对SSL/TLS协议的安全研究属于隐私增强保护和旁信道隐私泄露领域,在国外,对此已有相当的研究成果。在2003年,Andrew Hintz 提出了一种基于流量分析的方法,利用HTTP 1.0协议的特点,一个TCP连接只传输一个文件,攻击者能识别每个对象的大小,从而完成了指纹的制作,然后通过对对象数量的比对和对象大小的匹配进行识别。Dominik Herrmann等人提出了使用改进的朴素贝叶斯分类器进行站点指纹攻击,用IP数据包作为指纹搜集,统计出现频率作为贝叶斯分类器的原始输入参数。Liming Lu等人使用有序序列进行指纹制作和识别,并且只使用非MTU数据包作为指纹搜集,用计算序列距离的方法进行识别。George Dean Bissias等人提出了使用数据包到达间隔进行加密流量识别,以数据包大小和到达时间作为指纹搜集。一种新的基于上下文的并结合社会工程学的攻击在被提及,这是一种非常危险的攻击,然而由于其制作指纹和用户行为的揣测的难度,还未得到广泛的研究。以上这些方法在进行站点分类时都得到了极高的精确度,但分析其各种基于的理论基础,并不是很准确。比如SSL/TLS协议在加密明文时存在填充,所以同样长度的数据,分不同的次数加密,得出的密文的长度是不一样的;根据代理服务器的具体实现,并不是每一个的对象在传输过程中只有最后一个包才是非MTU大小;而网络情况的改变,会改变数据包到达间隔;虽然主流浏览器大体遵循从上至下的解析HTML页面并发送相应请求,但这个顺序信息在HTTP 1.1协议新的特性——TCP持久化的影响下,变得不稳定,基于时许的分析所得到的精确度将受到极大的影响。被分类的加密数据流是属于一个站点的,且长度也接近或完全为访问一个完整站点的长度。不难看出,在这种情况下,分类效果都很好。8406 (责任编辑:qin) |