电子科技大学卓中流：巧用“基因检测” 破解网(2)

在明尼苏达大学双城分校，卓中流师从Zhi-li Zhang教授开展研究工作。巧的是，在这里他再次接触到了用“生物基因序列”来做“流量识别”的文章，于是，他更加坚定了自己的想法：生物基因序列的方法，一定可以用来识别网站指纹。

从2016年10月到2017年2月，卓中流只专注这一件事情。第一个难题就是：把“生物基因序列”方法用到网站指纹识别上的理论依据何在？在张小松教授的指点下，卓中流把目光投向生物医学领域。

“查找文献的过程还是很艰难的，因为我没有太多生物学的知识，只能一点一点地查找关键的理论。”他说，从高中毕业后就没有再摸过生物学的课本。没想到这么多年后还要“朝花夕拾”。

查询了大量资料后，他将一些生物学的理论知识融入了论文当中。Zhi-li Zhang教授也给予了很多指导，并提出修改意见，还帮他修改了论文的introduction。

如上图所示，用户首先选择一个暗网来代理其流量。然后攻击者被动地在用户和暗网入口之间检测网络流量。值得注意的是，攻击者不能够修改链路上的数据包，也不能够解密数据包。攻击者收集到用户流量后会与之前已知流量特征进行对比（特征包括数据包大小，数据包到达间隔时间，总共传输时间等）。最终攻击者找到与该流量最佳匹配的数据流记录，该流量记录正好是用户之前访问目标网站所产生流量。如此一来，攻击者便获知到用户访问暗网目标，达到追踪暗网的目的。

假设A.com只有4个超级链接，如上图，其中2个为内部链接（即A.com网站内部的跳转链接），另外2个为外部链接（即从A.com跳转到其他网站或与A.com网站相关的链接）。这种隐藏的链接关系，可以被利用来增加对A.com的识别效果，使得更容易识别A.com。

实验验证：简直是苦行僧的修行

打好了理论基础，只是研究的“前奏”，更加艰苦的工作其实还在后面。

2017年2月，卓中流完成初稿后，立即把论文投给了信息安全领域顶级期刊《IEEE Transactions on Information Forensics and Security》。投稿后，他其实已经做好了“大修”的准备。到了5月中旬，初审意见回复，审稿人建议卓中流补充实验和数据以便更好地说明观点。卓中流立即按照意见进行修改。

补充实验和数据的过程，他简直像是一个修行的“苦行僧”：他用网络“爬虫”访问了1000多个网站，每个网站至少爬取20次以上；在几万次程序运行中，他还要解决“网络抖动”问题以及程序的bug等意想不到的情况。由于不同网站具有不同的结构，反馈的结果也大相径庭，他需要不断调整自己的程序运行规则。