CN105827662A - 一种基于dct变换的on-off时间式隐蔽通信检测方法 - Google Patents
一种基于dct变换的on-off时间式隐蔽通信检测方法 Download PDFInfo
- Publication number
- CN105827662A CN105827662A CN201610383653.1A CN201610383653A CN105827662A CN 105827662 A CN105827662 A CN 105827662A CN 201610383653 A CN201610383653 A CN 201610383653A CN 105827662 A CN105827662 A CN 105827662A
- Authority
- CN
- China
- Prior art keywords
- dct
- dct coefficient
- delay
- interval
- parlor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于网络数据包时间序列频域特性的ON‑OFF时间式隐蔽通信检测方法。首先捕获网络数据流,将一定窗口下对正常网络数据流相邻包间时延看作随机序列进行DCT变换并计算DCT系数的信息熵。然后将待检测数据流包间时延序列DCT系数的信息熵和正常数据流包间时延序列DCT系数的信息熵进行比较,从而判断待检测数据流是否为ON‑OFF时间式隐蔽通信数据。本发明的方法从网络数据流的频域特性上展开对时间式隐蔽通信的检测,较现有的时间式隐蔽通信检测方法,具有更为可靠的检测结果。
Description
技术领域
本发明涉及网络与信息安全技术领域,具体涉及一种针对ON-OFF时间式隐蔽通信,对包间时延序列进行DCT变换,从频域上进行隐蔽通信检测的方法。
背景技术
网络隐写作为一种隐蔽通信方式,利用合法的数据流作为载体在网络中传递秘密信息。政府、企业和个人通过利用网络隐信道进行隐秘通信,安全地传递重要信息。但同时,网络隐写也会被不法组织和个人利用,以传递有害信息,威胁公众安全。因此,检测网络隐写的存在,防止危害发生,是至关主要的环节。隐写的检测技术作为网络安全防护领域内的一项非常重要的技术,引起了研究者的广泛关注,而且目前为止已经取得了很多的研究成果。
时间式隐写是通过改变网络数据包的包间时延信息来进行隐秘信息传输的隐写算法。对于数据包内部的信息及协议的行为方式等一切与时间信息无关的信息,时间式隐写不作任何改变,这提高了其隐蔽性。ON-OFF开关模式是目前时间式隐写的一种主要实现方式,这种模式非常简单,就是通过调整数据包的发送速度,观测在一定的时间间隔中是否有数据包发送,从而判断隐秘信息是‘1’还是‘0’。
Padlipsky等人提出了一种ON-OFF的时间式隐写算法,发送方和接收方约定一个时间间隔,在这个时间间隔内,发送方用发送数据包代表隐秘信息‘1’,用保持沉默代表隐秘信息‘0’。Handel等人提出了基于ICMP协议的时间式隐写,利用信号的延迟来传递隐秘信息。由于这种方法使用了ICMP协议应答机制,因此可以非常容易的实现收发双方的同步。Girling提出了一种时间式隐写构建方法,在原始通信的时间信息中加入一定的时延,用新的时间信息代表隐秘信息。这种构建方法为日后时间式隐写的发展研究提供了很好的参考和启发。Shah等人就是在这种方法的基础上提出的Jitterbug隐写算法,Jitterbug将二进制编码嵌入到包间时延中,实现隐秘信息的传输。Cabuk等人提出了锁相环的同步机制,这也是一种ON-OFF的时间式隐写,用发送包代表‘1’,不发送数据包代表‘0’。但是不同的是,它将数据传输时间分为若干个时间间隔,这个时间间隔的大小是可以变化的,这就大大的改善了时间式隐写的稳定性和鲁棒性。
对于隐写的检测,其主要思想是:比较待检测数据流与正常数据流之间的差异,如果差异超出某一阈值,则判断是隐写,否则,判断为正常数据流。网络隐写构建方法是多种多样的,而网络环境也是瞬息万变的,因此对于隐写的检测难度较高,导致了隐写检测技术还不够成熟的现状。很多隐写检测方法都是针对某一种或几种类似的隐写,因而不存在通用性。虽然也存在一些检测方法,能够实现对多种隐写的检测,但是这些检测方法对特定的网络环境具有很强的依赖性,局限性较大。
Murdoch等人提出了一种基于TCP初始序列号位统计特性的隐写检测方法,这种检测方法只针对基于TCP初始序列号位的隐写,不具有普及型。Sohn等人提出了基于SVM分类器的检测方法,目的是用于检测基于TCP初始序列号位的隐写以及基于IP标识位的隐写。实验表明,这种检测方法只对于基于IP标识位的隐写有较好的检测结果,而且适用性也不高。针对基于ICMP协议负载的存储式隐写,Sohn等人提出了一种使用SVM的检测方法。刘光杰等人提出了一种基于IPID位正常通信自增特性统计规律的检测算法,用以检测基于IPID位的隐写。由此可见,很难设计出一种检测算法,实现对多种隐写的检测。
以上的隐写检测方法大多是一对一的,只针对一种隐写有效,无法应用于其他隐写,限制了适用范围。但是也有一些检测算法,具有较好的适用性。对于时间式隐写的检测,Cabuk等人提出了两种检测方法:基于包间延时方差的检测算法,以及相邻包间延时的相似度算法。这两种方法都是通过对包间时延进行统计,计算出某种特征值,比较隐写与正常数据流的差异或者相似度,从而判断是否为时间式隐写。Shah等人针对Jitterbug隐写,提出了一种利用包间延时的统计规律的检测算法,这种方法也可以应用于其他的时间式隐写检测。Qian等人提出了一种基于密度聚类的时间式隐写检测方法,这种方法对密度聚类特征的选取和聚类的数目较为依赖,因此在实际应用中有一定的局限性。Givanvecchio等人将信息论中的的熵与带修正条件熵引入了检测算法,利用包间时延信息的熵来检测时间式隐写。这种方法是一种比较成熟的检测算法,能够有效的检测出大多数的时间式隐写。
上述现有技术中的隐写检测方法都是在时域上进行的,没有考虑到隐写数据流和正常数据流在频域上的差异,而频域特性在网络扰动下会有更稳定的表现。
发明内容
发明目的:针对上述现有技术存在的缺陷,本发明旨在提供一种基于DCT变换(Discrete Cosine Transform,离散余弦变换)的ON-OFF时间式隐蔽通信检测方法,将待检测数据流和正常数据流的包间时延进行DCT变换,分别计算DCT系数的信息熵,通过比较二者的差异,判断待检测数据流是否为隐写数据流。
技术方案:一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,包括如下步骤:
(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包间时延信息;
(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗口;
(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hn;
(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,再根据均值M和方差V设定检测的阈值Th;
(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N个包间时延信息;
(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口;
(7)计算信息熵:将每个窗口内的个待检测数据流包间时延信息的DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hs;
(8)判断待检测数据流属性:将Hs与检测阈值Th比较,如果Hs小于Th,则待检测数据流为正常数据流,否则为隐写数据流。
进一步的,步骤(3)中所述区间内占有DCT系数的概率即Pni,i=1,2,…,L;所述信息熵
进一步的,步骤(4)中所述阈值Th=M+αV,其中α为自定义的常量函数,用于调整检测阈值。
进一步的,步骤(7)中所述计算区间内占有DCT系数的概率即
所述计算信息熵即
有益效果:本发明将网络数据包之间的时间间隔看做随机序列。由于时域上时间间隔的时变性往往会导致检测器存在较高的误报率,而如果在频域上观测的话,则会呈现较为稳定的特征,而该特征能有效反应时间式隐蔽通信的存在,因此本发明可有效降低检测器的误报率。
附图说明
图1为基于DCT变换的ON-OFF式隐蔽通信检测算法流程图。
图2为观测窗口为200的正常数据流与含秘数据流的DCT系数实验图。
具体实施方式
下面通过一个最佳实施例并结合附图对本技术方案进行详细说明。
图1是基于DCT变换的ON-OFF式隐蔽通信检测算法流程图,它给出了本发明实现的具体流程。以下我们对其中各个部分进行简要描述:
一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,包括如下步骤:
(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包间时延信息;本实施例中具体为:提取正常数据流包间时延信息(单位为ms),并写入original_time_interval.txt文件。
(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗口,具体为:从original_time_interval.txt文件中读取实验所需的100,000个时间信息,对其进行DCT变换,得到100,000个DCT系数,并将其分成500个窗口,每个窗口内200个DCT系数。
(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率Pni,i=1,2,…,L;再计算信息熵具体为:对每一窗口的200个DCT系数进行大小排列,分为等长度的20个区间,统计每个区间内的DCT系数的个数,从而计算概率。再利用计算出的概率计算出该组系数的信息熵得到500个窗口DCT系数的信息熵;
(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,再根据均值M和方差V设定检测的阈值Th=M+αV,其中α为自定义的常量函数,用于调整检测阈值;
(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N个包间时延信息,具体为:提取待检测数据流的包间时延信息(单位为ms),并写入detection_time_interval.txt文件;
(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口,具体为:从detection_time_interval.txt文件中读取实验所需的100,000个时间信息,对其进行DCT变换,得到100,000个DCT系数,并将其分成500个窗口,每个窗口内200个DCT系数。图2给出了在200窗口下的正常数据流与含秘数据流的DCT系数图,从图中可看出该方法可有效检测出ON-OFF时间式隐蔽通信;
(7)计算信息熵:将每个窗口内的个待检测数据流包间时延信息的DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,具体为:对每一窗口的200个DCT系数进行大小排列,分为等长度的20个区间,统计每个区间内的DCT系数的个数,从而计算区间内占有DCT系数的概率再计算该组的信息熵
(8)判断待检测数据流属性:将待检测数据流窗口数据的信息熵Hs与设定的检测阈值Th比较,如果Hs<Th,则判定为正常数据,否则判定为ON-OFF时间式隐写数据流。
以上仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (4)
1.一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,其特征在于,包括如下步骤:
(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包间时延信息;
(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗口;
(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hn;
(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,再根据均值M和方差V设定检测的阈值Th;
(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N个包间时延信息;
(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口;
(7)计算信息熵:将每个窗口内的个待检测数据流包间时延信息的DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hs;
(8)判断待检测数据流属性:将Hs与检测阈值Th比较,如果Hs小于Th,则待检测数据流为正常数据流,否则为隐写数据流。
2.根据权利要求1所述的一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,其特征在于,步骤(3)中所述区间内占有DCT系数的概率即Pni,i=1,2,…,L;所述信息熵
3.根据权利要求1所述的一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,其特征在于,步骤(4)中所述阈值Th=M+αV,其中α为自定义的常量函数,用于调整检测阈值。
4.根据权利要求1所述的一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,其特征在于,步骤(7)中所述计算区间内占有DCT系数的概率即所述计算信息熵即
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610383653.1A CN105827662A (zh) | 2016-06-02 | 2016-06-02 | 一种基于dct变换的on-off时间式隐蔽通信检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610383653.1A CN105827662A (zh) | 2016-06-02 | 2016-06-02 | 一种基于dct变换的on-off时间式隐蔽通信检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105827662A true CN105827662A (zh) | 2016-08-03 |
Family
ID=56531726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610383653.1A Pending CN105827662A (zh) | 2016-06-02 | 2016-06-02 | 一种基于dct变换的on-off时间式隐蔽通信检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105827662A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107809309A (zh) * | 2017-11-15 | 2018-03-16 | 深圳大学 | 基于幅度差的信息检测方法、装置及接收设备 |
CN107809310A (zh) * | 2017-11-15 | 2018-03-16 | 深圳大学 | 基于分组方差的信息检测方法、装置及接收设备 |
CN109858510A (zh) * | 2018-11-28 | 2019-06-07 | 南京知常容信息技术有限公司 | 一种针对HTTP协议ETag值隐蔽通信的检测方法 |
CN110448306A (zh) * | 2019-07-30 | 2019-11-15 | 东北大学 | 一种基于连续血糖监测系统的在线故障检测与诊断方法 |
CN110798463A (zh) * | 2019-10-25 | 2020-02-14 | 广州大学 | 基于信息熵的网络隐蔽信道的检测方法及装置 |
CN110838913A (zh) * | 2019-11-26 | 2020-02-25 | 华侨大学 | 一种基于秘密共享的时间式网络隐蔽信道检测方法 |
CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
-
2016
- 2016-06-02 CN CN201610383653.1A patent/CN105827662A/zh active Pending
Non-Patent Citations (3)
Title |
---|
FANG YANG: "A Simple Network Steganography Method based on theIPDs’ Frequency Characteristic", 《INTERNATIONAL JOURNAL OF SCIENTIFIC ENGINEERING AND APPLIED SCIENCE (IJSEAS)》 * |
钱玉文等: "基于校正熵的网络行为隐蔽信道的检测算法", 《系统工程与电子技术 》 * |
钱玉文等: "复杂网络隐蔽信道的检测算法研究", 《系统仿真学报》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107809309A (zh) * | 2017-11-15 | 2018-03-16 | 深圳大学 | 基于幅度差的信息检测方法、装置及接收设备 |
CN107809310A (zh) * | 2017-11-15 | 2018-03-16 | 深圳大学 | 基于分组方差的信息检测方法、装置及接收设备 |
CN107809310B (zh) * | 2017-11-15 | 2020-03-03 | 深圳大学 | 基于分组方差的信息检测方法、装置及接收设备 |
CN109858510A (zh) * | 2018-11-28 | 2019-06-07 | 南京知常容信息技术有限公司 | 一种针对HTTP协议ETag值隐蔽通信的检测方法 |
CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
CN112085039B (zh) * | 2019-06-12 | 2022-08-16 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
CN110448306A (zh) * | 2019-07-30 | 2019-11-15 | 东北大学 | 一种基于连续血糖监测系统的在线故障检测与诊断方法 |
CN110798463A (zh) * | 2019-10-25 | 2020-02-14 | 广州大学 | 基于信息熵的网络隐蔽信道的检测方法及装置 |
CN110798463B (zh) * | 2019-10-25 | 2022-01-18 | 广州大学 | 基于信息熵的网络隐蔽信道的检测方法及装置 |
CN110838913A (zh) * | 2019-11-26 | 2020-02-25 | 华侨大学 | 一种基于秘密共享的时间式网络隐蔽信道检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105827662A (zh) | 一种基于dct变换的on-off时间式隐蔽通信检测方法 | |
Xiao et al. | PHY-layer authentication with multiple landmarks with reduced overhead | |
Tandiya et al. | Deep predictive coding neural network for RF anomaly detection in wireless networks | |
Atkinson et al. | Your WiFi is leaking: What do your mobile apps gossip about you? | |
CN106375157B (zh) | 一种基于相空间重构的网络流关联方法 | |
Gu et al. | k-Nearest Neighbours classification based Sybil attack detection in Vehicular networks | |
Cheng et al. | Time series analysis for jamming attack detection in wireless networks | |
Liu et al. | Robust and undetectable steganographic timing channels for iid traffic | |
Pal et al. | Real-time detection of packet drop attacks on synchrophasor data | |
Atkinson et al. | Your WiFi is leaking: Inferring user behaviour, encryption irrelevant | |
Luo et al. | Detecting pulsing denial-of-service attacks with nondeterministic attack intervals | |
Hamida et al. | Adaptive security provisioning for vehicular safety applications | |
Jain et al. | Preventing wormhole attacks using physical layer authentication | |
Chen et al. | A density based scheme to countermeasure spectrum sensing data falsification attacks in cognitive radio networks | |
CN105933094A (zh) | 一种针对多链路到达序列编码的隐蔽通信检测方法 | |
Ji et al. | User presence inference via encrypted traffic of wireless camera in smart homes | |
Shu et al. | Detection of malicious packet dropping in wireless ad hoc networks based on privacy-preserving public auditing | |
Gaikwad et al. | Survey on secure data aggregation in wireless sensor networks | |
CN109195164A (zh) | 无线传感器网络中基于扰动压缩感知的数据传输安全防护方法 | |
Vaseer et al. | A neighbor trust-based mechanism to protect mobile networks | |
Duan et al. | Issues of trust management for mobile wireless sensor networks | |
Purandare et al. | Analysis of various parameters for link adaptation in wireless transmission | |
CN102946393A (zh) | 一种应用于无线多媒体传感器网络的安全通信方法 | |
Hayes | Traffic confirmation attacks despite noise | |
Zhang et al. | Building undetectable covert channels over mobile networks with machine learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160803 |
|
RJ01 | Rejection of invention patent application after publication |