CN110798463B - 基于信息熵的网络隐蔽信道的检测方法及装置 - Google Patents

基于信息熵的网络隐蔽信道的检测方法及装置 Download PDF

Info

Publication number
CN110798463B
CN110798463B CN201911027532.3A CN201911027532A CN110798463B CN 110798463 B CN110798463 B CN 110798463B CN 201911027532 A CN201911027532 A CN 201911027532A CN 110798463 B CN110798463 B CN 110798463B
Authority
CN
China
Prior art keywords
protocol
entropy
detected
keyword set
features
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911027532.3A
Other languages
English (en)
Other versions
CN110798463A (zh
Inventor
谭庆丰
崔翔
孙彦斌
殷丽华
田志宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN201911027532.3A priority Critical patent/CN110798463B/zh
Publication of CN110798463A publication Critical patent/CN110798463A/zh
Application granted granted Critical
Publication of CN110798463B publication Critical patent/CN110798463B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

本发明公开了一种基于信息熵的网络隐蔽信道的检测方法及装置,该方法先获取待检测协议;其中,待检测协议包括:协议特征、行为特征和统计特征;计算协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并提取相似度最高的关键词集合对应的真实协议;根据行为特征,计算待检测协议的第一熵值和真实协议的第二熵值,当第一、第二熵值均小于第一阈值时,则根据统计特征,计算待检测协议与真实协议的相对熵;将相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截隐蔽通信协议。本发明技术方案在不依赖专家知识库的情况下实现网络隐蔽信道的检测,提高对未知的网络隐蔽信道的识别精度。

Description

基于信息熵的网络隐蔽信道的检测方法及装置
技术领域
本发明涉及隐蔽信道检测方法技术领域,尤其涉及一种基于信息熵的网络隐蔽信道的检测方法及装置。
背景技术
网络隐蔽信道为木马、间谍软件或恶意通信软件提供了掩体媒介,并利用正常网络协议来传递隐蔽信息,使得恶意软件能够规避网络通信行为的安全检测。
现有技术中,通常采用隐蔽信道的学习模型来实现网络隐蔽信道的检测,但是现有的隐蔽信道的学习模型不仅过度依赖所构建的识别体系,而且还过度依赖专家知识库的更新和维护。当所构建的识别体系出现问题时,或专家知识库未及时更新时,将无法从众多的正常网络协议中准确地检测出网络隐蔽信道;除此之外,隐蔽信道的学习模型需要从大量的网络隐蔽信道中提取网络隐蔽信道的共性特征,然而现有的网络隐蔽信道的数量众多且特征繁杂,从而导致获取网络隐蔽信道的共性特征的难度增加,又因为网络隐蔽信道的数量众多且特征繁杂的特性,难以收录一部完整的网络隐蔽信道的专家知识库,使得隐蔽信道的学习模型对未知的网络隐蔽信道的识别精度不高。
发明内容
本发明实施例提供了一种基于信息熵的网络隐蔽信道的检测方法及装置,在不依赖专家知识库的情况下实现网络隐蔽信道的检测,提高对未知的网络隐蔽信道的识别精度。
为了解决上述技术问题,本发明实施例提供了一种基于信息熵的网络隐蔽信道的检测方法,包括:
获取待检测协议;其中,所述待检测协议包括:协议特征、行为特征和统计特征;
计算所述协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从所述协议特征库中提取所述相似度最高的关键词集合对应的真实协议;
根据所述行为特征,分别计算所述待检测协议的第一熵值和所述真实协议的第二熵值,判断所述第一熵值和第二熵值是否均小于第一阈值;
若所述第一熵值和第二熵值均小于所述第一阈值,则根据所述统计特征,计算所述待检测协议与所述真实协议的相对熵;
将所述相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截所述隐蔽通信协议。
作为优选方案,在判断所述第一熵值和第二熵值是否均小于第一阈值之后,还包括:
若所述第一熵值和第二熵值均大于所述第一阈值,或者所述第一熵值和第二熵值中任意一个大于所述第一阈值,则根据预设的用户策略,向用户发出告警信息、或者阻断所述待检测协议的信道、或者拦截所述待检测协议。
作为优选方案,在所述计算所述待检测协议与所述真实协议的相对熵之后,还包括:
将所述相对熵小于所述第二阈值的待检测协议标记为正常通信协议。
作为优选方案,所述计算所述协议特征的关键词集合与预设的协议特征库的关键词集合的相似度,具体为:
按照以下公式,计算获得所述协议特征的关键词集合与预设的协议特征库的关键词集合的相似度,计算方法如下:
Figure BDA0002247048010000021
其中,d(i)为协议特征的关键词集合与预设的协议特征库中第i个关键词集合的相似度,且0≤d(i)≤1,A为所述待检测协议中协议特征的关键词集合,B(i)为所述预设的协议特征库中第i个关键词集合。
作为优选方案,所述第一熵值的计算方法如下:
Figure BDA0002247048010000031
其中,ES(W)为所述待检测协议中行为特征的关键词集合W的第一熵值,HS(W)为所述待检测协议中行为特征的关键词集合W的第一边界熵,
Figure BDA0002247048010000032
为所述待检测协议的关键词集合的标准差理论值,σS为所述待检测协议的关键词集合的方差理论值。
作为优选方案,所述待检测协议中行为特征的关键词集合W的第一边界熵的计算方法如下:
HS(W)=-logP(W)
其中,HS(W)为所述第一边界熵,P(W)为在所述待检测协议的所有关键词集合中行为特征的关键词集合W发生的概率。
作为优选方案,所述第二熵值的计算方法如下:
Figure BDA0002247048010000033
其中,EB(W)为所述真实协议中行为特征的关键词集合W的第二熵值,HB(W)为所述真实协议中行为特征的关键词集合W的第二边界熵,HB为所述真实协议的关键词集合的标准差理论值,σB为所述真实协议的关键词集合的方差理论值。
作为优选方案,所述真实协议中行为特征的关键词集合W的第二边界熵的计算方法如下:
Figure BDA0002247048010000034
其中,HB为所述第二边界熵,P(c|W)为在所述真实协议中行为特征的关键词集合W出现的前提下,下一个行为特征的关键词集合c发生的概率。
作为优选方案,所述根据所述行为特征,计算所述待检测协议与所述真实协议的相对熵,具体为:
根据所述统计特征,计算所述待检测协议中统计特征的特征向量的随机概率分布;
根据所述统计特征,计算所述真实协议中统计特征的特征向量的理论概率分布;
根据所述随机概率分布和理论概率分布,结合预设公式,获得所述待检测协议与所述真实协议的相对熵;其中,所述预设公式,具体为:
Figure BDA0002247048010000041
DKL(p||q)为所述待检测协议与所述真实协议的相对熵,p(x)为所述随机概率分布,q(x)为所述理论概率分布。
相应地,本发明实施例还提供一种基于信息熵的网络隐蔽信道的检测装置,包括:
获取模块,用于获取待检测协议;其中,所述待检测协议包括:协议特征、行为特征和统计特征;
提取模块,用于计算所述协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从所述协议特征库中提取所述相似度最高的关键词集合对应的真实协议;
判断模块,用于根据所述行为特征,分别计算所述待检测协议的第一熵值和所述真实协议的第二熵值,判断所述第一熵值和第二熵值是否均小于第一阈值;
执行模块,用于所述判断模块确定所述第一熵值和第二熵值均小于所述第一阈值,则根据所述统计特征,计算所述待检测协议与所述真实协议的相对熵;
标记模块,用于将所述相对熵大于预设的第二阈值的待检测协议标记为隐蔽通信协议,以便于系统拦截将所述隐蔽通信协议。
实施本发明实施例,具有如下有益效果:
本发明实施例提供的基于信息熵的网络隐蔽信道的检测方法,该方法先获取待检测协议,其中,待检测协议包括:协议特征、行为特征和统计特征;计算协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并提取相似度最高的关键词集合对应的真实协议;根据行为特征,计算待检测协议的第一熵值和真实协议的第二熵值,当第一、第二熵值均小于第一阈值时,则根据统计特征,计算待检测协议与真实协议的相对熵;将相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截隐蔽通信协议。相比于现有技术采用隐蔽信道的学习模型进行网络隐蔽信道的检测,本发明技术方案不会过于依赖所构建的识别体系和专家知识库,不用时刻维护和更新专家知识库以更新输出结果,而是基于信息熵的分析方法,将待检测协议与正常协议进行分析和计算,并根据计算结果推断待检测协议是否为隐蔽通信协议,从而有效提高了未知的网络隐蔽信道的识别精度。
附图说明
图1是本发明提供的基于信息熵的网络隐蔽信道的检测方法的第一实施例的流程示意图;
图2是本发明提供的基于信息熵的网络隐蔽信道的检测装置的第二实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一实施例:
参见图1,是本发明提供的基于信息熵的网络隐蔽信道的检测方法的一种实施例的流程示意图。如图1,该构建方法包括步骤101至步骤105,各步骤具体如下:
步骤101:获取待检测协议;其中,待检测协议包括:协议特征、行为特征和统计特征。
在本实施例中,在企业、组织机构的边界网络上部署流量分析设备,该设备能够实时捕获待检测协议;待检测协议包含协议特征、行为特征和统计特征。
在本实施例中,协议特征包括:包头中的特征码和五元组;行为特征包括:包时序、访问关系和链路长度分布;统计特征包括:包间隔、包延迟、包大小和包载荷。然而不同的待检测协议中的协议特征、行为特征和统计特征的内容可能存在不同,譬如,第一待检测协议的统计特征包含包间隔和包延迟,第二待检测协议的统计特征包含包间隔、包大小和包荷载。
步骤102:计算协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从协议特征库中提取相似度最高的关键词集合对应的真实协议。
在本实施例中,步骤102具体步骤如下:第一,提取待检测协议的协议特征的所有关键词,例如,在SMTP协议中,“MAIL FROM:<xxx@gmail.com>\r\n”提取出关键词为“MAIL”、“FROM”。第二,将关键词组合为关键词集合A;第三,将关键词集合A分别与预设的协议特征库的各个关键词集合进行相似度的计算;第四,从协议特征库中提取相似度最高的关键词集合对应的真实协议;其中,相似度的计算方法如下:
Figure BDA0002247048010000061
其中,d(i)为协议特征的关键词集合与预设的协议特征库中第i个关键词集合的相似度,且0≤d(i)≤1,A为待检测协议中协议特征的关键词集合,B(i)为预设的协议特征库中第i个关键词集合。
步骤103:根据行为特征,分别计算待检测协议的第一熵值和真实协议的第二熵值,判断第一熵值和第二熵值是否均小于第一阈值。
在本实施例中,第一熵值的计算方法如下:
Figure BDA0002247048010000062
其中,ES(W)为待检测协议中行为特征的关键词集合W的第一熵值,HS(W)为待检测协议中行为特征的关键词集合W的第一边界熵,
Figure BDA0002247048010000063
为待检测协议的关键词集合的标准差理论值,σS为待检测协议的关键词集合的方差理论值。
在本实施例中,待检测协议中行为特征的关键词集合W的第一边界熵的计算方法如下:HS(W)=-logP(W);其中,HS(W)为第一边界熵,P(W)为在待检测协议的所有关键词集合中行为特征的关键词集合W发生的概率。
在本实施例中,第二熵值的计算方法如下:
Figure BDA0002247048010000071
其中,EB(W)为真实协议中行为特征的关键词集合W的第二熵值,HB(W)为真实协议中行为特征的关键词集合W的第二边界熵,
Figure BDA0002247048010000072
为真实协议的关键词集合的标准差理论值,σB为真实协议的关键词集合的方差理论值。
在本实施例中,真实协议中行为特征的关键词集合W的第二边界熵的计算方法如下:
Figure BDA0002247048010000073
其中,HB为第二边界熵,P(c|W)为在真实协议中行为特征的关键词集合W出现的前提下,下一个行为特征的关键词集合c发生的概率。
在本实施例中,第一阈值ε1根据实际的测试数据获得,将测试数据计算出正确率>99%的临界点的数值作为第一阈值。
步骤104:若第一熵值和第二熵值均小于第一阈值,则根据统计特征,计算待检测协议与真实协议的相对熵。
在本实施例中,步骤104具体为:若第一熵值和第二熵值均小于第一阈值,则根据统计特征,计算待检测协议中统计特征的特征向量的随机概率分布;根据统计特征,计算真实协议中统计特征的特征向量的理论概率分布;根据随机概率分布和理论概率分布,结合预设公式,获得待检测协议与真实协议的相对熵;其中,预设公式,具体为:
Figure BDA0002247048010000074
DKL(p||q)为待检测协议与真实协议的相对熵,p(x)为随机概率分布,q(x)为理论概率分布;其中,当p=q时,DKL(p||q)为零。
在本实施例中,第二阈值ε2根据实际的测试数据获得,将测试数据计算出正确率>99%的临界点的数值作为第二阈值。
在本实施例中,若待检测协议的统计特征中包含N特征向量,例如,假设统计特征中有四个特征向量,分别是包间隔、包延迟、包大小和包载荷,则根据相对熵的公式,分别计算每个特征向量的相对熵,该待检测协议的相对熵为上述四个特征向量的相对熵相加,计算公式如下:
Figure BDA0002247048010000081
则第二阈值为
Figure BDA0002247048010000082
在本实施例中,若第一熵值和第二熵值均大于第一阈值,或者第一熵值和第二熵值中任意一个大于第一阈值,则根据预设的用户策略,向用户发出告警信息、或者阻断待检测协议的信道、或者拦截待检测协议。
步骤105:将相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截隐蔽通信协议。
在本实施例中,将相对熵小于第二阈值的待检测协议标记为正常通信协议。
由上可见,本发明实施例提供的基于信息熵的网络隐蔽信道的检测方法,该方法先获取待检测协议,其中,待检测协议包括:协议特征、行为特征和统计特征;计算协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并提取相似度最高的关键词集合对应的真实协议;根据行为特征,计算待检测协议的第一熵值和真实协议的第二熵值,当第一、第二熵值均小于第一阈值时,则根据统计特征,计算待检测协议与真实协议的相对熵;将相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截隐蔽通信协议。相比于现有技术采用隐蔽信道的学习模型进行网络隐蔽信道的检测,本发明技术方案不会过于依赖所构建的识别体系和专家知识库,不用时刻维护和更新专家知识库以更新输出结果,而是基于信息熵的分析方法,将待检测协议与正常协议进行分析和计算,并根据计算结果推断待检测协议是否为隐蔽通信协议,从而有效提高了未知的网络隐蔽信道的识别精度。
第二实施例:
请参见图2,是本发明提供的一种基于信息熵的网络隐蔽信道的检测装置的第二实施例的结构示意图。该装置包括:获取模块201、提取模块202、判断模块203、执行模块204和标记模块205。
获取模块201,用于获取待检测协议;其中,待检测协议包括:协议特征、行为特征和统计特征;
提取模块202,用于计算协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从协议特征库中提取相似度最高的关键词集合对应的真实协议;
判断模块203,用于根据行为特征,分别计算待检测协议的第一熵值和真实协议的第二熵值,判断第一熵值和第二熵值是否均小于第一阈值;
执行模块204,用于判断模块确定第一熵值和第二熵值均小于第一阈值,则根据统计特征,计算待检测协议与真实协议的相对熵;
标记模块205,用于将相对熵大于预设的第二阈值的待检测协议标记为隐蔽通信协议,以便于系统拦截将隐蔽通信协议。
本实施例更详细的工作原理和流程可以但不限于参见第一实施例的基于信息熵的网络隐蔽信道的检测方法。
由上可见,本发明实施例提供的信息熵的网络隐蔽信道的检测装置,不会过于依赖所构建的识别体系和专家知识库,不用时刻维护和更新专家知识库以更新输出结果,而是基于信息熵的分析方法,将待检测协议与正常协议进行分析和计算,并根据计算结果推断待检测协议是否为隐蔽通信协议,从而有效提高了未知的网络隐蔽信道的识别精度。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (9)

1.一种基于信息熵的网络隐蔽信道的检测方法,其特征在于,包括:
获取待检测协议;其中,所述待检测协议包括:协议特征、行为特征和统计特征;协议特征包括:包头中的特征码和五元组;行为特征包括:包时序、访问关系和链路长度分布;统计特征包括:包间隔、包延迟、包大小和包载荷;
计算所述协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从所述协议特征库中提取所述相似度最高的关键词集合对应的真实协议;
根据所述行为特征,分别计算所述待检测协议的第一熵值和所述真实协议的第二熵值,判断所述第一熵值和第二熵值是否均小于第一阈值;
若所述第一熵值和第二熵值均小于所述第一阈值,则根据所述统计特征,计算所述待检测协议与所述真实协议的相对熵;
将所述相对熵大于等于第二阈值的待检测协议标记为隐蔽通信协议,以便于拦截所述隐蔽通信协议;
所述第一熵值的计算方法如下:
Figure FDA0003382916650000011
其中,ES(W)为所述待检测协议中行为特征的关键词集合W的第一熵值,HS(W)为所述待检测协议中行为特征的关键词集合W的第一边界熵,
Figure FDA0003382916650000012
为所述待检测协议的关键词集合的标准差理论值,σS为所述待检测协议的关键词集合的方差理论值。
2.如权利要求1所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,在判断所述第一熵值和第二熵值是否均小于第一阈值之后,还包括:
若所述第一熵值和第二熵值均大于所述第一阈值,或者所述第一熵值和第二熵值中任意一个大于所述第一阈值,则根据预设的用户策略,向用户发出告警信息、或者阻断所述待检测协议的信道、或者拦截所述待检测协议。
3.如权利要求1所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,在所述计算所述待检测协议与所述真实协议的相对熵之后,还包括:
将所述相对熵小于所述第二阈值的待检测协议标记为正常通信协议。
4.如权利要求1至3任一项所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,所述计算所述协议特征的关键词集合与预设的协议特征库的关键词集合的相似度,具体为:
按照以下公式,计算获得所述协议特征的关键词集合与预设的协议特征库的关键词集合的相似度,计算方法如下:
Figure FDA0003382916650000021
其中,d(i)为协议特征的关键词集合与预设的协议特征库中第i个关键词集合的相似度,且0≤d(i)≤1,A为所述待检测协议中协议特征的关键词集合,B(i)为所述预设的协议特征库中第i个关键词集合。
5.如权利要求4所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,所述待检测协议中行为特征的关键词集合W的第一边界熵的计算方法如下:
HS(W)=-logP(W)
其中,HS(W)为所述第一边界熵,P(W)为在所述待检测协议的所有关键词集合中行为特征的关键词集合W发生的概率。
6.如权利要求1至3任一项所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,所述第二熵值的计算方法如下:
Figure FDA0003382916650000031
其中,EB(W)为所述真实协议中行为特征的关键词集合W的第二熵值,HB(W)为所述真实协议中行为特征的关键词集合W的第二边界熵,
Figure FDA0003382916650000032
为所述真实协议的关键词集合的标准差理论值,σB为所述真实协议的关键词集合的方差理论值。
7.如权利要求6所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,所述真实协议中行为特征的关键词集合W的第二边界熵的计算方法如下:
Figure FDA0003382916650000033
其中,HB为所述第二边界熵,P(c|W)为在所述真实协议中行为特征的关键词集合W出现的前提下,下一个行为特征的关键词集合c发生的概率。
8.如权利要求1所述的基于信息熵的网络隐蔽信道的检测方法,其特征在于,所述根据所述行为特征,计算所述待检测协议与所述真实协议的相对熵,具体为:
根据所述统计特征,计算所述待检测协议中统计特征的特征向量的随机概率分布;
根据所述统计特征,计算所述真实协议中统计特征的特征向量的理论概率分布;
根据所述随机概率分布和理论概率分布,结合预设公式,获得所述待检测协议与所述真实协议的相对熵;其中,所述预设公式,具体为:
Figure FDA0003382916650000034
DKL(p||q)为所述待检测协议与所述真实协议的相对熵,p(x)为所述随机概率分布,q(x)为所述理论概率分布。
9.一种基于信息熵的网络隐蔽信道的检测装置,其特征在于,包括:
获取模块,用于获取待检测协议;其中,所述待检测协议包括:协议特征、行为特征和统计特征;协议特征包括:包头中的特征码和五元组;行为特征包括:包时序、访问关系和链路长度分布;统计特征包括:包间隔、包延迟、包大小和包载荷;
提取模块,用于计算所述协议特征的关键词集合与预设协议特征库的关键词集合的相似度,并从所述协议特征库中提取所述相似度最高的关键词集合对应的真实协议;
判断模块,用于根据所述行为特征,分别计算所述待检测协议的第一熵值和所述真实协议的第二熵值,判断所述第一熵值和第二熵值是否均小于第一阈值;
执行模块,用于所述判断模块确定所述第一熵值和第二熵值均小于所述第一阈值,则根据所述统计特征,计算所述待检测协议与所述真实协议的相对熵;
标记模块,用于将所述相对熵大于预设的第二阈值的待检测协议标记为隐蔽通信协议,以便于系统拦截将所述隐蔽通信协议;
所述第一熵值的计算方法如下:
Figure FDA0003382916650000041
其中,ES(W)为所述待检测协议中行为特征的关键词集合W的第一熵值,HS(W)为所述待检测协议中行为特征的关键词集合W的第一边界熵,HS为所述待检测协议的关键词集合的标准差理论值,σS为所述待检测协议的关键词集合的方差理论值。
CN201911027532.3A 2019-10-25 2019-10-25 基于信息熵的网络隐蔽信道的检测方法及装置 Active CN110798463B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911027532.3A CN110798463B (zh) 2019-10-25 2019-10-25 基于信息熵的网络隐蔽信道的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911027532.3A CN110798463B (zh) 2019-10-25 2019-10-25 基于信息熵的网络隐蔽信道的检测方法及装置

Publications (2)

Publication Number Publication Date
CN110798463A CN110798463A (zh) 2020-02-14
CN110798463B true CN110798463B (zh) 2022-01-18

Family

ID=69441432

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911027532.3A Active CN110798463B (zh) 2019-10-25 2019-10-25 基于信息熵的网络隐蔽信道的检测方法及装置

Country Status (1)

Country Link
CN (1) CN110798463B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478920A (zh) * 2020-04-27 2020-07-31 深信服科技股份有限公司 一种隐蔽信道通信检测方法、装置及设备
CN111585993B (zh) * 2020-04-27 2022-08-09 深信服科技股份有限公司 一种隐蔽信道通信检测方法、装置及设备
CN112422548A (zh) * 2020-11-10 2021-02-26 宁波智轩物联网科技有限公司 一种基于云控器的通信协议设定系统
CN112769811A (zh) * 2020-12-30 2021-05-07 北京天融信网络安全技术有限公司 一种隐蔽信道检测模型更新方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618651A (zh) * 2013-12-11 2014-03-05 上海电机学院 一种基于信息熵和滑动窗口的网络异常检测方法及系统
CN104753617A (zh) * 2015-03-17 2015-07-01 中国科学技术大学苏州研究院 基于神经网络的时序型隐信道检测方法
CN105024993A (zh) * 2015-05-25 2015-11-04 上海南邮实业有限公司 一种基于向量运算的协议比对方法
CN105827662A (zh) * 2016-06-02 2016-08-03 江苏科技大学 一种基于dct变换的on-off时间式隐蔽通信检测方法
CN107172024A (zh) * 2017-05-02 2017-09-15 江苏科技大学 针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618651A (zh) * 2013-12-11 2014-03-05 上海电机学院 一种基于信息熵和滑动窗口的网络异常检测方法及系统
CN104753617A (zh) * 2015-03-17 2015-07-01 中国科学技术大学苏州研究院 基于神经网络的时序型隐信道检测方法
CN105024993A (zh) * 2015-05-25 2015-11-04 上海南邮实业有限公司 一种基于向量运算的协议比对方法
CN105827662A (zh) * 2016-06-02 2016-08-03 江苏科技大学 一种基于dct变换的on-off时间式隐蔽通信检测方法
CN107172024A (zh) * 2017-05-02 2017-09-15 江苏科技大学 针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
J. Chow, X. Li and X. Mountrouidou;J. Chow, X. Li and X. Mountrouidou;《2017 IEEE International Conference on Intelligence and Security Informatics (ISI)》;20180818;第1-6页 *

Also Published As

Publication number Publication date
CN110798463A (zh) 2020-02-14

Similar Documents

Publication Publication Date Title
CN110798463B (zh) 基于信息熵的网络隐蔽信道的检测方法及装置
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
CN109067586B (zh) DDoS攻击检测方法及装置
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
WO2022011977A1 (zh) 一种网络异常检测方法、系统、终端以及存储介质
CN110149266B (zh) 垃圾邮件识别方法及装置
EP3684025B1 (en) Web page request identification
CN111478920A (zh) 一种隐蔽信道通信检测方法、装置及设备
Oza et al. HTTP attack detection using n-gram analysis
CN114553523A (zh) 基于攻击检测模型的攻击检测方法及装置、介质、设备
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN109462580B (zh) 训练流量检测模型、检测业务流量异常的方法及装置
CN112733954A (zh) 一种基于生成对抗网络的异常流量检测方法
CN111953665B (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
CN114520736A (zh) 一种物联网安全检测方法、装置、设备及存储介质
CN110856178B (zh) 一种基于无线网络物理层iq信号的行为识别方法
CN114285587B (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
CN109600361B (zh) 基于哈希算法的验证码防攻击方法、装置、电子设备及非暂态计算机可读存储介质
CN112001423A (zh) Apt恶意软件组织的开集识别方法、装置、设备和介质
Little et al. Spectral clustering technique for classifying network attacks
CN116192527A (zh) 攻击流量检测规则生成方法、装置、设备及存储介质
KR101863569B1 (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치
CN112948578B (zh) 一种dga域名开集分类方法、装置、电子设备及介质
CN114024701A (zh) 域名检测方法、装置及通信系统
CN115941361B (zh) 恶意流量识别方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant