[论文精读]TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor

news2024/11/17 12:03:34

期刊名称:IEEE Transactions on Information Forensics and Security

发布链接:TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor | IEEE Journals & Magazine | IEEE Xplore

中文译名:TorWard:发现,阻止和追踪 Tor 上的恶意流量

 阅读原因:计网、网安、方班

论文主要探讨了在Tor网络上发现、阻止和追踪恶意流量的方法和技术。下面是内容分析:

1.前置知识:

 网络基础知识

  • TCP/IP协议栈:了解传输控制协议(TCP)和互联网协议(IP)的基本工作原理。
  • 路由器和网关:理解网络中路由器和网关的作用及其在数据包转发过程中的角色。
  • NAT(网络地址转换):掌握NAT的基本原理及其在网络中的应用。

网络安全与隐私保护

  • 匿名通信系统:了解匿名通信系统的基本原理,如Tor、I2P等。
  • 加密技术:熟悉对称加密和非对称加密技术,以及其在保护数据隐私中的应用。
  • 入侵检测系统(IDS):了解IDS的基本概念及其在网络安全防护中的作用。

Tor网络的工作原理

  • 洋葱路由(Onion Routing):掌握Tor网络的核心原理,即通过多层加密和多节点跳转实现用户匿名。
  • Tor组件:了解Tor客户端、Tor路由器、目录服务器和应用服务器的功能和作用。
  • Tor控制协议:理解Tor控制协议如何用于配置和管理Tor网络中的节点。

恶意流量分析与追踪

  • 僵尸网络:了解僵尸网络的结构和工作机制,特别是命令和控制服务器的作用。
  • 垃圾邮件和拒绝服务攻击(DoS):理解这些常见网络攻击的原理和方法。
  • 双音多频信令(DTMF):掌握DTMF信号的基本概念及其在通信中的应用。

2. 研究背景和问题:

背景

 Tor 网络的基本体系结构:

它由四个组件组成:Tor 客户端、Tor  路由器、目录服务器和应用服务器。一般来说,Tor 客户端安装 Tor 代理(OP),  它是 Tor 网络和客户端之间的接口。Tor 路由器(OR)构成核心 Tor 网络,并在 Tor  客户端和应用服务器之间中继流量。目录服务器保存所有公共 Tor 路由器的信息。应用服务器承载 TCP 应用服务,例如 web。Tor 还提供了隐藏服务来隐藏服务器的位置。

 常见的集中式僵尸网络 C&C 的架构

由三个组件组成:

(i) Bot master,它依赖 C&C 通道向其机器人发出命令,并通过 C&C 服务器从受感染的主机接收信息;
(ii) C&C 服务器,它代表 botmaster 将命令中继给机器人,从机器人收集信息或将结果转发给 botmaster;
(iii) Bot,它们是带有机器人软件的受感染计算机,并从 C&C 服务器接收控制命令以实际实施攻击。

问题

 1. Tor网络的滥用问题

  • 恶意活动:Tor网络被广泛用于匿名通信,但也被滥用于非法活动,如僵尸网络、垃圾邮件发送、拒绝服务攻击和恶意软件传播。
  • 法律和行政投诉:Tor出口路由器管理员经常面临法律和行政投诉,这使得在敏感环境中监控和分析恶意流量变得复杂。

2. 系统性研究的不足

  • 现有解决方案的局限性:目前对Tor上恶意流量的系统性研究依然不足,特别是在安全分析和流量追踪方面的有效解决方案尚未完善。
  • 手动配置的困难:Tor上恶意流量的多样性和复杂性导致了难以手动配置路由器的策略来阻止潜在的恶意流量。

3. 敏感环境中的监控与分析

  • 避免法律问题:如何在不触发法律和行政投诉的情况下,在敏感环境中(如大学校园网络)监控和分析恶意流量。
  • 动态管理工具:通过开发自动管理工具来动态添加和删除防火墙规则,实现有效的流量控制和管理。

4. 恶意流量的发现与阻断

  • IDS的应用:通过部署入侵检测系统(IDS)来检查Tor出口路由器上的流量,并利用自动管理工具动态地中断恶意流量。
  • 透明代理与重定向:将出口路由器的出站Tor流量重定向到透明代理,形成一个两跳电路,再将流量传递到Tor网络中,以吸引更多的Tor客户端选择该路由器。

5. 恶意流量的追踪

  • 双音多频信令(DTMF)方法:使用基于DTMF的方法来追踪僵尸网络流量,评估检测率和误报率,验证了该方法在嵌入信号情况下的有效性。
  • 实验验证:通过广泛的理论分析和实际实验相结合,验证了TorWard系统的有效性和可行性。

6. 本文贡献

设计并实现了TorWard,他在Tor出口路由上集成了一个入侵检测系统IDS,用于Tor恶意流量的发现、分类和相应。本文的TorWard可以发现和分类Tor中的恶意流量,还可以阻止和跟踪恶意流量

3. 技术框架:

 

  • Tor的组成: Tor由四个组件组成:Tor客户端、Tor路由器、目录服务器和应用服务器。
  • 系统架构: 本文设计了一个包含防火墙、入侵检测系统(IDS)、透明代理和Tor出口路由器的技术框架。通过一台带有两个网络接口的计算机作为连接到校园专用网络的网关,另一台计算机作为Tor出口路由器连接到网关。
  • 端口转发和自动管理工具: 使用防火墙实现出口路由器与公网之间的端口转发,并开发了自动管理工具来动态添加和删除防火墙规则。
  • 透明代理和流量重定向: 将出口路由器的出站Tor流量重定向到透明代理,并将出口路由器设置为接受所有流量,提供高带宽以吸引更多的Tor客户端选择该路由器。透明代理在网关上运行,接收并重定向出站Tor流量,形成一个两跳电路,再将流量传递到Tor网络中。

 

4. 实验设计与结果分析:

  • 实验验证: 通过实验和实际数据分析验证了TorWard系统的有效性。
  • 流量统计: 使用一个或多个Tor出口路由器可以获得可靠的Tor流量统计数据。
  • 恶意流量分析: 通过分析不同类型的恶意流量,揭示了僵尸网络主机和命令控制服务器利用Tor隐藏其通信的可能性。
  • 双音多频信令(DTMF)方法: 为追踪僵尸网络流量,研究使用了基于DTMF的方法,评估了检测率和误报率。实验表明,在嵌入信号的情况下,可以成功提取特征频率追踪恶意流量,误报率较低,验证了该追溯方法的有效性。

5. 结论与展望:

  • TorWard系统的贡献: TorWard系统用于发现、分类和响应Tor恶意流量,特别是通过IDS检查Tor出口路由器上的流量,并通过将流量重定向到Tor来避免管理和法律问题。
  • 动态中断恶意流量: 为了阻止出口路由器上的恶意流量,部署了IDS来将警报转发给TorWard的哨兵代理,该代理可以通过Tor控制协议动态地中断恶意流量。
  • DTMF信令方法的应用: 设计了一种有效的双音多频(DTMF)基于信令的方法来跟踪跨Tor的恶意流量。作为一个具有重要实际意义的例子,成功地通过Tor跟踪了僵尸网络流量。
  • 理论与实验的结合: 通过广泛的理论分析和实际实验相结合,验证了TorWard的有效性和可行性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2176567.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024大二上js高级+ES6学习9.26(闭包,递归函数)

9.26.2024 1.闭包 什么是闭包: 闭包的作用: Return 的函数作为fn的子函数,可以使用fn的局部变量num,局部变量num要等所有使用它的函数调用完毕后才销毁 2.闭包的案例 点击li会发现输出4 在 JavaScript 中,事件处理器&…

C语言 | Leetcode C语言题解之第443题压缩字符串

题目&#xff1a; 题解&#xff1a; void swap(char *a, char *b) {char t *a;*a *b, *b t; }void reverse(char *a, char *b) {while (a < b) {swap(a, --b);} }int compress(char *chars, int charsSize) {int write 0, left 0;for (int read 0; read < charsSi…

软考论文《论模型驱动架构设计方法及其应用》精选试读

论文真题 模型驱动架构设计是一种用于应用系统开发的软件设计方法&#xff0c;以模型构造、模型转换和精化为核心&#xff0c;提供了一套软件设计的指导规范。在模型驱动架构环境下&#xff0c;通过创建出机器可读和高度抽象的模型实现对不同问题域的描述&#xff0c;这些模型…

【HTTP(3)】(状态码,https)

【认识状态码】 状态码最重要的目的&#xff0c;就是反馈给浏览器:这次请求是否成功&#xff0c;若失败&#xff0c;则出现失败原因 常见状态码: 200:OK&#xff0c;表示成功 404:Not Found&#xff0c;浏览器访问的资源在服务器上没有找到 403:Forbidden&#xff0c;访问被…

你还在用Java8吗?

Java 11 在企业中&#xff0c;Java的不同版本使用情况随着时间在不断变化。根据最新的数据报告&#xff0c;以下是一些关键点&#xff1a; Java 11 和 Java 17 成为企业中最常用的长期支持&#xff08;LTS&#xff09;版本&#xff0c;使用率分别为 48% 和 45%&#xff0c;而 …

rtp协议:rtp固定头部介绍

前言&#xff1a; 大家好&#xff0c;今天开始给大家分享rtp协议的相关详细介绍&#xff0c;关于rtsp的介绍&#xff0c;大家可以暂时看官方的文档&#xff1a; https://datatracker.ietf.org/doc/html/rfc2326 本文主要是介绍rtp协议&#xff0c;也就是在开发rtsp过程进行传输…

微积分-反函数6.3(对数函数)

如果 b > 0 b > 0 b>0 且 b ≠ 1 b \neq 1 b1&#xff0c;则指数函数 f ( x ) b x f(x) b^x f(x)bx 不是递增就是递减&#xff0c;因此它是通过水平线测试的单调函数。所以它具有反函数 f − 1 f^{-1} f−1&#xff0c;称为以 b b b 为底的对数函数&#xff…

【数据结构】链表(2)

【LinkedList的模拟实现】 这是java中的一个集合类&#xff0c;可以当成链表来使用&#xff0c;作为链表时&#xff0c;它视为包含三个域&#xff0c;是一个双向链表 【构建LinkedList框架】 public class MyLinkedList {static class ListNode{public int val;public ListNo…

Qt/C++如何选择使用哪一种地图内核/不同地图的优缺点/百度高德腾讯地图/天地图/谷歌地图

一、前言说明 最近花了大半年时间&#xff0c;专门研究这个地图组件&#xff0c;几乎把各种地图的官网的手册翻了个遍&#xff0c;亲自写代码验证了一遍&#xff0c;各种API函数接口和功能全部实战一遍&#xff0c;然后从中提取共性&#xff0c;做出了基类&#xff0c;以及通用…

使用 Light Chaser 进行大屏数据可视化

引言 在当今数据驱动的世界中&#xff0c;数据可视化变得越来越重要。Light Chaser 是一款基于 React 技术栈的大屏数据可视化设计工具&#xff0c;通过简单的拖拽操作&#xff0c;你可以快速生成漂亮、美观的数据可视化大屏和看板。本文将介绍如何使用 Light Chaser 进行数据…

改善大模型 RAG 效果:结合检索和重排序模型

最近这一两周不少大厂都已经开始秋招面试了。 不同以往的是&#xff0c;当前职场环境已不再是那个双向奔赴时代了。求职者在变多&#xff0c;HC 在变少&#xff0c;岗位要求还更高了。 最近&#xff0c;我们又陆续整理了很多大厂的面试题&#xff0c;帮助一些球友解惑答疑&am…

【含文档】基于Springboot+Vue的个人博客系统(含源码+数据库+lw)

1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 3.功能 系统定…

【吊打面试官系列-MySQL面试题】优化MySQL数据库的方法?

大家好&#xff0c;我是锋哥。今天分享关于【优化MySQL数据库的方法?】面试题&#xff0c;希望对大家有帮助&#xff1b; 优化MySQL数据库的方法? 1、选取最适用的字段属性&#xff0c;尽可能减少定义字段宽度&#xff0c;尽量把字段设置 NOTNULL&#xff0c; 例如’省份’、…

大数据新视界 --大数据大厂之基于 MapReduce 的大数据并行计算实践

&#x1f496;&#x1f496;&#x1f496;亲爱的朋友们&#xff0c;热烈欢迎你们来到 青云交的博客&#xff01;能与你们在此邂逅&#xff0c;我满心欢喜&#xff0c;深感无比荣幸。在这个瞬息万变的时代&#xff0c;我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而 我的…

【SpringBoot详细教程】-07-整合Thymeleaf模板引擎与静态资源【持续更新】

关注点一点&#xff0c;友谊深一点 &#x1f332; 静态资源访问 在我们开发web应用的时候&#xff0c;需要引入大量的js、css、图片等静态资源。 默认配置 SpringBoot 默认提供的静态资源目录位置需要置于classpath下&#xff0c;目录名需要符合如下规则&#xff1a; /stat…

用ChatGPT做数据分析与挖掘,爽啊

最近已有不少大厂都在秋招宣讲了&#xff0c;也有一些在 Offer 发放阶段。 节前&#xff0c;我们邀请了一些互联网大厂朋友、今年参加社招和校招面试的同学。 针对新手如何入门算法岗、该如何准备面试攻略、面试常考点、大模型技术趋势、算法项目落地经验分享等热门话题进行了…

34 | 实战一(上):通过一段ID生成器代码,学习如何发现代码质量问题

在前面几篇文章中&#xff0c;我们讲了一些跟重构相关的理论知识&#xff0c;比如&#xff1a;持续重构、单元测试、代码的可测试性、解耦、编码规范。用一句话总结一下&#xff0c;重构就是发现代码质量问题&#xff0c;并且对其进行优化的过程。 前面的内容相对还是偏理论。…

笔记本维修与拆解(一)

清灰&#xff1a; 拆螺丝: 拔掉电池供电&#xff1a; 多按几次开机键&#xff0c;放电&#xff1a; 涂抹硅胶的时候&#xff0c;千万不要涂很多&#xff0c;溢出CPU&#xff0c;如果硅胶溢到焊盘上去的话很容易热胀冷缩短路 【联想拯救者Y9000P和R9000P最简单清灰教程&#xf…

2024年7月大众点评全国美发前百名城市分析

在做一些城市分析、学术研究分析、商业选址、商业布局分析等数据分析挖掘时&#xff0c;大众点评的数据参考价值非常大&#xff0c;截至2024年7月&#xff0c;大众点评美食店铺剔除了暂停营业、停止营业后的最新数据情况分析如下。 分析研究的字段维度包括大众点评数字id、字母…

「Python入门」vscode的安装和python插件下载

粗浅之言&#xff0c;如有错误&#xff0c;欢迎指正 文章目录 前言Python安装VSCode介绍VSCode下载安装安装python插件 前言 Python目前的主流编辑器有多个&#xff0c;例如 Sublime Text、VSCode、Pycharm、IDLE(安装python时自带的) 等。个人认为 vscode 虽然在大型项目上有…