FlowPrint Semi-Supervised Mobile-App Fingerprinting on Encrypted Network Traffic
会议:Network and Distributed Systems Security (NDSS) Symposium 2020
时间:2020/2/23
目标/方法:半监督移动app指纹;未知app识别。
团队:University of Twente(荷兰)
背景:移动app同质化(Homogeneous)、更新快,现有识别方法需要先验知识。
本文提出不需先验知识的半监督方法:FLOWPRINT。
移动app由不同的模块组成,这些模块通常与一组静态目的地进行通信。
利用流量目的地址相关特征之间的时间相关性生成app指纹。
算法:①分流
②提特征(时序、IP&port、大小、TLS证书等)
③根据目的二元组或证书聚类(由于DNS缓存,不使用DNS信息);【会存在很多共享cluster,如Ad】
④浏览器traffic剥离(随机森林)
⑤相关性聚类:利用活动目的地集群之间的时间相关性。每个应用在一个时间window的活动目的地址cluster组合是相对稳定的;
互相关计算见右侧图片
⑥指纹生成:提取完备子图(阈值)内的二元组、证书等成set,作为app指纹
⑦指