基于信息熵与服务器识别的DoH流量检测

DNS over HTTPS(DoH)协议是一种针对域名系统(DNS)的最新改进方案,然而用户可使用第三方DoH服务规避内网原有的监管,所以异常流量检测方法不再适用于检测DoH流量。针对该问题提出了一种DTESI算法。首先,基于信息熵将DoH流量作为异常流量从全部网络流量中筛选出来;然后,利用DoH服务器与同一客户端建立TLS连接时响应方式总是相同的特性,用指纹识别检测客户端与DoH服务器之间的TLS协商,确定DoH服务器身份;最后,使用Top-K抽样算法选出一定时段内网络中前K台活跃主机着重进行流量检测,使算法能应用于中大型组织的网络。实验结果表明,针对发现的异常流量,DTESI算法检测出的DoH服务提供商准确率超过94%。在此基础上比较了在不同K值下的算法检测时间和对网络中全部DoH流量的检测覆盖率,结果表明合理选择K值可以提升算法的整体效能。

基于Nginx的HTTPS正向代理系统设计与实现

随着企业数字化和互联网发展,企业内部系统访问互联网服务的需求日益增长,相较于直接开放互联网访问权限,正向代理系统具有更好的安全性和管控能力。然而,随着在线服务逐渐HTTPS化,代理系统又缺少服务器证书,设计正向代理系统面临着更大的困难。为应对这一挑战,文章设计并实现了一种基于开源软件Nginx的HTTPS正向代理系统,在无需服务器证书的情况下实现了高效转发,并具备HTTPS域名端口复用、域名白名单、源IP地址访问控制等多种功能,为企业内部系统访问互联网HTTPS服务提供了安全、全面的解决方案。

基于HTTPS协议和映射混沌算法的信息交互传输

由于通航申报信息属于航运的核心数据资产,必须确保其数据安全。针对当下传输加密敏感性不足、信息量丢失过大的问题,开展基于超文本传输安全协议(hypertext transfer protocol secure,HTTPS)和映射混沌算法的信息交互传输研究。该研究首先基于HTTPS建立通航申报信息加密传输通道,再将通航申报信息分割为前景和背景部分,选择两种不同的混沌系统分别实施混沌映射加密。结果表明:经本研究方法加密后,明文敏感性相对更大、信息熵差值相对更小,基于HTTPS协议和映射混沌算法的信息交互传输加密效果更好。

DoH隐蔽隧道检测综述

域名系统(DNS)隧道是攻击者通过明文DNS协议传输敏感信息的一种途径,近年来备受关注。为解决DNS安全问题,互联网工程任务组(IETF)于2018年提出了DNS-over-HTTPS(DoH)协议,通过加密DNS数据传输保护用户隐私。然而,攻击者巧妙地利用DoH将DNS隧道嵌入HTTPS中,使传统检测方法失效,导致多个领域受到攻击事件的影响。文章对DoH隐蔽隧道检测进行了全面的梳理,包括对DNS加密状况、DoH隐蔽隧道检测特征(流特征、TLS握手特征、统计特征)的详细总结、数据集构建情况以及现有研究的分类。总结了当前存在的问题,如低通量、小样本和新协议,后续研究中将着力于提升DoH隐蔽隧道检测的全面性和鲁棒性。

The Impact of Domain Name Server(DNS)over Hypertext Transfer Protocol Secure(HTTPS)on Cyber Security:Limitations,Challenges,and Detection Techniques

The DNS over HTTPS(Hypertext Transfer Protocol Secure)(DoH)is a new technology that encrypts DNS traffic,enhancing the privacy and security of end-users.However,the adoption of DoH is still facing several research challenges,such as ensuring security,compatibility,standardization,performance,privacy,and increasing user awareness.DoH significantly impacts network security,including better end-user privacy and security,challenges for network security professionals,increasing usage of encrypted malware communication,and difficulty adapting DNS-based security measures.Therefore,it is important to understand the impact of DoH on network security and develop newprivacy-preserving techniques to allowthe analysis of DoH traffic without compromising user privacy.This paper provides an in-depth analysis of the effects of DoH on cybersecurity.We discuss various techniques for detecting DoH tunneling and identify essential research challenges that need to be addressed in future security studies.Overall,this paper highlights the need for continued research and development to ensure the effectiveness of DoH as a tool for improving privacy and security.

基于时间特征的HTTPS中间人攻击检测方法

中间人攻击是网络攻击的一种常用手段,其中超文本传输安全(Hypertext Transfer Protocol Secure,HTTPS)协议的中间人攻击危害较大,已有检测方法主要面向单客户端,以证书匹配验证为主要手段,部署成本和性能开销较高。通过分析SSL(Secure Sockets Layer)握手阶段的密钥协商、证书验证等关键报文,提出基于时间特征的HTTPS中间人攻击检测方法,从流量角度提供了一种检测思路,具有更广泛的适用场景。实验结果表明,该方法在互联网环境测试数据集下具有较高的准确率。

一种改进XGboost的DoH流量分类方法

加密流量已经成为互联网中的主要流量,其分类问题一直是当前研究热点之一。针对当前网络中DoH(DNS-over-HTTPS)流量的准确识别,处理速度偏慢,检测效率不高的问题,提出了一种基于截断奇异值分解(truncated singular value decomposition, TSVD)降维,贝叶斯优化方法改进的极限梯度提升树(improve extreme gradient boosting, IXGboost)的DoH流量分类方法。通过网络公开数据集,此方法将加密流量分为非DoH流量,良性DoH流量和恶意DoH流量。实验结果表明,其分类准确率达到了99%以上,处理每条数据的时间仅为0.3ms,进而证明所提方法有着较高的准确率和较强的实时性,提升了入侵检测性能,可有效实现对DoH流量的精确分类。

DNS信道传输加密技术:现状、趋势和挑战

DNS作为重要的互联网基础设施,其明文传输的特点带来很多隐私安全风险.DoH、DoT、DoQ等DNS信道传输加密技术致力于防止DNS数据被泄露或篡改,并保证DNS消息来源的可靠性.首先从DNS消息格式、数据存储和管理、系统架构和部署等6个方面分析明文DNS存在的隐私安全问题,并对已有的相关技术和协议进行总结.其次分析DNS信道传输加密技术的实现原理及应用现状,进而基于多角度评测指标对各加密协议在不同网络条件下的性能表现进行讨论.同时通过填充机制的局限性、加密流量识别和基于指纹的加密活动分析等方向探讨DNS信道传输加密技术的隐私保护效果.此外从部署规范、恶意流量对加密技术的利用和攻击、隐私和网络安全管理之间的矛盾,以及加密后影响隐私安全的其他因素等方面总结DNS信道传输加密技术存在的问题、挑战和相关解决方案.最后总结加密DNS服务的发现、递归解析器到权威服务器之间的加密、服务器端的隐私保护、基于HTTP/3的DNS等后续需要着重关注的研究方向.

基于HTTPS隧道技术的统一认证平台研究与实现

首先对现实网络系统中遇到的身份认证、管理分散、数据传输的安全和管理问题需求分析进行了基本介绍,然后引述了HTTPS和SSL所能提供的安全服务。基于PKI技术,同时利用数字证书作为强身份认证方式,设计并实现了统一认证访问控制系统,该系统由客户端和访问控制服务器两部分组成。

一种基于HTTP/3传输特性的加密视频识别方法

视频流量逐渐在网络中占据主导地位,且视频平台大多对其进行加密传输。虽然加密传输视频可以有效保护用户隐私,但是也增加了监管有害视频传播的难度.现有的加密视频识别方法基于TCP(Transmission Control Protocol)传输协议头部信息和HTTP/1.1(Hypertext Transfer Protocol Version1.1)的传输模式,提取应用层音视频数据单元传输长度序列来实现视频识别.但是随着基于UDP(User Datagram Protocol)的QUIC(Quick UDP Internet Connections)协议及基于QUIC实现的HTTP/3(Hypertext Transfer Protocol Version 3)协议应用于视频传输,已有方法不再适用.HTTP/3协议缺少类似TCP的头部信息,且使用了多路复用机制,并对几乎所有数据进行了加密,此外,视频平台开始使用多片段合并分发技术,这给从网络流量中精准识别加密视频带来了巨大挑战。本文基于HTTP/3协议中的控制信息特征,提出了从HTTP/3加密视频流中提取数据传输特征并进行修正的方法,最大程度复原出应用层音视频长度特征.面向多片段合并分发导致的海量匹配问题,本文基于明文指纹库设计了键值数据库来实现视频的快速识别.实验结果表明,本文提出的基于HTTP/3传输特性的加密视频识别方法能够在包含36万个真实视频指纹的YouTube大规模指纹库中达到接近99%的准确率,100%的精确率以及99.32%的F1得分,对传输过程中加人了填充顿的Facebook平台,在包含28万个真实视频指纹的大规模指纹库中达到95%的准确率、100%的精确率以及96.45%的F1得分,在具有同样特性的Instagram平台中,最高可达到97.57%的F1得分,且本方法在所有指纹库中的平均视频识别时间均低于0.4秒.本文的方法首次解决了使用HTTP/3传输的加密视频在大规模指纹库场景中的识别问题,具有很强的实用性和通用性.

针对HTTPS的Web前端劫持及防御研究

文章针对HTTPS协议通信流程,详细分析了基于伪造证书与中间人会话劫持的基本方法及原理,指出了常用劫持方法通过后端来操控原始数据流量时的缺陷,并重点提出了一种基于前端XSS脚本注入的更高效的HTTPS会话劫持方法,实现了表单提交、动态元素、脚本弹窗、框架页面的劫持。最后详细阐述了Web前端劫持方法的实现原理与流程,并搭建原型系统进行验证,进一步分析给出了HTTPS通信的安全隐患,提出了可行的防范措施。

基于HTTP协议多现场程序远程更新设计

为解决单向网络环境中程序不能远程更新问题,提出了一种基于HTTP协议多现场程序远程更新方案。在高低安全区分别搭建HTTP客户端、服务端,利用HTTP协议实现部署文件由高安全至低安全区单向传输;低安全区接收文件完成后,立即调用外部自动部署程序实现最新业务程序的部署更新。此外,传输过程中对程序文件进行加密传输保证安全性,并配置日志删除策略防止进程阻塞。实验结果表明,所述方案实现了对不同大小程序文件的成功部署,提高了程序多现场部署时运行维护效率。

一种基于DNS的零信任增强认证系统设计

针对当前大量HTTPS应用复用证书存在安全风险问题,借鉴了零信任模型中安全策略动态授权的思路,提出了一种基于现有互联网基础设施DNS来扩展增强认证功能的方案,通过在现有DNS权威服务器上额外配置增强的认证信息来对HTTPS访问请求进行动态认证,从而能实时验证当前HTTPS证书的安全状态。该方案通过可信易得的DNS基础设施解决了当前普遍存在的HTTPS证书复用带来的安全问题,是一种灵活高效并且可扩展的零信任安全增强认证架构。

基于RocketMQ跨电力安全区的HTTP异步传输

电力监控系统中禁止低安全区主动访问高安全区的规定给需要相应功能的系统带来挑战。文章提出了一种基于RocketMQ跨电力安全区的HTTP异步传输方案,低安全区对HTTP请求进行唯一编码、缓存至请求队列,高安全区主动消费请求队列重新组装请求,并将请求结果推送至结果队列,利用多线程技术保证数据传输的及时有效。真实场景下的验证结果表明,基于RocketMQ跨电力安全区的HTTP异步传输方案满足了低安全区主动访问高安全区的需求,增强了电力系统安全分区之间的信息共享能力。

浅析HTTPS对高校图书馆安全能力的提升

互联网已经进入了全站HTTPS时代。应用HTTPS协议,对于保障图书馆的各类数字资源安全、维护用户隐私是非常必要的。从这个角度出发,文章分别分析了HTTP协议存在的安全缺陷、HTTPS协议的优点和缺点,并从获取数字证书、配置部署证书和网站相关链接修改三个步骤详细论述了如何转换为HTTPS协议,最后详细阐述了HTTPS协议对高校图书馆安全性提升的作用。

基于HTTPS协议的单点登录系统在农业技术综合知识库建设中的应用

根据如今信息化快速发展的要求,设计开发了一套基于HTTPS的农业综合知识库系统。系统以MVC 3层框架为技术支撑,结合基于HTTPS协议的单点登录系统,充分利用SSL中的握手原理,在JAVA SCRIPT脚本语言的调用规则基础上,获取包含用户信息的表单后提交到后台,然后后台通过私有公钥解析该表单,并判定用户是否在单点登录系统中成功登录。该系统很好地将耦合度低的多个已有的知识库系统,在不修改代码或修改少量代码的基础上,实现了无缝链接,最终开发出一套农业技术综合知识库系统。

HTTPS协议在单点登录系统的应用

根据企事业单位如今信息化建设方面的现状,设计开发了一套基于HTTPS协议的单点登录系统,该系统在HTTPS协议的支持下,充分利用SSL中的握手原理,使用JAVA SCRIPT脚本语言的调用规则,获取包含用户信息的表单后提交到后台,然后后台通过私有公钥解析该表单,并判定用户是否在单点登录系统中成功登录。该系统很好地将耦合度低的2个或多个系统,在不修改代码或修改少量代码的基础上,实现了无缝链接。

基于MPC的音视频同步码率自适应测试

随着信息化的发展,音视频流媒体技术应用面越来越广,为了使得音视频流媒体技术尤其是在直播方面拥有更好的性能,得到更多用户的好评,采用在原本HTTP的动态自适应流标准的视频流媒体架构下引入MPC控制算法并将MPC与码率自适应算法相结合的方法,进行对AAC优化、确定预测模型、测试音视频同步的影响因素以及PSNR-Y分量、测试切片时长与跳帧时延,计算最终的QoE用户评价指标来进一步检测音视频流媒体技术的优劣;经实验仿真测试可知,相比前人的相关算法,在不同直播场景下以及不同网络环境下均有更加良好的QoE值,平均QoE用户评价指标明显更高,为1 237.282 6;综上分析可知,MPC的音视频同步码率自适应算法各项性能最好。

数据加密与PKI技术混合式教学设计——以数字证书实现网站HTTPS访问为例

数据加密与PKI技术是网络安全相关专业一门重要的专业必修课程,目的在于帮助学生掌握数据加密和解密的相关知识和技能。线上线下相结合的混合式教学模式在高职院校教学中的应用越来越广泛,笔者在数据加密与PKI技术教学中进行了混合式教学的思考和探索,以第七个模块“数字证书应用”中的第一个单元“数字证书实现网站HTTPS访问”为例,探索线上线下混合式教学的实施过程。

HTTPS加密技术在基于MVC架构的矿山地质环境治理恢复保证金管理系统建设中的应用

随着国土资源部门电子政务系统的普及,基于B/S架构的矿山地质环境治理恢复保证金管理系统建设迫在眉睫。为满足便于部署和运维的要求,系统采用基于MVC架构的软件设计体系,提高开发效率的同时降低系统升级优化和运维的成本。系统管理的数据对象是全省的矿山地质环境治理恢复保证金,数额巨大,业务流程繁杂,且目标用户分布在省、市、县多个层级,故采用基于HTTPS超文本安全传输协议,以解决系统和数据安全问题。