论文阅读2018:Effective Detection of Multimedia Protocol Tunneling using Machine Learning

作者

• 2018 USENIX
• Diogo Barradas
• Nuno Santos
• Lu ́ıs Rodrigues

知识点

工具

1. Facet；提供短视频
2. CoverCast：A powerful yet simple podcast player for iPhone, iPad, and Apple Watch.播放器
3. DeltaShaper：通过视频会议流启用不可观察的抗审查TCP隧道

网络隐蔽信道技术

隐蔽信道建立在公开的信道中，公开信道传递合法信息，而隐蔽信道对所传信息进行特殊地编码、译码，从而传输传输非法或私密而不被人发现；利用网络隐蔽信道进行扩散攻击和信息泄漏技术，对计算机网络的安全构成巨大威胁

摘要

multimedia protocol tunneling：多媒体协议隧道：通过将数据调制到多媒体应用程序输入中创建隐蔽通道。但是这些现有的多媒体隧道协议系统是否真正地安全？

本文对Facet、CoverCast、DeltaShaper三种系统的不可观测性做了实验性地研究——不可观测性的说法是有缺陷的；机器学习的方法找到这些信道；并且表明：手动标记样本的存在是成功检测隐蔽通道的必要条件。

研究点的提出

多媒体协议隧道已经成为创建难以识别的隐蔽信道的潜在有效技术。这种技术包括将隐蔽数据编码到流行的加密流媒体应用程序（如Skype）的视频（和/或音频）通道中，而无需对运营商应用程序进行任何更改。

这些系统的特征：不可观测性：扫描任意的流无法区分哪些携带了隐蔽数据

利用机器学习方法来检测多媒体流中的隐蔽信道

创新点

提出了第一个由最先进的多媒体协议隧道产生的隐蔽信道不可观测性地研究

贡献

1. 分析表明一些最先进的系统存在缺陷；
2. 基于决策树及其某些变体的ML技术在检测隐蔽流量方面可以有效的降低误报率
3. 具有自我调整参数能力的半监督异常检测技术的研究可以成为未来有希望的研究方向

结构：
2 研究方法
3 关于基于相似性的分类器比较的研究的主要发现
4 使用基于决策树的分类器评估不可观察性时获得的结果
5 对使用半监督和非监督异常检测技术识别隐蔽流量的第一个见解
6 结果
7 相似工作
8 总结

实验

实验平台

两个64位Ubuntu 14.04.5 LTS虚拟机（VM）配置了2.40GHz Intel Core2 Duo CPU和8GB RAM配置在LAN设置中
使用v4l2loopback相机模拟器和pulseaudio声音服务器将视频和音频馈送到运营商多媒体应用程序

数据集

Facet：1000个YouTube视频
改编了Facet原型采样三种类型的Facet传输，对应在合法视频之上缩放隐藏视频50％，25％和12.5％的因子 - 可用的原型代表概念验证，只能进行（非变形）100％缩放。

CovertCast：LiveYouTube策划列表中包含的200个直播流

DeltaShaper：通过流式传输我们合法的Skypevideo数据集的子集来模拟300个合法的双向Skype调用

讨论

相似工作

总结 & 感悟

纯算法文章完全看不下去啊！