中文摘要：

针对Internet上匿名通信系统带来的匿名黑客攻击、非法音视频数据传播等匿名滥用问题，拟采用主动流量分析技术，从通信流、匿名协议和通信内容三个层次展开匿名通信追踪技术的研究，重点解决其中的准确性、效率和隐秘性问题。通过对匿名通信流量的建模分析，选择合适的流特征作为主动流水印的载体，并设计在嫌疑流量的流层次嵌入水印的高效编/解码算法和流调制/解调方法以确定通信关系。通过对线空间模型的扩展，建立通用的匿名协议分析方法，寻找并利用协议的设计缺陷制造流量波动，达到在协议层次快速追踪的目的。通过向通信内容中嵌入隐秘流量生成器STG，并分析正常通信流量与嵌入STG后流量波动变化的规律，提出基于统计分析的内容层次的流识别技术。本项目将揭示匿名通信流量形成和变化的规律，设计多层次的匿名通信追踪技术，并开发实用的追踪工具软件，对于安全技术的发展和匿名网络犯罪的防范，具有重要的理论意义和应用价值。

结论摘要：

针对Internet上匿名通信系统带来的匿名黑客攻击、非法音视频数据传播等匿名滥用问题，本项目采用主动流量分析技术，分别从通信流、匿名协议和通信内容三个层次进行了匿名通信追踪技术的研究。在通信流层，针对SSH 单代理匿名通信系统，提出了基于RTT 统计特性的目标站点分析方法。通过计算目标用户与远程WEB站点之间的HTTP Get报文与Response报文间的时延获得RTT的均值与方差，并采用贝叶斯分类算法进行决策，从而识别出用户所访问的WEB站点。针对多代理匿名通信系统，设计了一种新型的流水印追踪方案。在扩频流水印模型的基础上，引入与特定流无关的基于时隙质心的水印载体进行水印的嵌入，可以有效地对匿名滥用进行追踪，确认网络主体间的通信关系。在匿名协议层，由于Tor封装的等长信元经过TLS层和IP层的缓存和重新封装，在实际传输时报文具有一定的长度分布特征。基于该特性，提出了一种针对Tor的新型的数包攻击技术。通过调制出口节点Tor协议层进入TLS层的信元数量，嵌入基于网络层报文大小的隐藏信号，而在入口节点通过检测相应信号来实现对匿名通信关系的确认。在通信内容层，针对Anonymizer匿名通信系统，提出了LSP报文（Least Significant Packet）的概念，并在此基础上设计了一种基于报文大小的攻击方法。通过控制Web站点服务器的反向代理服务器，调制其Web流量的报文大小嵌入隐蔽信息，并在Anonymizer客户端监听目标用户的流量，识别该用户接收的流量中是否被嵌入了隐蔽的信息，从而确定Anonymizer通信双方的通信关系。蒙特卡洛采样技术的应用保证了该方法的隐秘性。针对基于Tor的匿名Web访问，提出了基于隐秘流量生成器STG（Secret Traffic Generator）的匿名Web流量追踪方法。通过向正常Web通信内容中嵌入不易被用户察觉却能引起流量特征变化的网页对象，并在入口节点处分析正常通信内容流量与嵌入STG后的流量波动变化的规律，以此实现了对匿名通信的追踪。通过本项目的研究，分析和揭示了匿名通信流量形成和变化的规律，设计了多层次的匿名通信追踪技术，并开发了实用的追踪工具软件，达到了预期的研究目标。项目组在TON、TC、SuperComputing、FGCS和INFOCOM等国际期刊和会议上录用和发表论文31篇，申请国家发明专利3项。