一种报文特征混淆方法与流程

本发明属于信息安全传输，尤其涉及一种报文特征混淆方法。

背景技术：

1、流量混淆技术旨在通过对流量进行一系列随机化、拟态整形等操作，保证目标流量在观测流量集中无法被攻击者识别。

2、目前传统的流量混淆技术多是通过对网络数据包流量进行整形，混淆流量数据包特征。然而，利用数据包冗余进行流量混淆会极大增加网络负载，产生较大延迟，影响数据传输效率。

3、随着网络监控审查技术不断升级，隐蔽通信技术正面临着通过流量数据和协议中分析计算机指纹进而定位到物理主机、追踪通联关系的问题。掌握大量互联网流量资源的攻击方在隐蔽通道发现方面采用了大数据关联等分析方法，能够对单代理型的vpn通信和简单多跳级联的通信链路加密流量进行有效的关联追踪。

技术实现思路

1、本发明的目的在于，为克服现有技术缺陷，提供了一种报文特征混淆方法,通过数据载荷加密、报文随机填充、数据流随机延迟以及流量白噪声等一系列方法，核心利用自定义混淆协议，对报文自定义头字段进行加密、随机填充不定长数据报文，控制数据流通信转发过程和数据量，消除通信行为流量特征。最后，随机化发送噪声流量，将通信数据流量隐藏在海量背景流量数据中，消除上下游流量的关联性。

2、本发明目的通过下述技术方案来实现：

3、一种报文特征混淆方法，所述方法包括：

4、将报文按预设报文格式进行封装后随机填充；

5、对填充后的报文按预设加密格式再次封装，并混淆头部字段；

6、混淆报文的时序特征；

7、随机产生白噪声对报文进行再次混淆。

8、进一步的，所述所述预设报文格式包括报文长度、填充长度和报文载荷；

9、所述报文为变长报文，所述报文长度和所述填充长度占用字节预先设定，所述报文载荷包括实际载荷和填充载荷，实际载荷占用字节为所述报文长度和所述填充长度差值，填充载荷占用字节和所述填充长度相同。

10、进一步的，所述随机填充具体包括：

11、根据当前发送和接收的上下文报文长度及当前待发数据量，对所述报文随机填充不定长数据报文使得报文填充后长度在预设范围内。

12、进一步的，所述预设加密格式包括密钥偏移量、报文长度、数据载荷和数据密钥；

13、所述密钥偏移量标识数据加密密钥在数据载荷的位置；

14、所述报文长度标识数据载荷和数据密钥的总长度；

15、所述数据载荷包括填充后的报文；

16、所述数据密钥用于对数据载荷加密，随机插入在加密后的数据载荷中。

17、进一步的，所述对填充后的报文按预设加密格式再次封装，并混淆头部字段具体包括：

18、随机生成加密密钥并对填充后的报文异或加密；

19、随机生成一个偏移量整数，整数区间在0到数据载荷长度之间；

20、将加密密钥按照偏移量插入数据载荷中；

21、计算整体数据长度，并对报文再次封装。

22、进一步的，所述混淆报文的时序特征具体包括：

23、根据正常协议报文序列特征，在报文处理和发送随机加入时间延迟。

24、进一步的，所述根据正常协议报文序列特征，在报文处理和发送随机加入时间延迟具体包括：

25、控制数据报文的发送时间序列，使报文时间序列特征符合预设协议通信流量特征，其中，发送的随机延时时间设定在预设时间阈值内。

26、进一步的，所述方法还包括根据报文实际发送的时间扩大随机延时时间序列。

27、进一步的，所述随机化发送噪声流量具体包括：

28、在所述报文的发送间隙，向发文队列中加入随机生成的填充报文，并按照与所述报文相同的格式进行封装。

29、进一步的，所述在所述报文的发送间隙，向发文队列中加入随机生成的填充报文，并按照与所述报文相同的格式进行封装具体包括：

30、在所述报文发送间隙，根据当前数据传输量，随机生成随机长度tap报文放入发送队列；

31、根据预设报文格式和预设加密格式封装后放入传输队列中。

32、本发明的有益效果在于：

33、本发明应用在隐蔽通信链路的数据收发环节，综合利用加密、填充、延迟以及白噪声等手段，结合相应的机制，实现对报文特征，分布特征、时间序列等特征进行多元特征的混淆，在有效保证信息数据在网络中传输效率的同时，提高通信隐蔽性和安全性，能够抵御基于机器学习的流量分析攻击。

技术特征：

1.一种报文特征混淆方法，其特征在于，所述方法包括：

2.如权利要求1所述的报文特征混淆方法，其特征在于，所述所述预设报文格式包括报文长度、填充长度和报文载荷；

3.如权利要求1所述的报文特征混淆方法，其特征在于，所述随机填充具体包括：

4.如权利要求1所述的报文特征混淆方法，其特征在于，所述预设加密格式包括密钥偏移量、报文长度、数据载荷和数据密钥；

5.如权利要求4所述的报文特征混淆方法，其特征在于，所述对填充后的报文按预设加密格式再次封装，并混淆头部字段具体包括：

6.如权利要求1所述的报文特征混淆方法，其特征在于，所述混淆报文的时序特征具体包括：

7.如权利要求6所述的报文特征混淆方法，其特征在于，所述根据正常协议报文序列特征，在报文处理和发送随机加入时间延迟具体包括：

8.如权利要求7所述的报文特征混淆方法，其特征在于，所述方法还包括根据报文实际发送的时间扩大随机延时时间序列。

9.如权利要求1所述的报文特征混淆方法，其特征在于，所述随机化发送噪声流量具体包括：

10.如权利要求9所述的报文特征混淆方法，其特征在于，所述在所述报文的发送间隙，向发文队列中加入随机生成的填充报文，并按照与所述报文相同的格式进行封装具体包括：

技术总结
本发明公开了一种报文特征混淆方法，所述方法包括：将报文按预设报文格式进行封装后随机填充；对填充后的报文按预设加密格式再次封装，并混淆头部字段；混淆报文的时序特征；随机产生白噪声对报文进行再次混淆。本发明能够消除通信行为流量特征并将通信数据流量隐藏在海量背景流量数据中，消除上下游流量的关联性。

技术研发人员：黎艺泉,孙恩博,陈周国,李秋洁,许卡
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：
技术公布日：2024/1/13