技术领域
[0001] 本
发明涉及网络信息安全技术领域,更具体地说,涉及一种基于秘密共享的时间式网络隐蔽信道检测方法。
背景技术
[0002] 随着国际信息化产业的发展,传统的纸质材料被数字媒体资料所取代。在网络信息世界中,这些数字媒体资料承载的信息可以通过网络存取、共享和处理。在为人们带来极大便利的同时,信息泄露、网络攻击等安全问题也日趋显著。网络隐蔽信道作为一种隐写技术,它的存在使得秘密信息(如国家、军事机密、个人隐私及商业机密等)的泄露变得极为容易,造成了极大的网络威胁与隐患。
[0003] 对于隐蔽信道的分类方法有多种,当前被广泛认可且最常用的一种是根据共享资源属性分类,分为存储式网络隐蔽信道与时间式网络隐蔽信道。
[0004] 在存储式隐蔽信道中,信道创建者利用数据包头字段、扩展名、初始序列号和IP标识字段等嵌入隐蔽信息。这种方法受网络协议的约束,检测难度较低。
[0005] 在时间式隐蔽信道中,信道创建者通过调制正常信道的时序信息来嵌入隐蔽信息。由于网络环境复杂多变,正常网络包间间隔时间序列模型相当复杂,很难检测是否存在网络时间隐蔽信道。
[0006]
现有技术的时间式网络隐蔽信道检测方法可分为专用的与通用性高的检测方法两大类。专用的检测方法只能适用于检测一种特定的时间式网络隐蔽信道,无法同时检测多种类型的时间式隐蔽隐蔽信道,局限性较大。通用性的检测方法能够适用于检测多种类型的时间式网络隐蔽信道,其主要包含几大类:主要依赖于统计学的检测方法、基于
机器学习的检测方法、信息熵与条件校正熵的检测方法等。主要依赖于统计学的检测方法虽能够较好的检测多种时间式网络隐蔽信道,但需要对网络环境做出假设,易受网络环境的不稳定因素的影响,比如延时、抖动等噪声干扰。基于机器学习的检测方法是目前研究的热点之一,但其检测隐蔽信道需要对隐蔽信道特征长时间的学习以及大量的先验知识,因此基于机器学习的检测方法往往不适用于网络环境下对隐蔽信道动态的检测。信息熵与条件校正熵的检测方法是目前公认最为有效的检测方法之一,其能够检测大部分的时间式网络隐蔽信道,但这种检测方法易受到隐蔽信道数据样本大小的影响,即在隐蔽信道数据样本较小的情况下其检测效率十分低下。
发明内容
[0007] 本发明的目的在于克服现有技术的不足,提供一种基于秘密共享的时间式网络隐蔽信道检测方法,将秘密共享原理与时间式隐蔽信道的检测相结合,提高检测方法的实用性与检测效率,弥补现有的时间式网络隐蔽信道检测方法存在的不足。
[0008] 本发明的技术方案如下:
[0009] 一种基于秘密共享的时间式网络隐蔽信道检测方法,步骤如下:
[0010] 1)获取一条原始信道的网络数据流,根据样本窗口大小得到时间序列数据P={P1,P2,…,Pn},n为样本窗口中数据的个数;将样本窗口中的网络数据流划分为N个时隙,得到时隙组I={I1,I2,…,IN};
[0011] 2)假设时隙Ii中共有个k>0包Pi,1,Pi,2,…,Pi,k,定义时隙Ii的质心为:
[0012]
[0013] 其中,i=1,2,…,N,Δti,j为数据包相对于其所属时隙开始时间的偏移量;
[0014] 如果时隙为空,则定义时隙Ii的质心为:
[0015]
[0016] 其中,T为每个时隙的时隙长度;
[0017] 并将时隙Ii的质心Cent(Ii)作为信道的局部特征Si;
[0018] 3)对时间序列数据P={P1,P2,…,Pn}提取其数据包包间间隔序列T'={T1',T2',…,Tn'},并计算数据包包间间隔序列信息熵H(X'):
[0019]
[0020] 其中,xi为T'中一具体时间间隔的值,p(xi)为该时间间隔具体值出现的概率,nt为T'中不同时间间隔具体值的个数;
[0021] 并将数据包包间间隔序列信息熵H(X')作为信道的全局特征Dw;
[0022] 4)基于局部特征Si与全局特征Dw,获得k个特征点对:(X1,S1),…,(Xi,Si),…,(Xk,Sk),其中,Xi=i,i表示序列顺序的常数;
[0023] 随机选择l个点,2≤l≤k,寻找唯一能够经过所选l个点的l-1阶多项式f(x):
[0024]
[0025] 利用(l,n)
门限秘密共享方案中的秘密重构策略,运用拉格朗日插值定理,获得f(x),并令标识符S取值为f(Dw);
[0026] 5)得到标识符置信区间η,并加入时间式网络隐蔽信道检测匹配库;通过判断未知类型的信道是否满足时间式网络隐蔽信道的置信
阈值,即可检测未知信道是否为隐蔽信道;
[0027] 其中,
[0028] 作为优选,步骤1)中,通过网络数据流的时间戳提取数据包包间延时,并将网络数据流划分为N个时隙,具体如下:
[0029] 设原始信道的时间序列A={a1,a2,a3,…,an},计算时间序列A的信息滴:
[0030]
[0031] 计算原始信道被延迟时间τ后的时间序列B={b1,b2,b3,…,bm}的信息熵:
[0032]
[0033] 计算时间序列A和时间序列B的联合熵:
[0034] I(A,B)=H(A)+H(B)-H(A,B);
[0035] 计算时间序列A和时间序列B的互信息:
[0036]
[0037] 采用利用相空间重构方法计算最佳嵌入维数,判断准则如下:
[0038]
[0039]
[0040] 其中,n(i,d)的取值范围是1到n-dσ之间的整数,计算时间序列A和时间序列B的互信息H(A,B),并令σ=H(A,B);
[0041] 将E(d)趋于平稳状态时所对应的d值作为最佳嵌入维数,将其设为N,将网络数据流划分为N个时隙。
[0042] 作为优选,设ti表示时间序列数据P={P1,P2,…,Pn}中的数据Pi所对应的时间戳,同时,t1还表示时隙I1的开始时间;则任意样本窗口中的网络数据流的时隙长度t=tn-t1,每个时隙Ii的时隙长度 进而,对于时间序列数据P={P1,P2,…,Pn},Pi相对于时隙Ii开始时间的偏移量ti'=ti-t1,则Δti=ti'modT;
[0043] 步骤2)中的Δti,j基于上述方法获取。
[0044] 作为优选,步骤4)中,f(x)具体为:
[0045]
[0046] 其中,p为大素数。
[0047] 作为优选,步骤4)与步骤5)之间,进一步地,给定任一有效门限值l后,标识符的总数为:
[0048]
[0049] 本发明的有益效果如下:
[0050] 本发明所述的基于秘密共享的时间式网络隐蔽信道检测方法,充分分析了多种类型的时间式网络隐蔽信道的通信特性,通过对网络流进行预处理,提取具有鲁棒性的信道内在特征。本发明利用相空间重构方法将信道进行分段处理,将信道局部时隙特征作为子秘密,将信道全局熵值特征作为权值,利用门限秘密共享原理中的秘密重构策略构建了一个信道标识符,实现将信道特征到信道标识符的映射,将传统
密码学与网络时间隐蔽信道检测很好的结合在一起,保证检测率的同时提高了检测方法的鲁棒性。
[0051] 本发明利用混沌原理中的相空间重构技术将时间序列进行合理分段,在不添加人为因素的干扰下,把握未知信道的性质与规律。
[0052] 本发明将时间序列作为一质点系,则相似的时间序列质心相近。将质心作为时间序列特征,可有效抵制在网络干扰下的时序变化,以时隙质心为信道特征可有效提高检测方法的鲁棒性。
[0053] 本发明结合秘密共享原理的秘密重构策略,将信道特征重构为信道标识符,提高检测方法的适用范围并且提高检测方法的正检率。
[0054] 本发明结合秘密共享原理可容忍部分子秘密丢失的特性,在网络环境受到干扰导致部分信道特征丢失的情况下,依然能保持较高鲁棒性。
附图说明
[0055] 图1是本发明的时间式网络隐蔽信道的检测模型;
[0056] 图2是本发明的时间式网络隐蔽信道的检测
流程图。
具体实施方式
[0057] 以下结合附图及
实施例对本发明进行进一步的详细说明。
[0058] 本发明所述的基于秘密共享的时间式网络隐蔽信道检测方法,如图1、图2所示,步骤如下:
[0059] 1)获取一条原始信道的网络数据流,根据样本窗口大小得到时间序列数据P={P1,P2,…,Pn},n为样本窗口中数据的个数;将样本窗口中的网络数据流划分为N个时隙,得到时隙组I={I1,I2,…,IN}。
[0060] 本发明中,通过网络数据流的时间戳提取数据包包间延时,并将网络数据流划分为N个时隙,具体如下:
[0061] 设原始信道的时间序列A={a1,a2,a3,…,an},计算时间序列A的信息滴:
[0062]
[0063] 计算原始信道被延迟时间τ后的时间序列B={b1,b2,b3,…,bm}的信息熵:
[0064]
[0065] 计算时间序列A和时间序列B的联合熵:
[0066] I(A,B)=H(A)+H(B)-H(A,B);
[0067] 计算时间序列A和时间序列B的互信息:
[0068]
[0069] 采用利用相空间重构方法计算最佳嵌入维数,判断准则如下:
[0070]
[0071]
[0072] 其中,n(i,d)的取值范围是1到n-dσ之间的整数,计算时间序列A和时间序列B的互信息H(A,B),并令σ=H(A,B);
[0073] 将E(d)趋于平稳状态时所对应的d值作为最佳嵌入维数,将其设为N,将网络数据流划分为N个时隙。
[0074] 本发明中,设ti表示时间序列数据P={P1,P2,…,Pn}中的数据Pi所对应的时间戳,同时,t1还表示时隙I1的开始时间;则任意样本窗口中的网络数据流的时隙长度t=tn-t1,每个时隙Ii的时隙长度 进而,对于时间序列数据P={P1,P2,…,Pn},Pi相对于时隙Ii开始时间的偏移量ti'=ti-t1,则Δti=ti'modT。
[0075] 2)假设时隙Ii中共有个k>0包Pi,1,Pi,2,…,Pi,k,定义时隙Ii的质心为:
[0076]
[0077] 其中,i=1,2,…,N,Δti,j为数据包相对于其所属时隙开始时间的偏移量,Δti,j基于上述方法获取。
[0078] 如果时隙为空,则定义时隙Ii的质心为:
[0079]
[0080] 其中,T为每个时隙的时隙长度;
[0081] 并将时隙Ii的质心Cent(Ii)作为信道的局部特征Si;
[0082] 3)对时间序列数据P={P1,P2,…,Pn}提取其数据包包间间隔序列T'={T1',T2',…,Tn'},并计算数据包包间间隔序列信息熵H(X'):
[0083]
[0084] 其中,xi为T'中一具体时间间隔的值,p(xi)为该时间间隔具体值出现的概率,nt为T'中不同时间间隔具体值的个数;
[0085] 并将数据包包间间隔序列信息熵H(X')作为信道的全局特征Dw;
[0086] 4)基于局部特征Si与全局特征Dw,获得k个特征点对:(X1,S1),…,(Xi,Si),…,(Xk,Sk),其中,Xi=i,i表示序列顺序的常数;
[0087] 随机选择l个点,2≤l≤k,寻找唯一能够经过所选l个点的l-1阶多项式f(x):
[0088]
[0089] 利用(l,n)门限秘密共享方案中的秘密重构策略,运用拉格朗日插值定理,获得f(x),并令标识符S取值为f(Dw);
[0090] 其中,f(x)具体为:
[0091]
[0092] 其中,p为大素数。
[0093] 5)得到标识符置信区间η,并加入时间式网络隐蔽信道检测匹配库;通过判断未知类型的信道是否满足时间式网络隐蔽信道的置信阈值,即可检测未知信道是否为隐蔽信道;
[0094] 其中,
[0095] 本发明中,步骤4)与步骤5)之间,进一步地,为了尽可能地提升标识符的适应性,给定任一有效门限值l后,标识符的总数为:
[0096]
[0097] 实施例
[0098] 本实施例可适用于真实的网络流量传输场景下,本发明可以由一种时间式网络隐蔽信道检测装置来执行,具体包括如下步骤:
[0099] 步骤1:在Windows10
操作系统下,利用Pycharm和Wireshark
软件搭建基于秘密共享的时间式网络隐蔽信道的检测平台,用于检测时间式网络隐蔽信道的存在。在本实例中,选取了目前主要占据网络数据流量的网络协议——HTTP网络流量,作为隐蔽信道的载体。在不同的实施例中,可以选取不同的网络协议作为隐蔽信道的传输载体。
[0100] 步骤2:通过Wireshark软件捕获传输中的HTTP网络流量,通过网络流量的时间戳提取数据包包间延时IPD,并利用相空间重构方法将序列划分为多个时隙,假设时隙Ii中共有个k>0包Pi,1,Pi,2,…,Pi,k。
[0101] 步骤3:计算该时隙的质心Cent(Ii),若时隙为空,则定义 Cent(Ii)可视为信道的局部特征Xi。
[0102] 步骤4:对于时间序列数据P={P1,P2,…,Pn},提取其数据包包间间隔序列T'={T1',T2',…,Tn'},计算数据包间间隔序列信息熵H(X')。H(X')可视为信道的全局特征Dw。
[0103] 步骤5:利用步骤3和步骤4中提取的信道局部特征和全局特征,获得k个特征点对(X1,S1),…,(Xi,Si),…,(Xk,Sk),其中Xi=i,利用(l,n)门限秘密共享方案中的秘密重构策略,运用拉格朗日插值定理,获得f(x)的具体形式,并令标识符S取值为f(Dw),得到标识符置信区间η,并加入时间式网络隐蔽信道检测匹配库。
[0104] 步骤6:对于Wireshark采集的未知流量,重复步骤1-5用于提取未知流量的标识符,将未知流量的标识符与实时的检测摘匹配即可获知其是否属于时间式网络隐蔽信道,以达到检测隐蔽信道的目的。
[0105] 上述实施例仅是用来说明本发明,而并非用作对本发明的限定。只要是依据本发明的技术实质,对上述实施例进行变化、变型等都将落在本发明的
权利要求的范围内。
