CN103577835A - 采用多维特征向量检测ip id隐信道的方法 - Google Patents
采用多维特征向量检测ip id隐信道的方法 Download PDFInfo
- Publication number
- CN103577835A CN103577835A CN201310334587.5A CN201310334587A CN103577835A CN 103577835 A CN103577835 A CN 103577835A CN 201310334587 A CN201310334587 A CN 201310334587A CN 103577835 A CN103577835 A CN 103577835A
- Authority
- CN
- China
- Prior art keywords
- delta
- dimensional feature
- feature vector
- training sample
- svm classifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种采用多维特征向量检测IP ID隐信道的方法,包括以下步骤:(1)特征提取步骤:分别针对正常和异常的训练样本,连续捕获N个IP数据包,提取IP头部ID域信息,获得相邻数据包ID差值Δid1,Δid2,...,Δidn-1,其中N为检测窗口尺寸;统计Δid1,Δid2,...,Δidn-1的均值E、标准差D和熵值H,得到三维特征矢量;(2)进行SVM分类器训练:采用重复步骤(1)得到的正常的训练样本的三维特征矢量集和异常的训练样本的三维特征矢量集进行SVM分类器训练,得到分类检测模型;(3)根据训练得到的分类模型,SVM分类器对待检测信道的特征矢量进行分类,得到分类结果。该方法检测效率高,采用多维统计特征作为分类依据,提高了检测准确率。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种采用多维特征向量检测IP ID隐信道的方法。
背景技术
信息隐蔽是一种新的信息安全技术,近年来得到了迅速的发展,可广泛应用于数字信息的版权保护、认证、机密信息的隐蔽传输等领域。信息隐藏技术是利用载体信息的冗余性,将隐蔽信息嵌入到普通信息之中,通过普通信息的发送将秘密信息发送出去。信息隐藏可以穿透访问控制、防火墙和入侵检测等网络安全设施,实施不易被察觉的隐藏通信。
传统的信息隐藏大多以文本、音频、图像作为载体,近年来,基于网络协议的信息隐藏逐渐成为热点。利用信息隐藏技术,在TCP/IP协议中嵌入机密数据,进行隐蔽通信的信道称为隐信道。TCP/IP协议的各种报文结构通常具有固定格式。这种固定格式在给网际互连带来方便的同时,也不可避免地引入了冗余。如某些协议报文中的字段在一般的通信过程中通常不会被利用,但按照TCP/IP协议的标准它们又不可缺少,这就给隐蔽通信创造了机会。
现有的基于TCP/IP协议的隐信道主要分为存储型隐信道和时序型隐信道两种。存储型隐信道,利用协议头部的冗余字段隐藏信息;时序型隐信道,利用数据包的时序特征或顺序(调制数据包的时间间隔、数据包在网络中的发送时间或数据包的顺序等),隐藏信息。接下来介绍几种存储型隐信道。以Rowland为代表提出了基于TCP/IP头部域的隐信道(Covert channels in the TCP/IP protocol suite,1996),C.Abad提出了基于校验和的隐信道(IP Checksum Covert Channels and Selected Hash Collision,2001),J.Giffin,R.Greenstadt,P.Litwack,and R.Tibbetts,提出了基于选项域时间戳的隐信道(Covert Messaging Through TCP Timestamps,2002)。基于TCP/IP头部的存储型隐信道取得了相当的成果,如图1所示为IP数据报格式及标识(ID)域的位置。
网络隐信道的存在,给国家、单位和个人的信息安全带来极大的威胁, 尤其是网络中的病毒有些已经开始通过隐信道传输,国家、企业以及个人的信息也开始通过隐信道泄露到对手或网络上。现在网络隐信道对网络安全的破坏是悄无声息的,对网络信息的安全性和私密性构成了极大的威胁。因此,研究网络隐信道的检测技术势在必行。
相对于隐信道的正向研究,其逆向的检测技术研究比较少。现有的隐信道检测方法大多是针对特定的隐藏算法进行分析,其检测效率低,实用性不强。本发明因此而来。
发明内容
本发明的目的在于提供一种采用多维特征向量检测IP ID隐信道的方法,该方法解决了现有检测算法检测效率低、实用性不强等问题,可以实现基于IP协议隐蔽通信中基于IP ID的隐信道的有效检测。
为了解决现有技术中的这些问题,本发明提供的技术方案是:
一种采用多维特征向量检测IP ID隐信道的方法,其特征在于所述方法采用SVM分类器对三维特征向量(E,D,H)分类学习训练,然后检测出隐信道,具体包括以下步骤:
(1)特征提取:
i)针对正常的训练样本,连续捕获N个IP数据包,提取IP头部ID域信息,获得相邻数据包ID差值Δid1,Δid2,...,Δidn-1,其中N为检测窗口尺寸;统计Δid1,Δid2,...,Δidn-1的均值E、标准差D和熵值H,得到三维特征矢量(E,D,H),其中:
E(Δid1,Δid2,...,Δidn-1)=(Δid1+Δid2+...+Δidn-1)/(n-1);
其中pi为Δidi出现的概率;
ii)针对异常的训练样本,按照与正常的训练样本相同的特征提取方法提取出异常训练样本的三维特征矢量(E',D',H');
(2)进行SVM分类器训练:采用重复步骤(1)得到的正常的训练样 本的三维特征矢量集和异常的训练样本的三维特征矢量集,使用libsvm进行SVM分类器训练,得到分类检测模型;
(3)对于待检测的通信信道,按照步骤(1)的方法进行特征提取后,根据训练得到的分类模型,SVM分类器对待检测信道的特征矢量(E'',D'',H'')进行分类,得到分类结果,即检测出是否含有隐信道。
优选的技术方案是:所述方法步骤(1)中连续捕获N个IP数据包后,去掉包体,获得包头中的IP ID值后,将以十六进制表示的IP ID值转化为以十进制表示的IP ID值,然后计算相邻数据包ID差值。
优选的技术方案是:所述方法步骤(1)中获得正常训练样本的三维特征矢量(E,D,H),将统计特征三元组信息按照libsvm格式要求存储到文件。
优选的技术方案是:所述方法步骤(1)中获得异常训练样本的三维特征矢量(E',D',H'),将统计特征三元组信息按照libsvm格式要求存储到文件。
优选的技术方案是:所述方法步骤(2)中SVM分类器进行训练前,需要重复步骤(1)获取正常训练样本的三维特征矢量集以及异常训练样本的三维特征矢量集;然后采用正常训练样本的三维特征矢量集和异常训练样本的三维特征矢量集对SVM分类器进行训练,获取分类模型特征库,从而构建分类检测模型。
本发明涉及通信与信息安全技术领域,特别涉及基于网络协议的信息隐藏领域,更具体的是涉及利用多维统计特征向量以及SVM分类器检测IP ID隐信道的方法。本发明基于多维特征向量的检测方法,通过统计相邻IP数据包ID增量的均值E、标准差D和熵H,进而采用SVM分类器对三维特征向量(E,D,H)分类学习,检测出隐信道。
本发明涉及的支持向量机SVM作为可训练的机器学习方法,依靠小样本学习后的模型参数进行特征提取。它的理论基础是Vapnik创建的统计学习理论。它通过结构风险最小化理论和核函数方法的思想,主要是针对两类分类问题,在特征空间中建构最优分割超平面作为两类训练样本点的分割,以保证最小的分类错误率。本发明实施例中,分类器采用台湾林智仁教授开发的支持向量机软件libsvm,可以很方便的对数据分类或回归。由于libsvm程序小,运用灵活,输入参数少,并且是开源的,易于扩展,因此成为目前 国内应用最多的SVM库。如附图2所示,为使用libsvm进行分类训练,特征提取,以及构建分类模型的流程图。
相对于现有技术中的方案,本发明的优点是:
本发明与已有技术相比,本发明的技术方案适用性强,本发明检测方法可对一类基于IP ID域进行修改的隐信道进行检测,不局限于某一种算法;本发明的技术方案检测效率高,采用多维特征作为分类依据,提高了检测准确率。
附图说明
下面结合附图及实施例对本发明作进一步描述:
图1为IP数据报格式及ID域的位置;
图2为SVM进行分类训练、特征提取、构建模型流程图;
图3为基于多维特征向量的IP ID隐信道检测方法框架图;
图4为检测模型训练方法流程图;
图5为检测模型检测方法流程图标准差;
图6为正常特征矢量与异常特征矢量的均值对比图;
图7为正常特征矢量和异常特征矢量的标准差对比图;
图8为正常特征矢量和异常特征矢量的熵对比图。
具体实施方式
以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整,未注明的实施条件通常为常规实验中的条件。
实施例
如图3所示为基于多维特征向量的IP ID隐信道检测方法框架图。包括训练和检测两大阶段,每个阶段由预处理、特征提取、SVM分类学习三个模块组成。
如图4所示为检测模型训练方法流程图,训练阶段包括以下步骤:
(1)预处理:对正常的训练样本,连续捕获N个IP数据包,提取IP 头部ID域信息,计算相邻数据包ID差值Δid1,Δid2,...,Δidn-1,其中N为检测窗口尺寸;
(2)特征提取:统计步骤(1)中Δid1,Δid2,...,Δidn-1的均值E、标准差D和熵值H,得到三维特征矢量(E,D,H),其中E,D,H的计算公式为:
E(Δid1,Δid2,...,Δidn-1)=(Δid1+Δid2+...+Δidn-1)/(n-1);
其中pi为Δidi出现的概率;
(3)对异常的训练样本,重复步骤(1)(2),提取出异常的三维特征矢量(E',D',H');
(4)SVM训练:重复步骤(1)(2)(3),得到大量特征矢量(E,D,H)和(E',D',H'),由SVM分类器进行训练,得到分类检测模型Model。
在上述步骤1中,首先要得到连续的正常网络通信信道的数据包,去掉包体,得到包头中的IP ID值,是以十六进制表示的,注意转化为十进制数据。然后处理得ID差值Δid,存储到文件中。
上述步骤2的任务是提取Δid的统计特征信息均值,标准差,熵值,作为特征矢量(E,D,H),并将统计特征三元组信息按照libsvm格式要求存储到文件。
在上述步骤3中,采用相同的预处理和特征提取对异常信道进行操作处理,得到异常的特征矢量(E',D',H')。
上述步骤4是构建整个SVM统计检测模型的关键。首先重复预处理和特征提取操作,获得正常和异常特征矢量集,通过libsvm对两者训练学习,获取分类模型特征库。到此,检测模型构建完成。
如图5所示为检测模型检测方法流程图,检测阶段包括以下步骤:
(1)预处理:对需要检测的通信信道,连续捕获N个IP数据包,提取IP头部ID域信息,计算相邻数据包ID差值Δid1,Δid2,...,Δidn-1,其中N为检测窗口尺寸;
(2)特征提取:统计步骤(1)中Δid1,Δid2,...,Δidn-1,的均值E''、标准差D''和熵值H'',得到待检测信道的三维特征矢量(E'',D'',H''),其中E'',D'',H''的计算公式为:
E''(Δid1,Δid2,...,Δidn-1)=(Δid1+Δid2+...+Δidn-1)/(n-1);
其中pi为Δidi出现的概率;
(3)SVM分类:根据训练阶段中得到的分类模型Model,SVM分类器对待检测信道的特征矢量(E'',D'',H'')进行分类,得到分类结果,即检测结果。
在上述步骤1和2中,采用预处理和特征提取对待检测通信信道操作处理,这均与训练过程相同。
在上述步骤3中,调用分类检测模型,即使用libsvm工具,加载分类模型特征库文件,对待检测通信信道的特征矢量进行分类,判断信道中是否存在IP ID型隐信道。
本发明提出的是一种基于多维特征向量的检测方法,对一类基于IP ID的隐信道方法进行检测。以国际上著名的隐信道工具covert_tcp为例,介绍本发明的实现方法和检测效果。
根据建立隐藏信道的思想,covert_tcp是Craig H.Rowland基于TCP/IP协议的不规范数据包头传输隐藏信息的有效隐藏工具。covert_tcp程序是一个简单的工具,它只在Linux系统上使用,使用原始套接字来构建伪造数据包,并封装数据包发送隐藏信息。covert_tcp的一个经典实现是,通过利用IP数据包头的ID域隐藏信息,建立隐藏信道,可以十分便捷地实现传递隐藏信息。在构建隐藏通道时,首先把要发送的数据转换成ASCII码,然后将其进行加密,按照一定的算法转换成貌似合法的Identification域值,欺骗防火墙和IDS等网络安全设备,达到秘密传输数据的目的。
下面结合附图分步骤具体描述具体案例,具体实施过程如下:
(1)数据预处理
采用基于Winpcap的数据包捕获程序,通过设定目的端口,源IP地址,目的IP地址捕获正常通信信道的数据包,捕获连续的100000个数据包,提取IP头部ID域信息,存储到ipid.txt文件,然后通过编程实现对id信息处理,计算出数据包id的差值Δid。然后,每N个连续数据Δid值分为一组,为下一步特征提取做准备。
(2)特征提取
按分组计算Δid信息的统计特征,均值E,标准差D,熵值H,构成三维特征矢量<E,D,H>。然后以正常特征矢量label标记为1,异常特征矢量label标记为2,按照libsvm要求的“<label><index1>:<value1><index2>:<value2>...”格式存储到文件ip_train.txt。
(3)异常样本处理
对异常的训练样本,重复步骤(1)(2),即进行数据预处理和特征提取操作,提取出异常通信信道的三维特征矢量(E',D',H'),然后添加到ip_train.txt文件中正常特征矢量后面,组成训练样本的特征矢量。
(4)SVM训练
使用libsvm的svmtrain.exe,对正常训练样本和异常训练样本的特征矢量构成的ip_train.txt进行训练学习,得到模型特征库model_file,分类检测模型Model搭建完成。
(5)待检测通信信道处理
对待检测通信信道重复步骤(1)(2),即进行预处理和特征提取处理,提取出待检测通信信道的三维特征矢量(E'',D'',H''),按照libsvm要求的格式输入文件ip_test.txt中。
(6)SVM分类
根据训练阶段中得到的分类模型Model,SVM分类器对待检测信道的特征矢量(E'',D'',H'')进行分类,即采用libsvm的libpredict.exe加载模型特征库model_file,对待检测的特征矢量文件ip_test.txt进行分类预测,得到分类结果,即检测结果,判断信道中是否存在IP ID隐信道。
实施效果
以本发明在SVM分类和数学统计相结合的检测模型的实现为例。检测对象为基于IP ID域的隐信道。通信双方以covert_tcp建立IP ID隐信道传 递隐藏信息,检测方使用SVM统计分类模型对网络通信信道进行检测。如图6,7,8所示,图6为正常特征矢量和异常特征矢量的均值对比折线图;图7为正常特征矢量和异常特征矢量的标准差对比图;图8为正常特征矢量和异常特征矢量的熵对比折线图。当检测窗口尺寸N为200时,正常样本和covert_tcp信道的异常样本在特征矢量均值E,标准差D,熵值H三方面的对比。检测结果显示,本发明对该种隐信道的检测率达到98%以上。如附表1所示,显示了检测窗口尺寸N=50,200,1000时的误报率,漏报率和准确率。由于covert_tcp是简单的隐藏工具,隐藏算法比较简陋,检测效率就比较高。而且,当检测窗口适当大时,检测准确率将高于99%。
表1基于多维特征向量的IP ID隐信道检测方法的实施效果
检测窗口尺寸N(packet) | 误报率(%) | 漏报率(%) | 准确率(%) |
50 | 1.2048 | 0 | 98.8095 |
100 | 0.1934 | 0 | 99.8066 |
200 | 0 | 0 | 100 |
1000 | 0 | 0 | 100 |
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种采用多维特征向量检测IP ID隐信道的方法,其特征在于所述方法采用SVM分类器对三维特征向量(E,D,H)分类学习训练,然后检测出隐信道,具体包括以下步骤:
(1)特征提取:
i)针对正常的训练样本,连续捕获N个IP数据包,提取IP头部ID域信息,获得相邻数据包ID差值Δid1,Δid2,...,Δidn-1,其中N为检测窗口尺寸;统计Δid1,Δid2,...,Δidn-1的均值E、标准差D和熵值H,得到三维特征矢量(E,D,H),其中:
E(Δid1,Δid2,...,Δidn-1)=(Δid1+Δid2+...+Δidn-1)/(n-1);
其中pi为Δidi出现的概率;
ii)针对异常的训练样本,按照与正常的训练样本相同的特征提取方法提取出异常训练样本的三维特征矢量;
(2)SVM分类器训练:采用重复步骤(1)得到的正常的训练样本的三维特征矢量和异常的训练样本的三维特征矢量进行SVM分类器训练,得到分类检测模型;
(3)对于待检测的通信信道,按照步骤(1)的方法进行特征提取后,根据训练得到的分类模型,SVM分类器对待检测信道的特征矢量进行分类,得到分类结果,即检测出是否含有隐信道。
2.根据权利要求1所述的方法,其特征在于所述方法步骤(1)中连续捕获N个IP数据包后,去掉包体,获得包头中的IP ID值后,将以十六进制表示的IP ID值转化为以十进制表示的IP ID值,然后计算相邻数据包ID差值。
3.根据权利要求1所述的方法,其特征在于所述方法步骤(1)中获得正常训练样本的三维特征矢量(E,D,H),将统计特征三元组信息按照libsvm格式要求存储到文件。
4.根据权利要求1所述的方法,其特征在于所述方法步骤(1)中获得异常训练样本的三维特征矢量(E’,D’,H’),将统计特征三元组信息按照libsvm格式要求存储到文件。
5.根据权利要求1所述的方法,其特征在于所述方法步骤(2)中SVM分类器进行训练前,需要重复步骤(1)获取正常训练样本的三维特征矢量集以及异常训练样本的三维特征矢量集;然后采用正常训练样本的三维特征矢量集和异常训练样本的三维特征矢量集对SVM分类器进行训练,获取分类模型特征库,从而构建分类检测模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310334587.5A CN103577835B (zh) | 2013-08-02 | 2013-08-02 | 采用多维特征向量检测ip id隐信道的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310334587.5A CN103577835B (zh) | 2013-08-02 | 2013-08-02 | 采用多维特征向量检测ip id隐信道的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103577835A true CN103577835A (zh) | 2014-02-12 |
CN103577835B CN103577835B (zh) | 2016-08-10 |
Family
ID=50049583
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310334587.5A Expired - Fee Related CN103577835B (zh) | 2013-08-02 | 2013-08-02 | 采用多维特征向量检测ip id隐信道的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103577835B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104504233A (zh) * | 2014-11-14 | 2015-04-08 | 北京系统工程研究所 | 一种基于多维向量熵随机采样的异常识别方法 |
CN104753617A (zh) * | 2015-03-17 | 2015-07-01 | 中国科学技术大学苏州研究院 | 基于神经网络的时序型隐信道检测方法 |
CN105141631A (zh) * | 2015-09-21 | 2015-12-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端、服务器及账户安全登录的方法、装置和系统 |
CN107910009A (zh) * | 2017-11-02 | 2018-04-13 | 中国科学院声学研究所 | 一种基于贝叶斯推理的码元改写信息隐藏检测方法及系统 |
CN109218124A (zh) * | 2017-07-06 | 2019-01-15 | 杨连群 | Dns隧道传输检测方法和装置 |
CN109474598A (zh) * | 2018-11-19 | 2019-03-15 | 西安交通大学 | 一种基于数据包时序的恶意加密流量分析特征提取方法 |
CN109729070A (zh) * | 2018-11-28 | 2019-05-07 | 甘肃农业大学 | 一种基于cnn和rnn融合模型的网络异构并发隐写信道的检测方法 |
CN110691357A (zh) * | 2019-09-04 | 2020-01-14 | 南京理工大学 | 基于Intent通信行为语义图的安卓应用间隐信道检测方法 |
CN110704559A (zh) * | 2019-09-09 | 2020-01-17 | 武汉大学 | 一种多尺度矢量面数据匹配方法 |
US11532912B2 (en) * | 2017-07-31 | 2022-12-20 | Bayerische Motoren Werke Aktiengesellschaft | Method for checking plug connections |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7920705B1 (en) * | 2006-07-26 | 2011-04-05 | Rockwell Collins, Inc. | System and method for convert channel detection |
US8151348B1 (en) * | 2004-06-30 | 2012-04-03 | Cisco Technology, Inc. | Automatic detection of reverse tunnels |
CN102594619A (zh) * | 2012-02-15 | 2012-07-18 | 南京理工大学常熟研究院有限公司 | 一种网络隐信道检测方法 |
CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
CN102622548A (zh) * | 2012-03-19 | 2012-08-01 | 中国科学院信息工程研究所 | 一种数据库隐蔽信道检测方法 |
-
2013
- 2013-08-02 CN CN201310334587.5A patent/CN103577835B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8151348B1 (en) * | 2004-06-30 | 2012-04-03 | Cisco Technology, Inc. | Automatic detection of reverse tunnels |
US7920705B1 (en) * | 2006-07-26 | 2011-04-05 | Rockwell Collins, Inc. | System and method for convert channel detection |
CN102594619A (zh) * | 2012-02-15 | 2012-07-18 | 南京理工大学常熟研究院有限公司 | 一种网络隐信道检测方法 |
CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
CN102622548A (zh) * | 2012-03-19 | 2012-08-01 | 中国科学院信息工程研究所 | 一种数据库隐蔽信道检测方法 |
Non-Patent Citations (6)
Title |
---|
JIANGTAOZHAI等: "A Covert Channel Detection Algorithm Based on TCP Markov Model", 《MULTIMEDIA INFORMATION NETWORKING AND SECURITY (MINES), 2010 INTERNATIONAL CONFERENCE》, 6 November 2010 (2010-11-06) * |
SERDARCABUK等: "IP Covert Timing Channels: Design and Detection", 《PROCEEDINGS OF THE 11TH ACM CONFERENCE ON COMPUTER AND COMMUNICATIONS SECURITY》, 29 October 2004 (2004-10-29) * |
T.SOHN等: "A study on the covert channel detection of TCP/IP header using support vector machine", 《PROC. 5TH.INT’L. CONF. INFO. ANDCOMMUN. SECURITY》, 30 November 2003 (2003-11-30) * |
段珂珂: "基于模型的网络隐信道技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 August 2010 (2010-08-15) * |
眭新光等: "基于IP包的信息隐藏技术", 《计算机工程》, 5 August 2008 (2008-08-05) * |
石进: "网络隐信道Cloak的分析与检测", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 June 2013 (2013-06-15) * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104504233A (zh) * | 2014-11-14 | 2015-04-08 | 北京系统工程研究所 | 一种基于多维向量熵随机采样的异常识别方法 |
CN104753617A (zh) * | 2015-03-17 | 2015-07-01 | 中国科学技术大学苏州研究院 | 基于神经网络的时序型隐信道检测方法 |
CN104753617B (zh) * | 2015-03-17 | 2017-06-13 | 中国科学技术大学苏州研究院 | 基于神经网络的时序型隐信道检测方法 |
CN105141631A (zh) * | 2015-09-21 | 2015-12-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端、服务器及账户安全登录的方法、装置和系统 |
CN109218124A (zh) * | 2017-07-06 | 2019-01-15 | 杨连群 | Dns隧道传输检测方法和装置 |
US11532912B2 (en) * | 2017-07-31 | 2022-12-20 | Bayerische Motoren Werke Aktiengesellschaft | Method for checking plug connections |
CN107910009B (zh) * | 2017-11-02 | 2020-12-01 | 中国科学院声学研究所 | 一种基于贝叶斯推理的码元改写信息隐藏检测方法及系统 |
CN107910009A (zh) * | 2017-11-02 | 2018-04-13 | 中国科学院声学研究所 | 一种基于贝叶斯推理的码元改写信息隐藏检测方法及系统 |
CN109474598A (zh) * | 2018-11-19 | 2019-03-15 | 西安交通大学 | 一种基于数据包时序的恶意加密流量分析特征提取方法 |
CN109729070A (zh) * | 2018-11-28 | 2019-05-07 | 甘肃农业大学 | 一种基于cnn和rnn融合模型的网络异构并发隐写信道的检测方法 |
CN110691357A (zh) * | 2019-09-04 | 2020-01-14 | 南京理工大学 | 基于Intent通信行为语义图的安卓应用间隐信道检测方法 |
CN110691357B (zh) * | 2019-09-04 | 2022-06-24 | 南京理工大学 | 基于Intent通信行为语义图的安卓应用间隐信道检测方法 |
CN110704559A (zh) * | 2019-09-09 | 2020-01-17 | 武汉大学 | 一种多尺度矢量面数据匹配方法 |
CN110704559B (zh) * | 2019-09-09 | 2021-04-16 | 武汉大学 | 一种多尺度矢量面数据匹配方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103577835B (zh) | 2016-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103577835A (zh) | 采用多维特征向量检测ip id隐信道的方法 | |
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
Hameed et al. | Towards a formally verified zero watermarking scheme for data integrity in the Internet of Things based-wireless sensor networks | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN105721242A (zh) | 一种基于信息熵的加密流量识别方法 | |
Wang et al. | Deep neural networks for CSI-based authentication | |
CN104168272A (zh) | 一种基于通信行为聚类的木马检测方法 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 | |
CN103840983A (zh) | 基于协议行为分析的web隧道检测方法 | |
CN111224946A (zh) | 一种基于监督式学习的tls加密恶意流量检测方法及装置 | |
Shrestha et al. | Leveraging statistical feature points for generalized detection of covert timing channels | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
Sohn et al. | Covert channel detection in the ICMP payload using support vector machine | |
Kavitha et al. | ANOMALY BASED INTRUSION DETECTION IN WLAN USING DISCRIMINATION ALGORITHM COMBINED WITH NAÏVE BAYESIAN CLASSIFIER NAÏVE BAYESIAN CLASSIFIER. | |
CN116346418A (zh) | 基于联邦学习的DDoS检测方法及装置 | |
Zhang et al. | Detection of android malware based on deep forest and feature enhancement | |
WO2021018440A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
CN105100023A (zh) | 数据包特征提取方法及装置 | |
Chen et al. | Intrusion detection system based on immune algorithm and support vector machine in wireless sensor network | |
CN101552778A (zh) | 安全协议自动化检测中的攻击者模型构建方法 | |
Lackner et al. | User tracking based on behavioral fingerprints | |
CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
CN116319109A (zh) | 一种智能电网运行信息安全防护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160810 Termination date: 20170802 |