馬香港　李騰耀　劉粉林　馮王昕　楊春芳

摘 要：針對基于間隔質(zhì)心的流水印缺乏糾錯能力且難以抵御多流攻擊的問題，提出一種基于動態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印算法。該算法在基于間隔質(zhì)心流水印基礎(chǔ)上利用編解碼技術(shù)增強(qiáng)其糾錯能力，將攜帶同一水印信息的網(wǎng)絡(luò)流量采用動態(tài)間隔壓縮的方式調(diào)制為多種模式以抵御多流攻擊。同時在檢測端對水印進(jìn)行分層檢測，減少檢測端計算資源浪費(fèi)。實驗結(jié)果表明，當(dāng)檢測閾值設(shè)為0.8時，誤報率低于5%，且水印檢測率可高于原始間隔質(zhì)心方法10%左右，合并多條水印數(shù)據(jù)流后也無明顯靜默間隔?？梢娫撍惴ň哂辛己玫聂敯粜院碗[蔽性，能夠有效提高網(wǎng)絡(luò)流水印的可用性。

關(guān)鍵詞：網(wǎng)絡(luò)流水??；匿名網(wǎng)絡(luò)；流關(guān)聯(lián)；多流攻擊

中圖分類號：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號：1001-3695（2023）10-040-3144-05

doi：10.19734/j.issn.1001-3695.2023.01.0039

Robust network flow watermarking algorithm based ondynamic interval compression

Ma Xianggang1，2，Li Tengyao2，3，Liu Fenlin2，3，F(xiàn)eng Wangxin2，3，Yang Chunfang2，3

（1.School of Cyber Science & Engineering，Zhengzhou University，Zhengzhou 450001，China；2.Key Laboratory of Cyberspace Situation Awareness of Henan Province，Zhengzhou 450001，China；3.State Key Laboratory of Mathematical Engineering & Advanced Computing，Zhengzhou 450001，China）

Abstract：To address the problem that the interval centroid-based watermarking lacks of error correction capability and is difficult to resist multi-flow attacks，this paper proposed a robust network flow watermarking algorithm based on dynamic interval compression.The method used coding and decoding technology to enhance the error correction capability of the interval centroid-based watermarking，and modulated the network traffic carrying the same watermark information into multiple modes by dynamic interval compression to resist multi-flow attacks.Meanwhile，it detected the watermark in layers at the detection side to reduce the waste of computational resources.The experimental results show that when the detection threshold is set to 0.8，the false positive rate is lower than 5%，and the watermark detection rate can be higher than the original interval centroid-based method by about 10%，and there is no obvious silent interval after merging multiple watermarked flows.It can be seen that the algorithm has good robustness and concealment，and can effectively improve the usability of network flow watermarking.

Key words：network flow watermark；anonymous network；flow correlation；multi-flow attacks

0 引言

隨著社會信息化的不斷加深，網(wǎng)絡(luò)安全越來越成為人們關(guān)注的焦點。人們希望能對網(wǎng)絡(luò)攻擊行為進(jìn)行追蹤溯源以采取相應(yīng)的應(yīng)對措施，但網(wǎng)絡(luò)入侵者在進(jìn)行攻擊時往往通過跳板或匿名網(wǎng)絡(luò)技術(shù)（如Tor［1］、Crowds和 Anonymize等）隱藏其真實身份，再結(jié)合流量加密技術(shù)，使得流量的追蹤溯源變得極為困難。人們根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的時間間隔、包大小等流量特征在通信上下游中體現(xiàn)的關(guān)聯(lián)特性發(fā)展出流關(guān)聯(lián)技術(shù)。流關(guān)聯(lián)技術(shù)用于識別兩條流是否相關(guān)，其主要分為被動流量關(guān)聯(lián)技術(shù)和主動網(wǎng)絡(luò)流水印技術(shù)兩種。其中被動流量關(guān)聯(lián)不修改目標(biāo)流的任何特征，通過監(jiān)測網(wǎng)絡(luò)流并根據(jù)流量的觀測特征來確定流量是否相關(guān)，但其計算復(fù)雜度和誤報率較高，且由于其觀測分析的時間長，不適用于實時環(huán)境。主動網(wǎng)絡(luò)流水印技術(shù)通過向數(shù)據(jù)流中嵌入水印以達(dá)到追蹤溯源的目的［2］，因具有計算復(fù)雜度小、實時性高等優(yōu)勢而被廣泛研究。

網(wǎng)絡(luò)流水印技術(shù)通過在會話的上游部署水印嵌入設(shè)備，主動地向流量中嵌入水印信息，并在會話下游檢測水印，根據(jù)流量中的水印信息判斷流量間可能存在的關(guān)聯(lián)關(guān)系［3］。其水印載體一般選取與數(shù)據(jù)包內(nèi)容無關(guān)的流量特征，如網(wǎng)絡(luò)流的包大小、包數(shù)量、間隔質(zhì)心等［4］。目前根據(jù)不同載體發(fā)展出眾多網(wǎng)絡(luò)流水印方法，基于間隔質(zhì)心的流水印是研究的一個熱點，因其改變間隔內(nèi)多個包的統(tǒng)計特征，少量數(shù)據(jù)包的丟失也不會對整體數(shù)值產(chǎn)生很大影響，具有較強(qiáng)的魯棒性。Wang等人［5］針對低延遲匿名通信系統(tǒng)提出了第一種基于間隔質(zhì)心的流水印方法ICBW（interval centroid based watermarking）。嵌入水印時，嵌入端將流劃分為相同長度的間隔，通過操縱每個間隔內(nèi)的質(zhì)心來嵌入水印。Pyun等人［6］提出的IBW（interval-based watermarking）方法同樣將流劃分為等長間隔，其根據(jù)相鄰間隔中的數(shù)據(jù)包數(shù)量關(guān)系嵌入水印。Ling等人［7］利用TCP滑動窗口機(jī)制提出SBTT方法（SDN-based traceback technique），通過修改數(shù)據(jù)包TCP頭部中的通告窗口大小字段，隱蔽地調(diào)整流速率以嵌入水印。這些流水印方法雖對時間擾動具有較強(qiáng)魯棒性，但也都存在嵌入水印模式單一、不能抵御多流攻擊的問題，被嵌入同一水印的流都具有相同的模式，攻擊者通過觀察多條被嵌入水印流量可以發(fā)現(xiàn)水印的存在［8］。 Houmansadr等人［9］提出了一種可抵抗多流攻擊的可擴(kuò)展水印SWIRL，其設(shè)計了基間隔和標(biāo)記間隔兩種間隔，嵌入水印時計算基間隔的質(zhì)心并使用量化函數(shù)進(jìn)行量化，不同的量化結(jié)果會在標(biāo)記間隔上插入不同的模式，使得攜帶相同水印的不同流可具有不同的模式，可抵御多流攻擊，但其基間隔和標(biāo)記間隔這種復(fù)雜的設(shè)計也會導(dǎo)致魯棒性降低?，F(xiàn)實中網(wǎng)絡(luò)環(huán)境錯綜復(fù)雜，攜帶水印的流量經(jīng)過網(wǎng)絡(luò)傳輸后可能導(dǎo)致水印信息出錯，以上方法面對此問題時使用添加冗余的方法，但其編碼效率較低，在數(shù)據(jù)包數(shù)量有限的情況下并不適用，因此一些工作將糾錯編碼用于網(wǎng)絡(luò)流水印中用于提高其糾錯效率。Luo等人［10］基于ICBW和移動通信中的PN碼提出ICBSSW（interval centroid based spread spectrum watermarking scheme）方法，通過使用PN碼對水印信息進(jìn)行擴(kuò)頻提高流水印的糾錯能力，對于不同的流可采用不同PN碼使其抵御多流攻擊，但I(xiàn)CBSSW方案較為復(fù)雜，且時空開銷較大。Iacovazzi等人［11］基于丟包機(jī)制提出DropWat流水印方法，通過網(wǎng)絡(luò)對丟包的反應(yīng)修改數(shù)據(jù)包之間的延遲時間，達(dá)到隱蔽地嵌入水印的效果；根據(jù)Tor中的擁塞機(jī)制，又提出INFLOW流水印方法［12］，通過丟棄客戶端的ACK包間接地生成其水印模式。Yang等人［13］基于INFLOW流水印提出了ON/OFF流水印方法，其在發(fā)送端的流量中按照預(yù)定的時間間隔丟棄數(shù)據(jù)包創(chuàng)建水印序列，根據(jù)發(fā)送端和接收端水印序列的L1距離判斷流量間的相關(guān)性。以上三種基于丟包的流水印方法為網(wǎng)絡(luò)流水印的嵌入提供了新的思路，且具有良好的水印檢測率，但丟包這種方式會使得網(wǎng)絡(luò)的穩(wěn)定性降低。

綜上所述，現(xiàn)有的基于間隔質(zhì)心的網(wǎng)絡(luò)流水印方法在一些關(guān)鍵問題上仍存在不足。一方面，網(wǎng)絡(luò)流水印技術(shù)經(jīng)過復(fù)雜網(wǎng)絡(luò)環(huán)境傳輸后會出現(xiàn)比特錯誤，流水印方法的糾錯機(jī)制仍需完善。另一方面，隨著多流攻擊［14］等流水印存在性檢測技術(shù)的發(fā)展，流水印需要具備較高的隱蔽性。另外現(xiàn)有流水印方法中接收方往往對經(jīng)過的所有流量都進(jìn)行提取水印的操作，造成接收方計算資源浪費(fèi)。

為此，本文提出一種可以基于動態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印算法，具體步驟包括編碼、調(diào)制、判斷、解調(diào)、解碼，該方法將基于間隔質(zhì)心的流水印與卷積編碼和維特比軟譯碼結(jié)合使流水印具有較強(qiáng)糾錯能力，增強(qiáng)流水印在復(fù)雜網(wǎng)絡(luò)傳輸下的魯棒性；調(diào)制流量時采用動態(tài)間隔壓縮，使嵌有同一水印的多條流量模式多樣化且具有較強(qiáng)的隨機(jī)性，以抵御多流攻擊；在檢測端對水印進(jìn)行分層檢測，能夠在較少數(shù)據(jù)包條件下快速定位攜帶水印的流量，降低檢測端的計算資源需求。

1 應(yīng)用場景

針對網(wǎng)絡(luò)入侵者試圖通過多跳板隱匿其攻擊行為的情形，可在入侵者源節(jié)點的抵近節(jié)點位置部署水印嵌入端，在待保護(hù)的重要邊界節(jié)點部署水印檢測端。當(dāng)網(wǎng)絡(luò)入侵者嘗試通過多跳板對內(nèi)部主機(jī)進(jìn)行攻擊和滲透時，可以依托網(wǎng)絡(luò)流水印技術(shù)，在流量離開嵌入節(jié)點前嵌入網(wǎng)絡(luò)入侵者的身份標(biāo)識，該會話在包含網(wǎng)絡(luò)噪聲的互聯(lián)網(wǎng)環(huán)境下會持續(xù)攜帶源節(jié)點身份標(biāo)識。一旦該流量抵達(dá)邊界檢測節(jié)點時，即可通過網(wǎng)絡(luò)流水印的檢測機(jī)制，從混合流量中準(zhǔn)確檢測和鎖定該惡意流量，并從該流量中提取網(wǎng)絡(luò)入侵者源節(jié)點的身份標(biāo)識，從而實現(xiàn)針對網(wǎng)絡(luò)入侵者的可靠溯源追蹤，具體如圖1所示。

在該應(yīng)用場景下，網(wǎng)絡(luò)流水印需要主動嵌入網(wǎng)絡(luò)入侵者的身份標(biāo)識，以實現(xiàn)可靠的追蹤溯源效果，但受包括時延抖動、丟包等在內(nèi)的網(wǎng)絡(luò)噪聲影響，網(wǎng)絡(luò)流水印易出現(xiàn)偏移、損壞和丟失。同時，針對同一目標(biāo)的多條水印流量存在相似性，易導(dǎo)致網(wǎng)絡(luò)流水印及其攜帶的信息被網(wǎng)絡(luò)入侵者察覺甚至捕獲。因此，在該應(yīng)用場景下需要著重增強(qiáng)網(wǎng)絡(luò)流水印的魯棒性和隱蔽性，在保證水印抗網(wǎng)絡(luò)噪聲的同時，削弱網(wǎng)絡(luò)流水印的多流相似性。

2 基于動態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印

針對以上場景，本文提出基于動態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印系統(tǒng)架構(gòu)，如圖2所示。水印嵌入端包括編碼模塊和流量調(diào)制模塊；水印檢測端包括判斷水印有無模塊、流量解調(diào)模塊和解碼模塊。各模塊的水印形式用表1中的符號進(jìn)行表示。

在一次完整的網(wǎng)絡(luò)流水印追蹤溯源過程中，首先由水印嵌入端對目標(biāo)流量分配一個原始水印w，原始水印首先由編碼模塊進(jìn)行卷積編碼以提高網(wǎng)絡(luò)流水印的糾錯能力。然后將上一步得到的編碼序列通過流量調(diào)制模塊進(jìn)行處理，此模塊會將編碼序列以調(diào)制包到達(dá)時間的方式調(diào)制到目標(biāo)數(shù)據(jù)流中。水印檢測端嘗試從經(jīng)過的每一條流中提取水印，首先其通過判斷水印有無模塊分析流量中是否被嵌入了水印，若流量中存在水印則通過解調(diào)模塊和解碼模塊進(jìn)行處理，得到解碼水印信息。解碼水印與原始水印w的余弦相似度小于某個閾值時則可判斷流量之間的關(guān)聯(lián)關(guān)系。

以上介紹了網(wǎng)絡(luò)流水印系統(tǒng)架構(gòu)的整體工作流程，下面詳細(xì)介紹水印嵌入端和水印檢測端的工作過程，并對其中的重點模塊進(jìn)行詳細(xì)介紹。

2.1 水印嵌入端

水印嵌入端主要包括編碼模塊和流量調(diào)制模塊，其攔截所經(jīng)過的流量，將目標(biāo)流量存入緩沖區(qū)，并通過執(zhí)行以下列步驟完成水印的嵌入：

a）記錄流中每個數(shù)據(jù)包的時間戳，劃分為等長間隔并分組。

b）對于所要嵌入的水印，首先將其通過編碼模塊進(jìn)行編碼以得到編碼序列。

c）將編碼序列通過流量調(diào)制模塊以調(diào)制包到達(dá)時間的方式調(diào)制到目標(biāo)數(shù)據(jù)流中。

d）將已嵌入水印的流量重放。

在水印嵌入端，對于給定的目標(biāo)流F，首先將其進(jìn)行間隔劃分。在劃分間隔時設(shè)定一個固定的偏移Offset>0（用符號o表示），然后按照長度為T的間隔（也稱時隙）將流劃分為2nL份，用I=［I1，I2，…，I2nL］表示，其中第i個間隔Ii的持續(xù)時間為［o+iT，o+（i+1）T］。使用隨機(jī)數(shù)發(fā)生器（SNG）和特定的種子從集合I中挑選，使其均分為A、B兩組，A=［IA1，IA2，…，IAnL］，B=［IB1，IB2，…，IBnL］，第i位編碼序列si調(diào)制到對應(yīng)的間隔組IAi、IBi中，如圖3所示。

2.1.1 編碼模塊

將原始水印信息w嵌入流前，先對原始水印進(jìn)行編碼，本文編碼模塊采用卷積碼作為編碼方案。卷積碼的結(jié)構(gòu)通常被記為（n，k，m），編碼時k位信息會被編碼成n位。m為約束長度，編碼后的n位信息不僅與當(dāng)前k位信息有關(guān)，還與前（m-1）k位信息有關(guān)。原始水印w與編碼器做卷積運(yùn)算后得到由0、1組成的序列，將其稍作變換（其中0變換為-1，1變?yōu)?1）后得到由1、-1組成的序列，稱之為編碼序列s。

2.1.2 流量調(diào)制模塊

流量調(diào)制模塊負(fù)責(zé)調(diào)整流F的間隔質(zhì)心，使其能夠表示編碼序列s。本方法選擇的水印載體為流量的間隔質(zhì)心，首先介紹一下流量中間隔質(zhì)心的基本定義：對于持續(xù)時間為［o+iT，o+（i+1）T］的間隔Ii，設(shè)tj為此間隔內(nèi)第j個包的時間戳，則此間隔Ii的間隔質(zhì)心用式（1）表示。

本文調(diào)整間隔質(zhì)心時運(yùn)用了前向壓縮和后向壓縮兩種操作，如圖4所示。

在長度為T的間隔中，定義Δti為此間隔內(nèi)數(shù)據(jù)包的時間戳大小距其所在間隔起始時間點的偏移值，Δt′i為嵌入水印后數(shù)據(jù)包的時間戳距其間隔起始時間點的偏移值。a為一個小于T的數(shù)值，其大小代表間隔質(zhì)心調(diào)整的幅度。前向壓縮中令

間隔質(zhì)心隨前向壓縮而向左移動，如圖4操作1所示，此時有

將間隔質(zhì)心的值Ci根據(jù)式（6）進(jìn)行量化，得到值qi；qi代表了間隔內(nèi)質(zhì)心的位置。qi=0時表示間隔質(zhì)心位于中心，qi<0時表示間隔質(zhì)心位于靠左位置，可能經(jīng)過了前向壓縮；qi>0時表示間隔質(zhì)心位于靠右位置，可能經(jīng)過了后向壓縮。在理想情況下，不攜帶水印信息的流量的間隔質(zhì)心Ci應(yīng)該趨于間隔的中心位置T/2處［5］，此處質(zhì)心經(jīng)量化后值應(yīng)為0，而攜帶水印的間隔質(zhì)心經(jīng)量化后則接近（T+a）/2或（T-a）/2。為簡單起見，取a=T/2，使得前向壓縮的質(zhì)心值量化后接近-1，后向壓縮的質(zhì)心值量化后接近1。

要調(diào)制編碼序列s=［s1，1…sn，1…s1，L…sn，L］到流量中，只需調(diào)制每個編碼序列si對應(yīng)的間隔組Ai、Bi的間隔質(zhì)心，調(diào)制時采用動態(tài)間隔壓縮的方式，如式（7）所示。若第i位編碼序列si=+1，則對間隔IAi、IBi以同樣的方式進(jìn)行調(diào)制：同時前向壓縮或同時后向壓縮。若第i位編碼序列si=-1，則對間隔IAi、IBi以不同的方式進(jìn)行調(diào)制：IAi前向壓縮、IBi后向壓縮或IAi后向壓縮、IBi前向壓縮。調(diào)制時以等概率從每種調(diào)制方式中選擇，這種動態(tài)間隔壓縮的方式使得調(diào)制長度為nL的編碼序列到流量中時有2nL種不同的模式，可以有效防止多流攻擊。

2.2 水印檢測端

水印檢測端主要包括判斷水印有無模塊、流量解調(diào)模塊和解碼模塊，其監(jiān)聽經(jīng)過的流量，并嘗試從經(jīng)過的流中提取水印，通過執(zhí)行以下列步驟完成水印的檢測：

a）記錄每個數(shù)據(jù)包的時間戳，劃分為等長間隔并分組。

b）提取所有間隔的間隔質(zhì)心和，根據(jù)閾值判斷流量中是否被嵌入了水印，若不存在水印不再進(jìn)行下一步。

c）若流量中存在水印，則對流量進(jìn)行解調(diào)得到解調(diào)序列。

d）將解調(diào)序列進(jìn)行維特比軟譯碼進(jìn)行解碼，得到解碼水印。

e）與原始水印計算余弦相似度，根據(jù)閾值判斷流量是否關(guān)聯(lián)。

檢測端首先對經(jīng)過的每條流進(jìn)行劃分間隔的操作，根據(jù)與水印嵌入端共享的參數(shù)Offset、T，將流劃分成長度為T的間隔的集合I′=［I′1，I′2，…，I′2nL］，通過共享隨機(jī)數(shù)種子，將其均分為A′、B′兩組，A′=［IA′1，IA′2，…，IA′nL］，B′=［IB′1，IB′2，…，IB′nL］。

2.2.1 判斷水印有無

對每條流量劃分間隔后需判斷該流中是否存在水印。對于流中每一個間隔，首先根據(jù)式（1）計算此間隔的質(zhì)心C′i，然后根據(jù)式（2）將得到的質(zhì)心值進(jìn)行量化，所有的間隔經(jīng)量化后的值組成集合［q′1，q′2，…，q′2nL］，計算此集合內(nèi)各值絕對值的總和Sumq=∑2nLi=1q′i。對于不帶水印的流量，因每個間隔的質(zhì)心C′i趨于間隔的中心位置T/2處，故［q′1，q′2，…，q′2nL］中每一位接近0，Sumq接近于0；對于帶水印的流量，［q′1，q′2，…，q′2nL］中的每一位接近于+1或-1，Sumq接近于2nL。設(shè)置一個檢測閾值α，當(dāng)Sumq＞2αnL時，判斷為有水印，否則為無水印。設(shè)Df代表流中是否存在水印，根據(jù)式（8）可判斷流量中是否存在水印。

另外在對流劃分間隔時，起始點Offset可能會發(fā)生偏移，導(dǎo)致前向壓縮的間隔質(zhì)心值變大（或變小），后向壓縮的間隔質(zhì)心值變小（或變大）。但在本方法中，一條流內(nèi)采用前向壓縮和后向壓縮的間隔數(shù)量是大致相等的，而前向壓縮間隔質(zhì)心變大（或變?。┑闹蹬c后向壓縮的間隔質(zhì)心值變?。ɑ蜃兇螅┑闹迪嗟龋鹗键c偏移后計算得到的Sumq仍接近于2αnL，因此本方法可抵御起始點偏移。

2.2.2 流量解調(diào)模塊

流量中如果發(fā)現(xiàn)存在水印，則接下來對流量進(jìn)行解調(diào)，即從流量的間隔質(zhì)心中恢復(fù)調(diào)制過的序列。這里將恢復(fù)后的調(diào)制序列稱為解調(diào)序列r，r=［r1，1，…，rn，1，…，r1，L，…，rn，L］。若解調(diào)序列ri對應(yīng)的間隔組為IA′i、IB′i，其質(zhì)心量化值為qA′i、qB′i，則根據(jù)調(diào)制時的方式可知ri絕對值為（|qA′|+|qB′|）2，若qA′i、qB′i同號，則符合“+1”的調(diào)制方式，水印ri符號為正；若qA′i、qB′i異號，則符合“-1”的調(diào)制方式，水印ri符號為負(fù)。如圖5所示為解調(diào)IA′i、IB′i恢復(fù)ri的一個示例。另外在傳輸過程間隔質(zhì)心會發(fā)生偏移，當(dāng)間隔質(zhì)心的偏移小于T/4時，根據(jù)IA′i、IB′i仍可成功恢復(fù)ri，當(dāng)間隔質(zhì)心的偏移過大時，解調(diào)可能會出錯，但當(dāng)錯誤在一定范圍內(nèi)時仍可以依靠編解碼模塊來進(jìn)行錯誤的糾正。照此規(guī)則最終得到全部的解調(diào)序列r。

2.2.3 解碼模塊

解碼模塊負(fù)責(zé)對解調(diào)序列r進(jìn)行解碼，得到最終的水印信息。解碼時以解調(diào)序列r為基礎(chǔ)，將其送入網(wǎng)格圖中進(jìn)行維特比軟譯碼，計算解調(diào)序列在網(wǎng)格圖中的路徑與其他所有可能出現(xiàn)的、連續(xù)的網(wǎng)格圖路徑的距離，最終得到解碼水印信息。計算解碼水印和發(fā)送端編碼水印w的余弦相似度，根據(jù)相似度大小進(jìn)行流量的關(guān)聯(lián)，若相似度大小大于設(shè)置的某個閾值則判定監(jiān)測的兩端流量是關(guān)聯(lián)的。

3 誤碼率分析

網(wǎng)絡(luò)流水印系統(tǒng)實際部署時需要考慮其可靠性，而誤碼率是體現(xiàn)其是否可靠的重要指標(biāo)。受網(wǎng)絡(luò)擁塞、抖動等因素的影響，接收端接收到水印信息與發(fā)送端發(fā)送的水印信息可能不完全相同，而水印信息發(fā)生錯誤的比例越高，越不能判斷流量間的關(guān)聯(lián)關(guān)系。

設(shè)發(fā)送端發(fā)送編碼序列為s（i）=［s（i）1，1，…，s（i）n，1，…，s（i）1，L，…，s（i）n，L］，其中，水印位數(shù)為n，輸入一位水印位，輸出L位編碼位。接收端收到的碼字為r=［r1，1，…，rn，1，…，r1，L，…，rn，L］，經(jīng)過信道傳播后，傳輸?shù)乃l(fā)生偏差，將偏差定義為w，則r=s（i）+w，其中w=［w1，1，…，wn，1，…，w1，L，…，wn，L］，w是均值為0、方差為σ2w的高斯白噪聲。隨意設(shè)另一個碼字為s（j），當(dāng)接收端收到的碼字r沒有被解碼為s（i），而被解碼成s（j）時即發(fā)生錯誤。此時有

其中：dE與卷積碼的自由距離有關(guān)；σw為水印傳輸產(chǎn)生的偏差的方差。由此得出結(jié)論，想要降低水印傳輸過程中的誤碼率，需要增大卷積碼碼字間的自由距離或者降低水印的單比特錯誤率，降低單比特錯誤率可以通過增加質(zhì)心偏移幅度、增大間隔長度或提高信道信噪比實現(xiàn)。

4 實驗

為評估本文流水印方案的性能，建立了相關(guān)的實驗環(huán)境，分別在美國弗吉尼亞、中國杭州和成都部署了服務(wù)器。杭州端服務(wù)器作為發(fā)送端重放流量數(shù)據(jù)并通過一臺水印嵌入器改變數(shù)據(jù)包的時間間隔嵌入水印，帶水印的流量經(jīng)位于弗吉尼亞的服務(wù)器中轉(zhuǎn)，最終到達(dá)位于成都的水印檢測器提取水印。根據(jù)理論分析部分可知，質(zhì)心偏移幅度、間隔長度、信道的信噪比以及丟包率均會影響水印檢測率，接下來對上述參數(shù)進(jìn)行實驗分析。

4.1 不同參數(shù)條件下的性能測試

首先測試不同參數(shù)條件下流水印的性能，涉及的參數(shù)有質(zhì)心偏移幅度、卷積碼譯碼方式和間隔長度等，性能測試的度量參數(shù)有檢測率、誤報率，其中檢測率為正確標(biāo)記為帶水印的流量占被測試流量的比例，誤報率為被檢測錯誤地分類為帶水印的流量占總流量的比例。

4.1.1 質(zhì)心偏移幅度參數(shù)測試

為測試流水印正確分類有無水印流量的比例，進(jìn)行如下實驗，將質(zhì)心偏移幅度a分別設(shè)置為40～120 ms，檢測閾值α分別設(shè)為0.6、0.8，實驗結(jié)果如圖6所示，其中橫坐標(biāo)a表示質(zhì)心偏移幅度。從圖中可以看出，隨著質(zhì)心偏移幅度的提高，檢測率隨之提高，隨著質(zhì)心偏移幅度和檢測閾值的提高，誤報率隨之減小，與理論分析相一致。當(dāng)質(zhì)心偏移幅度達(dá)到100 ms，檢測閾值為0.8時，檢測率已高于95%，具有較好的檢測性能。

4.1.2 卷積碼譯碼方式測試

傳統(tǒng)水印方法采用硬判決將接收到的時間序列根據(jù)判斷規(guī)則解碼為0、1信息位，例如在ICBW方法中，只要A組間隔質(zhì)心大于B組間隔質(zhì)心時水印位就被解碼為1，這種硬判決丟失了傳輸過程中信道干擾信號的統(tǒng)計信息。本文將間隔質(zhì)心量化為一個連續(xù)值，相比于0、1值，連續(xù)值反映了一些細(xì)節(jié)特征。為了測試卷積碼軟硬譯碼對水印檢測率的影響，在設(shè)置間隔長度為240 ms、原始數(shù)據(jù)流長度，自由距離為5，檢測閾值α為0.8的情況下測試軟硬譯碼對檢測率的影響。實驗結(jié)果如圖7所示，從圖中可以看出，維特比軟譯碼較硬譯碼具有一定的優(yōu)勢。

將卷積編碼的自由距離從4增加到6，使用100條數(shù)據(jù)流測試卷積碼自由距離對水印檢測率的影響。實驗結(jié)果如圖8所示，從圖中可以看出，隨著卷積碼自由距離的增大，檢測率逐漸增加，實驗結(jié)果與理論分析一致。整體上看，當(dāng)間隔為200、自由距離為5后檢測率基本保持在98%以上，具有良好的效果。

4.1.3 間隔長度參數(shù)測試

文獻(xiàn)［5］指出，基于間隔質(zhì)心的流水印技術(shù)通過增加間隔T的長度可以增加水印信息載體的穩(wěn)定性。為了檢測間隔長度T對水印信息檢測率的影響，將卷積碼自由距離設(shè)置為5，檢測閾值設(shè)為0.8，質(zhì)心偏移幅度a設(shè)為T/2進(jìn)行測試，間隔T分別設(shè)定為140 ms、160 ms、180 ms、200 ms、220 ms、240 ms，每個間隔大小的實驗都進(jìn)行了100次。本文分別測試了不同間隔大小下流水印檢測的成功率，并將本文方案與IBW、ICBW和ICBSSW方法進(jìn)行對比，實驗結(jié)果如圖9所示。從圖中可以看出，隨著間隔長度的增大，水印檢測率整體上保持增大的趨勢，當(dāng)間隔長度達(dá)到220 ms時，水印檢測率可達(dá)到99%以上。

4.2 魯棒性驗證

4.2.1 信噪比對檢測率的影響

為了檢測網(wǎng)絡(luò)數(shù)據(jù)流在傳輸過程中的時間擾動對本文方法的影響，向數(shù)據(jù)流中添加高斯白噪聲模擬網(wǎng)絡(luò)抖動對流量造成的干擾，對水印檢測率進(jìn)行測試實驗。在設(shè)定間隔的長度為220 ms，卷積碼自由距離為5，檢測閾值α分別為0.8的情況下，將高斯白噪聲的信噪比SNR從5 dB遞增到50 dB測試流水印系統(tǒng)的檢測率，并與IBW、ICBW、ICBSSW和SBTT方法進(jìn)行對比，實驗結(jié)果如圖10所示，橫坐標(biāo)表示信噪比，縱坐標(biāo)表示水印檢測率?？梢钥闯觯溌返亩秳痈蓴_越大，水印的檢測成功率越低。且經(jīng)綜合比較，本文方法具有較高準(zhǔn)確率，在不向網(wǎng)絡(luò)數(shù)據(jù)流中添加高斯白噪聲影響時，信噪比高于30時，能夠達(dá)到97%以上的檢測準(zhǔn)確率。

4.2.2 丟包對檢測率的影響

為了檢測數(shù)據(jù)包丟失對網(wǎng)絡(luò)流水印的影響，將原始數(shù)據(jù)流中的數(shù)據(jù)包隨機(jī)進(jìn)行丟失測試。在設(shè)定間隔的長度為220 ms，卷積碼自由距離為5，檢測閾值α分別設(shè)為0.8的情況下，將丟包比例從4%增加到20%，測試其對流水印系統(tǒng)檢測率的影響，并與IBW、ICBW、 ICBSSW和SBTT方法進(jìn)行對比，實驗結(jié)果如圖11所示，橫坐標(biāo)表示丟包的百分比，縱坐標(biāo)表示水印檢測率。可以看出隨著丟包率的增大，各方法的水印檢測率均有一定程度的下降。其中SBTT方法基于流速特征，當(dāng)丟失的包分布較平均時對其影響較小，ICBSSW和本文方法均采用了糾錯編碼增強(qiáng)了流水印的糾錯能力，對丟包也具有一定的抵御效果，而IBW和ICBW方法在丟包比例較高時效果較差。

4.3 隱蔽性檢驗

流水印技術(shù)除了需要較強(qiáng)的魯棒性外，還需要有較強(qiáng)的隱蔽性。多流攻擊是攻擊者將嵌入水印的多條已標(biāo)記數(shù)據(jù)流合并為一條數(shù)據(jù)流，通過觀察合并后的流量時間特征來判斷流量中是否存在水?。?5］。正常流量的多條數(shù)據(jù)流合并為一條數(shù)據(jù)流后數(shù)據(jù)包較為分散，而嵌入水印信息的數(shù)據(jù)流則會出現(xiàn)明顯的靜默間隔。分別對比10條未攜帶水印信息的數(shù)據(jù)流和10條攜帶水印信息的數(shù)據(jù)量的數(shù)據(jù)包到達(dá)情況。結(jié)果如圖12所示，可以看出多條原始流量在合并后流量較為均勻，而其余方法標(biāo)記數(shù)據(jù)流合并后則出現(xiàn)了明顯的靜默間隔，相比而言，本文所提方法水印信息不明顯，與原始數(shù)據(jù)流差異不大，隱蔽性較好。

5 結(jié)束語

針對基于間隔質(zhì)心的流水印缺乏糾錯能力且難以抵御多流攻擊的問題，本文提出一種兼具魯棒性和隱蔽性的流水印方法，采用卷積編碼和維特比軟譯碼來提高流水印的可靠性，對流量采取動態(tài)間隔壓縮調(diào)制為多種模式以抵抗多流攻擊。理論分析與實驗結(jié)果表明，該方案具有良好的魯棒性和隱蔽性，較以往方法具有一定的性能提升。未來的研究工作包括設(shè)計更高效的編解碼算法，以及提升流水印在其他檢測技術(shù)下的隱蔽性。

參考文獻(xiàn)：

［1］Dingledine R，Mathewson N，Syverson P.Tor：the second-generation onion router［C］//Proc of the 13th USENIX Security Symposium.［S.l.］：USENIX Association，2004：303-320.

［2］卓中流.匿名網(wǎng)絡(luò)追蹤溯源關(guān)鍵技術(shù)研究［D］.成都：電子科技大學(xué)，2018.（Zhuo Zhongliu.Research on the key technologies of network tracing in the anonymous network［D］.Chengdu：University of Electronic Science and Technology of China，2018.）

［3］Zhang Liancheng，Kong Yazhou，Guo Yi，et al.Survey on network flow watermarking：model，interferences，applications，technologies and security［J］.IET Communications，2018，12（14）：1639-1648.

［4］Iacovazzi A，Elovici Y.Network flow watermarking：a survey［J］.IEEE Communications Surveys and Tutorials，2017，19（1）：512-530.

［5］Wang Xinyuan，Chen Shiping，Jajodia S.Network flow watermarking attack on low-latency anonymous communication systems［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2007：116-130.

［6］Pyun Y J，Park Y H，Wang Xinyuan，et al.Tracing traffic through intermediate hosts that repacketize flows［C］//Proc of the 26th IEEE International Conference on Computer Communications.Piscataway，NJ：IEEE Press，2007：634-642.

［7］Ling Zhen，Luo Junzhou，Xu Danni，et al.Novel and practical SDN-based traceback technique for malicious traffic over anonymous networks［C］//Proc of IEEE INFOCOM - IEEE Conference on Computer Communications.Piscataway，NJ：IEEE Press，2019：1180-1188.

［8］張連成，王禹，孔亞洲，等.網(wǎng)絡(luò)流水印安全威脅及對策綜述［J］.計算機(jī)研究與發(fā)展，2018，55（8）：1785-1799.（Zhang Liancheng，Wang Yu，Kong Yazhou，et al.Survey on security threats and counter measures of network flow watermarking［J］.Journal of Computer Research and Development，2018，55（8）：1785-1799.）

［9］Houmansadr A，Borisov N.SWIRL：a scalable watermark to detect correlated network flows［C］//Proc of the 18th Annual Network and Distributed System Security Symposium.［S.l.］：Internet Society，2011：1-15.

［10］Luo Junzhou，Wang Xiaogang，Yang Ming.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback［J］.Journal of Network and Computer Applications，2012，35（1）：60-71.

［11］Iacovazzi A，Sarda S，F(xiàn)rassinelli D，et al.DropWat：an invisible network flow watermark for data exfiltration traceback［J］.IEEE Trans on Information Forensics and Security，2018，13（5）：1139-1154.

［12］Iacovazzi A，Sarda S，Elovici Y，et al.INFLOW：inverse network flow watermarking for detecting hidden servers［C］//Proc of the 37th IEEE Conference on Computer Communications.Piscataway，NJ：IEEE Press，2018：747-755.

［13］Yang Kai，Liu Zhihong，Zeng Yong，et al.Sliding window based ON/OFF flow watermarking on Tor［J］.Computer Communications，2022，196：66-75.

［14］Kiyavash N，Houmansadr A，Borisov N.Multi-flow attacks against network flow watermarks：analysis and countermeasures［EB/OL］.（2012-03-10）.https：//arxiv.org/abs/1203.1390.

［15］Zhang Liancheng，Zhu Junhu，Yan Xuexiong，et al.Initial offset randomization based multi-flow attack resistance method［C］//Proc of the 3rd IEEE International Conference on Computer and Communications.Piscataway，NJ：IEEE Press，2018：1303-1307.

收稿日期：2023-01-23；修回日期：2023-03-20 基金項目：國家自然科學(xué)基金資助項目（61872448，62172435，62072057）；河南省科技攻關(guān)計劃資助項目（222102210075）；河南省重點研發(fā)與推廣專項（科技攻關(guān)）資助項目（222102210018）

作者簡介：馬香港（1995-），男，河南周口人，碩士研究生，主要研究方向為網(wǎng)絡(luò)安全；李騰耀（1991-），男（通信作者），河北辛集人，講師，博士，主要研究方向為主動防御與網(wǎng)絡(luò)安全（litengyao@aliyun.com）；劉粉林（1964-），男，江蘇溧陽人，教授，博導(dǎo)，主要研究方向為信息隱藏與分析、網(wǎng)絡(luò)安全等；馮王昕（1994-），男，福建廈門人，碩士研究生，主要研究方向為網(wǎng)絡(luò)安全；楊春芳（1983-），男，福建莆田人，副教授，博導(dǎo)，主要研究方向為信息隱藏與檢測．