摘要: 随着信息安全与隐私保护意识的增强，越来越多的网络服务开始使用TLS等加密协议进行通信，这导致基于DPI与明文特征的传统流量与服务识别方法失效，然而参与网络运行的各方都需要对网络服务进行测量分析，以实现网络资源优化、恶意应用识别等目的，因... 展开 随着信息安全与隐私保护意识的增强，越来越多的网络服务开始使用TLS等加密协议进行通信，这导致基于DPI与明文特征的传统流量与服务识别方法失效，然而参与网络运行的各方都需要对网络服务进行测量分析，以实现网络资源优化、恶意应用识别等目的，因此如何对互联网中的加密服务进行测量分析是亟待解决的问题，具有较高的研究价值。基于流特征的机器学习或深度学习方法在这一问题上取得了一定的效果，但仍然存在训练成本高、对样本与特征选择依赖大、扩展性不强等限制。与此同时，基于非机器学习方法的TLS指纹识别方案大多聚焦于客户端，缺乏对服务端识别的研究。针对上述问题，本文提出了基于复合指纹模型的IP与服务映射方法，该方法基于主动测量技术，实现了对TLS、HTTPS加密通信协议中IP所承载服务的识别。 具体来说，本文主要包括以下几点工作内容： 1、提出了复合指纹模型及其服务映射策略：现有基于TLS指纹的相关工作大多使用ClientHello报文中的信息生成指纹，因此仅支持对客户端目标进行刻画；本文提出的复合指纹模型同时使用了TLS与HTTPS中的多种报文，具备对服务端目标进行刻画的能力。同时，本文基于主动测量技术提出了复合指纹的服务映射策略，通过多阶段探测生成IP的复合指纹并与指纹库进行对比，以识别IP所承载的网络服务。该策略还考虑了无SNI情况下的证书异常问题及家族应用分辨问题，提高了识别速度与准确性。最后，本文基于复合指纹模型及其映射策略设计并实现了一套自动化指纹采集方法，并使用该方法对90款流行移动应用进行了指纹采集与分析。 2、提出了基于文件、内存的双重指纹库结构以及FP-Match快速指纹检索方法：针对现有工作中指纹检索算法时间复杂度高及不稳定的问题，本文基于MinHash与LSH算法提出了FP-Match快速指纹检索方法，并使用基于内存的运行时指纹库加速检索过程。同时，本文还对LSH算法的误差问题进行了研究，提出了基于权重的误差最小化参数选择方法，可以有效降低LSH算法误差对指纹检索的影响。实验结果表明，上述方案与现有工作相比，在指纹检索速度上具有显著优势。 3、设计并实现了基于分布式探测架构的IP与服务映射原型系统：该原型系统实现了包含指纹采集、指纹库、服务映射策略在内的一系列功能，并使用分布式探测节点实现了并行化探测加速。本文通过该原型系统对基于复合指纹模型的IP与服务映射方法进行了测试，实验结果证明了方法的有效性。 收起