CN106302433B - 一种基于网络流量预测与熵的网络流水印检测方法及系统 - Google Patents

Abstract

本发明公开了一种基于网络流量预测与熵的网络流水印检测方法及系统，方法包括水印嵌入与水印检测，所述水印嵌入包括：通过指数平滑预测和信息熵处理网络流量，定性定量地代替随机确定适合水印嵌入的时间间隔；在确定的时间间隔内进行水印嵌入检测操作。与传统的网络流水印方法相比，本发明克服了传统水印方案存在的共同缺点，即随机获取时间点进行水印的嵌入操作导致检测准确率较低的缺点。本发明在信息量大的时间内嵌入水印，不易暴露，具有更好的隐蔽性、更强壮的鲁棒性等优势；同时在确定的时间间隔内进行水印操作，提高了水印检测的准确率，也提高了水印的检测效率。

Description

一种基于网络流量预测与熵的网络流水印检测方法及系统

技术领域

本发明涉及计算机网络通信安全技术领域，具体而言，涉及一种基于网络流量预测与熵的网络流水印检测方法及系统。

背景技术

随着信息化和网络化的不断发展，网络攻击日益严重，目前，网络追踪已成为网络安全研究领域的热点。针对不同的攻击类型，现有的网络追踪方法主要有入口过滤法、数据包记录法、路径记录法和数据包标记法等。目前研究和讨论最多的网络追踪技术是在网络流量中指定特定的特征量作为标志或在数据包中添加数据标志信息，然后通过对这些标志的检测与追踪来实现对攻击与入侵的追踪。这些追踪技术中添加的标志数据或字段有可能会被攻击者察觉而伪造数据包来逃避追踪，并且它不适用于对加密流量及匿名通信环境中流追踪和定位。因此现在研究者致力于提出更强大的网络流水印方法保证网络的安全性。

网络流水印技术是一种主动的追踪技术，主要借鉴数字水印的思想，通过主动在网络流量中插入特殊标记信息，即水印，在可疑流中进行寻找相应的水印确定流量之间的关联关系，从而确定入侵的存在与否。在入侵检测研究中，与传统的被动式检测方法相比较，主动检测方法即网络流水印技术由于具有检测率高、观察数据包少等优势，现已成为了该领域研究的热点。而对于一个完整的水印方法来说，水印嵌入方案的好坏不仅影响着与之相应的水印检测模块的检测效率，而且直接影响整个水印方案判断网络入侵行为的准确性。已存在的水印嵌入方案在一定程度上能够有效地嵌入水印，然而这些方法都存在一个共同的缺点：随机获取时间点进行水印的操作，这可能带来一系列问题，如水印暴露、水印失效、水印嵌入无效等，从而导致检测结果错误。

发明内容

本发明的目的在于克服现有技术的不足，提出一种基于网络流量预测与熵的网络流水印检测方法及系统，首先对采样的网络流量未来的运行状态进行预测，然后使用熵对预测流进行分析，定性定量地确定水印嵌入的时间点；在此基础上，当真实流量的某个时间间隔与预测流量最佳嵌入水印时间间隔对应时，立即在该时间间隔内随机嵌入水印信息，以增加水印的鲁棒性；最后对检测目标进行水印信息的提取，判断检测目标是否被入侵。本发明方法是的创新在于水印嵌入之前，为其定性定量地代替随机地选取水印嵌入点。本发明方法选择携带信源信息量大的时间间隔作为水印操作的时间间隔，这样不仅具有更强的隐蔽性，还能够获得更高的检测效率和检测准确率。

本发明解决其技术问题所采用的技术方案是：

一种基于网络流量预测与熵的网络流水印检测方法，包括水印嵌入与水印检测,所述水印嵌入包括：

根据当前采集的数据包的时序序列，利用指数平滑模型预测法构建未来网络链路中数据包的时序序列；

在构建的预测时间序列上，计算信息熵大小，所述信息熵大小为网络链路上单位时间内数据包的比特熵大小；

提取比特熵大于预设熵阈值的时间间隔，确定所述时间间隔为所述水印生成的最佳时间间隔；

在已确定的水印嵌入最佳时间间隔内随机选取数据包，调整随机选取的数据包之间的时延生成水印信息；

当真实流量的某个时间间隔与预测流量水印嵌入的最佳时间间隔对应时，在该时间间隔内随机嵌入生成的水印信息；

所述水印检测包括：

判断检测流为所述最佳时间间隔时，提取网络流量中的水印信息；

计算嵌入水印与提取水印的相关性；

当所述相关性超过预设相关性阈值时，确定水印存在。

作为优选，所述根据当前采集的数据包的时序序列，利用指数平滑模型预测法构建未来网络链路中数据包的时序序列，具体包括：

采样网络流量，获得网络流量时间序列信息{t₁,t₂,…,t_i,…,t_n}，其中t_i表示i时刻流量的时间戳；

对获取的时间序列进行差分，获得差分时间序列{x_i|t_i-t_i-1}；

根据指数平滑预测模型构建预测时间序列。

作为优选，所述指数平滑预测模型的表达式为：

其中为时间序列在i+1时刻的预测值，X_i为时间序列在i时刻的原始真实值，为时间序列在i时刻的预测值，∝表示平滑常数；

所述预测时间序列的表达式为：

其中为网络流中时间序列在i时刻的预测值，x_i-1为时间序列在i-1时刻的原始真实值，是时间序列在i-1时刻的预测值。

作为优选，单位时间内数据包的比特熵通过如下方式确认：

计算单位时间间隔内每个数据包比特大小的概率其中p_size(i,j)表示第i个时间间隔内第j个数据包的比特大小，p_size_sum(i)表示该时间间隔内所有数据包比特大小的总和；

计算第i个单位时间间隔内数据包比特熵其中N_i表示单个时间间隔内数据包的个数。

作为优选，所述在已确定的水印嵌入最佳时间间隔内随机选取数据包，调整随机选取的数据包之间的时延生成水印信息，包括：

采样数据包时延信息

计算未嵌入水印信息前流量数据包间的时延差

调整数据包之间的延迟来主动操作载体流产生水印。

作为优选，所述调整数据包之间的延迟通过如下公式决定：

其中，为了减少水印嵌入对网络流量本身带来的影响，a的取值必须足够小，使得因水印嵌入造成的时延与网络中的抖动处于同一数量级，则对普通用户和攻击者是不可见的。w_i表示当前嵌入水印位。

作为优选，所述判断检测流为所述最佳时间间隔时，提取网络流量中的水印信息检测到的含有水印信息的时间延迟序列为其中 δ_i＝d_i+1-d_i表示网络传输延迟抖动。

作为优选，所述计算嵌入水印与提取水印的相关性，通过如下方式确定：

在给出的检测流中提取数据包之间的时延差

令嵌入水印序列为E＝{e_ia}；

使用归一化相关性公式N(Y,E)来计算嵌入水印与提取水印的相关性；其中，归一化相关性公式为

一种基于网络流量预测与熵的网络流水印检测系统，包括水印嵌入器和水印检测器；所述水印嵌入器包括：

水印嵌入时间间隔选取模块，用于实现水印信息嵌入时间间隔的确定，包括对来自网络中的各种流量的采集与统计和以信息熵的方式对网络流量进行主动分析；

水印设置模块，用于生成水印信息，并将水印信息嵌入到需要检测的网络流量中，包括对网络流量数据包之间细微地调整；

水印检测器用于检测嵌入的水印是否还存在，包括：

水印提取模块，用于采集所述链路上嵌入水印的时间间隔流量，提取流量中存在的水印；

水印相关性判决模块，用于对水印提取模块中提取的水印信息进行归一化相关性计算，与预设阈值进行比较判决水印是否存在；

延时计数模块，用于计数经过水印检测器的网络流中数据包的时间间隔。

本发明具有如下有益效果：

(1)测效率更高

本发明对采样的网络流量未来的运行状态进行预测，然后使用熵对预测流进行分析，定性定量地确定水印嵌入的时间点，有针对性的嵌入和提取水印，代替现有系统中随机盲目的嵌入和提取水印，因此，具有更高的检测效率。

(2)检测准确率更高

本发明对链路上的流量在嵌入和提取水印之前首先对流量进行信息熵分析，在信息熵大的时间间隔，即在携带信息量多的时间间隔嵌入或提取水印，增强了水印(追踪标志)的隐蔽性和健壮性。因此，即使网络上出现抖动等干扰，仍然能检测到对应的水印，从而具有更高的追踪准确率。

(3)水印的隐蔽性更好

本发明选择携带信源信息量大的时间间隔作为水印操作的时间间隔。因此，具有更好的隐蔽性。

以下结合附图及实施例对本发明作进一步详细说明，但本发明的一种基于网络流量预测与熵的网络流水印检测方法及系统不局限于实施例。

附图说明

图1为本发明网络流水印检测系统的整体构成示意图；

图2为本发明实施例中网络流水印检测系统在真实网络中的应用部署示意图；

图3为本发明实施例中网络流水印检测系统实施水印嵌入的流程图；

图4为本发明实施例中网络流水印检测系统实施水印检测的流程图。

具体实施方式

一种基于网络流量预测与熵的网络流水印检测方法，包括水印嵌入与水印检测。

所述水印嵌入包括：对采样的网络流量未来的运行状态进行预测，然后使用熵对预测流进行分析，确定水印嵌入的时间间隔；当真实流量的某个时间间隔与预测流量最佳嵌入水印时间间隔对应时，立即在该时间间隔内随机嵌入水印信息。

上述嵌入水印过程包括水印嵌入时间间隔的确定和水印的设置，其中，水印嵌入时间间隔的确定，其主要包括采样网络流量并进行流量预测，计算信息熵以确定网络链路流量中嵌入水印的最佳时间间隔。在网络链路中通过如下方式确定：首先采样网络流量，使用t_i表示i时刻流量的时间戳，获得网络流量时间序列信息{t₁,t₂,…,t_i,…,t_n}。由于网络流量的突发性可能引起预测的误差，为了消除这个误差影响，对获取的时间序列进行差分以此来消除时间序列中的突发性流量，从而获得一个趋于平稳的差分时间序列{x_i|t_i-t_i-1}。使用简单易操作且预测准确的指数平滑预测模型(ES)作为网络流量预测模型，来进行流量的预测，获得未来网络流量，其预测值模型的表达式为0＜∝＜1,∝≠0,∝≠1，其中是时间序列在i时刻的预测值，X_i是时间序列在i-1时刻的原始真实值，是时间序列在i-1时刻的预测值，∝是平滑常数。则根据指数平滑预测模型公式可获得一个全新的预测序列，即时间序列{x_i}的预测序列 其中，为网络流中时间序列在i时刻的预测值，x_i-1为时间序列在i-1时刻的原始真实值，是时间序列在i-1时刻的预测值。

在构建的预测时间序列基础上，计算单位时间间隔内的比特熵，分析同等时间内所含信息量大小，统计出适合水印嵌入的时间间隔。也就是说在真实流量未到来之前能够先通过预测流来判断每个单位时间间隔是否适合嵌入水印信息，而在真实流量到来之时只需要在预测流量对应的适合嵌入水印的时间间隔中进行水印的生成，这样可以大大提高水印嵌入的准确性和效率。单位时间间隔内数据包比特熵具体计算方法如下：首先计算某个单位时间间隔内，每个数据包比特大小的概率其中p_size(i,j)表示第i个时间间隔内第j个数据包的比特大小，p_size_sum(i)表示该时间间隔内所有数据包比特大小的总和。其次计算第i个单位时间间隔内数据包比特熵其中N_i表示单个时间间隔内数据包的个数。再根据熵阈值H_threshold判断某一时间间隔是否为最佳水印嵌入时间间隔，即如果H_i＞H_threshold，则判定此时间间隔为最佳水印嵌入时间间隔，否则则不是最佳时间间隔。熵阈值的选取是通过在进行水印操作之前使用统计学方法多次计算比特熵的均值。熵值的大小反应该单位时间间隔内携带信源变量的信息量的大小。熵值越大表明同等时间内携带的信息量越大，在信息量大的时间间隔内嵌入水印能减少水印操作带来的扰动。因此若H_i满足不等式，说明该时间间隔为符合条件的时间间隔，若H_i不满足不等式，则继续下一个时间间隔比特熵的计算。

水印的设置，其主要用于生成网络流水印，并将流水印嵌入需要跟踪的网络流量中；实时地判定时间间隔为适合水印嵌入的间隔后，对已选定的最佳水印嵌入间隔内随机选取数据包通过轻微地调整数据包之间的时延来产生水印信息，产生水印的方法即是具有较强鲁棒性的RAINBOW水印方法。

水印生成步骤如下：

首先采样并记录数据包时延信息然后计算并记录未嵌入水印信息前流量数据包间的时延差接着通过调整数据包之间的延迟来主动操作载体流产生水印，其中调整的数据包间延迟大小由下面公式决定。其中，为了减少水印嵌入对网络流量本身带来的影响，a的取值必须足够小，使得因水印嵌入造成的时延与网络中的抖动处于同一数量级，则对普通用户和攻击者是不可见的。w_i表示当前嵌入水印位。

所述水印检测包括水印提取、水印相关性判决，具体如下：

水印提取，当检测节点的流为最佳嵌入时间间隔时，恢复网络流量中可能存在的水印。所述嵌入的水印与提取的水印相关性根据以下公式确定：在给出的观察流中提取数据包之间的时延差其中流量通过网络它累积了额外的延迟，如传输延迟d_i。因此检测器最终检测到的含有水印信息的时间延迟序列为其中 δ_i=d_i+1-d_i表示网络传输延迟抖动。

水印相关性判决，所述水印相关性用于指示提取的水印与嵌入的水印的相似程度。嵌入的水印与提取的水印相关性根据以下公式确定：对从观察流中提取数据包之间的时延差使用归一化相关N(Y,E)来判断水印的存在与否，其中E＝{e_ia}为嵌入水印序列。归一化相关性公式为如果N(Y,E)超过了某一个阈值，说明检测流中存在水印，表明两条网络流之间具有相关性，即具有通信关系。否则，说明检测流中不存在水印，表明流量之间无相关性。

为了实现上述目的，根据本发明的另一方面，提供了一种基于网络流量预测与熵的网络流水印检测系统，包括水印嵌入器和水印检测器。

所述水印嵌入器包括：

水印嵌入时间间隔选取模块，用于实现水印信息嵌入时间间隔的确定，包括对来自网络中的各种流量的采集与统计和以信息熵的方式对网络流量进行主动分析；

水印设置模块，用于生成水印信息，并将水印信息嵌入到需要检测的网络流量中，包括对网络流量数据包之间细微地调整；

水印检测器用于检测嵌入的水印是否还存在，包括：

水印提取模块，用于采集所述链路上嵌入水印的时间间隔流量，提取流量中存在的水印；

水印相关性判决模块，用于对水印提取模块中提取的水印信息进行归一化相关性计算，与预设阈值进行比较判决水印是否存在；

延时计数模块，用于计数经过水印检测器的网络流中数据包的时间间隔。

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。

如图1所示，本发明的基于网络流量预测与熵的水印检测系统在物理上由水印嵌入器和水印检测器两部分组成。水印嵌入器包括水印嵌入时间间隔选取模块和水印设置模块，具体包括ES流量预测、信息熵计算和水印嵌入三大功能，主要用于生成水印，并将水印嵌入到网络流中。水印检测器包括水印提取模块、水印相关性判决模块和延时计数模块，具体包括网络延时计时、水印提取和水印判决三大功能，主要用于提取网络流量中的水印，并判决是否存在攻击。

如图2所示为本发明实施例中网络流水印检测系统应用部署在真实网络中，如图3所示为本发明实施例中网络流水印检测系统实施水印嵌入的流程图，具体步骤如下：

步骤1，如图2对水印嵌入器进行部署。预先设置采样的单位时间和信息熵判断阈值；

步骤2，连续地采集经过水印嵌入器的单位时间间隔内的流量，并对单位时间内的信息熵进行计算，它的具体实现步骤：首先采样网络流量，获得网络流量时间序列信息{t₁,t₂,…,t_i,…,t_n}，其中t_i表示i时刻流量的时间戳。进一步对获取的时间序列进行差分运算，从而获得一个趋于平稳的差分时间序列{x_i|t_i-t_i-1}。其次根据指数平滑预测模型(ES)预测未来网络流量，跟据指数平滑预测模型公式可获得一个全新的预测时序序列 其中是时间序列在i时刻的预测值，x_i-1是时间序列在i-1时刻的原始真实值，是时间序列在i-1时刻的预测值，∝是平滑常数。然后计算每个单位时间内每个数据包大小的变化概率其中p_size(i,j)表示第i个时间间隔内第j个数据包的比特大小，p_size_sum(i)表示该时间间隔内所有数据包比特大小的总和。计算第i个单位时间间隔内数据包比特熵

步骤3，判断每个单位时间上的比特熵是否大于所述设置的熵阈值大小，若大于，确定这个单位时间间隔可作为嵌入水印的时间间隔，进入步骤4，否则计算下一个单位时间内的熵值，进入步骤2；

步骤4，水印设置，具体步骤如下：首先采样并记录数据包时延信息然后计算并记录未嵌入水印信息前流量数据包间的时延差接着通过调整数据包之间的延迟来主动操作载体流产生水印，其中调整的数据包间延迟大小由下面公式决定。

如图4所示为本发明实施例中网络网络流水印检测系统实施水印检测的流程图，具体步骤如下：

步骤1，如图2对水印检测器进行部署，预先设置水印嵌入的时间间隔j；

步骤2，计数经过水印检测器的网络流中数据包的时间间隔；

步骤3，判断当前时间间隔计数是否为预先设置的时间间隔，若计数值等于预设值，则确定这个单位时间间隔可作为提取水印的时间间隔，进入步骤4，否则计数下一个流量时间间隔，进入步骤2；

步骤4，水印提取，选取所述确定的水印提取时间间隔内的连续的数据包，提取数据包时序序列并计算数据包之间的时延差

步骤5，水印相关性计算，具体目的使用是归一化相关N(Y,E)来判断水印的存在与否，其中E＝{e_ia}为嵌入的水印序列。判决的归一化公式为

步骤6，水印判决，判断提取的水印是否存在，依据N(Y,E)是否超过某一个阈值，判断检测流中存在水印，表明两条网络流之间具有相关性，即具有通信关系；否则，说明检测流中不存在水印，表明流量之间无相关性，说明存在攻击。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于网络流量预测与熵的网络流水印检测方法，包括水印嵌入与水印检测，其特征在于，所述水印嵌入包括：

根据当前采集的数据包的时序序列，利用指数平滑模型预测法构建未来网络链路中数据包的时序序列；

在构建的预测时间序列上，计算信息熵大小，所述信息熵大小为网络链路上单位时间内数据包的比特熵大小；

提取比特熵大于预设熵阈值的时间间隔，确定所述时间间隔为所述水印生成的最佳时间间隔；

在已确定的水印嵌入最佳时间间隔内随机选取数据包，调整随机选取的数据包之间的时延生成水印信息；

当真实流量的某个时间间隔与预测流量水印嵌入的最佳时间间隔对应时，在该时间间隔内随机嵌入生成的水印信息；

所述水印检测包括：

判断检测流为所述最佳时间间隔时，提取网络流量中的水印信息；

计算嵌入水印与提取水印的相关性；

当所述相关性超过预设相关性阈值时，确定水印存在；

所述根据当前采集的数据包的时序序列，利用指数平滑模型预测法构建未来网络链路中数据包的时序序列，具体包括：

采样网络流量，获得网络流量时间序列信息{t₁，t₂，...，t_i，...，t_n}，其中t_i表示i时刻流量的时间戳；

对获取的时间序列进行差分，获得差分时间序列{x_i|t_i-t_i-1}；

根据指数平滑预测模型构建预测时间序列；

所述指数平滑预测模型的表达式为：

其中为时间序列在i+1时刻的预测值，X_i为时间序列在i时刻的原始真实值，为时间序列在i时刻的预测值，∝表示平滑常数；

实际网络中预测时间序列的表达式为：

其中为网络流中时间序列在i时刻的预测值，x_i-1为时间序列在i-1时刻的原始真实值，是时间序列在i-1时刻的预测值。

2.根据权利要求1所述的基于网络流量预测与熵的网络流水印检测方法，其特征在于，单位时间内数据包的比特熵通过如下方式确认：

计算单位时间间隔内每个数据包比特大小的概率其中p_size(i，j)表示第i个时间间隔内第j个数据包的比特大小，p-size_sum(i)表示该时间间隔内所有数据包比特大小的总和；

计算第i个单位时间间隔内数据包比特熵其中N_i表示单个时间间隔内数据包的个数。

3.根据权利要求2所述的基于网络流量预测与熵的网络流水印检测方法，其特征在于，所述在已确定的水印嵌入最佳时间间隔内随机选取数据包，调整随机选取的数据包之间的时延生成水印信息，包括：

采样数据包时延信息

计算未嵌入水印信息前流量数据包间的时延差

调整数据包之间的延迟来主动操作载体流产生水印。

4.根据权利要求3所述的基于网络流量预测与熵的网络流水印检测方法，其特征在于，所述调整数据包之间的延迟通过如下公式决定：

其中，w_i表示当前嵌入水印位。

5.根据权利要求1所述的基于网络流量预测与熵的网络流水印检测方法，其特征在于，所述判断检测流为所述最佳时间间隔时，提取网络流量中的水印信息检测到的含有水印信息的时间延迟序列为其中δ_i＝d_i+1-d_i表示网络传输延迟抖动；d_i+1表示i+1时刻的传输延迟；d_i表示i时刻的传输延迟。

6.根据权利要求3所述的基于网络流量预测与熵的网络流水印检测方法，其特征在于，所述计算嵌入水印与提取水印的相关性，通过如下方式确定：

在给出的检测流中提取数据包之间的时延差

令嵌入水印序列为E＝{e_ia}；

使用归一化相关性公式N(Y，E)来计算嵌入水印与提取水印的相关性；其中，归一化相关性公式为

7.一种用于实现根据权利要求1至6中任意一项所述的基于网络流量预测与熵的网络流水印检测方法的系统，包括水印嵌入器和水印检测器；其特征在于，

所述水印嵌入器包括：

水印嵌入时间间隔选取模块，用于实现水印信息嵌入时间间隔的确定，包括对来自网络中的各种流量的采集与统计和以信息熵的方式对网络流量进行主动分析；

水印设置模块，用于生成水印信息，并将水印信息嵌入到需要检测的网络流量中，包括对网络流量数据包之间细微地调整；

水印检测器用于检测嵌入的水印是否还存在，包括：

水印提取模块，用于采集链路上嵌入水印的时间间隔流量，提取流量中存在的水印；

水印相关性判决模块，用于对水印提取模块中提取的水印信息进行归一化相关性计算，与预设阈值进行比较判决水印是否存在；

延时计数模块，用于计数经过水印检测器的网络流中数据包的时间间隔。