CN103577835A - 采用多维特征向量检测ip id隐信道的方法 - Google Patents

Abstract

本发明公开了一种采用多维特征向量检测IP ID隐信道的方法，包括以下步骤：（1）特征提取步骤：分别针对正常和异常的训练样本，连续捕获N个IP数据包，提取IP头部ID域信息，获得相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸；统计Δid₁，Δid₂，...，Δid_n-1的均值E、标准差D和熵值H，得到三维特征矢量；（2）进行SVM分类器训练：采用重复步骤（1）得到的正常的训练样本的三维特征矢量集和异常的训练样本的三维特征矢量集进行SVM分类器训练，得到分类检测模型；（3）根据训练得到的分类模型，SVM分类器对待检测信道的特征矢量进行分类，得到分类结果。该方法检测效率高，采用多维统计特征作为分类依据，提高了检测准确率。

Description

采用多维特征向量检测IP ID隐信道的方法

技术领域

本发明属于信息安全技术领域，具体涉及一种采用多维特征向量检测IP ID隐信道的方法。 

背景技术

信息隐蔽是一种新的信息安全技术，近年来得到了迅速的发展，可广泛应用于数字信息的版权保护、认证、机密信息的隐蔽传输等领域。信息隐藏技术是利用载体信息的冗余性，将隐蔽信息嵌入到普通信息之中，通过普通信息的发送将秘密信息发送出去。信息隐藏可以穿透访问控制、防火墙和入侵检测等网络安全设施，实施不易被察觉的隐藏通信。 

传统的信息隐藏大多以文本、音频、图像作为载体，近年来，基于网络协议的信息隐藏逐渐成为热点。利用信息隐藏技术，在TCP/IP协议中嵌入机密数据，进行隐蔽通信的信道称为隐信道。TCP/IP协议的各种报文结构通常具有固定格式。这种固定格式在给网际互连带来方便的同时，也不可避免地引入了冗余。如某些协议报文中的字段在一般的通信过程中通常不会被利用，但按照TCP/IP协议的标准它们又不可缺少，这就给隐蔽通信创造了机会。 

现有的基于TCP/IP协议的隐信道主要分为存储型隐信道和时序型隐信道两种。存储型隐信道，利用协议头部的冗余字段隐藏信息；时序型隐信道，利用数据包的时序特征或顺序(调制数据包的时间间隔、数据包在网络中的发送时间或数据包的顺序等)，隐藏信息。接下来介绍几种存储型隐信道。以Rowland为代表提出了基于TCP/IP头部域的隐信道（Covert channels in the TCP/IP protocol suite，1996），C.Abad提出了基于校验和的隐信道（IP Checksum Covert Channels and Selected Hash Collision，2001），J.Giffin，R.Greenstadt，P.Litwack，and R.Tibbetts，提出了基于选项域时间戳的隐信道（Covert Messaging Through TCP Timestamps，2002）。基于TCP/IP头部的存储型隐信道取得了相当的成果，如图1所示为IP数据报格式及标识(ID)域的位置。 

网络隐信道的存在，给国家、单位和个人的信息安全带来极大的威胁， 尤其是网络中的病毒有些已经开始通过隐信道传输，国家、企业以及个人的信息也开始通过隐信道泄露到对手或网络上。现在网络隐信道对网络安全的破坏是悄无声息的，对网络信息的安全性和私密性构成了极大的威胁。因此，研究网络隐信道的检测技术势在必行。 

相对于隐信道的正向研究，其逆向的检测技术研究比较少。现有的隐信道检测方法大多是针对特定的隐藏算法进行分析，其检测效率低，实用性不强。本发明因此而来。 

发明内容

本发明的目的在于提供一种采用多维特征向量检测IP ID隐信道的方法，该方法解决了现有检测算法检测效率低、实用性不强等问题，可以实现基于IP协议隐蔽通信中基于IP ID的隐信道的有效检测。 

为了解决现有技术中的这些问题，本发明提供的技术方案是： 

一种采用多维特征向量检测IP ID隐信道的方法，其特征在于所述方法采用SVM分类器对三维特征向量(E，D，H)分类学习训练，然后检测出隐信道，具体包括以下步骤： 

（1）特征提取： 

i）针对正常的训练样本，连续捕获N个IP数据包，提取IP头部ID域信息，获得相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸；统计Δid₁，Δid₂，...，Δid_n-1的均值E、标准差D和熵值H，得到三维特征矢量(E，D，H)，其中： 

E(Δid₁，Δid₂，...，Δid_n-1)=（Δid₁+Δid₂+...+Δid_n-1）/(n-1)； 

$D(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=\sqrt{\frac{1}{n}\underset{1}{\overset{n-1}{\mathrm{\Σ}}}{(\mathrm{\Δi}{d}_i-E)}^2};$

$H(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=-\underset{i}{\mathrm{\Σ}}{p}_i\log p_i;$

其中p_i为Δid_i出现的概率； 

ii）针对异常的训练样本，按照与正常的训练样本相同的特征提取方法提取出异常训练样本的三维特征矢量(E'，D'，H')； 

（2）进行SVM分类器训练：采用重复步骤（1）得到的正常的训练样 本的三维特征矢量集和异常的训练样本的三维特征矢量集，使用libsvm进行SVM分类器训练，得到分类检测模型； 

（3）对于待检测的通信信道，按照步骤（1）的方法进行特征提取后，根据训练得到的分类模型，SVM分类器对待检测信道的特征矢量(E''，D''，H'')进行分类，得到分类结果，即检测出是否含有隐信道。 

优选的技术方案是：所述方法步骤（1）中连续捕获N个IP数据包后，去掉包体，获得包头中的IP ID值后，将以十六进制表示的IP ID值转化为以十进制表示的IP ID值，然后计算相邻数据包ID差值。 

优选的技术方案是：所述方法步骤（1）中获得正常训练样本的三维特征矢量(E，D，H)，将统计特征三元组信息按照libsvm格式要求存储到文件。 

优选的技术方案是：所述方法步骤（1）中获得异常训练样本的三维特征矢量(E'，D'，H')，将统计特征三元组信息按照libsvm格式要求存储到文件。 

优选的技术方案是：所述方法步骤（2）中SVM分类器进行训练前，需要重复步骤（1）获取正常训练样本的三维特征矢量集以及异常训练样本的三维特征矢量集；然后采用正常训练样本的三维特征矢量集和异常训练样本的三维特征矢量集对SVM分类器进行训练，获取分类模型特征库，从而构建分类检测模型。 

本发明涉及通信与信息安全技术领域，特别涉及基于网络协议的信息隐藏领域，更具体的是涉及利用多维统计特征向量以及SVM分类器检测IP ID隐信道的方法。本发明基于多维特征向量的检测方法，通过统计相邻IP数据包ID增量的均值E、标准差D和熵H，进而采用SVM分类器对三维特征向量(E，D，H)分类学习，检测出隐信道。 

本发明涉及的支持向量机SVM作为可训练的机器学习方法，依靠小样本学习后的模型参数进行特征提取。它的理论基础是Vapnik创建的统计学习理论。它通过结构风险最小化理论和核函数方法的思想，主要是针对两类分类问题，在特征空间中建构最优分割超平面作为两类训练样本点的分割，以保证最小的分类错误率。本发明实施例中，分类器采用台湾林智仁教授开发的支持向量机软件libsvm，可以很方便的对数据分类或回归。由于libsvm程序小，运用灵活，输入参数少，并且是开源的，易于扩展，因此成为目前 国内应用最多的SVM库。如附图2所示，为使用libsvm进行分类训练，特征提取，以及构建分类模型的流程图。 

相对于现有技术中的方案，本发明的优点是： 

本发明与已有技术相比，本发明的技术方案适用性强，本发明检测方法可对一类基于IP ID域进行修改的隐信道进行检测，不局限于某一种算法；本发明的技术方案检测效率高，采用多维特征作为分类依据，提高了检测准确率。 

附图说明

下面结合附图及实施例对本发明作进一步描述： 

图1为IP数据报格式及ID域的位置； 

图2为SVM进行分类训练、特征提取、构建模型流程图； 

图3为基于多维特征向量的IP ID隐信道检测方法框架图； 

图4为检测模型训练方法流程图； 

图5为检测模型检测方法流程图标准差； 

图6为正常特征矢量与异常特征矢量的均值对比图； 

图7为正常特征矢量和异常特征矢量的标准差对比图； 

图8为正常特征矢量和异常特征矢量的熵对比图。 

具体实施方式

以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。 

实施例 

如图3所示为基于多维特征向量的IP ID隐信道检测方法框架图。包括训练和检测两大阶段，每个阶段由预处理、特征提取、SVM分类学习三个模块组成。 

如图4所示为检测模型训练方法流程图，训练阶段包括以下步骤： 

（1）预处理：对正常的训练样本，连续捕获N个IP数据包，提取IP 头部ID域信息，计算相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸； 

（2）特征提取：统计步骤(1)中Δid₁，Δid₂，...，Δid_n-1的均值E、标准差D和熵值H，得到三维特征矢量(E，D，H)，其中E，D，H的计算公式为： 

E(Δid₁，Δid₂，...，Δid_n-1)=（Δid₁+Δid₂+...+Δid_n-1）/(n-1)； 

$D(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=\sqrt{\frac{1}{n}\underset{1}{\overset{n-1}{\mathrm{\Σ}}}{(\mathrm{\Δi}{d}_i-E)}^2};$

$H(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=-\underset{i}{\mathrm{\Σ}}{p}_i\log p_i;$

其中p_i为Δid_i出现的概率； 

（3）对异常的训练样本，重复步骤(1)(2)，提取出异常的三维特征矢量(E'，D'，H')； 

（4）SVM训练：重复步骤(1)(2)(3)，得到大量特征矢量(E，D，H)和(E'，D'，H')，由SVM分类器进行训练，得到分类检测模型Model。 

在上述步骤1中，首先要得到连续的正常网络通信信道的数据包，去掉包体，得到包头中的IP ID值，是以十六进制表示的，注意转化为十进制数据。然后处理得ID差值Δid，存储到文件中。 

上述步骤2的任务是提取Δid的统计特征信息均值，标准差，熵值，作为特征矢量(E，D，H)，并将统计特征三元组信息按照libsvm格式要求存储到文件。 

在上述步骤3中，采用相同的预处理和特征提取对异常信道进行操作处理，得到异常的特征矢量(E'，D'，H')。 

上述步骤4是构建整个SVM统计检测模型的关键。首先重复预处理和特征提取操作，获得正常和异常特征矢量集，通过libsvm对两者训练学习，获取分类模型特征库。到此，检测模型构建完成。 

如图5所示为检测模型检测方法流程图，检测阶段包括以下步骤： 

（1）预处理：对需要检测的通信信道，连续捕获N个IP数据包，提取IP头部ID域信息，计算相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸； 

（2）特征提取：统计步骤(1)中Δid₁，Δid₂，...，Δid_n-1，的均值E''、标准差D''和熵值H''，得到待检测信道的三维特征矢量(E''，D''，H'')，其中E''，D''，H''的计算公式为： 

E''(Δid₁，Δid₂，...，Δid_n-1)=（Δid₁+Δid₂+...+Δi_dn-1）/(n-1)； 

$D^{\′\′}(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=\sqrt{\frac{1}{n}\underset{1}{\overset{n-1}{\mathrm{\Σ}}}{(\mathrm{\Δi}{d}_i-E)}^2};$

$H^{\′\′}(\mathrm{\Δ}{\mathrm{id}}_1,\mathrm{\Δ}{\mathrm{id}}_2,...,\mathrm{\Δ}{\mathrm{id}}_{n-1})=-\underset{i}{\mathrm{\Σ}}{p}_i\log p_i;$

其中p_i为Δid_i出现的概率； 

（3）SVM分类：根据训练阶段中得到的分类模型Model，SVM分类器对待检测信道的特征矢量(E''，D''，H'')进行分类，得到分类结果，即检测结果。 

在上述步骤1和2中，采用预处理和特征提取对待检测通信信道操作处理，这均与训练过程相同。 

在上述步骤3中，调用分类检测模型，即使用libsvm工具，加载分类模型特征库文件，对待检测通信信道的特征矢量进行分类，判断信道中是否存在IP ID型隐信道。 

本发明提出的是一种基于多维特征向量的检测方法，对一类基于IP ID的隐信道方法进行检测。以国际上著名的隐信道工具covert_tcp为例，介绍本发明的实现方法和检测效果。 

根据建立隐藏信道的思想，covert_tcp是Craig H.Rowland基于TCP/IP协议的不规范数据包头传输隐藏信息的有效隐藏工具。covert_tcp程序是一个简单的工具，它只在Linux系统上使用，使用原始套接字来构建伪造数据包，并封装数据包发送隐藏信息。covert_tcp的一个经典实现是，通过利用IP数据包头的ID域隐藏信息，建立隐藏信道，可以十分便捷地实现传递隐藏信息。在构建隐藏通道时，首先把要发送的数据转换成ASCII码，然后将其进行加密，按照一定的算法转换成貌似合法的Identification域值，欺骗防火墙和IDS等网络安全设备，达到秘密传输数据的目的。 

下面结合附图分步骤具体描述具体案例，具体实施过程如下： 

（1）数据预处理 

采用基于Winpcap的数据包捕获程序，通过设定目的端口，源IP地址，目的IP地址捕获正常通信信道的数据包，捕获连续的100000个数据包，提取IP头部ID域信息，存储到ipid.txt文件，然后通过编程实现对id信息处理，计算出数据包id的差值Δid。然后，每N个连续数据Δid值分为一组，为下一步特征提取做准备。 

（2）特征提取 

按分组计算Δid信息的统计特征，均值E，标准差D，熵值H，构成三维特征矢量<E，D，H>。然后以正常特征矢量label标记为1，异常特征矢量label标记为2，按照libsvm要求的“<label><index1>:<value1><index2>:<value2>...”格式存储到文件ip_train.txt。 

（3）异常样本处理 

对异常的训练样本，重复步骤（1）（2），即进行数据预处理和特征提取操作，提取出异常通信信道的三维特征矢量(E'，D'，H')，然后添加到ip_train.txt文件中正常特征矢量后面，组成训练样本的特征矢量。 

（4）SVM训练 

使用libsvm的svmtrain.exe，对正常训练样本和异常训练样本的特征矢量构成的ip_train.txt进行训练学习，得到模型特征库model_file，分类检测模型Model搭建完成。 

（5）待检测通信信道处理 

对待检测通信信道重复步骤（1）（2），即进行预处理和特征提取处理，提取出待检测通信信道的三维特征矢量(E''，D''，H'')，按照libsvm要求的格式输入文件ip_test.txt中。 

（6）SVM分类 

根据训练阶段中得到的分类模型Model，SVM分类器对待检测信道的特征矢量(E''，D''，H'')进行分类，即采用libsvm的libpredict.exe加载模型特征库model_file，对待检测的特征矢量文件ip_test.txt进行分类预测，得到分类结果，即检测结果，判断信道中是否存在IP ID隐信道。 

实施效果 

以本发明在SVM分类和数学统计相结合的检测模型的实现为例。检测对象为基于IP ID域的隐信道。通信双方以covert_tcp建立IP ID隐信道传 递隐藏信息，检测方使用SVM统计分类模型对网络通信信道进行检测。如图6，7，8所示，图6为正常特征矢量和异常特征矢量的均值对比折线图；图7为正常特征矢量和异常特征矢量的标准差对比图；图8为正常特征矢量和异常特征矢量的熵对比折线图。当检测窗口尺寸N为200时，正常样本和covert_tcp信道的异常样本在特征矢量均值E，标准差D，熵值H三方面的对比。检测结果显示，本发明对该种隐信道的检测率达到98%以上。如附表1所示，显示了检测窗口尺寸N=50，200，1000时的误报率，漏报率和准确率。由于covert_tcp是简单的隐藏工具，隐藏算法比较简陋，检测效率就比较高。而且，当检测窗口适当大时，检测准确率将高于99%。 

表1基于多维特征向量的IP ID隐信道检测方法的实施效果 

检测窗口尺寸N(packet)	误报率(%)	漏报率(%)	准确率(%)
				50	1.2048	0	98.8095
100	0.1934	0	99.8066
				200	0	0	100
1000	0	0	100

上述实施例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。 

Claims (5)

1.一种采用多维特征向量检测IP ID隐信道的方法，其特征在于所述方法采用SVM分类器对三维特征向量(E，D，H)分类学习训练，然后检测出隐信道，具体包括以下步骤：

（1）特征提取：

i）针对正常的训练样本，连续捕获N个IP数据包，提取IP头部ID域信息，获得相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸；统计Δid₁，Δid₂，...，Δid_n-1的均值E、标准差D和熵值H，得到三维特征矢量(E，D，H)，其中：

E(Δid₁，Δid₂，...，Δid_n-1)=（Δid₁+Δid₂+...+Δid_n-1）/(n-1)；

$D(\mathrm{\&Delta;}{\mathrm{id}}_1,\mathrm{\&Delta;}{\mathrm{id}}_2,...,\mathrm{\&Delta;}{\mathrm{id}}_{n-1})=\sqrt{\frac{1}{n}\underset{1}{\overset{n-1}{\mathrm{\&Sigma;}}}{(\mathrm{\&Delta;i}{d}_i-E)}^2};$

$H(\mathrm{\&Delta;}{\mathrm{id}}_1,\mathrm{\&Delta;}{\mathrm{id}}_2,...,\mathrm{\&Delta;}{\mathrm{id}}_{n-1})=-\underset{i}{\mathrm{\&Sigma;}}{p}_i\log p_i;$

其中p_i为Δid_i出现的概率；

ii）针对异常的训练样本，按照与正常的训练样本相同的特征提取方法提取出异常训练样本的三维特征矢量；

（2）SVM分类器训练：采用重复步骤（1）得到的正常的训练样本的三维特征矢量和异常的训练样本的三维特征矢量进行SVM分类器训练，得到分类检测模型；

（3）对于待检测的通信信道，按照步骤（1）的方法进行特征提取后，根据训练得到的分类模型，SVM分类器对待检测信道的特征矢量进行分类，得到分类结果，即检测出是否含有隐信道。

2.根据权利要求1所述的方法，其特征在于所述方法步骤（1）中连续捕获N个IP数据包后，去掉包体，获得包头中的IP ID值后，将以十六进制表示的IP ID值转化为以十进制表示的IP ID值，然后计算相邻数据包ID差值。

3.根据权利要求1所述的方法，其特征在于所述方法步骤（1）中获得正常训练样本的三维特征矢量(E，D，H)，将统计特征三元组信息按照libsvm格式要求存储到文件。

4.根据权利要求1所述的方法，其特征在于所述方法步骤（1）中获得异常训练样本的三维特征矢量(E’，D’，H’)，将统计特征三元组信息按照libsvm格式要求存储到文件。

5.根据权利要求1所述的方法，其特征在于所述方法步骤（2）中SVM分类器进行训练前，需要重复步骤（1）获取正常训练样本的三维特征矢量集以及异常训练样本的三维特征矢量集；然后采用正常训练样本的三维特征矢量集和异常训练样本的三维特征矢量集对SVM分类器进行训练，获取分类模型特征库，从而构建分类检测模型。

Images