CN106375157B - 一种基于相空间重构的网络流关联方法 - Google Patents

Abstract

本发明公开了一种基于相空间重构的网络流关联方法，方法包括在发送端获取发送端的网络流量序列的数字摘要及在接收端获取接收端的网络流量序列的数字摘要；接收端读取已保存的发送端的数字摘要，计算发送端的数字摘要和接收端的数字摘要的余弦相似度；若所述余弦相似度在预设的置信空间内，判定发送端和接收端存在通信关系，否则，判定发送端和接收端不存在通信关系。本发明发明不需要调制待追踪数据流的包大小、时间、速率等特征来嵌入水印信息，不影响传输效率，不会被现有的流水印攻击方法发现。

Description

一种基于相空间重构的网络流关联方法

技术领域

本发明涉及计算机网络通信安全技术领域，具体而言，涉及一种基于相空间重构的网络流关联方法。

背景技术

近年来，随着因特网的迅猛发展，各种网络攻击手段层出不穷，网络安全问题日益突出。通常，为了逃避检测和追踪，攻击者并不直接对目标主机发起攻击，而是使用SSH、IPsec协议登录跳板节点主机、借助匿名通信系统(如Tor、I2P等)、僵尸网络等手段来隐藏自己的真实身份，这给攻击源定位、网络监控与管理带来了极大挑战。流关联是指给定一个网络数据流，在该数据流传输过程中，源、目的地址可能被改变，数据包载荷可能被加密的情况下重新发现该数据流。流关联能够构建和还原完整的网络入侵路径，追踪和定位网络攻击真实来源，提高网络犯罪案件侦破效率，有效打击和遏制网络犯罪活动。

目前的网络流关联方法主要借鉴信息隐藏的思想，通过对可疑发送者产生的网络流某方面特征的主动调整，使之秘密呈现出一定规律来表示特殊信息(即水印)，然后发送该网络流至通信网络。若从到达可疑接收者处的网络流中提取出该水印，则认为可疑发送者和接受者之间存在通信行为。然而，嵌入的水印信息不仅在通信网络中会遭受各种因素(如：延迟抖动、网络拥塞、分组重组、分组丢失等)的干扰而变形，而且也是攻击者蓄意移除的目标。此外，攻击者可将探测到的水印信息复制到其他未标记数据流中，进而使流水印技术失效。

发明内容

本发明的目的在于克服现有技术的不足，提出一种一种不依赖网络流水印的数据流关联方法，方法实现简单、时空开销小、隐蔽性好，可以广泛适用于匿名通信关系确认、跳板主机检测、僵尸网络主控机追踪等网络安全领域。

本发明解决其技术问题所采用的技术方案是：

一种基于相空间重构的网络流关联方法，其特征在于，包括：

步骤1，在发送端获取发送端的网络流量序列的数字摘要及在接收端获取接收端的网络流量序列的数字摘要；发送端获取网络流量序列的数字摘要的方法与接收端获取网络流量序列的数字摘要的方法相同，包括：

使用互信息量法获取网络流量序列的最佳延迟时间，并使用Cao方法获取最小嵌入维数；根据最佳延迟时间和最小嵌入维数进行相空间重构，将网络流量序列变换到高维空间中；

网络流量序列重构到多维空间后，选取内在联系的统计特征，构造数字摘要并保存；

步骤2，接收端读取已保存的发送端的数字摘要，计算发送端的数字摘要和接收端的数字摘要的余弦相似度；若所述余弦相似度在预设的置信空间内，判定发送端和接收端存在通信关系，否则，判定发送端和接收端不存在通信关系。

作为优选，所述最佳延迟时间的获取方法，包括：

(1)设A＝{a_n}＝{s(n)}表示原始的网络流量序列，B＝{b_m}＝{s(n+τ)}表示延迟时间是τ的网络流量序列，它们的信息熵可分别表示为：

其中，N表示网络流量序列中相点个数，P_a(a_n)和P_b(b_m)分别表示a_n和b_m的概率；

(2)通过如下方式获取A和B的互信息量；

A和B的互信息量为表示为I(B,A)＝H(B)-H(B|A)；其中，

则其中，P_ab(a_n,b_m)表示a_n,b_m的联合分布概率；

(3)将I(B,A)记为I(τ)，表示网络流量序列s(n)和s(n+τ)之间的相关性；获取I(τ)中的第一次极小值的点所对应的延迟时间值作为最佳延时时间τ。

作为优选，所述最小嵌入维数的获取方法，包括：

(1)令其中，d表示嵌入维数；||·||表示向量的范数，X_n(i,d)(d+1)表示距离第i个相空间重构的向量X_i(d+1)最近的向量，X_i(d+1)的嵌入维数是d+1,n(i,d)的取值范围是1到N-dτ之间的整数；

(2)令获取E(d)趋于平稳状态时所对应的d值作为运用Cao方法求得的最佳嵌入维数。

作为优选，所述网络流量序列重构到多维空间后，选取内在联系的统计特征，构造数字摘要并保存，包括如下步骤：

(1)一维空间中的N个相点在d维空间中的轨迹可表示为：

其中，M表示重构后的相点个数，M＝N-(d-1)τ。

(2)计算矩阵X中每个列向量X_i内样本的均值以及所有列向量的数学期望其中1≤i≤M；j表示矩阵X的行坐标；

(3)对于列向量X_i，如果其e_i>E，则将此X_i量化为z_i＝1；如果e_i≤E，则将此X_i量化为z_i＝0；依此类推，最终获得数字摘要Z＝{z₁,z₂,…,z_i,…,z_d,z_i∈[0,1]}；

(4)将获得的数字摘要保存到可信的第三方数据库。

作为优选，所述的计算发送端的数字摘要和接收端的数字摘要的余弦相似度通过如下方式表示：

其中，Z＝{z₁,z₂,…,z_i,…,z_d,z_i∈[0,1]}表示发送端的网络流量序列的数字摘要；Z′＝{z₁′,z₂′,…,z_i′,…,z_d′,z_i′∈[0,1]}表示接收端的网络流量序列的数字摘要。

作为优选，判定发送端和接收端不存在通信关系之后还包括：

更新路由器的访问控制列表，拒绝来自该发送端的后续访问。

本发明具有如下有益效果：

(1)本发明通过分析流量特征及生成唯一数字摘要来检测网络流的关联性，实现灵活、高效，不需要修改数据包内容，适用于加密流量，没有对数据通信过程本身施加干扰(如分组重放、丢弃或延迟等操作)，不会被攻击者察觉，隐秘性较好；

(2)本发明将弥补当前安全系统中缺乏对用户流量进行高效鉴别和访问控制的缺陷，部署方便且不需要转发大量的流量特征给发送端，减少了网络通信和存储的额外开销。

以下结合附图及实施例对本发明作进一步详细说明，但本发明的一种基于相空间重构的网络流关联方法不局限于实施例。

附图说明

图1是本发明在具体应用实例中的架构模型；

图2是本发明在具体应用实施例中实现流关联的流程图；

图3是本发明在实现相空间重构中最佳延时时间参数选取的示意图；

图4是本发明在实现相空间重构中最小嵌入维数参数选取的示意图。

具体实施方式

以下将结合附图及实施例对本发明做进一步的详细说明。

本发明提供一种基于相空间重构的隐形的网络流关联方法，其核心思想是结合相空间重构技术，挖掘混沌序列中隐含的规律，刻画网络流量的数学特征，实现对通信模式的量化编码，进而获取独特而强健的数字摘要，完成通联关系确认、提升服务系统安全性。

如图1所示，嗅探者首先实时地收集待分析节点发出的网络流，然后选取恰当的方法，计算出延迟时间量和嵌入维度数这两个重要参数，进而对原始流量序列进行相空间重构，以便获取相对稳定的流量特征，并据此生成流的唯一标识符(即数字摘要)。此外，嗅探者需要将获得的摘要数据备份到数据库中，以便为之后的特征关联提供可对比的数据来源。

原始数据流经过通信网络传输后会叠加网络噪声，在传递到可疑接收端所在网络的关键位置(如网关)时，将被检测者截获。检测者将通过约定方式，从流中计算出可能存在的数字摘要，并与发送端的摘要数据进行比较，若相似程度在预设的置信阈值内，则判断二者之间存在通信关系，并将拦截的数据流转发给接收者。

如图2所示，本发明的基于相空间重构的隐形的网络流关联方法，包括：

接收并缓存网络流报文；确定嵌入文书和延时时间；提取多维序列的局部信息和全局特征；通过局部特征值与全局特征值的比较，实现流量特征的量化编码，获得数字摘要并存储到可靠的第三方数据库；

根据发送端和接收端的数字摘要计算接收端与发送端数字摘要之间的相似度；判断相似度是否在置信区间内，如果在，判定发送端和接收端存在通信关系，如果不在，判定双方不存在可信的通信关系，设置访问控制列表，拒绝来自该源主机的后续访问。

本实施例中，具体步骤如下：

步骤1，在源主机端部署嗅探器，在目的主机端部署检测器，嗅探者采集并使用相空间重构技术分析发送者产生的流量数据。

为了保证流量测量结果的准确性，具体应用时，嗅探者可以借助常用的监控软件(如Sniffer Portable、MRTG、Netflow等)来采集现实环境中的网络流量。获取流量数据后，需要将原始的网络流量序列变换到高维空间中，恢复其变化轨迹，而这种变换是通过相空间重构实现的。在本实施例中，相空间重构需要的两个重要参数，即最佳延迟时间和最小嵌入维数，分别利用互信息量法和Cao方法来计算(Cao方法是Cao Liangyue针对虚假最近邻点算法存在的不足之处而提出的优化方法，优化后的算法能够有效区分随机信号和确定性信号)，具体步骤为：

步骤11，设A＝{a_n}＝{s(n)}表示采集的原始网络流量(可以为数据包个数或者比特总数)序列，B＝{b_m}＝{s(n+τ)}表示延迟时间是τ的网络流量序列，它们的信息熵可分别表示为：

其中，P_a(a_n)和P_b(b_m)分别表示a_n和b_m的概率，A和B的互信息量可定义为：I(B,A)＝H(B)-H(B|A)，其中，可得，其中，P_ab(a_n,b_m)表示a_n,b_m的联合分布概率。

本实施例中，所述联合分布概率常采用以下方法估计：

设在a,b平面上点(a_n,b_m)处的一个大小为△s△q的盒子，则有其中，N_ab,N_total分别是盒子中点的数目和总点数。

步骤12，将I(B,A)记为I(τ)，表示的是网络流量序列s(n)和s(n+τ)之间的相关性。具体的，如图3所示，可做出I(τ)的曲线图，如果n足够大则I(τ)应该是单调递减的，图中的极小值表示s(n)和s(n+τ)不相关的最大可能，第一个极小值所对应的τ，即为互信息量法求出的最佳延迟时间。

步骤13，作为相空间重构的重要参数，嵌入维数的大小直接关系到系统动力学特性的展现，越大动力学特征就越凸显，但选择过大就会造成运算量的增大，选择太小则无法体现动力学的特征。嵌入维数的求取方法有多种，如伪近邻点法、G-P法和Cao式法等。其中，伪近邻法不适用于相点密集的环境中，而且它需要设定阈值来区分真实的邻点和非真实的邻点；G-P法中缺少一个统一的标准来对无标度区进行衡量，而嵌入维数的大小同无标度区有紧密的联系；Cao式法克服了伪近邻法的缺陷，在具体实施例中计算起来也比较容易。

本实施例中，

令其中，||·||表示向量的范数，X_n(i,d)(d+1)表示距离第i个相空间重构的向量X_i(d+1)最近的向量，X_i(d+1)的嵌入维数是d+1,n(i,d)的取值范围是1到N-dτ之间的整数；

进一步的，如图4所示，对作图，当E(d)趋于上下波动不大的平稳状态时所对应的d值就是运用Cao方法求得的最佳嵌入维数。

本实施例中，在步骤13中，如果所收集的时间序列是确定的，则嵌入维数是存在的，即E₁(d)＝E(d+1)/E(d)将在d大于某一特定值d₀时不再变化；若时间序列是随机信号，则E₁(d)应逐渐增加。但在实际应用中不容易判断有限长序E₁(d)究竟实在缓慢变化还是已经稳定，因此，补充一个判断准则为

E₂(d)＝E^*(d+1)/E^*(d)。对于随机序列，数据间没有相关性，E₂(d)将始终为1；对于确定性序列，数据之间的相关关系是依赖于嵌入维数d值变化的，故总存在一些值使得E₂(d)不等于1.

步骤2，相空间重构到多维空间后，选取一种内在联系的统计特征来构造数字摘要。

本实施例中实施例中，步骤2中具体步骤如下：

步骤21，原始流量序列在重构后,一维空间中的N个相点在m维空间中的轨迹可以表示如下：其中M＝N-(d-1)τ是重构后的相点个数。接下来，嗅探者将通过局部特征值与全局特征值的比较，来实现流量特征的量化编码；

步骤22，鉴于此，嗅探者将计算矩阵X中每个列向量X_i(1≤i≤M)内样本的均值以及所有列向量的数学期望其中，j表示矩阵X的行坐标；

步骤23，对于列向量X_i(1≤i≤M)，如果其e_i>E，则将此X_i量化为z_i＝1；如果e_i≤E，则将此X_i量化为z_i＝0；依此类推，最终可得一数字摘要Z＝{z₁,z₂,…,z_i,…,z_d,z_i∈[0,1]}，从某种程度上说，数字摘要Z可视为此流的一标识符，需要保存到可信的第三方数据库中。

步骤3，根据匹配相似度原则判断被监听双方是否存在通信关系。

本实施例中，步骤3的具体步骤为：

步骤31，数据包流经过网络传输后到达接收端，此时检测者可以截获接收到的网络流，并根据步骤1和2获取此流的数字摘要Z′＝{z₁′,z₂′,…,z_i′,…,z_d′,z_i′∈[0,1]}；

步骤32，检测者从数据库中读取发送端的数字摘要Z，并计算Z′和Z的余弦相似度若相似程度S在约定的置信区间内，则判定可疑发送端与可疑接收端之间存在明确的通信关系；否则检测者将认为二者之间不存在通信行为，同时更新路由器的访问控制列表，拒绝来自该可疑发送端的后续访问。

上述实施例仅是用来说明本发明，而并非用作对本发明的限定。应当指出，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims (3)

1.一种基于相空间重构的网络流关联方法，其特征在于，包括：

步骤1，在发送端获取发送端的网络流量序列的数字摘要及在接收端获取接收端的网络流量序列的数字摘要；发送端获取网络流量序列的数字摘要的方法与接收端获取网络流量序列的数字摘要的方法相同，包括：

使用互信息量法获取网络流量序列的最佳延迟时间，并使用Cao方法获取最小嵌入维数；根据最佳延迟时间和最小嵌入维数进行相空间重构，将网络流量序列变换到高维空间中；

网络流量序列重构到多维空间后，选取内在联系的统计特征，构造数字摘要并保存；

步骤2，接收端读取已保存的发送端的数字摘要，计算发送端的数字摘要和接收端的数字摘要的余弦相似度；若所述余弦相似度在预设的置信空间内，判定发送端和接收端存在通信关系，否则，判定发送端和接收端不存在通信关系；

所述最佳延迟时间的获取方法，包括：

(1)设A＝{a_n}＝{s(n)}表示原始的网络流量序列，B＝{b_m}＝{s(n+τ)}表示延迟时间是τ的网络流量序列，它们的信息熵可分别表示为：

其中，N表示网络流量序列中相点个数，P_a(a_n)和P_b(b_m)分别表示a_n和b_m的概率；

(2)通过如下方式获取A和B的互信息量；

A和B的互信息量为表示为I(B,A)＝H(B)-H(B|A)；其中，

则其中，P_ab(a_n,b_m)表示a_n,b_m的联合分布概率；

(3)将I(B,A)记为I(τ)，表示网络流量序列s(n)和s(n+τ)之间的相关性；获取I(τ)中的第一次极小值的点所对应的延迟时间值作为最佳延时时间τ；

所述最小嵌入维数的获取方法，包括：

(1)令其中，d表示嵌入维数；||·||表示向量的范数，X_n(i,d)(d+1)表示距离第i个相空间重构的向量X_i(d+1)最近的向量，X_i(d+1)的嵌入维数是d+1,n(i,d)的取值范围是1到N-dτ之间的整数；

(2)令获取E(d)趋于平稳状态时所对应的d值作为运用Cao方法求得的最佳嵌入维数；

所述网络流量序列重构到多维空间后，选取内在联系的统计特征，构造数字摘要并保存，包括如下步骤：

(1)一维空间中的N个相点在d维空间中的轨迹可表示为：

其中，M表示重构后的相点个数，M＝N-(d-1)τ；

(2)计算矩阵X中每个列向量X_i内样本的均值以及所有列向量的数学期望其中1≤i≤M；j表示矩阵X的行坐标；

(3)对于列向量X_i，如果其e_i>E，则将此X_i量化为z_i＝1；如果e_i≤E，则将此X_i量化为z_i＝0；依此类推，最终获得数字摘要Z＝{z₁,z₂,…,z_i,…,z_d,z_i∈[0,1]}；

(4)将获得的数字摘要保存到可信的第三方数据库。

2.根据权利要求1所述的基于相空间重构的网络流关联方法，其特征在于，所述的计算发送端的数字摘要和接收端的数字摘要的余弦相似度通过如下方式表示：

其中，Z＝{z₁,z₂,…,z_i,…,z_d,z_i∈[0,1]}表示发送端的网络流量序列的数字摘要；Z′＝{z₁′,z₂′,…,z_i′,…,z_d′,z_i′∈[0,1]}表示接收端的网络流量序列的数字摘要。

3.根据权利要求1所述的基于相空间重构的网络流关联方法，其特征在于，判定发送端和接收端不存在通信关系之后还包括：

更新路由器的访问控制列表，拒绝来自该发送端的后续访问。