浅谈侧信道流量检测技术

正文

请到「今天看啥」查看全文

和BD 这三个日志，IDP日志是采集TCP会话握手后的第一个报文包及有效荷载，一般 包含TLS C lient He llo或会话第一次明文HTTP请求等 ，可以提取报文元数据做TLS指纹和其他明文网络特征。而 后两种 SPLT 和BD 日志是一种网络流量侧信道信号记录。

Sequence of Packet Lengths and Times (数据包有效负载长度序列和到达时间): 双向流采样前50个数据包的有效负载长度，以及这些采样数据包的序列到达时间（间隔时间）。

Byte distribution （字节分布）：某一特定字节值在报文的加密载荷中出现的概率，这可以推测出加密荷载中包含的明文字节，以分辨某种网络协议或推测明文字节特征。

这两种特征工程数据是对流量通信时所产生的 额外信号进行侧信道分析，其中的SPLT特征最为重要， SPLT的特征是 Packet lengths和Arrival times，较容易被误解为 数据包报文长度/时间间隔，而正确的理解如下：

请到「今天看啥」查看全文