馬香港　李騰耀　劉粉林　馮王昕　楊春芳

摘 要：針對(duì)基于間隔質(zhì)心的流水印缺乏糾錯(cuò)能力且難以抵御多流攻擊的問(wèn)題，提出一種基于動(dòng)態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印算法。該算法在基于間隔質(zhì)心流水印基礎(chǔ)上利用編解碼技術(shù)增強(qiáng)其糾錯(cuò)能力，將攜帶同一水印信息的網(wǎng)絡(luò)流量采用動(dòng)態(tài)間隔壓縮的方式調(diào)制為多種模式以抵御多流攻擊。同時(shí)在檢測(cè)端對(duì)水印進(jìn)行分層檢測(cè)，減少檢測(cè)端計(jì)算資源浪費(fèi)。實(shí)驗(yàn)結(jié)果表明，當(dāng)檢測(cè)閾值設(shè)為0.8時(shí)，誤報(bào)率低于5%，且水印檢測(cè)率可高于原始間隔質(zhì)心方法10%左右，合并多條水印數(shù)據(jù)流后也無(wú)明顯靜默間隔?？梢娫撍惴ň哂辛己玫聂敯粜院碗[蔽性，能夠有效提高網(wǎng)絡(luò)流水印的可用性。

關(guān)鍵詞：網(wǎng)絡(luò)流水印；匿名網(wǎng)絡(luò)；流關(guān)聯(lián)；多流攻擊

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1001-3695（2023）10-040-3144-05

doi：10.19734/j.issn.1001-3695.2023.01.0039

Robust network flow watermarking algorithm based ondynamic interval compression

Ma Xianggang1，2，Li Tengyao2，3，Liu Fenlin2，3，F(xiàn)eng Wangxin2，3，Yang Chunfang2，3

（1.School of Cyber Science & Engineering，Zhengzhou University，Zhengzhou 450001，China；2.Key Laboratory of Cyberspace Situation Awareness of Henan Province，Zhengzhou 450001，China；3.State Key Laboratory of Mathematical Engineering & Advanced Computing，Zhengzhou 450001，China）

Abstract：To address the problem that the interval centroid-based watermarking lacks of error correction capability and is difficult to resist multi-flow attacks，this paper proposed a robust network flow watermarking algorithm based on dynamic interval compression.The method used coding and decoding technology to enhance the error correction capability of the interval centroid-based watermarking，and modulated the network traffic carrying the same watermark information into multiple modes by dynamic interval compression to resist multi-flow attacks.Meanwhile，it detected the watermark in layers at the detection side to reduce the waste of computational resources.The experimental results show that when the detection threshold is set to 0.8，the false positive rate is lower than 5%，and the watermark detection rate can be higher than the original interval centroid-based method by about 10%，and there is no obvious silent interval after merging multiple watermarked flows.It can be seen that the algorithm has good robustness and concealment，and can effectively improve the usability of network flow watermarking.

Key words：network flow watermark；anonymous network；flow correlation；multi-flow attacks

0 引言

隨著社會(huì)信息化的不斷加深，網(wǎng)絡(luò)安全越來(lái)越成為人們關(guān)注的焦點(diǎn)。人們希望能對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行追蹤溯源以采取相應(yīng)的應(yīng)對(duì)措施，但網(wǎng)絡(luò)入侵者在進(jìn)行攻擊時(shí)往往通過(guò)跳板或匿名網(wǎng)絡(luò)技術(shù)（如Tor［1］、Crowds和 Anonymize等）隱藏其真實(shí)身份，再結(jié)合流量加密技術(shù)，使得流量的追蹤溯源變得極為困難。人們根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)間間隔、包大小等流量特征在通信上下游中體現(xiàn)的關(guān)聯(lián)特性發(fā)展出流關(guān)聯(lián)技術(shù)。流關(guān)聯(lián)技術(shù)用于識(shí)別兩條流是否相關(guān)，其主要分為被動(dòng)流量關(guān)聯(lián)技術(shù)和主動(dòng)網(wǎng)絡(luò)流水印技術(shù)兩種。其中被動(dòng)流量關(guān)聯(lián)不修改目標(biāo)流的任何特征，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)流并根據(jù)流量的觀測(cè)特征來(lái)確定流量是否相關(guān)，但其計(jì)算復(fù)雜度和誤報(bào)率較高，且由于其觀測(cè)分析的時(shí)間長(zhǎng)，不適用于實(shí)時(shí)環(huán)境。主動(dòng)網(wǎng)絡(luò)流水印技術(shù)通過(guò)向數(shù)據(jù)流中嵌入水印以達(dá)到追蹤溯源的目的［2］，因具有計(jì)算復(fù)雜度小、實(shí)時(shí)性高等優(yōu)勢(shì)而被廣泛研究。

網(wǎng)絡(luò)流水印技術(shù)通過(guò)在會(huì)話的上游部署水印嵌入設(shè)備，主動(dòng)地向流量中嵌入水印信息，并在會(huì)話下游檢測(cè)水印，根據(jù)流量中的水印信息判斷流量間可能存在的關(guān)聯(lián)關(guān)系［3］。其水印載體一般選取與數(shù)據(jù)包內(nèi)容無(wú)關(guān)的流量特征，如網(wǎng)絡(luò)流的包大小、包數(shù)量、間隔質(zhì)心等［4］。目前根據(jù)不同載體發(fā)展出眾多網(wǎng)絡(luò)流水印方法，基于間隔質(zhì)心的流水印是研究的一個(gè)熱點(diǎn)，因其改變間隔內(nèi)多個(gè)包的統(tǒng)計(jì)特征，少量數(shù)據(jù)包的丟失也不會(huì)對(duì)整體數(shù)值產(chǎn)生很大影響，具有較強(qiáng)的魯棒性。Wang等人［5］針對(duì)低延遲匿名通信系統(tǒng)提出了第一種基于間隔質(zhì)心的流水印方法ICBW（interval centroid based watermarking）。嵌入水印時(shí)，嵌入端將流劃分為相同長(zhǎng)度的間隔，通過(guò)操縱每個(gè)間隔內(nèi)的質(zhì)心來(lái)嵌入水印。Pyun等人［6］提出的IBW（interval-based watermarking）方法同樣將流劃分為等長(zhǎng)間隔，其根據(jù)相鄰間隔中的數(shù)據(jù)包數(shù)量關(guān)系嵌入水印。Ling等人［7］利用TCP滑動(dòng)窗口機(jī)制提出SBTT方法（SDN-based traceback technique），通過(guò)修改數(shù)據(jù)包TCP頭部中的通告窗口大小字段，隱蔽地調(diào)整流速率以嵌入水印。這些流水印方法雖對(duì)時(shí)間擾動(dòng)具有較強(qiáng)魯棒性，但也都存在嵌入水印模式單一、不能抵御多流攻擊的問(wèn)題，被嵌入同一水印的流都具有相同的模式，攻擊者通過(guò)觀察多條被嵌入水印流量可以發(fā)現(xiàn)水印的存在［8］。 Houmansadr等人［9］提出了一種可抵抗多流攻擊的可擴(kuò)展水印SWIRL，其設(shè)計(jì)了基間隔和標(biāo)記間隔兩種間隔，嵌入水印時(shí)計(jì)算基間隔的質(zhì)心并使用量化函數(shù)進(jìn)行量化，不同的量化結(jié)果會(huì)在標(biāo)記間隔上插入不同的模式，使得攜帶相同水印的不同流可具有不同的模式，可抵御多流攻擊，但其基間隔和標(biāo)記間隔這種復(fù)雜的設(shè)計(jì)也會(huì)導(dǎo)致魯棒性降低?，F(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境錯(cuò)綜復(fù)雜，攜帶水印的流量經(jīng)過(guò)網(wǎng)絡(luò)傳輸后可能導(dǎo)致水印信息出錯(cuò)，以上方法面對(duì)此問(wèn)題時(shí)使用添加冗余的方法，但其編碼效率較低，在數(shù)據(jù)包數(shù)量有限的情況下并不適用，因此一些工作將糾錯(cuò)編碼用于網(wǎng)絡(luò)流水印中用于提高其糾錯(cuò)效率。Luo等人［10］基于ICBW和移動(dòng)通信中的PN碼提出ICBSSW（interval centroid based spread spectrum watermarking scheme）方法，通過(guò)使用PN碼對(duì)水印信息進(jìn)行擴(kuò)頻提高流水印的糾錯(cuò)能力，對(duì)于不同的流可采用不同PN碼使其抵御多流攻擊，但I(xiàn)CBSSW方案較為復(fù)雜，且時(shí)空開銷較大。Iacovazzi等人［11］基于丟包機(jī)制提出DropWat流水印方法，通過(guò)網(wǎng)絡(luò)對(duì)丟包的反應(yīng)修改數(shù)據(jù)包之間的延遲時(shí)間，達(dá)到隱蔽地嵌入水印的效果；根據(jù)Tor中的擁塞機(jī)制，又提出INFLOW流水印方法［12］，通過(guò)丟棄客戶端的ACK包間接地生成其水印模式。Yang等人［13］基于INFLOW流水印提出了ON/OFF流水印方法，其在發(fā)送端的流量中按照預(yù)定的時(shí)間間隔丟棄數(shù)據(jù)包創(chuàng)建水印序列，根據(jù)發(fā)送端和接收端水印序列的L1距離判斷流量間的相關(guān)性。以上三種基于丟包的流水印方法為網(wǎng)絡(luò)流水印的嵌入提供了新的思路，且具有良好的水印檢測(cè)率，但丟包這種方式會(huì)使得網(wǎng)絡(luò)的穩(wěn)定性降低。

綜上所述，現(xiàn)有的基于間隔質(zhì)心的網(wǎng)絡(luò)流水印方法在一些關(guān)鍵問(wèn)題上仍存在不足。一方面，網(wǎng)絡(luò)流水印技術(shù)經(jīng)過(guò)復(fù)雜網(wǎng)絡(luò)環(huán)境傳輸后會(huì)出現(xiàn)比特錯(cuò)誤，流水印方法的糾錯(cuò)機(jī)制仍需完善。另一方面，隨著多流攻擊［14］等流水印存在性檢測(cè)技術(shù)的發(fā)展，流水印需要具備較高的隱蔽性。另外現(xiàn)有流水印方法中接收方往往對(duì)經(jīng)過(guò)的所有流量都進(jìn)行提取水印的操作，造成接收方計(jì)算資源浪費(fèi)。

為此，本文提出一種可以基于動(dòng)態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印算法，具體步驟包括編碼、調(diào)制、判斷、解調(diào)、解碼，該方法將基于間隔質(zhì)心的流水印與卷積編碼和維特比軟譯碼結(jié)合使流水印具有較強(qiáng)糾錯(cuò)能力，增強(qiáng)流水印在復(fù)雜網(wǎng)絡(luò)傳輸下的魯棒性；調(diào)制流量時(shí)采用動(dòng)態(tài)間隔壓縮，使嵌有同一水印的多條流量模式多樣化且具有較強(qiáng)的隨機(jī)性，以抵御多流攻擊；在檢測(cè)端對(duì)水印進(jìn)行分層檢測(cè)，能夠在較少數(shù)據(jù)包條件下快速定位攜帶水印的流量，降低檢測(cè)端的計(jì)算資源需求。

1 應(yīng)用場(chǎng)景

針對(duì)網(wǎng)絡(luò)入侵者試圖通過(guò)多跳板隱匿其攻擊行為的情形，可在入侵者源節(jié)點(diǎn)的抵近節(jié)點(diǎn)位置部署水印嵌入端，在待保護(hù)的重要邊界節(jié)點(diǎn)部署水印檢測(cè)端。當(dāng)網(wǎng)絡(luò)入侵者嘗試通過(guò)多跳板對(duì)內(nèi)部主機(jī)進(jìn)行攻擊和滲透時(shí)，可以依托網(wǎng)絡(luò)流水印技術(shù)，在流量離開嵌入節(jié)點(diǎn)前嵌入網(wǎng)絡(luò)入侵者的身份標(biāo)識(shí)，該會(huì)話在包含網(wǎng)絡(luò)噪聲的互聯(lián)網(wǎng)環(huán)境下會(huì)持續(xù)攜帶源節(jié)點(diǎn)身份標(biāo)識(shí)。一旦該流量抵達(dá)邊界檢測(cè)節(jié)點(diǎn)時(shí)，即可通過(guò)網(wǎng)絡(luò)流水印的檢測(cè)機(jī)制，從混合流量中準(zhǔn)確檢測(cè)和鎖定該惡意流量，并從該流量中提取網(wǎng)絡(luò)入侵者源節(jié)點(diǎn)的身份標(biāo)識(shí)，從而實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)入侵者的可靠溯源追蹤，具體如圖1所示。

在該應(yīng)用場(chǎng)景下，網(wǎng)絡(luò)流水印需要主動(dòng)嵌入網(wǎng)絡(luò)入侵者的身份標(biāo)識(shí)，以實(shí)現(xiàn)可靠的追蹤溯源效果，但受包括時(shí)延抖動(dòng)、丟包等在內(nèi)的網(wǎng)絡(luò)噪聲影響，網(wǎng)絡(luò)流水印易出現(xiàn)偏移、損壞和丟失。同時(shí)，針對(duì)同一目標(biāo)的多條水印流量存在相似性，易導(dǎo)致網(wǎng)絡(luò)流水印及其攜帶的信息被網(wǎng)絡(luò)入侵者察覺甚至捕獲。因此，在該應(yīng)用場(chǎng)景下需要著重增強(qiáng)網(wǎng)絡(luò)流水印的魯棒性和隱蔽性，在保證水印抗網(wǎng)絡(luò)噪聲的同時(shí)，削弱網(wǎng)絡(luò)流水印的多流相似性。

2 基于動(dòng)態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印

針對(duì)以上場(chǎng)景，本文提出基于動(dòng)態(tài)間隔壓縮的魯棒網(wǎng)絡(luò)流水印系統(tǒng)架構(gòu)，如圖2所示。水印嵌入端包括編碼模塊和流量調(diào)制模塊；水印檢測(cè)端包括判斷水印有無(wú)模塊、流量解調(diào)模塊和解碼模塊。各模塊的水印形式用表1中的符號(hào)進(jìn)行表示。

在一次完整的網(wǎng)絡(luò)流水印追蹤溯源過(guò)程中，首先由水印嵌入端對(duì)目標(biāo)流量分配一個(gè)原始水印w，原始水印首先由編碼模塊進(jìn)行卷積編碼以提高網(wǎng)絡(luò)流水印的糾錯(cuò)能力。然后將上一步得到的編碼序列通過(guò)流量調(diào)制模塊進(jìn)行處理，此模塊會(huì)將編碼序列以調(diào)制包到達(dá)時(shí)間的方式調(diào)制到目標(biāo)數(shù)據(jù)流中。水印檢測(cè)端嘗試從經(jīng)過(guò)的每一條流中提取水印，首先其通過(guò)判斷水印有無(wú)模塊分析流量中是否被嵌入了水印，若流量中存在水印則通過(guò)解調(diào)模塊和解碼模塊進(jìn)行處理，得到解碼水印信息。解碼水印與原始水印w的余弦相似度小于某個(gè)閾值時(shí)則可判斷流量之間的關(guān)聯(lián)關(guān)系。

以上介紹了網(wǎng)絡(luò)流水印系統(tǒng)架構(gòu)的整體工作流程，下面詳細(xì)介紹水印嵌入端和水印檢測(cè)端的工作過(guò)程，并對(duì)其中的重點(diǎn)模塊進(jìn)行詳細(xì)介紹。

2.1 水印嵌入端

水印嵌入端主要包括編碼模塊和流量調(diào)制模塊，其攔截所經(jīng)過(guò)的流量，將目標(biāo)流量存入緩沖區(qū)，并通過(guò)執(zhí)行以下列步驟完成水印的嵌入：

a）記錄流中每個(gè)數(shù)據(jù)包的時(shí)間戳，劃分為等長(zhǎng)間隔并分組。

b）對(duì)于所要嵌入的水印，首先將其通過(guò)編碼模塊進(jìn)行編碼以得到編碼序列。

c）將編碼序列通過(guò)流量調(diào)制模塊以調(diào)制包到達(dá)時(shí)間的方式調(diào)制到目標(biāo)數(shù)據(jù)流中。

d）將已嵌入水印的流量重放。

在水印嵌入端，對(duì)于給定的目標(biāo)流F，首先將其進(jìn)行間隔劃分。在劃分間隔時(shí)設(shè)定一個(gè)固定的偏移Offset>0（用符號(hào)o表示），然后按照長(zhǎng)度為T的間隔（也稱時(shí)隙）將流劃分為2nL份，用I=［I1，I2，…，I2nL］表示，其中第i個(gè)間隔Ii的持續(xù)時(shí)間為［o+iT，o+（i+1）T］。使用隨機(jī)數(shù)發(fā)生器（SNG）和特定的種子從集合I中挑選，使其均分為A、B兩組，A=［IA1，IA2，…，IAnL］，B=［IB1，IB2，…，IBnL］，第i位編碼序列si調(diào)制到對(duì)應(yīng)的間隔組IAi、IBi中，如圖3所示。

2.1.1 編碼模塊

將原始水印信息w嵌入流前，先對(duì)原始水印進(jìn)行編碼，本文編碼模塊采用卷積碼作為編碼方案。卷積碼的結(jié)構(gòu)通常被記為（n，k，m），編碼時(shí)k位信息會(huì)被編碼成n位。m為約束長(zhǎng)度，編碼后的n位信息不僅與當(dāng)前k位信息有關(guān)，還與前（m-1）k位信息有關(guān)。原始水印w與編碼器做卷積運(yùn)算后得到由0、1組成的序列，將其稍作變換（其中0變換為-1，1變?yōu)?1）后得到由1、-1組成的序列，稱之為編碼序列s。

2.1.2 流量調(diào)制模塊

流量調(diào)制模塊負(fù)責(zé)調(diào)整流F的間隔質(zhì)心，使其能夠表示編碼序列s。本方法選擇的水印載體為流量的間隔質(zhì)心，首先介紹一下流量中間隔質(zhì)心的基本定義：對(duì)于持續(xù)時(shí)間為［o+iT，o+（i+1）T］的間隔Ii，設(shè)tj為此間隔內(nèi)第j個(gè)包的時(shí)間戳，則此間隔Ii的間隔質(zhì)心用式（1）表示。

本文調(diào)整間隔質(zhì)心時(shí)運(yùn)用了前向壓縮和后向壓縮兩種操作，如圖4所示。

在長(zhǎng)度為T的間隔中，定義Δti為此間隔內(nèi)數(shù)據(jù)包的時(shí)間戳大小距其所在間隔起始時(shí)間點(diǎn)的偏移值，Δt′i為嵌入水印后數(shù)據(jù)包的時(shí)間戳距其間隔起始時(shí)間點(diǎn)的偏移值。a為一個(gè)小于T的數(shù)值，其大小代表間隔質(zhì)心調(diào)整的幅度。前向壓縮中令

間隔質(zhì)心隨前向壓縮而向左移動(dòng)，如圖4操作1所示，此時(shí)有

將間隔質(zhì)心的值Ci根據(jù)式（6）進(jìn)行量化，得到值qi；qi代表了間隔內(nèi)質(zhì)心的位置。qi=0時(shí)表示間隔質(zhì)心位于中心，qi<0時(shí)表示間隔質(zhì)心位于靠左位置，可能經(jīng)過(guò)了前向壓縮；qi>0時(shí)表示間隔質(zhì)心位于靠右位置，可能經(jīng)過(guò)了后向壓縮。在理想情況下，不攜帶水印信息的流量的間隔質(zhì)心Ci應(yīng)該趨于間隔的中心位置T/2處［5］，此處質(zhì)心經(jīng)量化后值應(yīng)為0，而攜帶水印的間隔質(zhì)心經(jīng)量化后則接近（T+a）/2或（T-a）/2。為簡(jiǎn)單起見，取a=T/2，使得前向壓縮的質(zhì)心值量化后接近-1，后向壓縮的質(zhì)心值量化后接近1。

要調(diào)制編碼序列s=［s1，1…sn，1…s1，L…sn，L］到流量中，只需調(diào)制每個(gè)編碼序列si對(duì)應(yīng)的間隔組Ai、Bi的間隔質(zhì)心，調(diào)制時(shí)采用動(dòng)態(tài)間隔壓縮的方式，如式（7）所示。若第i位編碼序列si=+1，則對(duì)間隔IAi、IBi以同樣的方式進(jìn)行調(diào)制：同時(shí)前向壓縮或同時(shí)后向壓縮。若第i位編碼序列si=-1，則對(duì)間隔IAi、IBi以不同的方式進(jìn)行調(diào)制：IAi前向壓縮、IBi后向壓縮或IAi后向壓縮、IBi前向壓縮。調(diào)制時(shí)以等概率從每種調(diào)制方式中選擇，這種動(dòng)態(tài)間隔壓縮的方式使得調(diào)制長(zhǎng)度為nL的編碼序列到流量中時(shí)有2nL種不同的模式，可以有效防止多流攻擊。

2.2 水印檢測(cè)端

水印檢測(cè)端主要包括判斷水印有無(wú)模塊、流量解調(diào)模塊和解碼模塊，其監(jiān)聽經(jīng)過(guò)的流量，并嘗試從經(jīng)過(guò)的流中提取水印，通過(guò)執(zhí)行以下列步驟完成水印的檢測(cè)：

a）記錄每個(gè)數(shù)據(jù)包的時(shí)間戳，劃分為等長(zhǎng)間隔并分組。

b）提取所有間隔的間隔質(zhì)心和，根據(jù)閾值判斷流量中是否被嵌入了水印，若不存在水印不再進(jìn)行下一步。

c）若流量中存在水印，則對(duì)流量進(jìn)行解調(diào)得到解調(diào)序列。

d）將解調(diào)序列進(jìn)行維特比軟譯碼進(jìn)行解碼，得到解碼水印。

e）與原始水印計(jì)算余弦相似度，根據(jù)閾值判斷流量是否關(guān)聯(lián)。

檢測(cè)端首先對(duì)經(jīng)過(guò)的每條流進(jìn)行劃分間隔的操作，根據(jù)與水印嵌入端共享的參數(shù)Offset、T，將流劃分成長(zhǎng)度為T的間隔的集合I′=［I′1，I′2，…，I′2nL］，通過(guò)共享隨機(jī)數(shù)種子，將其均分為A′、B′兩組，A′=［IA′1，IA′2，…，IA′nL］，B′=［IB′1，IB′2，…，IB′nL］。

2.2.1 判斷水印有無(wú)

對(duì)每條流量劃分間隔后需判斷該流中是否存在水印。對(duì)于流中每一個(gè)間隔，首先根據(jù)式（1）計(jì)算此間隔的質(zhì)心C′i，然后根據(jù)式（2）將得到的質(zhì)心值進(jìn)行量化，所有的間隔經(jīng)量化后的值組成集合［q′1，q′2，…，q′2nL］，計(jì)算此集合內(nèi)各值絕對(duì)值的總和Sumq=∑2nLi=1q′i。對(duì)于不帶水印的流量，因每個(gè)間隔的質(zhì)心C′i趨于間隔的中心位置T/2處，故［q′1，q′2，…，q′2nL］中每一位接近0，Sumq接近于0；對(duì)于帶水印的流量，［q′1，q′2，…，q′2nL］中的每一位接近于+1或-1，Sumq接近于2nL。設(shè)置一個(gè)檢測(cè)閾值α，當(dāng)Sumq＞2αnL時(shí)，判斷為有水印，否則為無(wú)水印。設(shè)Df代表流中是否存在水印，根據(jù)式（8）可判斷流量中是否存在水印。

另外在對(duì)流劃分間隔時(shí)，起始點(diǎn)Offset可能會(huì)發(fā)生偏移，導(dǎo)致前向壓縮的間隔質(zhì)心值變大（或變小），后向壓縮的間隔質(zhì)心值變?。ɑ蜃兇螅?。但在本方法中，一條流內(nèi)采用前向壓縮和后向壓縮的間隔數(shù)量是大致相等的，而前向壓縮間隔質(zhì)心變大（或變?。┑闹蹬c后向壓縮的間隔質(zhì)心值變?。ɑ蜃兇螅┑闹迪嗟龋鹗键c(diǎn)偏移后計(jì)算得到的Sumq仍接近于2αnL，因此本方法可抵御起始點(diǎn)偏移。

2.2.2 流量解調(diào)模塊

流量中如果發(fā)現(xiàn)存在水印，則接下來(lái)對(duì)流量進(jìn)行解調(diào)，即從流量的間隔質(zhì)心中恢復(fù)調(diào)制過(guò)的序列。這里將恢復(fù)后的調(diào)制序列稱為解調(diào)序列r，r=［r1，1，…，rn，1，…，r1，L，…，rn，L］。若解調(diào)序列ri對(duì)應(yīng)的間隔組為IA′i、IB′i，其質(zhì)心量化值為qA′i、qB′i，則根據(jù)調(diào)制時(shí)的方式可知ri絕對(duì)值為（|qA′|+|qB′|）2，若qA′i、qB′i同號(hào)，則符合“+1”的調(diào)制方式，水印ri符號(hào)為正；若qA′i、qB′i異號(hào)，則符合“-1”的調(diào)制方式，水印ri符號(hào)為負(fù)。如圖5所示為解調(diào)IA′i、IB′i恢復(fù)ri的一個(gè)示例。另外在傳輸過(guò)程間隔質(zhì)心會(huì)發(fā)生偏移，當(dāng)間隔質(zhì)心的偏移小于T/4時(shí)，根據(jù)IA′i、IB′i仍可成功恢復(fù)ri，當(dāng)間隔質(zhì)心的偏移過(guò)大時(shí)，解調(diào)可能會(huì)出錯(cuò)，但當(dāng)錯(cuò)誤在一定范圍內(nèi)時(shí)仍可以依靠編解碼模塊來(lái)進(jìn)行錯(cuò)誤的糾正。照此規(guī)則最終得到全部的解調(diào)序列r。

2.2.3 解碼模塊

解碼模塊負(fù)責(zé)對(duì)解調(diào)序列r進(jìn)行解碼，得到最終的水印信息。解碼時(shí)以解調(diào)序列r為基礎(chǔ)，將其送入網(wǎng)格圖中進(jìn)行維特比軟譯碼，計(jì)算解調(diào)序列在網(wǎng)格圖中的路徑與其他所有可能出現(xiàn)的、連續(xù)的網(wǎng)格圖路徑的距離，最終得到解碼水印信息。計(jì)算解碼水印和發(fā)送端編碼水印w的余弦相似度，根據(jù)相似度大小進(jìn)行流量的關(guān)聯(lián)，若相似度大小大于設(shè)置的某個(gè)閾值則判定監(jiān)測(cè)的兩端流量是關(guān)聯(lián)的。

3 誤碼率分析

網(wǎng)絡(luò)流水印系統(tǒng)實(shí)際部署時(shí)需要考慮其可靠性，而誤碼率是體現(xiàn)其是否可靠的重要指標(biāo)。受網(wǎng)絡(luò)擁塞、抖動(dòng)等因素的影響，接收端接收到水印信息與發(fā)送端發(fā)送的水印信息可能不完全相同，而水印信息發(fā)生錯(cuò)誤的比例越高，越不能判斷流量間的關(guān)聯(lián)關(guān)系。

設(shè)發(fā)送端發(fā)送編碼序列為s（i）=［s（i）1，1，…，s（i）n，1，…，s（i）1，L，…，s（i）n，L］，其中，水印位數(shù)為n，輸入一位水印位，輸出L位編碼位。接收端收到的碼字為r=［r1，1，…，rn，1，…，r1，L，…，rn，L］，經(jīng)過(guò)信道傳播后，傳輸?shù)乃?huì)發(fā)生偏差，將偏差定義為w，則r=s（i）+w，其中w=［w1，1，…，wn，1，…，w1，L，…，wn，L］，w是均值為0、方差為σ2w的高斯白噪聲。隨意設(shè)另一個(gè)碼字為s（j），當(dāng)接收端收到的碼字r沒有被解碼為s（i），而被解碼成s（j）時(shí)即發(fā)生錯(cuò)誤。此時(shí)有

其中：dE與卷積碼的自由距離有關(guān)；σw為水印傳輸產(chǎn)生的偏差的方差。由此得出結(jié)論，想要降低水印傳輸過(guò)程中的誤碼率，需要增大卷積碼碼字間的自由距離或者降低水印的單比特錯(cuò)誤率，降低單比特錯(cuò)誤率可以通過(guò)增加質(zhì)心偏移幅度、增大間隔長(zhǎng)度或提高信道信噪比實(shí)現(xiàn)。

4 實(shí)驗(yàn)

為評(píng)估本文流水印方案的性能，建立了相關(guān)的實(shí)驗(yàn)環(huán)境，分別在美國(guó)弗吉尼亞、中國(guó)杭州和成都部署了服務(wù)器。杭州端服務(wù)器作為發(fā)送端重放流量數(shù)據(jù)并通過(guò)一臺(tái)水印嵌入器改變數(shù)據(jù)包的時(shí)間間隔嵌入水印，帶水印的流量經(jīng)位于弗吉尼亞的服務(wù)器中轉(zhuǎn)，最終到達(dá)位于成都的水印檢測(cè)器提取水印。根據(jù)理論分析部分可知，質(zhì)心偏移幅度、間隔長(zhǎng)度、信道的信噪比以及丟包率均會(huì)影響水印檢測(cè)率，接下來(lái)對(duì)上述參數(shù)進(jìn)行實(shí)驗(yàn)分析。

4.1 不同參數(shù)條件下的性能測(cè)試

首先測(cè)試不同參數(shù)條件下流水印的性能，涉及的參數(shù)有質(zhì)心偏移幅度、卷積碼譯碼方式和間隔長(zhǎng)度等，性能測(cè)試的度量參數(shù)有檢測(cè)率、誤報(bào)率，其中檢測(cè)率為正確標(biāo)記為帶水印的流量占被測(cè)試流量的比例，誤報(bào)率為被檢測(cè)錯(cuò)誤地分類為帶水印的流量占總流量的比例。

4.1.1 質(zhì)心偏移幅度參數(shù)測(cè)試

為測(cè)試流水印正確分類有無(wú)水印流量的比例，進(jìn)行如下實(shí)驗(yàn)，將質(zhì)心偏移幅度a分別設(shè)置為40～120 ms，檢測(cè)閾值α分別設(shè)為0.6、0.8，實(shí)驗(yàn)結(jié)果如圖6所示，其中橫坐標(biāo)a表示質(zhì)心偏移幅度。從圖中可以看出，隨著質(zhì)心偏移幅度的提高，檢測(cè)率隨之提高，隨著質(zhì)心偏移幅度和檢測(cè)閾值的提高，誤報(bào)率隨之減小，與理論分析相一致。當(dāng)質(zhì)心偏移幅度達(dá)到100 ms，檢測(cè)閾值為0.8時(shí)，檢測(cè)率已高于95%，具有較好的檢測(cè)性能。

4.1.2 卷積碼譯碼方式測(cè)試

傳統(tǒng)水印方法采用硬判決將接收到的時(shí)間序列根據(jù)判斷規(guī)則解碼為0、1信息位，例如在ICBW方法中，只要A組間隔質(zhì)心大于B組間隔質(zhì)心時(shí)水印位就被解碼為1，這種硬判決丟失了傳輸過(guò)程中信道干擾信號(hào)的統(tǒng)計(jì)信息。本文將間隔質(zhì)心量化為一個(gè)連續(xù)值，相比于0、1值，連續(xù)值反映了一些細(xì)節(jié)特征。為了測(cè)試卷積碼軟硬譯碼對(duì)水印檢測(cè)率的影響，在設(shè)置間隔長(zhǎng)度為240 ms、原始數(shù)據(jù)流長(zhǎng)度，自由距離為5，檢測(cè)閾值α為0.8的情況下測(cè)試軟硬譯碼對(duì)檢測(cè)率的影響。實(shí)驗(yàn)結(jié)果如圖7所示，從圖中可以看出，維特比軟譯碼較硬譯碼具有一定的優(yōu)勢(shì)。

將卷積編碼的自由距離從4增加到6，使用100條數(shù)據(jù)流測(cè)試卷積碼自由距離對(duì)水印檢測(cè)率的影響。實(shí)驗(yàn)結(jié)果如圖8所示，從圖中可以看出，隨著卷積碼自由距離的增大，檢測(cè)率逐漸增加，實(shí)驗(yàn)結(jié)果與理論分析一致。整體上看，當(dāng)間隔為200、自由距離為5后檢測(cè)率基本保持在98%以上，具有良好的效果。

4.1.3 間隔長(zhǎng)度參數(shù)測(cè)試

文獻(xiàn)［5］指出，基于間隔質(zhì)心的流水印技術(shù)通過(guò)增加間隔T的長(zhǎng)度可以增加水印信息載體的穩(wěn)定性。為了檢測(cè)間隔長(zhǎng)度T對(duì)水印信息檢測(cè)率的影響，將卷積碼自由距離設(shè)置為5，檢測(cè)閾值設(shè)為0.8，質(zhì)心偏移幅度a設(shè)為T/2進(jìn)行測(cè)試，間隔T分別設(shè)定為140 ms、160 ms、180 ms、200 ms、220 ms、240 ms，每個(gè)間隔大小的實(shí)驗(yàn)都進(jìn)行了100次。本文分別測(cè)試了不同間隔大小下流水印檢測(cè)的成功率，并將本文方案與IBW、ICBW和ICBSSW方法進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如圖9所示。從圖中可以看出，隨著間隔長(zhǎng)度的增大，水印檢測(cè)率整體上保持增大的趨勢(shì)，當(dāng)間隔長(zhǎng)度達(dá)到220 ms時(shí)，水印檢測(cè)率可達(dá)到99%以上。

4.2 魯棒性驗(yàn)證

4.2.1 信噪比對(duì)檢測(cè)率的影響

為了檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流在傳輸過(guò)程中的時(shí)間擾動(dòng)對(duì)本文方法的影響，向數(shù)據(jù)流中添加高斯白噪聲模擬網(wǎng)絡(luò)抖動(dòng)對(duì)流量造成的干擾，對(duì)水印檢測(cè)率進(jìn)行測(cè)試實(shí)驗(yàn)。在設(shè)定間隔的長(zhǎng)度為220 ms，卷積碼自由距離為5，檢測(cè)閾值α分別為0.8的情況下，將高斯白噪聲的信噪比SNR從5 dB遞增到50 dB測(cè)試流水印系統(tǒng)的檢測(cè)率，并與IBW、ICBW、ICBSSW和SBTT方法進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如圖10所示，橫坐標(biāo)表示信噪比，縱坐標(biāo)表示水印檢測(cè)率?？梢钥闯?，鏈路的抖動(dòng)干擾越大，水印的檢測(cè)成功率越低。且經(jīng)綜合比較，本文方法具有較高準(zhǔn)確率，在不向網(wǎng)絡(luò)數(shù)據(jù)流中添加高斯白噪聲影響時(shí)，信噪比高于30時(shí)，能夠達(dá)到97%以上的檢測(cè)準(zhǔn)確率。

4.2.2 丟包對(duì)檢測(cè)率的影響

為了檢測(cè)數(shù)據(jù)包丟失對(duì)網(wǎng)絡(luò)流水印的影響，將原始數(shù)據(jù)流中的數(shù)據(jù)包隨機(jī)進(jìn)行丟失測(cè)試。在設(shè)定間隔的長(zhǎng)度為220 ms，卷積碼自由距離為5，檢測(cè)閾值α分別設(shè)為0.8的情況下，將丟包比例從4%增加到20%，測(cè)試其對(duì)流水印系統(tǒng)檢測(cè)率的影響，并與IBW、ICBW、 ICBSSW和SBTT方法進(jìn)行對(duì)比，實(shí)驗(yàn)結(jié)果如圖11所示，橫坐標(biāo)表示丟包的百分比，縱坐標(biāo)表示水印檢測(cè)率。可以看出隨著丟包率的增大，各方法的水印檢測(cè)率均有一定程度的下降。其中SBTT方法基于流速特征，當(dāng)丟失的包分布較平均時(shí)對(duì)其影響較小，ICBSSW和本文方法均采用了糾錯(cuò)編碼增強(qiáng)了流水印的糾錯(cuò)能力，對(duì)丟包也具有一定的抵御效果，而IBW和ICBW方法在丟包比例較高時(shí)效果較差。

4.3 隱蔽性檢驗(yàn)

流水印技術(shù)除了需要較強(qiáng)的魯棒性外，還需要有較強(qiáng)的隱蔽性。多流攻擊是攻擊者將嵌入水印的多條已標(biāo)記數(shù)據(jù)流合并為一條數(shù)據(jù)流，通過(guò)觀察合并后的流量時(shí)間特征來(lái)判斷流量中是否存在水?。?5］。正常流量的多條數(shù)據(jù)流合并為一條數(shù)據(jù)流后數(shù)據(jù)包較為分散，而嵌入水印信息的數(shù)據(jù)流則會(huì)出現(xiàn)明顯的靜默間隔。分別對(duì)比10條未攜帶水印信息的數(shù)據(jù)流和10條攜帶水印信息的數(shù)據(jù)量的數(shù)據(jù)包到達(dá)情況。結(jié)果如圖12所示，可以看出多條原始流量在合并后流量較為均勻，而其余方法標(biāo)記數(shù)據(jù)流合并后則出現(xiàn)了明顯的靜默間隔，相比而言，本文所提方法水印信息不明顯，與原始數(shù)據(jù)流差異不大，隱蔽性較好。

5 結(jié)束語(yǔ)

針對(duì)基于間隔質(zhì)心的流水印缺乏糾錯(cuò)能力且難以抵御多流攻擊的問(wèn)題，本文提出一種兼具魯棒性和隱蔽性的流水印方法，采用卷積編碼和維特比軟譯碼來(lái)提高流水印的可靠性，對(duì)流量采取動(dòng)態(tài)間隔壓縮調(diào)制為多種模式以抵抗多流攻擊。理論分析與實(shí)驗(yàn)結(jié)果表明，該方案具有良好的魯棒性和隱蔽性，較以往方法具有一定的性能提升。未來(lái)的研究工作包括設(shè)計(jì)更高效的編解碼算法，以及提升流水印在其他檢測(cè)技術(shù)下的隱蔽性。

參考文獻(xiàn)：

［1］Dingledine R，Mathewson N，Syverson P.Tor：the second-generation onion router［C］//Proc of the 13th USENIX Security Symposium.［S.l.］：USENIX Association，2004：303-320.

［2］卓中流.匿名網(wǎng)絡(luò)追蹤溯源關(guān)鍵技術(shù)研究［D］.成都：電子科技大學(xué)，2018.（Zhuo Zhongliu.Research on the key technologies of network tracing in the anonymous network［D］.Chengdu：University of Electronic Science and Technology of China，2018.）

［3］Zhang Liancheng，Kong Yazhou，Guo Yi，et al.Survey on network flow watermarking：model，interferences，applications，technologies and security［J］.IET Communications，2018，12（14）：1639-1648.

［4］Iacovazzi A，Elovici Y.Network flow watermarking：a survey［J］.IEEE Communications Surveys and Tutorials，2017，19（1）：512-530.

［5］Wang Xinyuan，Chen Shiping，Jajodia S.Network flow watermarking attack on low-latency anonymous communication systems［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2007：116-130.

［6］Pyun Y J，Park Y H，Wang Xinyuan，et al.Tracing traffic through intermediate hosts that repacketize flows［C］//Proc of the 26th IEEE International Conference on Computer Communications.Piscataway，NJ：IEEE Press，2007：634-642.

［7］Ling Zhen，Luo Junzhou，Xu Danni，et al.Novel and practical SDN-based traceback technique for malicious traffic over anonymous networks［C］//Proc of IEEE INFOCOM - IEEE Conference on Computer Communications.Piscataway，NJ：IEEE Press，2019：1180-1188.

［8］張連成，王禹，孔亞洲，等.網(wǎng)絡(luò)流水印安全威脅及對(duì)策綜述［J］.計(jì)算機(jī)研究與發(fā)展，2018，55（8）：1785-1799.（Zhang Liancheng，Wang Yu，Kong Yazhou，et al.Survey on security threats and counter measures of network flow watermarking［J］.Journal of Computer Research and Development，2018，55（8）：1785-1799.）

［9］Houmansadr A，Borisov N.SWIRL：a scalable watermark to detect correlated network flows［C］//Proc of the 18th Annual Network and Distributed System Security Symposium.［S.l.］：Internet Society，2011：1-15.

［10］Luo Junzhou，Wang Xiaogang，Yang Ming.An interval centroid based spread spectrum watermarking scheme for multi-flow traceback［J］.Journal of Network and Computer Applications，2012，35（1）：60-71.

［11］Iacovazzi A，Sarda S，F(xiàn)rassinelli D，et al.DropWat：an invisible network flow watermark for data exfiltration traceback［J］.IEEE Trans on Information Forensics and Security，2018，13（5）：1139-1154.

［12］Iacovazzi A，Sarda S，Elovici Y，et al.INFLOW：inverse network flow watermarking for detecting hidden servers［C］//Proc of the 37th IEEE Conference on Computer Communications.Piscataway，NJ：IEEE Press，2018：747-755.

［13］Yang Kai，Liu Zhihong，Zeng Yong，et al.Sliding window based ON/OFF flow watermarking on Tor［J］.Computer Communications，2022，196：66-75.

［14］Kiyavash N，Houmansadr A，Borisov N.Multi-flow attacks against network flow watermarks：analysis and countermeasures［EB/OL］.（2012-03-10）.https：//arxiv.org/abs/1203.1390.

［15］Zhang Liancheng，Zhu Junhu，Yan Xuexiong，et al.Initial offset randomization based multi-flow attack resistance method［C］//Proc of the 3rd IEEE International Conference on Computer and Communications.Piscataway，NJ：IEEE Press，2018：1303-1307.

收稿日期：2023-01-23；修回日期：2023-03-20 基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（61872448，62172435，62072057）；河南省科技攻關(guān)計(jì)劃資助項(xiàng)目（222102210075）；河南省重點(diǎn)研發(fā)與推廣專項(xiàng)（科技攻關(guān)）資助項(xiàng)目（222102210018）

作者簡(jiǎn)介：馬香港（1995-），男，河南周口人，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全；李騰耀（1991-），男（通信作者），河北辛集人，講師，博士，主要研究方向?yàn)橹鲃?dòng)防御與網(wǎng)絡(luò)安全（litengyao@aliyun.com）；劉粉林（1964-），男，江蘇溧陽(yáng)人，教授，博導(dǎo)，主要研究方向?yàn)樾畔㈦[藏與分析、網(wǎng)絡(luò)安全等；馮王昕（1994-），男，福建廈門人，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全；楊春芳（1983-），男，福建莆田人，副教授，博導(dǎo)，主要研究方向?yàn)樾畔㈦[藏與檢測(cè)．