日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法

文檔序號:10572455閱讀:641來源:國知局
一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法
【專利摘要】本發(fā)明公開了一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,將待測數(shù)據(jù)和正常數(shù)據(jù)的數(shù)據(jù)包到達(dá)序列看作隨機(jī)序列,分別按TCP流的標(biāo)識符對序列求熵,若兩主機(jī)通信時存在N條TCP流,則可得到N個熵值,將N條TCP流的N個熵值視作一個N維空間的點,再求該點到原點的歐氏距離,通過比較二者歐氏距離的差異,判斷待檢測數(shù)據(jù)流是否為含密數(shù)據(jù)流。并且在求出數(shù)據(jù)流信息熵的基礎(chǔ)上,與歐氏距離的計算相結(jié)合,從而提高了檢測效果,可以得到可靠的檢測結(jié)果。
【專利說明】
一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù),尤其是一種針對多鏈路到達(dá)序列編碼的隱蔽通 信檢測方法。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)隱寫作為一種隱蔽通信方式,利用合法的數(shù)據(jù)流作為載體在網(wǎng)絡(luò)中傳遞秘密 信息。政府、企業(yè)和個人通過利用網(wǎng)絡(luò)隱信道進(jìn)行隱秘通信,安全地傳遞重要信息。但同時, 網(wǎng)絡(luò)隱寫也會被不法組織和個人利用,以傳遞有害信息,威脅公眾安全。因此,檢測網(wǎng)絡(luò)隱 寫的存在,防止危害發(fā)生,是至關(guān)主要的環(huán)節(jié)。隱寫的檢測技術(shù)作為網(wǎng)絡(luò)安全防護(hù)領(lǐng)域內(nèi)的 一項非常重要的技術(shù),引起了研究者的廣泛關(guān)注,而且目前為止已經(jīng)取得了很多的研究成 果。
[0003] 基于多鏈路到達(dá)序列編碼的隱蔽通信是一種嶄新的隱蔽通信方式,2015年, WojciechFrqczck 和Krzysztof Szczypiorski提出了stegblock的概念。首先要選取一些對 象,并為每個對象定義不同的標(biāo)識符,而這些標(biāo)識符是為隱蔽數(shù)據(jù)的發(fā)送方和接收方所知 的,將這些對象合并成一個序列(即數(shù)據(jù)塊),數(shù)據(jù)塊的值中搭載著隱蔽信息。
[0004] 針對stegblock的一個例子如下,在{1,2,3,4}中的四個對象中,以1為開頭,3為結(jié) 尾的數(shù)據(jù)塊構(gòu)成了隱寫密鑰,如圖1所示。發(fā)送方向接收方發(fā)送的這些對象基于隱寫密鑰規(guī) 則構(gòu)成了一段段數(shù)據(jù)塊。第一段數(shù)據(jù)塊由U,4,3}三個對象組成,因為這是一個對象的最短 長度,包含了從傳輸起始端開始的所有的對象。隨后的數(shù)據(jù)塊也是由這樣的方式定義的。此 外,在圖1展示的通信實例中我們假定數(shù)據(jù)塊對象數(shù)目的最后一位決定了這段塊數(shù)據(jù)的值, 也就是說,第一段數(shù)據(jù)塊的值為'1'(這段數(shù)據(jù)塊由3個對象組成),第二段數(shù)據(jù)塊的值為'0' (數(shù)據(jù)塊由6個對象組成)。統(tǒng)計這些數(shù)據(jù)塊的值即可得到隱秘信息的值,于是我們可以得出 這個例子中傳輸?shù)碾[秘數(shù)據(jù)的值是'1010'。接收方要破解隱秘數(shù)據(jù)的話必須了解該通信的 隱寫密鑰。
[0005] 基于多鏈路到達(dá)序列編碼的隱蔽通信正是應(yīng)用了stegblock的概念,采用MPTCP協(xié) 議在兩臺主機(jī)之間建立多鏈路通信,給不同的鏈路賦予不同的標(biāo)識符。采用MPTCP協(xié)議的多 鏈路到達(dá)序列隱蔽通信是以下述方式進(jìn)行工作的:
[0006] 1、在兩臺主機(jī),即隱蔽信息的發(fā)送方和接收方之間建立MPTCP鏈接,將每條TCP流 視作一個對象,賦予不同的標(biāo)識符,標(biāo)識符的個數(shù)即TCP流的個數(shù)。
[0007] 2、根據(jù)隱寫秘鑰生成數(shù)據(jù)塊。
[0008] 3、對數(shù)據(jù)包的發(fā)送進(jìn)行控制,按照數(shù)據(jù)塊中標(biāo)識符的順序選擇不同的TCP流發(fā)包。
[0009] 假設(shè)兩臺主機(jī)之間存在5條不同的TCP流,標(biāo)識符分別為1、2、3、4、5,隱蔽通信的秘 鑰為1和3,則數(shù)據(jù)包到達(dá)序列{1,3,4}代表'1',而{5,3,4,1}代表'0'。
[0010]這種隱寫方法的主要優(yōu)勢是它可以保證隱藏數(shù)據(jù)傳輸中的穩(wěn)定性。在此法中,接 收方可以決定對象的順序,并且是基于TSN(傳輸序列號)而非接收各個對象的時間。TSN即 是塊數(shù)據(jù)的序列號,它是隨著塊數(shù)據(jù)的傳輸而遞增的并且對應(yīng)于數(shù)據(jù)流中的特定的塊數(shù) 據(jù)。當(dāng)數(shù)據(jù)發(fā)生延遲或者丟失,發(fā)送方可以進(jìn)行重發(fā),這樣就實現(xiàn)了隱藏數(shù)據(jù)的完美接收而 不用拘泥于各個對象的接收時間。
[0011 ]由于stegblock是一個親新的概念,現(xiàn)有技術(shù)中未公開檢測這種隱蔽通信方式的 方法。

【發(fā)明內(nèi)容】

[0012] 發(fā)明目的:針對上述現(xiàn)有技術(shù)存在的缺陷,本發(fā)明旨在提供一種針對多鏈路到達(dá) 序列編碼的隱蔽通信檢測方法。
[0013] 技術(shù)方案:一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,包括建立模型庫 和利用模型庫進(jìn)行檢測,所述建立模型庫包括如下步驟:
[0014] (1)設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接,并利用數(shù)據(jù) 捕獲器捕獲主機(jī)之間通信時的數(shù)據(jù)包,用過濾器篩選出數(shù)據(jù)包的到達(dá)序列;
[0015] (2)設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器,將捕獲的數(shù)據(jù) 包到達(dá)序列轉(zhuǎn)化為標(biāo)識符序列,標(biāo)識符序列為一維數(shù)組;
[0016] (3)設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口,共可分為j個 窗口;每個窗口分成大小為L的小區(qū)間,一個窗口可分為I個小區(qū)間,若主機(jī)之間存在N條 流,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù),統(tǒng)計每個小區(qū)間中每條TCP流的占比PNi = fN/L,i = l、2、3···,[,
[0017] (4)設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵
[0018] (5)設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵 視作一個N維空間的點,分別計算各點到原點的歐氏距離0」,」=1、2、3,一,^每一點的歐氏 距離為
,其中Xn為步驟(4)中求得的信息熵Hn;
[0019] (6)訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同 的情況下,重復(fù)步驟(1)-(5),得到不同鏈路數(shù)的正常數(shù)據(jù)模型,對各模型進(jìn)行分析,求不同 鏈路數(shù)所含數(shù)據(jù)的均值M+、方差V+和檢測閾值Th+=M++aV+,其中α為自定義的常量函數(shù),用于 調(diào)整檢測閾值;
[0020] (7)建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中。
[0021] 進(jìn)一步的,所述利用模型庫進(jìn)行檢測具體包括如下步驟:
[0022] (Α)判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1,則兩臺主機(jī)之間不存在多鏈路通信,程序 結(jié)束;否則存在多鏈路通信,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th + ,
[0023] (B)處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn) 化為標(biāo)識符序列,該標(biāo)識符序列為一個一維數(shù)組;利用窗口分割器將數(shù)組分割成大小均為 ω的窗口;利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值,若有N個不同的標(biāo)識符,則 計算出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點,計算各點到 原點的歐氏距離〇5,8 = 1、2、3,一,^;'每一點的歐氏距離為: 其中χη為
熵值;
[0024] (C)判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較,大于Th+則 待檢測數(shù)據(jù)為含密數(shù)據(jù),否則為正常數(shù)據(jù)。
[0025] 進(jìn)一步的,步驟(1)中所述的數(shù)據(jù)捕獲器即wireshark,所述過濾器為wireshark內(nèi) 置的過濾器。
[0026]進(jìn)一步的,步驟(6)中所述每臺主機(jī)的鏈路數(shù)均不小于兩條。
[0027]進(jìn)一步的,步驟(A)中所述閾值Th+為Th+=M++aV+,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的 均值、V+為不同鏈路數(shù)所含數(shù)據(jù)的方差,α為自定義的常量函數(shù)。
[0028] 進(jìn)一步的,步驟(Β)中所述熵值即信息弗其中PNi為由窗口 分割器所分區(qū)間中每條TCP流的占比,i = 1、2、3…,f。
[0029] 有益效果:本發(fā)明提出了一種對于新型隱寫方式"多鏈路到達(dá)序列編碼隱蔽通信" 的檢測方法,將待測數(shù)據(jù)和正常數(shù)據(jù)的數(shù)據(jù)包到達(dá)序列看作隨機(jī)序列,分別按TCP流的標(biāo)識 符對序列求熵,若兩主機(jī)通信時存在N條TCP流,則可得到N個熵值,將N條TCP流的N個熵值視 作一個N維空間的點,再求該點到原點的歐氏距離,通過比較二者歐氏距離的差異,判斷待 檢測數(shù)據(jù)流是否為含密數(shù)據(jù)流。并且在求出數(shù)據(jù)流信息熵的基礎(chǔ)上,與歐氏距離的計算相 結(jié)合,從而提高了檢測效果,可以得到可靠的檢測結(jié)果。
【附圖說明】
[0030] 圖1為stegblock的原理示例圖。
[0031]圖2為正常通信模型訓(xùn)練流程圖。
[0032]圖3實際檢測流程圖。
[0033]圖4為觀測窗口 w= 1000的實驗效果圖。
【具體實施方式】
[0034]下面通過一個最佳實施例并結(jié)合附圖對本技術(shù)方案進(jìn)行詳細(xì)說明。
[0035]以下結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明。
[0036]圖1是stegblock的原理示例圖,而多鏈路到達(dá)序列隱蔽通信的編碼方式正是以 stegblock的原理為基礎(chǔ)。
[0037]假設(shè)兩個主機(jī)之間存在4條TCP流,其標(biāo)識符分別為1、2、3、4,發(fā)送方以1、3為秘鑰, 一對秘鑰組成一個數(shù)據(jù)塊,先到達(dá)的數(shù)據(jù)包所在的TCP流標(biāo)識符為{1,4,3},表示'1',第一 個數(shù)據(jù)塊結(jié)束后,下一位即第二個數(shù)據(jù)塊的開端,第二個數(shù)據(jù)塊為{2,1,4,1,2,3},表示 '0',第三個數(shù)據(jù)塊為{3,4,3,2,1},表示'1',第四個數(shù)據(jù)塊為{3,1},表示'0'。
[0038] 基于stegblock的編碼方式,我們在編寫檢測方法時,只要通過檢測一定窗口內(nèi)每 條TCP流標(biāo)識符(即1、2、3、4)的熵值,再對這些熵值進(jìn)行處理,即可判斷該窗口是否含有隱 蔽ig息。
[0039] 圖2是為正常通信模型訓(xùn)練流程圖,如圖所示,一種針對多鏈路到達(dá)序列編碼的隱 蔽通信檢測方法,包括建立模型庫和利用模型庫進(jìn)行檢測,所述建立模型庫具體包括如下 步驟:
[0040] (1)設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接,并利用數(shù)據(jù) 捕獲器捕獲主機(jī)之間通信時的數(shù)據(jù)包,本實施例中是通過wireshark作為數(shù)據(jù)捕獲器來捕 獲兩個主機(jī)間正常的多鏈路通信數(shù)據(jù),再用wireshark內(nèi)置的過濾器篩選出數(shù)據(jù)包的到達(dá) 序列。
[0041] (2)設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器,給不同的流賦 予不同的數(shù)字編碼(即標(biāo)識符),如給192. XXX. XXX. 11到192. XXX. XXX. 1的流賦予標(biāo)識符1, 給192. XXX. XXX. 12到192. XXX. XXX. 1的流賦予標(biāo)識符2,將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為標(biāo) 識符序列;本實施例中將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為各條TCP流的數(shù)據(jù)包到達(dá)序列,該序 列為一個一維數(shù)組,由各流的標(biāo)識符組成,當(dāng)兩臺主機(jī)之間存在4條TCP流時,這4條流分別 用1、2、3、4代替,則標(biāo)識符數(shù)組由1、2、3、4組成。
[0042] (3)設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口,共可分為叾 個窗口;每個窗口分成大小為L的小區(qū)間,一個窗口可分為f個小區(qū)間,若主機(jī)之間存在N條 流,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù),統(tǒng)計每個小區(qū)間中每條TCP流的占比PNi = fN/L,i = 1、2、3···,&本實施例中截取數(shù)組中的前49000個數(shù)據(jù)(即49000個包),以w = 1000的窗口大小,將其分為49個檢測窗口。
[0043] 以L=100再次分割檢測窗口,將每個檢測窗口分為10個大小相等的小區(qū)間。統(tǒng)計 每個小區(qū)間中,各TCP流標(biāo)識符出現(xiàn)的概率,假設(shè)標(biāo)識符為1的流(即1號流),在第一個小區(qū) 間中出現(xiàn)的概率為 P1,在第二個小區(qū)間中出現(xiàn)的概率為p2,以此類推,在第十個小區(qū)間出現(xiàn) 的概率為P10。
[0044] (4)設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵
本實施例中用該公式計算出1號流在這個窗口內(nèi)的熵值,同理也可 以計算出2、3、4號流在這個窗口內(nèi)的熵值,在一個檢測窗口內(nèi),存在4條TCP流,就可以根據(jù) TCP流的標(biāo)識符計算出4個熵值。
[0045] (5)設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵 視作一個N維空間的點,分別計算各點到原點的歐氏距離0」,」=1、2、3,一,|;每一點的歐氏 距離為:
其中Xn為步驟(4)中求得的信息熵Hn ;本實施例中將4個熵值 當(dāng)做一個4維空間內(nèi)的點,求出該點到原點的歐氏距離,得到49個窗口的歐氏距離值。
[0046] (6)訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同 (每臺主機(jī)的鏈路數(shù)均不小于兩條如2條,3條,4條,5條)的情況下,重復(fù)步驟(1)-(5),可以 得到不同鏈路數(shù)的正常數(shù)據(jù)模型,對各模型進(jìn)行分析,求不同鏈路數(shù)所含數(shù)據(jù)的均值M+、方 差V+和檢測閾值Th+ = M++aV+,其中α為自定義的常量函數(shù),用于調(diào)整檢測閾值。本實施例中 經(jīng)過步驟(5)得到49個窗口的歐氏距離值后,可建立出4條鏈路下正常通信的數(shù)據(jù)模型并對 各模型進(jìn)行分析。
[0047] (7)建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中。
[0048] 如圖3所示,所述利用模型庫進(jìn)行檢測具體包括如下步驟:
[0049] (A)判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1,則兩臺主機(jī)之間不存在多鏈路通信,程序 結(jié)束;否則存在多鏈路通信,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th +,Th+=M++aV+,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的均值、V+為不同鏈路數(shù)所含數(shù)據(jù)的方差,α為 自定義的常量函數(shù);本實施例中經(jīng)判斷待測數(shù)據(jù)為4條鏈路的通信環(huán)境,從模型庫中調(diào)出4 條鏈路正常通信的模型及檢測閾值。
[0050] (Β)處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn) 化為標(biāo)識符序列,該標(biāo)識符序列為一個一維數(shù)組;提取待檢測數(shù)據(jù)流的數(shù)據(jù)包到達(dá)序列,賦 予其不同的標(biāo)識符,將數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為可處理的數(shù)組,
[0051 ]本實施例中利用字符映射器,捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為各條TCP流的數(shù)據(jù)包 到達(dá)序列,該序列由各流的標(biāo)識符組成,當(dāng)兩臺主機(jī)之間存在4條TCP流時,這4條流分別用 1、2、3、4代替,則標(biāo)識符數(shù)組由1、2、3、4組成。
[0052]利用窗口分割器將數(shù)組分割成大小均為ω的窗口;截取數(shù)組中的前49000個數(shù)據(jù) (即49000個包),以w= 1000的窗口大小,將其分為49個檢測窗口。以L= 100再次分割檢測窗 口,將每個檢測窗口分為10個大小相等的小區(qū)間。統(tǒng)計每個小區(qū)間中,各TCP流標(biāo)識符出現(xiàn) 的概率,假設(shè)標(biāo)識符為1的流(g卩1號流),在第一個小區(qū)間中出現(xiàn)的概率為 P1,在第二個小區(qū) 間中出現(xiàn)的概率為p2,以此類推,在第十個小區(qū)間出現(xiàn)的概率為p1〇;
[0053]利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值,若有N個不同的標(biāo)識符(即 TCP流),則計算出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點, 計算各點到原點的歐氏距離〇 s,s = 1、2、3,…,$每一點的歐氏距離為:
其中Xn為熵值,即信息熇
,其中PNi為由窗口分 害幡所分區(qū)間中每條TCP流的占比,i = l、2、3···,^本實施例使用熵值求取器,計算出1號流 在這個窗口內(nèi)的熵值。同理也可以計算出2、3、4號流在這個窗口內(nèi)的熵值。在一個檢測窗口 內(nèi),有4條TCP流,就可以計算出4個熵值。使用歐氏距離求取器,將4個熵值當(dāng)做一個4維空間 內(nèi)的點,求出該點到原點的歐氏距離。
[0054] (C)判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較,大于Th+則 待檢測數(shù)據(jù)為含密數(shù)據(jù),否則為正常數(shù)據(jù)。
[0055] 圖4為觀測窗口w=1000的實驗效果圖,實線為正常數(shù)據(jù),虛線為含密數(shù)據(jù),由圖可 見,應(yīng)用本發(fā)明中提出的方法,可以很好的區(qū)分針對多鏈路到達(dá)序列編碼隱蔽通信中的正 常數(shù)據(jù)和含密數(shù)據(jù)。
[0056] 以上僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出:對于本技術(shù)領(lǐng)域的普通技術(shù)人員來 說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為 本發(fā)明的保護(hù)范圍。
【主權(quán)項】
1. 一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征在于,包括建立模型庫 和利用模型庫進(jìn)行檢測,所述建立模型庫包括如下步驟: (1) 設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接,并利用數(shù)據(jù)捕獲 器捕獲主機(jī)之間通信時的數(shù)據(jù)包,用過濾器篩選出數(shù)據(jù)包的到達(dá)序列; (2) 設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器,將捕獲的數(shù)據(jù)包到 達(dá)序列轉(zhuǎn)化為標(biāo)識符序列,標(biāo)識符序列為一維數(shù)組;(3) 設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口,共可分為個窗 口;每個窗□分成大小為L的小區(qū)間,一個窗□可分為個小區(qū)間,若主機(jī)之間存在N條流,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù),統(tǒng)計每個小區(qū)間中每條TCP流的占比(4) 設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵(5) 設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵視作 一個N維空間的點,分別計算各點到原點的歐氏距離每一點的歐氏距 離為,其中Xn為步驟⑷中求得的信息熵Hn; (6) 訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同的情 況下,重復(fù)步驟(1)-(5),得到不同鏈路數(shù)的正常數(shù)據(jù)模型,對各模型進(jìn)行分析,求不同鏈路 數(shù)所含數(shù)據(jù)的均值M+、方差V +和檢測閾值Th+=M++aV+,其中α為自定義的常量函數(shù); (7) 建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中。2. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征 在于,所述利用模型庫進(jìn)行檢測具體包括如下步驟: (A) 判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1,則兩臺主機(jī)之間不存在多鏈路通信,程序結(jié) 束;否則存在多鏈路通信,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th+; (B) 處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為 標(biāo)識符序列,該標(biāo)識符序列為一個一維數(shù)組;利用窗口分割器將數(shù)組分割成大小均為ω的 窗口;利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值,若有N個不同的標(biāo)識符,則計算 出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點,計算各點到原點 的歐氏距離每一點的歐氏距離為:,其中Xn為熵 值; (C) 判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較,大于Th+則待檢 測數(shù)據(jù)為含密數(shù)據(jù),否則為正常數(shù)據(jù)。3. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征 在于,步驟(1)中所述的數(shù)據(jù)捕獲器即wireshark,所述過濾器為wireshark內(nèi)置的過濾器。4. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征 在于,步驟(6)中所述每臺主機(jī)的鏈路數(shù)均不小于兩條。5. 根據(jù)權(quán)利要求2所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征 在于,步驟(A)中所述閾值Th+為Th + = M++aV+,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的均值、V+為不 同鏈路數(shù)所含數(shù)據(jù)的方差,α為自定義的常量函數(shù)。6. 根據(jù)權(quán)利要求2所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法,其特征 在于,步驟(B)中所述熵值即信息熵,其中PnA由窗口分割器所分區(qū) 間中每條TCP流的占比
【文檔編號】H04L12/26GK105933094SQ201610460259
【公開日】2016年9月7日
【申請日】2016年6月22日
【發(fā)明人】翟江濤, 李萌, 高斌, 唐雨
【申請人】江蘇科技大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1