè)數(shù)的排列A，讓A中的每種排列與不同的格雷碼CWi一一對(duì)應(yīng)，且這些CWi間還必須能滿足一定的漢明距離關(guān)系。然后，借用亂序密度RD(reorder density)求出不偏離正常亂序行為下各 CWi出現(xiàn)的概率Pi。最后，選擇函數(shù)以Pi從流中選擇出數(shù)據(jù)分組并對(duì)其分組序根據(jù)CWi進(jìn)行改變，以完成嵌入水印W。從其原理來看，雖然該方法能夠保證流中所隱藏水印信息的隱蔽性，但只對(duì)包含大量數(shù)據(jù)分組的流才能取得較大的水印容量，不適用于普通的流，而且很顯然在應(yīng)對(duì)啞數(shù)據(jù)分組、分組丟失、重組分組等因素干擾時(shí)頑健性較差。

3.4 典型主動(dòng)網(wǎng)絡(luò)流水印方法綜合對(duì)比

前面著重概述了網(wǎng)際互聯(lián)層和傳輸層多種代表性的 ANFW 方法的核心思想及各自的優(yōu)缺點(diǎn)。為了更直觀地理解這些主動(dòng)網(wǎng)絡(luò)流水印方法的特點(diǎn)，在研究和分析文獻(xiàn)中各自方法實(shí)驗(yàn)測試結(jié)果的基礎(chǔ)上，此處將采用隱蔽性、水印容量、嵌入水印時(shí)的時(shí)空開銷、提取水印時(shí)的難易程度、盲/非盲性、頑健性和實(shí)用性等評(píng)價(jià)指標(biāo)從總體上對(duì)這些典型ANFW方法進(jìn)行集中對(duì)比，如表1所示。

3.5 主動(dòng)網(wǎng)絡(luò)流水印技術(shù)所面臨威脅

AFNW 技術(shù)實(shí)質(zhì)是通過調(diào)整流的特征來隱藏水印信息，這些水印信息不僅在通信網(wǎng)絡(luò)中遭受各種因素的干擾而變形，而且也會(huì)成為攻擊者蓄意探測與移除的目標(biāo)，因此 AFNW 技術(shù)所面臨的安全威脅主要來自2個(gè)方面。

1)通信網(wǎng)絡(luò)干擾因素

被嵌入水印的流在經(jīng)過通信網(wǎng)絡(luò)傳輸?shù)竭_(dá)目的端的過程中不可避免地會(huì)遭受一些因素干擾，減弱水印效果。如延遲抖動(dòng)[46,47]、網(wǎng)絡(luò)擁塞[48]、分組變換(分組分割、分組重組、分組合并、分組丟失等)[49]，這些干擾因素一方面來自于通信網(wǎng)絡(luò)本身的自然特性[1]，另一方面很可能是攻擊者主觀故意產(chǎn)生[50]。

2)水印信息蓄意探測及移除

是指攻擊者在不知道任何ANFW技術(shù)的細(xì)節(jié)下，通過一定的手段嘗試探測或識(shí)別網(wǎng)絡(luò)流中存在的水印信息，進(jìn)而破壞或移除這些水印信息，以逃避追蹤審查，如針對(duì)ICBW和IBW水印機(jī)制的探測[22,51]、針對(duì)DSSS水印機(jī)制的探測[38,52]以及同時(shí)針對(duì)多種水印機(jī)制的探測[41,53]等。表2總結(jié)了當(dāng)前水印機(jī)制遭受的各種攻擊及防范措施。

4 未來研究方向展望

從前述內(nèi)容可知，主動(dòng)網(wǎng)絡(luò)流水印技術(shù)已引起國內(nèi)外網(wǎng)絡(luò)安全研究人員的極大關(guān)注，已逐漸成為網(wǎng)絡(luò)安全領(lǐng)域一項(xiàng)重要的研究內(nèi)容。盡管當(dāng)前主動(dòng)網(wǎng)絡(luò)流水印技術(shù)具備應(yīng)對(duì)加密流量、匿名通信環(huán)境、隱蔽性好等優(yōu)勢，但從其原理及表1、表2來看，主動(dòng)網(wǎng)絡(luò)水印技術(shù)仍然存在潛在問題尚未很好解決，本文認(rèn)為今后可從如下方面展開科研工作。

4.1 提高和改善AFNW技術(shù)性能

1)設(shè)計(jì)更為健壯的同步機(jī)制，以降低水印收發(fā)雙方在較大網(wǎng)絡(luò)噪聲干擾下編解碼水印信息錯(cuò)位的概率。一種值得考慮的方法是借鑒通信中同步原理的思想[59]來改善現(xiàn)有ANFW方法的同步機(jī)制，例如可使用曼徹斯特碼來編碼水印信息，并通過改變相鄰流時(shí)間時(shí)隙內(nèi)數(shù)據(jù)分組數(shù)量差值來模擬曼徹斯特編碼中的跳變，以使調(diào)制后的流整體上具有自同步性或者借鑒群同步思想[59]，將水印信息分割成組，并在每組頭部加入額外同步碼（如巴克碼）后按組進(jìn)行編碼發(fā)送，以便通過每組的同步性來提高流整體的同步性。

表1 典型ANFW方法特點(diǎn)比較

表2 現(xiàn)有針對(duì)AFNW攻擊及防范狀況

2)改善并行追蹤多流及抵抗分流的能力?，F(xiàn)有 ANFW 方法在兼顧隱蔽性和頑健性的前提下，對(duì)流內(nèi)IPD的改變幅度不大，被水印標(biāo)記的多條流不僅在經(jīng)過同一網(wǎng)絡(luò)節(jié)點(diǎn)（如 OR、跳板主機(jī)）會(huì)發(fā)生相互干擾，而且在網(wǎng)絡(luò)傳輸過程中也可能面臨先分解再合并問題[60]，造成水印信息失效。因此，如何提升 ANFW 方案應(yīng)對(duì)此類問題的能力是推進(jìn)ANFW實(shí)用化所亟待解決的問題。

3)提升ANFW對(duì)流的自適應(yīng)能力。不同網(wǎng)絡(luò)應(yīng)用（如 Web[61]、視頻[62]、VoIP[63]、游戲[64]等）所產(chǎn)生的流量時(shí)間特征差異較大，需要研究針對(duì)不同類型流能夠自動(dòng)選擇合適水印信息編碼方式及相關(guān)參數(shù)的流水印技術(shù)，以彌補(bǔ)現(xiàn)有 ANFW 方案僅適用于單一類型流的不足，取得更好的數(shù)據(jù)流關(guān)聯(lián)效果。

4)增強(qiáng)ANFW在網(wǎng)絡(luò)延遲、抖動(dòng)、分組重傳等因素干擾下的頑健性。即使被 ANFW 標(biāo)記流的多個(gè)IPD在該流傳輸過程中受這些因素干擾而發(fā)生改變，接收方仍能以較大概率正確恢復(fù)出水印信息，使這些干擾因素對(duì)流內(nèi)水印信息的影響控制在可接受范圍?？蓮脑黾铀⌒畔⑽粚?duì)應(yīng)的IPD冗余數(shù)、改善水印信息嵌入的方式（如借鑒數(shù)字噴泉編碼[65]）等角度來綜合考慮此問題。

5)提高水印信息嵌入與檢測過程的實(shí)時(shí)性?，F(xiàn)有的 ANFW 方案著重關(guān)注水印信息隱蔽性與頑健性，很少顧及時(shí)空計(jì)算復(fù)雜度。但在實(shí)際應(yīng)用中，實(shí)時(shí)性是必須的，特別是在資源有限條件下追蹤實(shí)時(shí)性較強(qiáng)的流時(shí)，更需要低時(shí)空復(fù)雜度的ANFW方法。對(duì)于此問題，一方面需要對(duì) ANFW 算法本身進(jìn)行改進(jìn)優(yōu)化，另一方面也可借鑒文獻(xiàn)[66]方法，考慮將ANFW算法硬件化或固件化。

6)探索新型ANFW機(jī)制。針對(duì)攻擊者能利用概率統(tǒng)計(jì)方法對(duì)現(xiàn)有 ANFW 方案產(chǎn)生的流時(shí)間水印信息進(jìn)行干擾、探測及破壞，除增強(qiáng)已有ANFW方案的隱蔽性外，積極開發(fā)新型 ANFW 機(jī)制也是解決問題途徑之一。ANFW本質(zhì)是在網(wǎng)絡(luò)流特征中秘密隱藏信息，因此可考慮借鑒一些較新穎的信息隱藏[67,68]及隱蔽通信技術(shù)[69,70]思想應(yīng)用在相關(guān)網(wǎng)絡(luò)流特征上，以產(chǎn)生新的ANFW方案。

4.2 加深A(yù)NFW相關(guān)理論研究

1)水印容量估算模型。水印容量代表了ANFW 利用流特征來攜帶信息的能力，是衡量ANFW性能重要指標(biāo)之一。目前多數(shù)ANFW方案僅通過人工估計(jì)或簡單試驗(yàn)來給出水印容量，準(zhǔn)確性較差，也不利于充分發(fā)掘ANFW方案的潛力。因此，針對(duì)不同水印機(jī)制應(yīng)研究如何建立流數(shù)據(jù)分組數(shù)目、流持續(xù)時(shí)間、自身水印編碼方式等多種因素綜合的數(shù)學(xué)模型，以較為準(zhǔn)確地估測自身水印容量。

2)同類水印方法綜合評(píng)價(jià)模型。探索該模型可為同類 ANFW 方案間統(tǒng)一的比較與評(píng)價(jià)提供嚴(yán)格、有效的理論評(píng)判依據(jù)，也為ANFW 的改善與革新提供有利參考。一種思路是可先對(duì)表1所列出的若干評(píng)價(jià)指標(biāo)有效量化，然后再借鑒現(xiàn)有綜合評(píng)價(jià)方法（如主成分分析法、數(shù)據(jù)分組絡(luò)分析法、模糊評(píng)價(jià)法）對(duì)量化的指標(biāo)進(jìn)行有機(jī)融合以生成綜合評(píng)價(jià)模型。

3)水印機(jī)制安全等級(jí)模型。借鑒數(shù)字水印安全等級(jí)評(píng)價(jià)方法[71]，研究評(píng)估水印機(jī)制安全級(jí)別模型，以評(píng)估各 ANFW 機(jī)制安全級(jí)別，并建立類似于 TCSEC[72]的安全等級(jí)策略，指導(dǎo)用戶針對(duì)不同的網(wǎng)絡(luò)應(yīng)用需求定制不同安全級(jí)別的ANFW方案。

4.3 推動(dòng)ANFW部署與應(yīng)用

1)ANFW技術(shù)與現(xiàn)有相關(guān)網(wǎng)絡(luò)系統(tǒng)整合。研究如何將ANFW技術(shù)與IDS/IPS、防火墻等安全系統(tǒng)整合，以彌補(bǔ)現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)在網(wǎng)絡(luò)入侵追蹤（如可疑加密流量追蹤）能力方面的不足；研究基于普通客戶端的流水印軟件或插件，可借鑒文獻(xiàn)[73]的方法開發(fā)基于瀏覽器的 ANFW 插件，與布置在服務(wù)器端的ANFW模塊相配合，為用戶訪問 Web服務(wù)過程提供一種輕量級(jí)的安全機(jī)制。研究ANFW模塊在自治域內(nèi)關(guān)鍵鏈路上的部署及與其他追蹤技術(shù)[74,75]協(xié)作問題，以高效追蹤網(wǎng)絡(luò)攻擊流，達(dá)到準(zhǔn)確構(gòu)建入侵路徑、定位入侵源等目的。

2)拓展ANFW的應(yīng)用范圍。隨著Internet發(fā)展呈多元化趨勢，探索 ANFW 技術(shù)如何保障新興Internet服務(wù)與應(yīng)用網(wǎng)絡(luò)通信安全也是需要關(guān)注的研究領(lǐng)域。如研究 ANFW 技術(shù)如何發(fā)現(xiàn)和檢測云環(huán)境下共駐同一物理平臺(tái)的多個(gè)虛擬機(jī)之間通過網(wǎng)絡(luò)流量來泄露隱私信息的問題[76]；設(shè)計(jì)和測試能夠適用于移動(dòng)互聯(lián)網(wǎng)[77,78]環(huán)境的AFNW方法；可借助未來網(wǎng)絡(luò)試驗(yàn)床[79]及仿真工具[80]，研究與開發(fā)面向未來網(wǎng)絡(luò)體系結(jié)構(gòu)及通信模式的ANFW方案。

5 結(jié)束語

主動(dòng)網(wǎng)絡(luò)流水印技術(shù)是數(shù)字水印思想與主動(dòng)網(wǎng)絡(luò)流量整形及分析相結(jié)合的產(chǎn)物。其在匿名通信關(guān)系確認(rèn)、跳板主機(jī)檢測、僵尸網(wǎng)絡(luò)主控機(jī)追蹤等網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，體現(xiàn)出較大的實(shí)用價(jià)值，已成為具有現(xiàn)實(shí)意義的研究方向?，F(xiàn)有的 ANFW 印技術(shù)研究已在流水印產(chǎn)生原理、流水印載體選擇（即流特征選擇）、流水印嵌入與檢測等方面取得了一定進(jìn)展，初步實(shí)現(xiàn)了主動(dòng)網(wǎng)絡(luò)水印技術(shù)的基本目的，但在一些關(guān)鍵問題上，現(xiàn)有進(jìn)展仍然不足，尤其在面對(duì)各種復(fù)雜網(wǎng)絡(luò)干擾、蓄意檢測攻擊下提高水印技術(shù)的頑健性、隱蔽性等方面，需要更為深入的研究和探索。隨著主動(dòng)網(wǎng)絡(luò)流水印技術(shù)不斷成熟和完善，其在今后的網(wǎng)絡(luò)安全領(lǐng)域中必將起到更加積極、廣泛的作用。

[1]YLONEN T. The secure shell (SSH)protocol architecture[EB/OL].http://www.ietf.org/rfc/rfc4251.txt,2006.

[2]IPSEC WORKING GROUP. IP security protocol (IPSec)[EB/OL].http://datatracker.ietf.org/wg/ipsec/,1995.

[3]ZHANG Y,PAXSON V. Detecting stepping stones[A]. Proc of the 9th USENIX Security Symposium[C]. Denver,Colorado,2000. 171-184.

[4]BLUM A,SONG D,VENKATARAMAN S. Detection of interactive stepping stones: algorithms and confidence bounds[A]. Proc of the 7th International Symposium on Recent Advances in Intrusion Detection[C]. Sophia Antipolis,France,2004. 258-277.

[5]HE T,TONG L. Detecting encrypted stepping stone connections[J].IEEE Transactions on Signal Processing,2007,55(4): 1612-1623.

[6]ROBERT S,JIE C,PING J,et al. A survey of research in stepping-stone detection[J]. International Journal of Electronic Commerce Studies,2011,2(2):103-126.

[7]DINGLEDINE R,MATHEWSON N,SYVERSON P. Tor: the second-generation onion router[A]. Proc of the 13th USENIX Security Symposium[C]. San Diego,USA,2004. 303-320.

[8]REITER MK,RUBIN A D. Anonymous Web transactions with crowds[J]. Communications of the ACM,1999,42(2): 32-38.

[9]FREEDMAN M J,MORRIS R. Tarzan: a peer-to-peer anonymizing network layer[A]. Proc of the 9th ACM Conference on Computer and Communications Security[C]. Washington DC,USA,2002. 193-206.

[10]PASSERINI E,PALEARI R,MARTIGNONI L,et al. FluXOR: detecting and monitoring fast-flux service networks[A]. Proc. of the 5th Detection of Intrusions and Malware,and Vulnerability Assessment[C].Paris,France,2008. 186-206.

[11]江健，諸葛建偉，段海新等.僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J].軟件學(xué)報(bào)，2012,23(1):82-96.JIANG J ,ZHUGE J W,DUAN H X,et al. Research on botnet mechanisms and defenses[J]. Journal of Software,2012,23(1):82-96.

[12]HOLZ T,GORECKI C,RIECK K,et al. Measuring and detecting fast-flux service networks[A]. Proc of the 15th Network and Distributed System Security Symposium (NDSS’08)[C]. San Diego,USA,2008.

[13]YODA K,ETOH H. Finding a connection chain for tracing intruders[A]. Proc of the 6th European Symposium on Research in Computer Security[C]. Toulouse,France,2000.191-205.

[14]ZHU Y,FU X W,GRAHAM B,et al. On flow correlation attacks and countermeasures in mix networks[A]. Proc of 2004 Privacy Enhancing Technologies(PET'04)[C]. Toronto,Canada,2004. 207-225.

[15]DONOHO D L,FLESIA A G,SHANKAR U,et al. Multiscale stepping-stone detection: detecting pairs of jittered interactive streams by exploiting maximum tolerable delay[A]. Proc of the 5th International Symposium on Recent Advances in Intrusion Detection[C]. Zurich,Switzerland,2002. 17-35.

[16]WANG X,REEVES D ,WU S F. Inter-packet delay based correlation for tracing encrypted connections through stepping stones[A]. Proc of the 7th European Symposium on Research in Computer Security[C].Zurich,Switzerland,2002 . 244-263.

[17]COX J,MILLER L ,BLOOM J ,et al. Digital watermarking[M]. San Francisco:Morgan-Kaufmann,2001.

[18]程光，龔儉. 互聯(lián)網(wǎng)流測量[M]. 南京:東南大學(xué)出版社，2008.CHENG G,GONG J. Internet Flow Measurement[M]. Nanjing:Southeast University Press,2008.

[19]HOUMANSADR A,KIYAVASHY N,BORISOV N. Rainbow: a robust and invisible non-blind watermark for network flows[A]. Proc of the 16th Network and Distributed System Security Symposium(NDSS’09)[C]. San Diego,USA,2009.

[20]PARK Y H ,REEVES D S. Adaptive watermarking against deliberate random delay for attack attribution through stepping stones[A]. Proc of the 9th International Conference on Information and Communications Security[C]. Zhengzhou,China,2007.

[21]YU W,FU X W,GRAHAM S,et al. DSSS-based flow marking technique for invisible traceback[A]. Proc of the 2007 IEEE Symposium on Security and Privacy[C]. Oakland,USA ,2007.18-32.

[22]傅翀，錢偉中，趙明淵等. 匿名通信系統(tǒng)時(shí)間攻擊的時(shí)延規(guī)范化防御方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版)，2009,39(4):738-741.FU C,QIAN W Z,ZHAO M Y,et al. Delay normalization method of defending against timing-based attacks on anonymous communication systems[J]. Journal of Southeast University (Natural Science Edition),2009,39(4):738-741.

[23]RAMSBROCK D,WANG X Y,JIANG X Z. A first step towards live botmaster traceback[A]. Proc of the 11th International Symposium on Recent Advances in Intrusion Detection[C]. Cambridge,USA,2008.59-77.

[24]王小剛. 基于網(wǎng)絡(luò)流水印的入侵追蹤技術(shù)研究[D].南京:東南大學(xué)，2012.WANG X G. Research on Intrusion Traceback Exploiting Network Flow Watermarking[D]. Nanjing: Southeast University,2012.

[25]WANG X Y,REEVES D S ,WU S F，et al. Sleepy watermark tracing:an active network-based intrusion response framework[A]. Proc of the IFIP TC1116th Annual Working Conference on Information Security:Trusted Information: the New Decade Challenge[C]. Paris,France,2001. 369-384.

[26]ZHAO Q J ,LU H T. A PCA-based watermarking scheme for tamper-proof of Web pages[J]. Pattern Recognition,2005,38(8):1321-1323.

[27]HUANG H J,WANG Y J,XIE L L,et al. An active anti-phishing solution based on semi-fragile watermark[J]. Information Technology Journal,2013,12(1):198-203.

[28]HUANG J W,PAN X,FU X W,et al. Long PN code based DSSS watermarking[A]. Proc of the IEEE INFOCOM 2011[C]. Shanghai,China,2011. 2426-2434.

[29]FU X W,ZHU Y ,GRAHAM B,et al. On flow marking attacks in wireless anonymous communication networks[A]. Proc of the 25th IEEE International Conference on Distributed Computing Systems(ICDCS'05)[C]. Columbus,USA ,2005. 493-503.

[30]WANG X Y ,REEVES D S. Robust correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays[A]. Proc of the 10th ACM Conference on Computer And Communications Security[C]. Washington DC,USA,2003. 20-29.

[31]WANG X Y,CHEN S P ,JAJODIA S S. Tracking anonymous peer-to-peer VoIP calls on the internet[A]. Proc of the 12th ACM Conference on Computer And Communications Security[C]. Alexandria,USA ,2005. 81-91.

[32]ZHANG L,LUO J Z ,YANG M. An improved DSSS-based flow marking technique for anonymous communication traceback[A]. Proc of the 2009 Symposia and Workshops on Ubiquitous,Autonomic and Trusted Computing(UIC-ATC'09)[C]. Brisbane,Australia,2009.563-567.

[33]張連成，王振興，徐靜. 一種新的隱形流水印技術(shù)[J]. 應(yīng)用科學(xué)學(xué)報(bào),2012,30(5):524-530.ZHANG L C,WANG Z X,XU J. A novel invisible and private flow watermarking scheme[J]. Journal of Applied Sciences,2012,30(5):524-530.

[34]WANG X Y,CHEN S P,JAJODIA S S. Network flow watermarking attack on low-latency anonymous communication systems[A]. Proc of the 2007 IEEE Symposium on Security and Privacy[C]. Oakland,USA,2007.116-130.

[35]WANG X G,LUO J Z,YANG M. A double interval centroid-based watermark for network flow traceback[A]. Proc of the 14th International Conference on Computer Supported Cooperative Work in Design[C]. Shanghai,China,2010. 146-151.

[36]LUO J Z,WANG X G,YANG M. An interval centroid based spread spectrum watermarking scheme for multi-flow traceback[J]. Journal of Network and Computer Applications,2012,35(1):60-71.

[37]PYUN Y J,PARK Y H,WANG X Y,et al. Tracing traffic through intermediate hosts that repacketize flows[A]. Proc of IEEE INFOCOM 2007[C]. Anchorage,USA,2007. 634-642.

[38]JIA W J,TSO F P,LING Z,et al. Blind detection of spread spectrum flow watermarks[A]. Proc of the IEEE INFOCOM 2009[C]. Rio de Janeiro ,Brazil,2009. 2195-2203.

[39]RTAI T. Real time application interface(RTAI)[EB/OL]. http://www.rtai.org ,2012.08.23 .

[40]張璐，羅軍舟，楊明. 基于正交流量特征的多維流水印技術(shù)[A].2010年全國通信安全學(xué)術(shù)會(huì)議論文集[C]. 昆明，中國，2010.243-248.ZHANG L,LUO J Z,YANG M. Orthogonal flow characteristics based multi-dimensional flow watermarking technique[A]. Proc of the 2010 China Communication Security Symposium[C]. Kunming,China,2010. 243-248.

[41]KIYAVASH N,HOUMANSADR A ,BORISOV N. Multi-flow attacks against network flow watermarking schemes[A]. Proc of the 17th conference on USENIX Security Symposium[C]. San Jose,USA,2008.307-320.

[42]HOUMANSADR A ,BORISOV N. SWIRL: a scalable watermark to detect correlated network flows[A]. Proc of the 18th Network and Distributed System Security Symposium 2011[C]. San Diego,USA,2011.

[43]EVANS N S,DINGLEDINE R,GROTHOFF C. A practical congestion attack on Tor using long paths[A]. Proc of the 18th Conference on USENIX Security Symposium[C]. Montreal,Canada,2009. 33-50.

[44]LIN Z ,HOPPER N. New attacks on timing-based network flow watermarks[A]. Proc of the 21th Conference on USENIX Security Symposium[C]. Bellevue,USA,2012. 1-16.

[45]張連成，王振興，徐靜. 一種基于包序重排的流水印技術(shù)[J].軟件學(xué)報(bào)，2011,22(2):17-26.ZHANG L C,WANG Z X,XU J. Flow watermarking scheme based on packet reordering[J]. Journal of Software,2011,22(2):17-26.

[46]ANGRISANI L,CAPRIGLIONE D,FERRIGNO L,et al. Packet jitter measurement in communication networks: a sensitivity analysis[A].Proc of the IEEE International Workshop on Measurement and Networking 2011[C]. Anacapri,Italy,2011. 146-151.

[47]BREGNI S,BARUFFALDI A,PATTAVINA A. Active measurement and time-domain characterization of IP packet jitter[A]. Proc of the IEEE Latin-American Conference on Communications 2009[C]. Medellin,Columbia,2009. 1-6.

[48]ALLMAN M ,PAXSON V. TCP congestion control[EB/OL].http://tools.ietf.org/html/rfc5681,2009.

[49]POSTEL J. Transmission control Protocol[EB/OL]. http://www.ietf.org/rfc/rfc793.txt,1981.

[50]PENG P,NING P,REEVES D S. On the secrecy of timing-based active watermarking trace-back techniques[A]. Proc of the 2006 IEEE Symposium on Security and Privacy[C]. Oakland,USA,2006.334-349.

[51]WANG X G ,LUO J Z,YANG M. An efficient sequential watermark detection model for tracing network attack flows[A]. Proc of the 16th IEEE International Conference on Computer Supported Cooperative Work in Design[C]. Wuhan,China,2012. 236-243.

[52]LUO X P,ZHANG J J,PERDISCI R ,et al. On the secrecy of spread-spectrum flow watermarks[A]. Proc of the European Symposium on Research in Computer Security 2010[C]. Athens,Greece,2010. 232-248.

[53]LUO X P,ZHOU P,ZHANG J J,et al. Exposing invisible timing-based traffic watermarks with BACKLIT[A]. Proc of the 27th Annual Computer Security Applications Conference[C]. Orlando,USA,2011.197-206.

[54]PENG P,NING P,REEVE D S ,et al. Active timing-based correlation of perturbed traffic flows with chaff packets[A]. Proc of the 25th International Conference on Distributed Computing Systems Workshops[C]. Columbus,USA,2005.107-113.

[55]WANG,X G,YANG M,LUO J Z. A novel sequential watermark detection model for efficient traceback of secret network attack flows[J].Journal of Network and Computer Applications,2013,36(6): 1660-1670.

[56]ZHANG L C,WANG Z X ,WANG Q L ,et al. MSAC and multi-flow attacks resistant spread spectrum watermarks for network flows[A].Proc of the 2nd IEEE International Conference on Information and Financial Engineering[C]. Chongqing,China,2010. 438-441.

[57]HOUMANSADR A,KIYAVASH N,BORISOV N. Multi-flow attack resistant watermarks for network flows[A]. Proc of the 2009 IEEE International Conference on Acoustics,Speech and Signal Processing[C].Taipei,China,2009. 1497-1500.

[58]GONG X,RODRIGUES M,KIYAVASH N. Invisible flow watermarks for channels with dependent substitution,deletion,and bursty insertion errors[EB/OL]. http://arxiv.org/pdf/1302.5734v1.pdf,2013.

[59]樊昌信，曹麗娜.通信原理（第6版）[M].北京:國防工業(yè)出版社，2006.FAN C X ,CAO L N. Communication Principles(6th Edition)[M].Beijing: National Defence Industry Press,2006.

[60]BALDINI A,DE C L ,RISSO F. Increasing performances of TCP data transfers through multiple parallel connections[A]. Proc of the 2009 IEEE Symposium on Computers and Communications[C]. Sousse,Tunisia,2009. 630-636.

[61]IHM S,PAI V S. Towards understanding modern web traffic[A]. Proc of the 2011 ACM SIGCOMM on Internet Measurement Conference(IMC’11)[C]. Berlin,Germany,2011. 295-312.

[62]RAO A ,LEGOUT A,LIM Y S,et al. Network characteristics of video streaming traffic[A]. Proc of the 7th Conference on Emerging Networking Experiments and Technologies(CoNEXT '11)[C]. Tokyo,Japan,2011.

[63]XI B W,CHEN H,CLEVELAND W S,et al. Statistical analysis and modeling of Internet VoIP traffic for network engineering[J]. Electronic Journal of Statistics,2010,4:58-116.

[64]RATTI S,HARIRI B,SHIRMOHAMMADI S. A survey of First-Person shooter gaming traffic on the Internet[J]. IEEE Internet Computing,2010,14(5):60-69.

[65]ARCHIBALD R,GHOSAL D. A covert timing channel based on Fountain Codes[A]. Proc of the 11th IEEE International Conference on Trust,Security and Privacy in Computing and Communications(TrustCom'12)[C]. Liverpool,UK,2012. 970-977.

[66]ROY S D,LI X,SHOSHAN Y,et al. Hardware implementation of a digital watermarking system for video authentication[J]. IEEE Transactions on Circuits and Systems for Video Technology,2013,23(2):289-301.

[67]HOLUB V,FRIDRICH J. Digital image steganography using universal distortion[A]. Proc of the 1st ACM Workshop on Information Hiding And Multimedia Security[C]. Montpellier,France,2013.59-68.

[68]FATEMEH D ,SAEED M. Watermarking in binary document images using fractal codes[J]. Pattern Recognition Letters,2014,35:120-129.

[69]錢玉文，趙邦信，孔建壽等. 一種基于 Web的可靠網(wǎng)絡(luò)隱蔽時(shí)間信道的研究[J]. 計(jì)算機(jī)研究與發(fā)展，2011，48(3): 423-431.QIAN Y W,ZHAO B X,KONG J S,et al. Robust covert timing channel based on web[J]. Journal of Computer Research and Development,2011,48(3): 423-431.

[70]SEBASTIAN Z,GRENVILLE A,PHILIP B. Stealthier inter-packet timing covert channels[A]. Proc of the 10th International IFIP TC 6 Networking Conference[C]. Valencia,Spain,2011.458-470.

[71]FURON T,BAS P. A new measure of watermarking security applied on QIM[A]. Proc of 14th International Conference on Information Hiding(IH'12)[C]. Berkeley,USA,2012. 207-223.

[72]WIKIPEDIA. Trusted computer system evaluation criteria (TCSEC)[EB/OL].http://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria,2013.

[73]MOHAN D,JUSTIN S,RENATA T,et al. Fathom: a browser-based network measurement platform[A]. Proc of the 2012 ACM conference on Internet Measurement Conference(IMC'12)[C]. Boston,USA,2012.73-86.

[74]SNOEREN A C,PARTRIDGE C,SANCHEZ L A,et al. Single-packet IP traceback[J]. IEEE/ACM Transactions on Networking,2002 ,10(6):721-734.

[75]LIN I H,PENG S H. A probabilistic packet marking scheme with LT code for IP traceback[J]. Journal of Internet Technology,2013,14(2):189-202.

[76]BATES A,MOOD B,PLETCHER J,et al. Detecting co-residency with active traffic analysis techniques[A]. Proc of the 2012 ACM Workshop on Cloud Computing Security Workshop[C]. Raleigh,USA,2012. 1-12.

[77]羅軍舟,吳文甲,楊明. 移動(dòng)互聯(lián)網(wǎng)：終端、網(wǎng)絡(luò)與服務(wù)[J].計(jì)算機(jī)學(xué)報(bào),2011,34(11):2029-2051.LUO J Z,WU W J ,YANG M. Mobile Internet: terminal devices,networks and services[J].Chinese Journal of Computers,2011,34(11):2029-2051.

[78]周昌令,錢群,趙伊秋等.校園無線網(wǎng)用戶群體的移動(dòng)行為聚集分析[J].通信學(xué)報(bào)，2013,34(Z2):111-116.ZHOU C L,QIAN Q,ZHAO Y Q ,et al. Modularity analysis of users’mobile behavior in campus wireless network[J]. Journal on Communications,2013,34(Z2):111-116.

[79]NDN Testbed[EB/OL]. http://named-data.net/ndn-testbed/,2013-11.

[80]AFANASYEV A,MOISEENKO I,ZHANG L X. NDNSIM: NDN Simulator for NS-3[R]. NDN Technical Report NDN-0005,2012.