一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法
【專利摘要】本發(fā)明公開了一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法����,將待測數(shù)據(jù)和正常數(shù)據(jù)的數(shù)據(jù)包到達(dá)序列看作隨機(jī)序列,分別按TCP流的標(biāo)識符對序列求熵����,若兩主機(jī)通信時存在N條TCP流,則可得到N個熵值�,將N條TCP流的N個熵值視作一個N維空間的點,再求該點到原點的歐氏距離�����,通過比較二者歐氏距離的差異����,判斷待檢測數(shù)據(jù)流是否為含密數(shù)據(jù)流。并且在求出數(shù)據(jù)流信息熵的基礎(chǔ)上���,與歐氏距離的計算相結(jié)合����,從而提高了檢測效果����,可以得到可靠的檢測結(jié)果。
【專利說明】
一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù)����,尤其是一種針對多鏈路到達(dá)序列編碼的隱蔽通 信檢測方法。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)隱寫作為一種隱蔽通信方式����,利用合法的數(shù)據(jù)流作為載體在網(wǎng)絡(luò)中傳遞秘密 信息。政府����、企業(yè)和個人通過利用網(wǎng)絡(luò)隱信道進(jìn)行隱秘通信����,安全地傳遞重要信息����。但同時, 網(wǎng)絡(luò)隱寫也會被不法組織和個人利用���,以傳遞有害信息����,威脅公眾安全���。因此����,檢測網(wǎng)絡(luò)隱 寫的存在��,防止危害發(fā)生�����,是至關(guān)主要的環(huán)節(jié)。隱寫的檢測技術(shù)作為網(wǎng)絡(luò)安全防護(hù)領(lǐng)域內(nèi)的 一項非常重要的技術(shù)�,引起了研究者的廣泛關(guān)注,而且目前為止已經(jīng)取得了很多的研究成 果����。
[0003] 基于多鏈路到達(dá)序列編碼的隱蔽通信是一種嶄新的隱蔽通信方式�����,2015年��, WojciechFrqczck 和Krzysztof Szczypiorski提出了stegblock的概念����。首先要選取一些對 象,并為每個對象定義不同的標(biāo)識符���,而這些標(biāo)識符是為隱蔽數(shù)據(jù)的發(fā)送方和接收方所知 的���,將這些對象合并成一個序列(即數(shù)據(jù)塊),數(shù)據(jù)塊的值中搭載著隱蔽信息�。
[0004] 針對stegblock的一個例子如下,在{1���,2,3,4}中的四個對象中���,以1為開頭���,3為結(jié) 尾的數(shù)據(jù)塊構(gòu)成了隱寫密鑰,如圖1所示�����。發(fā)送方向接收方發(fā)送的這些對象基于隱寫密鑰規(guī) 則構(gòu)成了一段段數(shù)據(jù)塊���。第一段數(shù)據(jù)塊由U��,4,3}三個對象組成����,因為這是一個對象的最短 長度�����,包含了從傳輸起始端開始的所有的對象���。隨后的數(shù)據(jù)塊也是由這樣的方式定義的�。此 外,在圖1展示的通信實例中我們假定數(shù)據(jù)塊對象數(shù)目的最后一位決定了這段塊數(shù)據(jù)的值��, 也就是說��,第一段數(shù)據(jù)塊的值為'1'(這段數(shù)據(jù)塊由3個對象組成)�,第二段數(shù)據(jù)塊的值為'0' (數(shù)據(jù)塊由6個對象組成)。統(tǒng)計這些數(shù)據(jù)塊的值即可得到隱秘信息的值����,于是我們可以得出 這個例子中傳輸?shù)碾[秘數(shù)據(jù)的值是'1010'��。接收方要破解隱秘數(shù)據(jù)的話必須了解該通信的 隱寫密鑰����。
[0005] 基于多鏈路到達(dá)序列編碼的隱蔽通信正是應(yīng)用了stegblock的概念,采用MPTCP協(xié) 議在兩臺主機(jī)之間建立多鏈路通信�,給不同的鏈路賦予不同的標(biāo)識符。采用MPTCP協(xié)議的多 鏈路到達(dá)序列隱蔽通信是以下述方式進(jìn)行工作的:
[0006] 1���、在兩臺主機(jī)����,即隱蔽信息的發(fā)送方和接收方之間建立MPTCP鏈接����,將每條TCP流 視作一個對象��,賦予不同的標(biāo)識符����,標(biāo)識符的個數(shù)即TCP流的個數(shù)�。
[0007] 2、根據(jù)隱寫秘鑰生成數(shù)據(jù)塊���。
[0008] 3�����、對數(shù)據(jù)包的發(fā)送進(jìn)行控制����,按照數(shù)據(jù)塊中標(biāo)識符的順序選擇不同的TCP流發(fā)包�。
[0009] 假設(shè)兩臺主機(jī)之間存在5條不同的TCP流,標(biāo)識符分別為1���、2�、3����、4��、5,隱蔽通信的秘 鑰為1和3,則數(shù)據(jù)包到達(dá)序列{1���,3,4}代表'1',而{5,3,4�,1}代表'0'。
[0010]這種隱寫方法的主要優(yōu)勢是它可以保證隱藏數(shù)據(jù)傳輸中的穩(wěn)定性���。在此法中����,接 收方可以決定對象的順序����,并且是基于TSN(傳輸序列號)而非接收各個對象的時間��。TSN即 是塊數(shù)據(jù)的序列號����,它是隨著塊數(shù)據(jù)的傳輸而遞增的并且對應(yīng)于數(shù)據(jù)流中的特定的塊數(shù) 據(jù)。當(dāng)數(shù)據(jù)發(fā)生延遲或者丟失�����,發(fā)送方可以進(jìn)行重發(fā),這樣就實現(xiàn)了隱藏數(shù)據(jù)的完美接收而 不用拘泥于各個對象的接收時間����。
[0011 ]由于stegblock是一個親新的概念,現(xiàn)有技術(shù)中未公開檢測這種隱蔽通信方式的 方法��。
【發(fā)明內(nèi)容】
[0012] 發(fā)明目的:針對上述現(xiàn)有技術(shù)存在的缺陷����,本發(fā)明旨在提供一種針對多鏈路到達(dá) 序列編碼的隱蔽通信檢測方法。
[0013] 技術(shù)方案:一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法�����,包括建立模型庫 和利用模型庫進(jìn)行檢測�����,所述建立模型庫包括如下步驟:
[0014] (1)設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接����,并利用數(shù)據(jù) 捕獲器捕獲主機(jī)之間通信時的數(shù)據(jù)包,用過濾器篩選出數(shù)據(jù)包的到達(dá)序列�;
[0015] (2)設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器��,將捕獲的數(shù)據(jù) 包到達(dá)序列轉(zhuǎn)化為標(biāo)識符序列���,標(biāo)識符序列為一維數(shù)組;
[0016] (3)設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口�����,共可分為j個 窗口�;每個窗口分成大小為L的小區(qū)間,一個窗口可分為I個小區(qū)間�����,若主機(jī)之間存在N條 流�����,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù)����,統(tǒng)計每個小區(qū)間中每條TCP流的占比PNi = fN/L���,i = l�、2、3···����,[,
[0017] (4)設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵
[0018] (5)設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵 視作一個N維空間的點,分別計算各點到原點的歐氏距離0」����,」=1、2��、3���,一����,^每一點的歐氏 距離為
���,其中Xn為步驟(4)中求得的信息熵Hn;
[0019] (6)訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型����,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同 的情況下���,重復(fù)步驟(1)-(5)��,得到不同鏈路數(shù)的正常數(shù)據(jù)模型��,對各模型進(jìn)行分析�����,求不同 鏈路數(shù)所含數(shù)據(jù)的均值M+��、方差V+和檢測閾值Th+=M++aV+�����,其中α為自定義的常量函數(shù)��,用于 調(diào)整檢測閾值�;
[0020] (7)建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中。
[0021] 進(jìn)一步的���,所述利用模型庫進(jìn)行檢測具體包括如下步驟:
[0022] (Α)判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1�����,則兩臺主機(jī)之間不存在多鏈路通信,程序 結(jié)束;否則存在多鏈路通信�,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th + ,
[0023] (B)處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn) 化為標(biāo)識符序列�����,該標(biāo)識符序列為一個一維數(shù)組;利用窗口分割器將數(shù)組分割成大小均為 ω的窗口���;利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值��,若有N個不同的標(biāo)識符���,則 計算出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點,計算各點到 原點的歐氏距離〇5,8 = 1����、2、3�,一,^��;'每一點的歐氏距離為: 其中χη為
熵值;
[0024] (C)判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較����,大于Th+則 待檢測數(shù)據(jù)為含密數(shù)據(jù)��,否則為正常數(shù)據(jù)����。
[0025] 進(jìn)一步的,步驟(1)中所述的數(shù)據(jù)捕獲器即wireshark��,所述過濾器為wireshark內(nèi) 置的過濾器��。
[0026]進(jìn)一步的�����,步驟(6)中所述每臺主機(jī)的鏈路數(shù)均不小于兩條�����。
[0027]進(jìn)一步的��,步驟(A)中所述閾值Th+為Th+=M++aV+��,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的 均值�����、V+為不同鏈路數(shù)所含數(shù)據(jù)的方差����,α為自定義的常量函數(shù)。
[0028] 進(jìn)一步的�����,步驟(Β)中所述熵值即信息弗其中PNi為由窗口 分割器所分區(qū)間中每條TCP流的占比���,i = 1��、2���、3…�����,f���。
[0029] 有益效果:本發(fā)明提出了一種對于新型隱寫方式"多鏈路到達(dá)序列編碼隱蔽通信" 的檢測方法,將待測數(shù)據(jù)和正常數(shù)據(jù)的數(shù)據(jù)包到達(dá)序列看作隨機(jī)序列�����,分別按TCP流的標(biāo)識 符對序列求熵���,若兩主機(jī)通信時存在N條TCP流����,則可得到N個熵值�����,將N條TCP流的N個熵值視 作一個N維空間的點�����,再求該點到原點的歐氏距離,通過比較二者歐氏距離的差異���,判斷待 檢測數(shù)據(jù)流是否為含密數(shù)據(jù)流。并且在求出數(shù)據(jù)流信息熵的基礎(chǔ)上���,與歐氏距離的計算相 結(jié)合���,從而提高了檢測效果,可以得到可靠的檢測結(jié)果��。
【附圖說明】
[0030] 圖1為stegblock的原理示例圖���。
[0031]圖2為正常通信模型訓(xùn)練流程圖�����。
[0032]圖3實際檢測流程圖�。
[0033]圖4為觀測窗口 w= 1000的實驗效果圖���。
【具體實施方式】
[0034]下面通過一個最佳實施例并結(jié)合附圖對本技術(shù)方案進(jìn)行詳細(xì)說明��。
[0035]以下結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明�����。
[0036]圖1是stegblock的原理示例圖�����,而多鏈路到達(dá)序列隱蔽通信的編碼方式正是以 stegblock的原理為基礎(chǔ)�。
[0037]假設(shè)兩個主機(jī)之間存在4條TCP流,其標(biāo)識符分別為1��、2�、3、4,發(fā)送方以1���、3為秘鑰�, 一對秘鑰組成一個數(shù)據(jù)塊�,先到達(dá)的數(shù)據(jù)包所在的TCP流標(biāo)識符為{1,4,3}���,表示'1'���,第一 個數(shù)據(jù)塊結(jié)束后��,下一位即第二個數(shù)據(jù)塊的開端�����,第二個數(shù)據(jù)塊為{2,1���,4,1�����,2,3}���,表示 '0',第三個數(shù)據(jù)塊為{3,4,3,2���,1}���,表示'1',第四個數(shù)據(jù)塊為{3����,1}����,表示'0'���。
[0038] 基于stegblock的編碼方式���,我們在編寫檢測方法時,只要通過檢測一定窗口內(nèi)每 條TCP流標(biāo)識符(即1�����、2���、3�、4)的熵值��,再對這些熵值進(jìn)行處理�����,即可判斷該窗口是否含有隱 蔽ig息�����。
[0039] 圖2是為正常通信模型訓(xùn)練流程圖,如圖所示���,一種針對多鏈路到達(dá)序列編碼的隱 蔽通信檢測方法���,包括建立模型庫和利用模型庫進(jìn)行檢測,所述建立模型庫具體包括如下 步驟:
[0040] (1)設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接���,并利用數(shù)據(jù) 捕獲器捕獲主機(jī)之間通信時的數(shù)據(jù)包��,本實施例中是通過wireshark作為數(shù)據(jù)捕獲器來捕 獲兩個主機(jī)間正常的多鏈路通信數(shù)據(jù)�,再用wireshark內(nèi)置的過濾器篩選出數(shù)據(jù)包的到達(dá) 序列�����。
[0041] (2)設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器����,給不同的流賦 予不同的數(shù)字編碼(即標(biāo)識符)��,如給192. XXX. XXX. 11到192. XXX. XXX. 1的流賦予標(biāo)識符1���, 給192. XXX. XXX. 12到192. XXX. XXX. 1的流賦予標(biāo)識符2��,將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為標(biāo) 識符序列;本實施例中將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為各條TCP流的數(shù)據(jù)包到達(dá)序列�����,該序 列為一個一維數(shù)組��,由各流的標(biāo)識符組成����,當(dāng)兩臺主機(jī)之間存在4條TCP流時,這4條流分別 用1�、2、3�����、4代替�,則標(biāo)識符數(shù)組由1、2�、3、4組成���。
[0042] (3)設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口�����,共可分為叾 個窗口�;每個窗口分成大小為L的小區(qū)間,一個窗口可分為f個小區(qū)間�����,若主機(jī)之間存在N條 流�����,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù)���,統(tǒng)計每個小區(qū)間中每條TCP流的占比PNi = fN/L�����,i = 1��、2、3···�,&本實施例中截取數(shù)組中的前49000個數(shù)據(jù)(即49000個包),以w = 1000的窗口大小�,將其分為49個檢測窗口。
[0043] 以L=100再次分割檢測窗口,將每個檢測窗口分為10個大小相等的小區(qū)間�。統(tǒng)計 每個小區(qū)間中,各TCP流標(biāo)識符出現(xiàn)的概率��,假設(shè)標(biāo)識符為1的流(即1號流)����,在第一個小區(qū) 間中出現(xiàn)的概率為 P1,在第二個小區(qū)間中出現(xiàn)的概率為p2,以此類推���,在第十個小區(qū)間出現(xiàn) 的概率為P10�。
[0044] (4)設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵
本實施例中用該公式計算出1號流在這個窗口內(nèi)的熵值����,同理也可 以計算出2、3�、4號流在這個窗口內(nèi)的熵值,在一個檢測窗口內(nèi)���,存在4條TCP流����,就可以根據(jù) TCP流的標(biāo)識符計算出4個熵值���。
[0045] (5)設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵 視作一個N維空間的點�,分別計算各點到原點的歐氏距離0」,」=1���、2��、3���,一,|;每一點的歐氏 距離為:
其中Xn為步驟(4)中求得的信息熵Hn ;本實施例中將4個熵值 當(dāng)做一個4維空間內(nèi)的點��,求出該點到原點的歐氏距離����,得到49個窗口的歐氏距離值。
[0046] (6)訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型����,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同 (每臺主機(jī)的鏈路數(shù)均不小于兩條如2條,3條�����,4條�,5條)的情況下,重復(fù)步驟(1)-(5)����,可以 得到不同鏈路數(shù)的正常數(shù)據(jù)模型,對各模型進(jìn)行分析�����,求不同鏈路數(shù)所含數(shù)據(jù)的均值M+����、方 差V+和檢測閾值Th+ = M++aV+,其中α為自定義的常量函數(shù)�����,用于調(diào)整檢測閾值����。本實施例中 經(jīng)過步驟(5)得到49個窗口的歐氏距離值后,可建立出4條鏈路下正常通信的數(shù)據(jù)模型并對 各模型進(jìn)行分析���。
[0047] (7)建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中�。
[0048] 如圖3所示����,所述利用模型庫進(jìn)行檢測具體包括如下步驟:
[0049] (A)判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1��,則兩臺主機(jī)之間不存在多鏈路通信��,程序 結(jié)束�;否則存在多鏈路通信�,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th +,Th+=M++aV+����,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的均值、V+為不同鏈路數(shù)所含數(shù)據(jù)的方差����,α為 自定義的常量函數(shù);本實施例中經(jīng)判斷待測數(shù)據(jù)為4條鏈路的通信環(huán)境,從模型庫中調(diào)出4 條鏈路正常通信的模型及檢測閾值�。
[0050] (Β)處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn) 化為標(biāo)識符序列,該標(biāo)識符序列為一個一維數(shù)組;提取待檢測數(shù)據(jù)流的數(shù)據(jù)包到達(dá)序列���,賦 予其不同的標(biāo)識符��,將數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為可處理的數(shù)組����,
[0051 ]本實施例中利用字符映射器,捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為各條TCP流的數(shù)據(jù)包 到達(dá)序列��,該序列由各流的標(biāo)識符組成����,當(dāng)兩臺主機(jī)之間存在4條TCP流時��,這4條流分別用 1�����、2����、3、4代替���,則標(biāo)識符數(shù)組由1�、2�����、3�、4組成����。
[0052]利用窗口分割器將數(shù)組分割成大小均為ω的窗口����;截取數(shù)組中的前49000個數(shù)據(jù) (即49000個包),以w= 1000的窗口大小�����,將其分為49個檢測窗口���。以L= 100再次分割檢測窗 口����,將每個檢測窗口分為10個大小相等的小區(qū)間�。統(tǒng)計每個小區(qū)間中,各TCP流標(biāo)識符出現(xiàn) 的概率���,假設(shè)標(biāo)識符為1的流(g卩1號流)���,在第一個小區(qū)間中出現(xiàn)的概率為 P1,在第二個小區(qū) 間中出現(xiàn)的概率為p2,以此類推�����,在第十個小區(qū)間出現(xiàn)的概率為p1〇;
[0053]利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值���,若有N個不同的標(biāo)識符(即 TCP流)���,則計算出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點�, 計算各點到原點的歐氏距離〇 s,s = 1�����、2�����、3��,…�,$每一點的歐氏距離為:
其中Xn為熵值,即信息熇
�,其中PNi為由窗口分 害幡所分區(qū)間中每條TCP流的占比,i = l、2�、3···,^本實施例使用熵值求取器���,計算出1號流 在這個窗口內(nèi)的熵值�。同理也可以計算出2����、3、4號流在這個窗口內(nèi)的熵值���。在一個檢測窗口 內(nèi)�,有4條TCP流���,就可以計算出4個熵值���。使用歐氏距離求取器,將4個熵值當(dāng)做一個4維空間 內(nèi)的點��,求出該點到原點的歐氏距離����。
[0054] (C)判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較�,大于Th+則 待檢測數(shù)據(jù)為含密數(shù)據(jù)����,否則為正常數(shù)據(jù)。
[0055] 圖4為觀測窗口w=1000的實驗效果圖�,實線為正常數(shù)據(jù),虛線為含密數(shù)據(jù)����,由圖可 見,應(yīng)用本發(fā)明中提出的方法�����,可以很好的區(qū)分針對多鏈路到達(dá)序列編碼隱蔽通信中的正 常數(shù)據(jù)和含密數(shù)據(jù)��。
[0056] 以上僅是本發(fā)明的優(yōu)選實施方式�����,應(yīng)當(dāng)指出:對于本技術(shù)領(lǐng)域的普通技術(shù)人員來 說���,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾��,這些改進(jìn)和潤飾也應(yīng)視為 本發(fā)明的保護(hù)范圍。
【主權(quán)項】
1. 一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法���,其特征在于����,包括建立模型庫 和利用模型庫進(jìn)行檢測�,所述建立模型庫包括如下步驟: (1) 設(shè)置數(shù)據(jù)捕獲器:在兩臺主機(jī)之間建立基于MPTCP的多鏈路鏈接,并利用數(shù)據(jù)捕獲 器捕獲主機(jī)之間通信時的數(shù)據(jù)包����,用過濾器篩選出數(shù)據(jù)包的到達(dá)序列; (2) 設(shè)置字符映射器:根據(jù)stegblock的原理建立一個字符映射器�,將捕獲的數(shù)據(jù)包到 達(dá)序列轉(zhuǎn)化為標(biāo)識符序列,標(biāo)識符序列為一維數(shù)組�;(3) 設(shè)置窗口分割器:窗口分割器將標(biāo)識符序列分為大小為w的窗口,共可分為個窗 口����;每個窗□分成大小為L的小區(qū)間,一個窗□可分為個小區(qū)間����,若主機(jī)之間存在N條流,fN為一個小區(qū)間內(nèi)通過某條流的數(shù)據(jù)包的個數(shù)���,統(tǒng)計每個小區(qū)間中每條TCP流的占比(4) 設(shè)置熵值求取器:熵值求取器計算窗口內(nèi)每條TCP流標(biāo)識符序列的信息熵(5) 設(shè)置歐氏距離求取器:歐氏距離求取器將每個窗口內(nèi)的N條TCP流的N個信息熵視作 一個N維空間的點���,分別計算各點到原點的歐氏距離每一點的歐氏距 離為�����,其中Xn為步驟⑷中求得的信息熵Hn; (6) 訓(xùn)練不同鏈路數(shù)的正常數(shù)據(jù)模型���,并設(shè)定檢測閾值:在兩臺主機(jī)間鏈路數(shù)不同的情 況下,重復(fù)步驟(1)-(5)�����,得到不同鏈路數(shù)的正常數(shù)據(jù)模型�����,對各模型進(jìn)行分析��,求不同鏈路 數(shù)所含數(shù)據(jù)的均值M+��、方差V +和檢測閾值Th+=M++aV+���,其中α為自定義的常量函數(shù)�; (7) 建立模型庫:將步驟(6)中求得的不同鏈路數(shù)的檢測閾值放入模型庫中�����。2. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法����,其特征 在于,所述利用模型庫進(jìn)行檢測具體包括如下步驟: (A) 判斷待測數(shù)據(jù)鏈路數(shù):若鏈路數(shù)為1��,則兩臺主機(jī)之間不存在多鏈路通信���,程序結(jié) 束;否則存在多鏈路通信�,根據(jù)鏈路的數(shù)目從模型庫中調(diào)出相應(yīng)的模型以及檢測閾值Th+; (B) 處理待測數(shù)據(jù)并計算歐氏距離:利用字符映射器將捕獲的數(shù)據(jù)包到達(dá)序列轉(zhuǎn)化為 標(biāo)識符序列�,該標(biāo)識符序列為一個一維數(shù)組;利用窗口分割器將數(shù)組分割成大小均為ω的 窗口;利用熵值求取器計算出各窗口內(nèi)所有標(biāo)識符的熵值��,若有N個不同的標(biāo)識符�����,則計算 出N個熵值;將每個窗口內(nèi)的N條TCP流的N個信息熵視作一個N維空間的點�,計算各點到原點 的歐氏距離每一點的歐氏距離為:,其中Xn為熵 值����; (C) 判斷待檢測數(shù)據(jù)屬性:將Os與模型庫中相應(yīng)的檢測閾值Th+作比較�,大于Th+則待檢 測數(shù)據(jù)為含密數(shù)據(jù)��,否則為正常數(shù)據(jù)���。3. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法�����,其特征 在于���,步驟(1)中所述的數(shù)據(jù)捕獲器即wireshark,所述過濾器為wireshark內(nèi)置的過濾器���。4. 根據(jù)權(quán)利要求1所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法�,其特征 在于�,步驟(6)中所述每臺主機(jī)的鏈路數(shù)均不小于兩條。5. 根據(jù)權(quán)利要求2所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法�,其特征 在于����,步驟(A)中所述閾值Th+為Th + = M++aV+���,其中M+為不同鏈路數(shù)所含數(shù)據(jù)的均值、V+為不 同鏈路數(shù)所含數(shù)據(jù)的方差�����,α為自定義的常量函數(shù)���。6. 根據(jù)權(quán)利要求2所述的一種針對多鏈路到達(dá)序列編碼的隱蔽通信檢測方法����,其特征 在于��,步驟(B)中所述熵值即信息熵���,其中PnA由窗口分割器所分區(qū) 間中每條TCP流的占比
【文檔編號】H04L12/26GK105933094SQ201610460259
【公開日】2016年9月7日
【申請日】2016年6月22日
【發(fā)明人】翟江濤, 李萌, 高斌, 唐雨
【申請人】江蘇科技大學(xué)