抗追踪网络是实现大规模网络监听环境下高隐蔽通信的核心关键技术之一，在网络攻防博弈、个人隐私保护等方面有着迫切的应用需求。本书从基本概念、形式化模型、量化评估体系、理论基础、技术体系等不同方面对抗追踪网络进行了系统深入的研究，在上述研究基础上，结合应用需求设计了抗追踪网络AntNet三层体系结构，分别从网络层、链路层、传输层逐层突破相应抗追踪关键技术难题，从而构建一个层次化系统性的抗追踪网络，力求极大程度地提升抗追踪能力。本书提出的一系列创新研究成果对推动本领域的理论研究、关键技术突破以及科研实践具有重要的学术价值。 本书可供网络空间安全相关领域的科技工作者、研究生和本科生阅读。

第1章绪论
　　1.1抗追踪需求日益迫切
　　当今世界万物互联，人类生产生活已与互联网密不可分。俗话说“风过留声，雁过留痕”，人们在网络空间中的一切活动也可能在不经意间留下数字足迹，被别有用心的人监视和追踪，并被进一步地加工和利用，对人们的安全与隐私构成极大的威胁。因此，人们在网络空间中的抗追踪需求变得愈发迫切，这种需求主要体现在两个方面：①网络攻防博弈，随着网络攻防水平和强度的不断提升，网络攻防双方对网络抗追踪能力提出了更高的要求；②个人隐私保护，面对网络空间大数据分析、监视和追踪，个人隐私随时存在被泄露的风险，隐私保护对网络抗追踪能力的需求同样日益迫切。
　　由此可见，专门开展网络抗追踪技术的研究和实践工作具有重要的理论意义和现实价值，特别是在网络攻防博弈和个人隐私保护领域需求尤为迫切。
　　1.1.1网络攻防博弈
　　网络攻防博弈好比网络空间中一场无尽的猫鼠游戏，“追踪与抗追踪”是攻防双方永恒的主题。对于攻击方而言，抗追踪技术是实施隐蔽网络攻击的核心关键技术之一，能有效防止对攻击方的溯源；对于防御方而言，面对多方位立体化的网络追踪，亟须围绕抗追踪技术开展主动防御性研究，以应对可能的网络威胁。因此，网络攻防双方都有着迫切的抗追踪需求。
　　1.1.1.1网络攻击需要对抗敌手溯源
　　面对日益严峻的网络安全形势，世界各国纷纷研究和建设网络攻击检测与追踪系统，力求及时准确发现并从源头上消除网络威胁，以保障其网络空间安全，并支撑网络空间战略需要。下面简单介绍一下全球几个具有代表性的网络攻击检测与追踪系统。
　　1)美国FireEye公司的“网络威胁地图”系统
　　美国FireEye公司基于真实网络攻击数据构建了“网络威胁地图”系统[1]，该系统可为用户可视化展示当前全球实时网络攻击，包括攻击来源、目的地、攻击总数以及*近30天的其他一些统计数据（例如，攻击*多的国家和受攻击*多的行业）。2013年，该系统曾检测到某黑客组织针对美国零售巨头Target信用卡系统实施的网络攻击。
　　2)美国Arbor　Networks公司的“数字攻击地图”系统
　　美国Arbor　Networks公司占据全球运营商安全设备70%左右的市场份额，其基于全球300多家互联网服务提供商（Internet　Service　Provider，ISP)客户提供的超过130Tbit/s的实时流量，构建了包含大量攻击信息的“数字攻击地图”系统[2]。该系统专门用于跟踪全球分布式拒绝服务（Distributed　Denial　of　Service，DDoS)攻击事件，并支持对历史DDoS攻击的追踪溯源。2015年，该公司的工程与响应安全团队成功追踪到有“DDoS之王”之称的暴力黑客组织LizardSquad(蜥蜴小队），该组织利用其攻击工具LizaRDStresser(—个物联网僵尸网络)对全球游戏网站、巴西金融机构、ISP和政府机构发动了流量高达400Gbit/s的DDoS攻击。
　　3)蜜网项目组的“蜂蜜地图”系统
　　蜜网项目组(Honeynet　Project)是网络安全领域一个著名的全球性非营利研究联盟机构，旗下拥有来自美国、中国、德国、英国、意大利、西班牙、法国等国家的三十多支研究团队。蜂蜜地图（Honey　Map)系统[3]基于全球分布式部署的大量实时威胁蜜罐系统采集网络威胁数据，获得攻击者及其目标的信息，并对全球网络攻击实时分布进行可视化展示，包括攻击源、攻击目标、攻击时间及相应的坐标等信息。
　　4)俄罗斯Kaspersky公司的“网络威胁实时地图”系统
　　俄罗斯Kaspersky公司的网络威胁实时地图系统[4]基于Kaspersky实验室多种扫描系统、反病毒系统、入侵检测系统、僵尸网络活动检测系统以及反垃圾邮件系统所感知的网络威胁数据，为用户呈现全方位、全天候、交互式的实时网络威胁视图。用户可以通过该地图实时跟踪网络攻击的来源，查看所在地区乃至全球的威胁情况。2017年国际刑警组织世界大会上，Kaspersky实验室揭示其通过收集恶意软件证据、绘制攻击地图，追踪全球范围内实施复杂网络攻击行动的黑客踪迹，并与国际刑警组织合作揭开了诸多大规模网络攻击的真相。
　　除上述系统外，其他知名的网络攻击检测与追踪系统还包括美国趋势科技公司的“全球僵尸网络威胁活动地图”[5]、美国Team　Cymru公司的“网络恶意活动地图”[6]等。
　　由此可见，随着防御方网络攻击检测与追踪能力的加强，攻击方要想保持攻防对抗的平衡性，甚至取得战略性优势，势必要提升自身的抗追踪能力。
　　1.1.1.2网络防御需要对抗敌手追踪
　　当前，网络空间的国际竞争方兴未艾，世界各国正相继加强网络威慑能力和网络军事能力的建设，网络攻防呈现出国家化、军事化、常态化的趋势。据联合国裁军研究所发布的调查报告表明，世界上已有46个国家组建了网络战部队，这一数量约占全球国家总数的1/4[7]。据国内网络安全机构发布的威胁情报表明，很多黑客组织与部分国家有着密切关联，例如，与美国国家安全局（National　Security　Agency，NSA)密切相关的方程式组织[8，9]，被普遍视为世界上*先进的黑客组织，震网病毒（Stuxnet)攻击、火焰病毒(Flame)攻击等臭名昭著的网络攻击事件均与其相关[9]；与俄罗斯军事情报机构格鲁（Glavnoe　Razvedivatelnoe　Upravlenie，GRU)密切相关的APT28组织[9]，针对全球范围的政府、军队、外交领域的目标人员和机构实施网络间谍活动[1。];与朝鲜人民军121局密切相关的Lazarus组织[9]，长期针对韩国、美国进行渗透攻击，同时还对全球的金融机构进行攻击[9，10]。这些成建制的网络战部队或黑客组织攻击性和针对性极强，攻击对象通常都是一些重点目标，危害巨大。
　　为实施精准高效的网络攻击，攻击方通常会提前对目标IP地址等关键信息进行网络侦察和网络追踪，其追踪技术手段呈现出持续性、多方位、立体化的特点和趋势，追踪能力日益强大，给防御方带来了巨大的网络安全威胁。因此，同样为寻求攻防对抗的平衡性，网络防御迫切需要提升抗追踪能力。
　　1.1.2　个人隐私保护
　　互联网高度的虚拟性、开放性、流动性和交互性，使得侵犯和传播个人隐私变得更加容易和隐蔽，造成的后果也更加严重。因此，如何防止个人隐私被追踪成为一个棘手的网络安全问题。
　　1.1.2.1互联网比你更了解你自己
　　1993年，《纽约客》杂志刊登了由Peter　Steiner创作的一幅漫画，画面中一条狗坐在电脑前，对着同伴说：“在互联网上，没人知道你是一条狗。”该漫画巧妙地表达了早期互联网的隐匿性，即网络中没人知道你的真实身份。
　　随着信息技术的飞速发展，人类生活已与互联网深度融合。面对互联网中“第三只眼”的监视，用户数据在不知不觉中被收集和利用，对用户的安全和隐私构成威胁。例如，淘宝、亚马逊、京东、拼多多等各大购物网站监视着用户的购物习惯，以便根据用户偏好推荐商品；百度、必应、谷歌等各大搜索引擎监视着用户的搜索历史，以便根据用户兴趣投放推广信息，提高其广告收益；QQ、微信、微博、Twkter等社交应用监视着用户的社交关系网，以便向用户推荐可能认识的人；滴滴、高德、携程等出行软件监视着用户的生活轨迹，以便为用户规划和推荐出行路线。
　　由此可见，在当前所处的大数据时代中，互联网知道人们喜欢穿什么、喜欢吃什么、喜欢去哪儿玩、喜欢跟谁互动等。某种意义上讲，互联网可能比你更了解你自己。
　　1.1.2.2个人隐私需要抗追踪技术保护
　　由于个人隐私保护的复杂性和困难性，个人隐私泄露事件频频发生，引发了广大用户的恐慌。下面列举近年来几起影响力颇大的隐私泄露案件。
　　1)以色列选民数据泄露事件
　　2020年2月，经Haaretz、Calcalist和Ynet等以色列当地媒体证实，由以色列总理本杰明 内塔尼亚胡（Benjamin　Netanyahu)执政的政党利库德（Likud)运营的竞选活动网站（elector.co.il)，因其主页的公共源代码中列出的不受保护的API(Application　Programming　Interface)端点泄露了管理面板的用户名和密码，导致近650万以色列选民的个人资料被暴露，包括姓名、身份证号码、地址、性别、电话号码、父母亲名字等详细信息。
　　2)PACS(Picture　Archivingand　Communication　Systems)服务器患者数据泄露事件
　　PACS是一种专门应用于医院影像科室的医学影像归档和通信系统，PACS服务器存储了全球海量的医学影像(包括核磁、CT、各种X光机等设备产生的图像）。2019年9月，据Securityaffairs报道，德国Greenbone　Networks研究人员发现600个未受保护的PACS服务器暴露于互联网，其中，中国有14个未受保护的PACS服务器系统，泄露了近28万条数据记录，包括姓名、出生日期、检查日期、调查范围、成像程序的类型、主治医师、研究所/诊所和生成的图像数量等详细信息。
　　3)Facebook用户数据泄露事件
　　2018年3月17日，媒体披露剑桥数据分析公司（Cambridge　Analytica)未经用户许可违规获取了Facebook近5000万用户的数据。受此事件影响，Facebook的市值仅仅两天便蒸发了500亿美元。2018年4月10日和11日，Facebook创始人
兼首席执行官扎克伯格出席美国参议院司法部和商务委员会举行的联合听证会，接受美国国会要求回答剑桥数据分析公司用户数据隐私丑闻的相关问题，并就此事件向公众致歉。
　　由此可见，面对互联网中“第三只眼”的监视，个人隐私泄露已成为一个非常重要的网络安全问题，人们迫切需要抗追踪技术保障个人隐私安全。
　　1.2构建抗追踪网络的必要性
　　针对网络空间抗追踪的需求，研究人员已开展了大量研究和实践工作。传统的抗追踪技术主要以代理、VPN、跳板等为代表，已被社会大众广泛应用于各个信息领域，其核心思想是利用“中间人”为通信双方提供抗追踪服务，以防止某一方的IP地址直接暴露给另一方。传统方法的特点在于简单高效，尤其适用于对抗追踪性和鲁棒性要求不高而对时效性要求较高的用户群体。
　　随着网络监听与追踪技术的快速发展，传统方法由于功能结构简单导致一旦“中间人”被监听或控制，就可以轻易地追踪到通信双方的IP地址。因此，如何有效提升抗追踪能力、防止网络追踪是近十年来学术界和工业界面临的一大技术挑战。针对这一挑战，我们认为*有效的解决思路是构建一个“抗追踪网络”，以多层次、体系化的一整套理论和技术体系来显著提升抗追踪能力，防御网络追踪。纵观抗追踪技术研究现状和发展趋势，抗追踪网络的研究和实践工作是有效应对曰益强大的网络追踪的关键技术手段，将成为抗追踪技术领域的研究重点和热点。
1.3抗追踪网络基本概念
　　1.3.1域
　　本书所述的“域”是指网络中的逻辑组织单元，是网络中一组逻辑节点构成的集合。通常情况下，每个域拥有自己的管理边界，并由不同的机构管理和运营。众所周知，全球网络逻辑上可划分为许多不同的域，如自治域、地理域、系统域等等，如图1.1所示。
　　图1.1网络按域划分示意图
　　一般而言，单一机构*多只能对其所在域内的网络流量进行监控。若要监控多个域的网络流量，通常需要域间协作。需要强调的是，在现实世界中监控全球网络往往不具备可行性。
　　1.3.2网络追踪
　　本书所述的“网络追踪”是指追踪方利用网络中的已知节点发现未知节点的过程。已知节点可视为追踪方掌握的先验知识，而发现未知节点的过程可能会综合利用多种技术手

目录
序
前言
第1章　绪论　1
1.1　抗追踪需求日益迫切　1
1.1.1　网络攻防博弈　1
1.1.2　个人隐私保护　3
1.2　构建抗追踪网络的必要性　5
1.3　抗追踪网络基本概念　5
1.3.1　域　5
1.3.2　网络追踪　6
1.3.3　抗追踪网络　7
1.4　研究目标、内容与定位　8
1.5　总体技术思路　9
1.6　学术创新　9
1.7　本书组织结构　11
参考文献　12
第2章　网络追踪技术　13
2.1　渗透追踪　13
2.1.1　研究现状　13
2.1.2　经典方法　15
2.1.3　追踪示例　16
2.2　测量追踪　17
2.2.1　基于爬虫的追踪技术　18
2.2.2　基于女巫攻击的追踪技术　20
2.2.3　基于水坑攻击的追踪技术　21
2.3　审计追踪　24
2.3.1　基于数字水印的追踪技术　25
2.3.2　基于包标记的追踪技术　29
2.3.3　基于日志记录审计的追踪技术　32
2.4　关联追踪　33
2.4.1　基于流量关联的追踪技术　34
2.4.2　基于图关联的追踪技术　36
2.5　本章小结　39
参考文献　39
第3章　抗追踪技术　46
3.1　Domain Fronting　46
3.2　Decoy Routing　47
3.3　Tor　49
3.4　I2P　51
3.5　Crowds　53
3.6　Mix-Net　54
3.7　DC-Net　55
3.8　P5　57
3.9　Herbivore　58
3.10　Dissent　59
3.11　对比分析　60
3.12　本章小结　61
参考文献　61
第4章　抗追踪网络的量化评估体系　65
4.1　引言　65
4.1.1　背景与意义　65
4.1.2　组织结构　65
4.2　量化评估体系　65
4.3　抗追踪性量化评估方法　66
4.3.1　基本概念　66
4.3.2　量化评估方法　66
4.3.3　等级划分建议　69
4.4　鲁棒性量化评估方法　69
4.4.1　基本概念　69
4.4.2　量化评估方法　69
4.4.3　等级划分建议　70
4.5　时效性量化评估方法　70
4.5.1　基本概念　70
4.5.2　量化评估方法　70
4.5.3　等级划分建议　71
4.6　抗追踪性的影响因素分析　71
4.6.1　网络拓扑　71
4.6.2　网络规模　73
4.6.3　节点属性分布　74
4.6.4　网络通信行为　76
4.6.5　追踪能力　77
4.7　应用实例　78
4.8　本章小结　78
参考文献　79
第5章　AntNet体系结构　80
5.1　引言　80
5.1.1　背景与意义　80
5.1.2　组织结构　80
5.2　理论基础　80
5.2.1　去中心化　80
5.2.2　跨域通信　81
5.3　体系结构　81
5.4　网络层　82
5.4.1　研究目标　82
5.4.2　研究内容　83
5.4.3　关键科学问题　83
5.4.4　创新性　83
5.5　链路层　84
5.5.1　研究目标　84
5.5.2　研究内容　84
5.5.3　关键科学问题　84
5.5.4　创新性　84
5.6　传输层　84
5.6.1　研究目标　84
5.6.2　研究内容　85
5.6.3　关键科学问题　85
5.6.4　创新性　85
5.7　本章小结　86
第6章　网络拓扑构建　87
6.1　引言　87
6.1.1　背景与意义　87
6.1.2　组织结构　87
6.2　相关工作　87
6.2.1　线型网络　87
6.2.2　星型网络　88
6.2.3　*近邻耦合网络　88
6.2.4　小世界网络　88
6.2.5　无标度网络　89
6.2.6　随机网络　90
6.2.7　小结　90
6.3　基于贪心策略的网络拓扑构建算法　91
6.3.1　问题描述　91
6.3.2　算法思想　91
6.3.3　算法步骤　92
6.3.4　时间复杂度　96
6.4　实验评估　97
6.5　本章小结　99
参考文献　100
第7章　网络拓扑维护　101
7.1　引言　101
7.1.1　背景与意义　101
7.1.2　组织结构　101
7.2　相关工作　101
7.2.1　基于Gossip协议的网络拓扑维护方法　101
7.2.2　基于Chord协议的网络拓扑维护方法　102
7.3　基于分布式协作的网络拓扑自主维护方法　104
7.3.1　技术思路　104
7.3.2　节点加入方法　104
7.3.3　节点退出方法　107
7.3.4　随机加边方法　108
7.4　实验评估　110
7.4.1　实验环境　110
7.4.2　实验步骤　111
7.5　本章小结　112
参考文献　112
第8章　动态链路构建　114
8.1　引言　114
8.1.1　背景与意义　114
8.1.2　组织结构　114
8.2　相关工作　115
8.2.1　基于链路重构机制的动态链路构建方法　115
8.2.2　基于随机游走的动态链路构建方法　117
8.3　基于节点环的动态链路构建方法　118
8.3.1　概述　118
8.3.2　节点环构建　120
8.3.3　环加密算法　125
8.3.4　环解密算法　128
8.3.5　动态链路利用机制　131
8.4　实验评估　132
8.4.1　抗渗透能力评估　132
8.4.2　謝言效率评估　137
8.5　本章小结　139
参考文献　140
第9章　数据容失传输　141
9.1　引言　141
9.1.1　背景与意义　141
9.1.2　组织结构　142
9.2　相关工作　142
9.2.1　基于SSS的数据容失传输方法　142
9.2.2基于RS Codes的数据容失传输方法　143
9.3　基于正交分解的数据容失传输方法　144
9.3.1　概述　144
9.3.2数据表示　147
9.3.3　正交分解　148
9.3.4　数据分块　153
9.3.5　数据块分包　161
9.3.6　数据重构　162
9.4　实验评估　165
9.4.1　冗余率评估　166
9.4.2　容失率评估　169
9.4.3　计算效率评估　173
9.5　本章小结　175
参考文献　176
第10章　网络流量伪装　177
10.1　引言　177
10.1.1背景与意义　177
10.1.2　组织结构　178
10.2　相关工作　178
10.2.1　基于特征随机变化的网络流量伪装方法　178
10.2.2　基于隧道技术的网络流量伪装方法　179
10.2.3　基于模拟的网络流量伪装方法　180
10.3　基于双高斯过程的网络流量伪装方法　181
10.3.1　双高斯过程概述　181
10.3.2　流量时空特征　183
10.3.3　流量特征预测　185
10.3.4　网络流量伪装　187
10.4　实验评估　190
10.4.1　伪装效果评估　190
10.4.2　难以区分度评估　196
10.5　本章小结　199
参考文献　199
索引　202