加密HTTP-2流中网页对象的识别研究.docx

?

?

加密HTTP/2流中网页对象的识别研究

?

?

石健马子扬唐屹

摘要：伴随着HTTP/2协议的到来，加密网页也越来越广泛地应用于互联网。对加密网页的流量分析，有助于帮助网络安全管理人员实现特定网页的访问识定位，网页识别基于网页对象大小的识别，现有的网页对象识别基于网络包的头部信息字段，这种特征抽取模式并不适用于利用HTTP/2协议的数据包。该文基于TLS协议，设计实现一个识别HTTP/2传输的网页对象的方法，有助于进一步设计针对HTTP/2的流量分析方法。

关键词：流量分析；网页识别；网页对象；HTTP/2；TLS

：TP393.08：A：1009-3044（2018）20-0190-02

OnIdentifyingWebObjectsinEncryptedHTTP/2Traffic

SHIJian，MAZi-yang，TANGYi

（SchoolofMathematicsandInformationScience，GuangdongProvincialKeyLaboratoryCo-sponsoredbyprovinceandCityofInformationSecurityTechnology，GuangzhouUniversity，Guangzhou510006，China）

Abstract：WiththeadventofHTTP/2protocol，encryptedwebpagesaremoreandmorewidelyusedinInternet.Trafficanalysistoencryptedwebpageshelpsnetworksecurityadministratortoidentifyspecificwebpages.ThetraditionalwebpageidentificationtechniquesarebasedonthesizesextractedfromcapturedTCPheaders.ThisfeaturecannotapplytoHTTP/2traffics.BasedontheTLSprotocol，amethodtoidentifyHTTP/2transmittedwebobjectsisproposed.Withthisobjectidentificationmethod，anefficientanalysismethodforHTTP/2trafficcouldbeproposed.

Keywords：trafficanalysis；webpagerecognition；webpageobject；HTTP/2；TLS

1HTTP/2简介

HTTP/2是2015年正式标准化的新一代的超文本傳输协议[1]，这个协议综合应用了多种技术，实现网页的快速传输。现有的主流浏览器均支持HTTP/2的解析，而网站方面，依据W3Techs的统计，截至2018年3月，至少有24%的网站支持HTTP/2的传输[2]。

HTTP/2引入了多路复用、二进制分帧、服务端推送等技术。多路复用技术允许同时通过单一的HTTP/2连接发起多重的请求/响应消息，实现多流并行而不用依赖建立多个TCP连接；HTTP/2在应用层和传输层之间引入二进制分帧，将所有传输的信息分割为更小的采用二进制编码的消息和帧，例如原HTTP1.x的头部信息被HPACK压缩并封装到HEADER帧，请求体则封装到DATA帧等；服务端推送是实现在客户端请求之前发送数据的机制。在HTTP/2中，服务器可以对客户端的一个请求发送多个响应。这样，一方面，HTTP/2利用多路复用，采用单连接多资源的方式，减少服务端的链接压力，使得连接吞吐量更大，另一方面，通过头部压缩和服务器端推送，双向减少冗余的数据传输。

相比于HTTP1.x的两个版本，HTTP/2重新组织了网页对象的传输模式，进一步减少了网络延迟，能够有效提升网页访问效率。尽管HTTP/2协议本身并没有要求必须基于传输层安全（TLS）部署，但由于所有浏览器均只支持TLS上的HTTP/2访问，这使得HTTP/2变为事实上新的HTTPS传输标准。

我们注意到HTTP/2所采用的技术虽然提高了网页传输的效率，在另一方面，单连接多路复用的特性模糊化了网页对象边界，给原有的HTTP流量特征抽取方法带来挑战。

2加密Web访问的流量分析

Web访问流的生成与HTTP协议密切相关。一般