CN113438257B - 时间型隐通道特征撷取方法、系统、设备及存储介质 - Google Patents

时间型隐通道特征撷取方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN113438257B
CN113438257B CN202110988013.4A CN202110988013A CN113438257B CN 113438257 B CN113438257 B CN 113438257B CN 202110988013 A CN202110988013 A CN 202110988013A CN 113438257 B CN113438257 B CN 113438257B
Authority
CN
China
Prior art keywords
time
sequence
hidden channel
picture
time difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110988013.4A
Other languages
English (en)
Other versions
CN113438257A (zh
Inventor
林于翔
罗禹铭
黄铄琳
杨莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangyu Safety Technology Shenzhen Co ltd
Original Assignee
Wangyu Safety Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangyu Safety Technology Shenzhen Co ltd filed Critical Wangyu Safety Technology Shenzhen Co ltd
Priority to CN202110988013.4A priority Critical patent/CN113438257B/zh
Publication of CN113438257A publication Critical patent/CN113438257A/zh
Application granted granted Critical
Publication of CN113438257B publication Critical patent/CN113438257B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Compression Or Coding Systems Of Tv Signals (AREA)

Abstract

本发明提供了一种时间型隐通道特征撷取方法,包括步骤:图片化处理和自编码处理,图片化处理包括:封包抵达时间差值撷取、一维浮点数规一化以及一维正整数图片化;自编码处理包括:将输入序列x通过神经网络按照预设的训练规则进行训练并生成输出序列z,训练规则的训练目标为:输入序列x与输出序列z的总体误差和为最小值,总体误差和设为
Figure 100004_DEST_PATH_IMAGE001
,并满足公式:
Figure 100004_DEST_PATH_IMAGE002
。本发明还提供了一种时间型隐通道特征撷取系统、时间型隐通道特征撷取设备及计算机可读存储介质。与相关技术相比,采用本发明的技术方案可提升时间型隐通道特征撷取的精确性、抗侦测强度大、泛化能力强且安全性高。

Description

时间型隐通道特征撷取方法、系统、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于图片化及自编码的时间型隐通道特征撷取方法、时间型隐通道特征撷取系统、时间型隐通道特征撷取设备以及计算机可读存储介质。
背景技术
随着云计算及大数据时代的来临,网络通信的安全的需求也与日俱增。在各种通信的攻击模式中,隐通道攻击逐渐成为了一种网络安全的主要威胁。隐通道是指允许进程以危害系统安全策略的方式传输信息的通信通道。我国的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、美国的《可信计算机系统评估准则》(TCSEC)、以及国际标准化组织ISO 在1999 年发布的《信息技术安全评估通用准则》(ISO/IEC 15408,简称CC 标准)都对隐通道分析提出了明确的规定:要求高等级信息系统(GB17859-1999 第四级,TCSEC中B2 级以上)必须进行隐通道分析,并且在识别隐通道的基础上,对隐通道进行度量和处置。
隐通道的设计概念,最初是由Lampson 在1973 年所提出。其给出的隐通道定义为:不是被设计或本意不是用来传输信息的通信通道。网络隐通道从构建机制上可分为存储型和时间型隐通道两类。这两种隐通道有着各自的优缺点:存储型隐通道容量较大,可以利用载体通道的可靠性传输(如TCP/IP 协议),所以受网络条件的影响较小,但是易于被基于内容的检测方法进行针对性检测。而时间型隐通道较难以检测,并且时间作为发送方和接收方的共享资源是无法被割断的,这使得时间型隐通道几乎不可能被根除。因此时间型网络隐蔽通道,对于网络信息传输的潜在威胁也相对较大。
码元设计方面:存储型隐通道使用的网络载体一般为网络协议,利用的载体属性为协议字段,类型多样的网络协议为存储型隐通道设计提供了充分的信息载体空间和设计素材。因此,存储型隐通道的传输效率较高,种类也较多。但由于网络协议的类型和和属性有限,易于被针对。因此存储型隐通道需要其他手段对隐蔽性方面进行补充。而时间型隐通道使用的通道载体一般为网络数据包,利用的载体属性为时间特性。另一方面,由于网络数据包的时间特性不易检测,并为时间型隐通道提供了相对充分的隐蔽性。
目前, 相关技术的时间型隐通道使用最多的编码模式是时间间隔模式,大量研究都是基于网络数据包间隔(inter- packet-delay, 简称IPD)为基础进行的。时间间隔模式隐通道编码主要又可细分为两大类:第一类是直接使用编码元素(例如网络数据包时间间隔)进行编码。Cabuk等人提出了基于数据包时间间隔的网络时间型隐通道(inter-packetcovert timing channel, 简称IPCTC)。该类利用时间窗口内是否包含数据包进行二进制编码, 将时间分成连续相等不相交的时间窗口, 在时间窗口内发送数据包代表比特“1”,不发送数据包代表比特“0”。
随着网络隐通道检测技术的发展,出现了第二类隐蔽性更强的基于统计学的时间型隐通道编。Brodley等人提出了基于重传的时间型隐通道(time-replay covert timingchannel,简称TRCTC)。该类收集合法信道的网络数据包间隔时间为编码提供样本,对收集的网络数据包间隔时间排序,并将它们平均分为两个部分,并与二进制编码的值对应,从网络数据包间隔时间较大的部分随机取出一个网络数据包间隔时间代表比特“1”,从较小的部分取出随机值发送代表比特“0”。
目前,相关技术一般采用基于人为定义规则(rule-based)检验的方法来辨别时间 型隐通道数据包与正常通信数据包的差异。即通过计算当前网络中数据包的一阶或高阶统 计参数,并将其与合法通信数据包的相应统计参量相对比,根据两者的相符程度来判断是 否存在时间型隐通道。目前常见的时间型隐通道的检测方法主要有:信息熵法、 Compressibility Walk算法、
Figure 100002_DEST_PATH_IMAGE001
相似度算法…等。近年来有研究透过整合封包时序数据的 多个统计特征值(如:变异系数、
Figure 478210DEST_PATH_IMAGE001
相似度、以及墒值…等)以作为时间型隐通道的分类特征 值,并将其输入神经网络,以进行时间型隐通道的识别。
然而,以上方法本质上都是基于对数据包的时间分布规律的统计学分析。这些方法之所以能够成功,原因就在于现有的时间型隐通道在通信过程中会改变数据包的时间分布,从而使得时间隐通道严重地背离了正常网络通信的统计学特征。但是如果时间型隐通道的数据包满足合法数据包在网络中传输的时间分布规律,那么以上基于统计学方法的特征分析将会严重失效。更值得注意的议题是,基于人为定义规则库的时间型隐通道特征撷取方法,将可能被有心人士作为规避隐通道分析的参考依据,基于此设计出更难以被人为定义规则库侦测到的时间型隐通道。
因此,实有必要提供一种新的方法、系统及设备来解决上述技术问题。
发明内容
本发明的目的是克服上述技术问题,提供一种可提升时间型隐通道特征撷取的精确性、抗侦测强度大、泛化能力强且安全性高的时间型隐通道特征撷取方法、时间型隐通道特征撷取系统、时间型隐通道特征撷取设备以及计算机可读存储介质。
为了实现上述目的,本发明提供一种时间型隐通道特征撷取方法, 该方法包括如下步骤: 图片化处理和自编码处理;
所述图片化处理包括:
封包抵达时间差值撷取:获取所述时间型隐通道中的预设时间
Figure 100002_DEST_PATH_IMAGE002
内的时序讯号, 根据所述时序讯号侦测和记录所述时序讯号内的每个
Figure 100002_DEST_PATH_IMAGE003
封包的抵达时间,再计算出每个 所述
Figure 568526DEST_PATH_IMAGE003
封包之间所述抵达时间的差值并得到依时间顺序的一连串的
Figure 100002_DEST_PATH_IMAGE004
个所述差值形成的 差值序列,将所述差值序列记录生成一维浮点数矩阵,其中,所述时序讯号包括所述预设时 间
Figure 218950DEST_PATH_IMAGE002
内依时间顺序的一连串的多个所述
Figure 736519DEST_PATH_IMAGE003
封包,
Figure 105183DEST_PATH_IMAGE004
为平方数,所述一维浮点数矩阵内存储 的所述差值序列为
Figure 936873DEST_PATH_IMAGE004
个浮点数
Figure 100002_DEST_PATH_IMAGE005
一维浮点数规一化:通过预设的映像函数
Figure 100002_DEST_PATH_IMAGE006
Figure 35279DEST_PATH_IMAGE004
个浮点数
Figure 100002_DEST_PATH_IMAGE007
由浮点数域归一化至正整数域,得到
Figure 257837DEST_PATH_IMAGE004
个正整数
Figure 100002_DEST_PATH_IMAGE008
,并将记录的
Figure 113798DEST_PATH_IMAGE004
个正 整数
Figure 811496DEST_PATH_IMAGE008
记录生成一维正整数矩阵,其中,
Figure 100002_DEST_PATH_IMAGE009
,所述映像函数
Figure 436512DEST_PATH_IMAGE006
满足公式:
Figure 100002_DEST_PATH_IMAGE010
Figure 100002_DEST_PATH_IMAGE011
为归一化函数;以及,
一维正整数图片化:将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片,所述封包时间差值图片为灰阶图片;
所述自编码处理包括:
将所述封包时间差值图片的输入序列x通过神经网络按照预设的训练规则进行训 练并生成封包时间差值译码图片的输出序列z,其中,所述输入序列x为所述封包时间差值 图片的灰阶值循序展开形成,所述输出序列z为所述封包时间差值译码图片的灰阶值循序 展开形成,所述训练规则的训练目标为:所述输入序列x与所述输出序列z的总体误差和为 最小值,所述总体误差和设为
Figure 100002_DEST_PATH_IMAGE012
,并满足以下公式:
Figure 100002_DEST_PATH_IMAGE013
优选的,所述图片化处理步骤中,
Figure 100002_DEST_PATH_IMAGE014
,所述预设的转化规则为将正整数
Figure 100002_DEST_PATH_IMAGE015
设定为所述封包时间差值图片的第1行的灰阶值,正整数
Figure 100002_DEST_PATH_IMAGE016
设定为所述封包时间差值图片的第2行的灰阶值,…,正整数
Figure 100002_DEST_PATH_IMAGE017
设定为所述封包时间差值图片的第9行的灰阶值。
优选的,所述自编码处理步骤中,包括如下步骤:
编码器训练:将所述输入序列
Figure 100002_DEST_PATH_IMAGE018
通过所述神经网络的输入层到达所述神经网络的 中间层,并根据预设的编码器模型生成序列
Figure 100002_DEST_PATH_IMAGE019
,并满足如下公式:
Figure 100002_DEST_PATH_IMAGE020
其中,
Figure 100002_DEST_PATH_IMAGE021
为输入层到中间层的权值,
Figure 100002_DEST_PATH_IMAGE022
为中间层的偏差,所述序列
Figure 482834DEST_PATH_IMAGE019
为隐通道特征 序列。
优选的,所述自编码处理步骤中,还包括如下步骤:
译码器训练:将所述序列
Figure 419566DEST_PATH_IMAGE019
通过所述神经网络的
Figure 100002_DEST_PATH_IMAGE023
个神经元的输出层,并根据预 设的译码器模型生成所述输出序列
Figure 100002_DEST_PATH_IMAGE024
,并满足如下公式:
Figure 100002_DEST_PATH_IMAGE025
其中,
Figure 100002_DEST_PATH_IMAGE026
为所述中间层到所述输出层的权值,
Figure 100002_DEST_PATH_IMAGE027
为所述输出层的偏差。
优选的,
Figure 389796DEST_PATH_IMAGE021
为一个权重矩阵,
Figure 991023DEST_PATH_IMAGE026
为另一个权重矩阵,
Figure 162242DEST_PATH_IMAGE026
Figure 523953DEST_PATH_IMAGE021
的转置矩阵。
优选的,所述自编码处理步骤中,还包括如下步骤:
反向传播算法训练:将
Figure 563453DEST_PATH_IMAGE021
Figure 694220DEST_PATH_IMAGE026
Figure 301919DEST_PATH_IMAGE022
以及
Figure 213243DEST_PATH_IMAGE027
在所述神经网络中通过预设的反向传播 算法更新。
本发明还提供一种时间型隐通道特征撷取系统,该系统包括图片化处理模块和自编码处理模块,
所述图片化处理模块包括:
封包抵达时间差值撷取模块,用于获取所述时间型隐通道中的预设时间
Figure 100002_DEST_PATH_IMAGE028
内的时 序讯号,根据所述时序讯号侦测和记录所述时序讯号内的每个
Figure 100002_DEST_PATH_IMAGE029
封包的抵达时间,再计算 出每个所述
Figure 197380DEST_PATH_IMAGE029
封包之间所述抵达时间的差值并得到依时间顺序的一连串的
Figure 776128DEST_PATH_IMAGE023
个所述差值 形成的差值序列,将所述差值序列记录生成一维浮点数矩阵,其中,所述时序讯号包括所述 预设时间
Figure 289149DEST_PATH_IMAGE028
内依时间顺序的一连串的多个所述
Figure 625453DEST_PATH_IMAGE029
封包,
Figure 6756DEST_PATH_IMAGE023
为平方数,所述一维浮点数矩阵 内存储的所述差值序列为
Figure 112115DEST_PATH_IMAGE023
个浮点数
Figure 100002_DEST_PATH_IMAGE030
一维浮点数规一化模块,用于通过预设的映像函数
Figure 100002_DEST_PATH_IMAGE031
Figure 655092DEST_PATH_IMAGE023
个浮点数
Figure 100002_DEST_PATH_IMAGE032
由浮点数域归一化至正整数域,得到
Figure 416374DEST_PATH_IMAGE023
个正整数
Figure 100002_DEST_PATH_IMAGE033
,并将记录的
Figure 70210DEST_PATH_IMAGE023
个正整数
Figure 30075DEST_PATH_IMAGE033
记录生成一维正整数矩阵,其中,
Figure 100002_DEST_PATH_IMAGE034
,所述映像函数
Figure 275112DEST_PATH_IMAGE031
满足公式:
Figure 100002_DEST_PATH_IMAGE035
Figure 100002_DEST_PATH_IMAGE036
为归一化函数;
一维正整数图片化模块,用于将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片,所述封包时间差值图片为灰阶图片;
所述自编码处理模块用于将所述封包时间差值图片的输入序列x通过神经网络按 照预设的训练规则进行训练并生成封包时间差值译码图片的输出序列z,其中,所述输入序 列x为所述封包时间差值图片的灰阶值循序展开形成,所述输出序列z为所述封包时间差值 译码图片的灰阶值循序展开形成,所述训练规则的训练目标为:所述输入序列x与所述输出 序列z的总体误差和为最小值,所述总体误差和设为
Figure 100002_DEST_PATH_IMAGE037
,并满足以下公式:
Figure 100002_DEST_PATH_IMAGE038
优选的,所述图片化处理模块中,
Figure 100002_DEST_PATH_IMAGE039
,所述预设的转化规则为将正整数
Figure 100002_DEST_PATH_IMAGE040
设定为所述封包时间差值图片的第1行的灰阶值,正整数
Figure 100002_DEST_PATH_IMAGE041
设定为所述封包时间差值图片的第2行的灰阶值,
Figure 100002_DEST_PATH_IMAGE042
,正整数
Figure 100002_DEST_PATH_IMAGE043
设定为所述封包时间差值图片的第9行的灰阶值。
优选的,所述自编码处理模块包括编码器模块,
所述编码器模块用于将所述输入序列
Figure 100002_DEST_PATH_IMAGE044
通过所述神经网络的输入层到达所述神 经网络的中间层,并根据预设的编码器模型生成序列
Figure 100002_DEST_PATH_IMAGE045
,并满足如下公式:
Figure 100002_DEST_PATH_IMAGE046
其中,
Figure 100002_DEST_PATH_IMAGE047
为输入层到中间层的权值,
Figure 100002_DEST_PATH_IMAGE048
为中间层的偏差,所述序列
Figure 41467DEST_PATH_IMAGE045
为隐通道特 征序列。
优选的,所述自编码处理模块还包括译码器模块,
所述译码器模块用于将所述序列
Figure 764572DEST_PATH_IMAGE045
通过所述神经网络的
Figure 100002_DEST_PATH_IMAGE049
个神经元的输出层,并 根据预设的译码器模型生成所述输出序列
Figure 100002_DEST_PATH_IMAGE050
,并满足如下公式:
Figure 100002_DEST_PATH_IMAGE051
其中,
Figure 100002_DEST_PATH_IMAGE052
为所述中间层到所述输出层的权值,
Figure 100002_DEST_PATH_IMAGE053
为所述输出层的偏差。
优选的,
Figure 100002_DEST_PATH_IMAGE054
为一个权重矩阵,
Figure 703578DEST_PATH_IMAGE052
为另一个权重矩阵,
Figure 994882DEST_PATH_IMAGE052
Figure 527495DEST_PATH_IMAGE054
的转置矩阵。
优选的,所述自编码处理模块还包括反向传播算法模块,
所述反向传播算法模块用于将
Figure 54291DEST_PATH_IMAGE054
Figure 723170DEST_PATH_IMAGE052
Figure 100002_DEST_PATH_IMAGE055
以及
Figure 799358DEST_PATH_IMAGE053
在所述神经网络中通过预设的 反向传播算法更新。
本发明还提供一种时间型隐通道特征撷取设备,该设备包括处理器和存储器,所述处理器用于读取所述存储器中的程序,执行如上中的任一项所述的时间型隐通道特征撷取方法中的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现如上中任意一项所述的时间型隐通道特征撷取方法中的步骤。
与现有技术相比,本发明的时间型隐通道特征撷取方法包括如下步骤:图片化处 理和自编码处理,图片化处理包括:封包抵达时间差值撷取、一维浮点数规一化以及一维正 整数图片化;自编码处理包括:将封包时间差值图片的输入序列x通过神经网络按照预设的 训练规则进行训练并生成封包时间差值译码图片的输出序列z,训练规则的训练目标为:输 入序列
Figure 819267DEST_PATH_IMAGE044
与输出序列
Figure DEST_PATH_IMAGE056
的总体误差和为最小值,总体误差和设为
Figure DEST_PATH_IMAGE057
,并满足以下公式:
Figure DEST_PATH_IMAGE058
。上述方法通过先将封包时序列转化为图片,再运用自编码自动撷取图片 中最具代表性的抽象时间型隐通道特征,即隐通道特征序列,具体的,所述序列
Figure 821858DEST_PATH_IMAGE045
为隐通道 特征序列。从而大幅提升时间型隐通道特征撷取的精确性,并可避免人为定义规则库的时 间型隐通道特征撷取方法,被有心人士作为规避隐通道分析的参考依据。另外,针对与时俱 进的隐通道的抗侦测强度,本发明的时间型隐通道特征撷取方法具相当的泛化能力,应用 本发明时间型隐通道特征撷取方法可通过增加图片训练数据,使得本系统的特征撷取能 力,可随着时间型隐通道的设计复杂度而同步增强。除此之外,本发明的时间型隐通道特征 撷取方法还可将撷取出的特征序列,搭配各种主流的特征分类器,进行后续的时间型隐通 道分类应用。因此,本发明的时间型隐通道特征撷取方法、时间型隐通道特征撷取系统、时 间型隐通道特征撷取设备以及计算机可读存储介质可提升时间型隐通道特征撷取的精确 性、抗侦测强度大、泛化能力强且安全性高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中,
图1为本发明时间型隐通道特征撷取方法的流程框图;
图2为本发明的时序讯号的时序示意图;
图3为本发明的一维浮点数矩阵的数据结构示意图;
图4为本发明的一维正整数矩阵的数据结构示意图;
图5为本发明的自编码的一种实施例的示意图;
图6为本发明时间型隐通道特征撷取系统的结构示意图;
图7为本发明时间型隐通道特征撷取设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。在本文中提及“实施例或本实施方式”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明提供一种时间型隐通道特征撷取方法。
请参照图1所示,图1为本发明时间型隐通道特征撷取方法的流程框图。
所述时间型隐通道特征撷取方法包括如下步骤:步骤S1、图片化处理和步骤S2、自编码处理。
步骤S1、图片化处理。
所述图片化处理包括如下步骤:
步骤S11、封包抵达时间差值撷取。
所述步骤S11、封包抵达时间差值撷取:获取所述时间型隐通道中的预设时间
Figure DEST_PATH_IMAGE059
内 的时序讯号,根据所述时序讯号侦测和记录所述时序讯号内的每个
Figure DEST_PATH_IMAGE060
封包的抵达时间,再 计算出每个所述IP封包之间所述抵达时间的差值(Pocket Inter-arrival time, 简称为 PIAT)并得到依时间顺序的一连串的
Figure DEST_PATH_IMAGE061
个所述差值形成的差值序列,将所述差值序列记录 生成一维浮点数矩阵(1D Floating Array)。
请参照图2所示,图2为本发明的时序讯号的时序示意图。所述时序讯号包括所述 预设时间
Figure 673140DEST_PATH_IMAGE059
内依时间顺序的一连串的多个所述
Figure 430880DEST_PATH_IMAGE060
封包。即所述时序讯号可随时间得到一 连串
Figure DEST_PATH_IMAGE062
序列。本实施例定义为:
Figure DEST_PATH_IMAGE063
其中,
Figure 141347DEST_PATH_IMAGE061
为平方数。
Figure 275525DEST_PATH_IMAGE061
的数值为平方数,例如:
Figure DEST_PATH_IMAGE064
等。
所述一维浮点数矩阵内存储的所述差值序列为
Figure 387838DEST_PATH_IMAGE061
个浮点数
Figure DEST_PATH_IMAGE065
。请参照图3所示,图3为本发明的一维浮点数矩阵的数据结构示意图。
请参照图4所示,图4为本发明的一维正整数矩阵的数据结构示意图。
步骤S12、一维浮点数规一化。
所述步骤S12、一维浮点数规一化:通过预设的映像函数
Figure DEST_PATH_IMAGE066
Figure 785321DEST_PATH_IMAGE061
个浮点数
Figure DEST_PATH_IMAGE067
由浮点数域归一化(Normalized)至正整数域,得到
Figure 107718DEST_PATH_IMAGE061
个正整数
Figure DEST_PATH_IMAGE068
,并将记录的
Figure 655374DEST_PATH_IMAGE061
个正整数
Figure DEST_PATH_IMAGE069
记录生成一维正整数矩阵 (1D Integer Array)。
其中,
Figure DEST_PATH_IMAGE070
,所述映像函数
Figure 215668DEST_PATH_IMAGE066
满足公式:
Figure DEST_PATH_IMAGE071
Figure DEST_PATH_IMAGE072
为归一化函数。
本实施方式中,公式
Figure DEST_PATH_IMAGE073
具体为:
Figure DEST_PATH_IMAGE074
Figure DEST_PATH_IMAGE075
其中,
Figure DEST_PATH_IMAGE076
为平方数,
Figure DEST_PATH_IMAGE077
为浮点数,
Figure DEST_PATH_IMAGE078
为正整数。
需要指出的是,
Figure 442775DEST_PATH_IMAGE076
可以为任意大小的平方数,而同样的,
Figure DEST_PATH_IMAGE079
可以为任意大小的浮 点数。
以下采用通过一个具体的归一化函数例子说明归一化过程。具体过程为:
(1)设定
Figure DEST_PATH_IMAGE080
,并给出一组时间数列差值序列组
Figure DEST_PATH_IMAGE081
(2)设定时间数列差值序列组
Figure DEST_PATH_IMAGE082
(3)将
Figure DEST_PATH_IMAGE083
代入函数
Figure DEST_PATH_IMAGE084
,并得出:
Figure DEST_PATH_IMAGE085
(4)利用模数计算
Figure DEST_PATH_IMAGE086
并得出:
Figure DEST_PATH_IMAGE087
(5)从而得出
Figure DEST_PATH_IMAGE088
=
Figure DEST_PATH_IMAGE089
步骤S13、一维正整数图片化。
所述步骤S13、一维正整数图片化:将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片,所述封包时间差值图片为灰阶图片。
以下通过实施列一进行举例说明:
实施列一的所述封包时间差值图片为
Figure DEST_PATH_IMAGE090
的灰阶图片。所述图片化步骤中,具体 的,
Figure DEST_PATH_IMAGE091
。所述转化规则为将:
正整数
Figure DEST_PATH_IMAGE092
设定为所述封包时间差值图片的 第1行的灰阶值;
正整数
Figure DEST_PATH_IMAGE093
设定为所述封包时间差 值图片的第2行的灰阶值;
正整数
Figure DEST_PATH_IMAGE094
设定为所述封包时间差值图片 的第3行的灰阶值;
正整数
Figure DEST_PATH_IMAGE095
设定为所述封包时间差值图片 的第4行的灰阶值;
正整数
Figure DEST_PATH_IMAGE096
设定为所述封包时间差值图片 的第5行的灰阶值;
正整数
Figure DEST_PATH_IMAGE097
设定为所述封包时间差值图片 的第6行的灰阶值;
正整数
Figure DEST_PATH_IMAGE098
设定为所述封包时间差值图片 的第7行的灰阶值;
正整数
Figure DEST_PATH_IMAGE099
设定为所述封包时间差值图片 的第8行的灰阶值;
正整数
Figure DEST_PATH_IMAGE100
设定为所述封包时间差值图片的 第9行的灰阶值。
步骤S2、自编码处理。
所述自编码处理包括:
将所述封包时间差值图片的输入序列x通过神经网络按照预设的训练规则进行训练并生成封包时间差值译码图片的输出序列z。其中,所述输入序列x为所述封包时间差值图片的灰阶值循序展开形成。所述输出序列z为所述封包时间差值译码图片的灰阶值循序展开形成。所述训练规则的训练目标为:所述输入序列x与所述输出序列z的总体误差和(Total Loss)为最小值。
所述总体误差和设为
Figure DEST_PATH_IMAGE101
,并满足以下公式:
Figure DEST_PATH_IMAGE102
所述步骤S2、自编码处理步骤中,包括如下步骤:
步骤S21、编码器训练。
所述步骤、编码器训练:将所述输入序列
Figure DEST_PATH_IMAGE103
通过所述神经网络的输入层到达所述 神经网络的中间层,并根据预设的编码器模型生成序列y,并满足如下公式:
Figure DEST_PATH_IMAGE104
其中,
Figure DEST_PATH_IMAGE105
为输入层到中间层的权值,
Figure DEST_PATH_IMAGE106
为中间层的偏差(bias),所述序列
Figure DEST_PATH_IMAGE107
为隐通 道特征序列。
步骤S22、译码器训练。
所述步骤S22、译码器训练:将所述序列
Figure 216915DEST_PATH_IMAGE107
通过所述神经网络的
Figure DEST_PATH_IMAGE108
个神经元的输出 层,并根据预设的译码器模型生成所述输出序列
Figure DEST_PATH_IMAGE109
,并满足如下公式:
Figure DEST_PATH_IMAGE110
其中,
Figure DEST_PATH_IMAGE111
为所述中间层到所述输出层的权值,
Figure DEST_PATH_IMAGE112
为所述输出层的偏差。
本实施方式中,
Figure DEST_PATH_IMAGE113
为一个权重矩阵,
Figure 224054DEST_PATH_IMAGE111
为另一个权重矩阵,
Figure 779800DEST_PATH_IMAGE111
Figure 315824DEST_PATH_IMAGE113
的转置矩 阵。
其中,需要指出的是,
Figure 19337DEST_PATH_IMAGE113
不仅为输入层到中间层的权值,同时定义为权重矩阵。
Figure 643217DEST_PATH_IMAGE113
Figure 381366DEST_PATH_IMAGE111
均定义为权重矩阵,但是
Figure 557132DEST_PATH_IMAGE113
Figure 747942DEST_PATH_IMAGE111
互为转置矩阵。
步骤S23、反向传播算法训练。
所述步骤S23、反向传播算法训练:将
Figure 441092DEST_PATH_IMAGE113
Figure 98993DEST_PATH_IMAGE111
Figure DEST_PATH_IMAGE114
以及
Figure 852186DEST_PATH_IMAGE112
在所述神经网络中通过预 设的反向传播(Backpropagation,缩写为BP)算法更新。
以下通过实施例二进行说明所述步骤S2、自编码。请参照图5所示,图5为本发明的自编码的一种实施例的示意图。
实施例二采用实施例一中的
Figure DEST_PATH_IMAGE115
的所述封包时间差值图片进行所述步骤S2、自编 码的步骤。所述步骤S2、自编码的目标为尽可能重建出相同的所述封包时间差值译码图片。
将所述封包时间差值图片的灰阶值按照顺序排成一序列,定义为
Figure DEST_PATH_IMAGE116
,其中
Figure DEST_PATH_IMAGE117
。所述封包时间差值译码图片亦可按照顺序排成一序列,定义为
Figure DEST_PATH_IMAGE118
,其中
Figure DEST_PATH_IMAGE119
,接着设定所述自编码的训练层数、及各层神经元的维度。
具体的,本实施例二的所述自编码所采用的模型设定为7层,各层的神经元维度分 别设定为
Figure DEST_PATH_IMAGE120
。其中:
Figure DEST_PATH_IMAGE121
为所述自编码所采用的模型各层所对应的权重矩阵。
Figure DEST_PATH_IMAGE122
分别为
Figure DEST_PATH_IMAGE123
的转置矩阵。隐通道特征序列设定为30维。
综上所述,所述时间型隐通道特征撷取方法通过先将封包时序列转化为图片,再运用自编码自动撷取图片中最具代表性的抽象时间型隐通道特征,从而大幅提升时间型隐通道特征撷取的精确性,并可避免人为定义规则库的时间型隐通道特征撷取方法,被有心人士作为规避隐通道分析的参考依据。另外,针对与时俱进的隐通道的抗侦测强度,本发明的时间型隐通道特征撷取方法具相当的泛化能力,应用本发明时间型隐通道特征撷取方法可通过增加图片训练数据,使得本系统的特征撷取能力,可随着时间型隐通道的设计复杂度而同步增强。除此之外,本发明的时间型隐通道特征撷取方法还可将撷取出的特征序列,搭配各种主流的特征分类器,进行后续的时间型隐通道分类应用。因此,本发明的时间型隐通道特征撷取方法可提升时间型隐通道特征撷取的精确性、抗侦测强度大、泛化能力强且安全性高。
本发明还提供一种时间型隐通道特征撷取系统100。
请参照图6所示,图6为本发明时间型隐通道特征撷取系统100的结构示意图。
所述时间型隐通道特征撷取系统100包括图片化处理模块1和自编码处理模块2,
所述图片化处理模块1包括封包抵达时间差值撷取模块11、一维浮点数规一化模块12以及一维正整数图片化模块13。具体的:
所述封包抵达时间差值撷取模块11用于获取所述时间型隐通道中的预设时间
Figure DEST_PATH_IMAGE124
内的时序讯号,根据所述时序讯号侦测和记录所述时序讯号内的每个
Figure DEST_PATH_IMAGE125
封包的抵达时间, 再计算出每个所述
Figure 45139DEST_PATH_IMAGE125
封包之间所述抵达时间的差值并得到依时间顺序的一连串的
Figure DEST_PATH_IMAGE126
个所 述差值形成的差值序列,将所述差值序列记录生成一维浮点数矩阵。其中,所述时序讯号包 括所述预设时间
Figure 541979DEST_PATH_IMAGE124
内依时间顺序的一连串的多个所述
Figure 51458DEST_PATH_IMAGE125
封包,
Figure 772289DEST_PATH_IMAGE126
为平方数,所述一维浮点 数矩阵内存储的所述差值序列为
Figure 875374DEST_PATH_IMAGE126
个浮点数
Figure DEST_PATH_IMAGE127
本实施方式中,所述封包抵达时间差值撷取模块11可为一种位于操作系统端。
所述一维浮点数规一化模块12用于通过预设的映像函数
Figure DEST_PATH_IMAGE128
Figure DEST_PATH_IMAGE129
个浮点数
Figure DEST_PATH_IMAGE130
由浮点数域归一化至正整数域,得到
Figure 362856DEST_PATH_IMAGE129
个正整数
Figure DEST_PATH_IMAGE131
,并将记录的
Figure 867787DEST_PATH_IMAGE129
个正整数
Figure 818907DEST_PATH_IMAGE131
记录生成一维正整数矩阵。
其中,
Figure DEST_PATH_IMAGE132
,所述映像函数满足
Figure 940447DEST_PATH_IMAGE128
公式:
Figure DEST_PATH_IMAGE133
Figure DEST_PATH_IMAGE134
为归一化函数。
本实施方式中,公式
Figure DEST_PATH_IMAGE135
具体为:
Figure DEST_PATH_IMAGE136
Figure DEST_PATH_IMAGE137
其中,
Figure DEST_PATH_IMAGE138
为平方数,
Figure DEST_PATH_IMAGE139
为浮点数,
Figure DEST_PATH_IMAGE140
为正整数。
所述一维正整数图片化模块13用于将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片。所述封包时间差值图片为灰阶图片。
以下通过实施列三进行举例说明:
实施列三的所述封包时间差值图片为
Figure DEST_PATH_IMAGE141
的灰阶图片。所述图片化步骤中,具体 的,
Figure DEST_PATH_IMAGE142
所述转化规则为将:
正整数
Figure DEST_PATH_IMAGE143
设定为所述封包时间差值图片 的第1行的灰阶值;
正整数
Figure 28357DEST_PATH_IMAGE093
设定为所述封包时间差 值图片的第2行的灰阶值;
正整数
Figure DEST_PATH_IMAGE144
设定为所述封包时间差值图片 的第3行的灰阶值;
正整数
Figure DEST_PATH_IMAGE145
设定为所述封包时间差值图片的 第4行的灰阶值;
正整数
Figure DEST_PATH_IMAGE146
设定为所述封包时间差值图片 的第5行的灰阶值;
正整数
Figure DEST_PATH_IMAGE147
设定为所述封包时间差值图片的 第6行的灰阶值;
正整数
Figure DEST_PATH_IMAGE148
设定为所述封包时间差值图片 的第7行的灰阶值;
正整数
Figure DEST_PATH_IMAGE149
设定为所述封包时间差值图片 的第8行的灰阶值;
正整数
Figure DEST_PATH_IMAGE150
设定为所述封包时间差值图片的 第9行的灰阶值。
所述自编码处理模块2用于将所述封包时间差值图片的输入序列x通过神经网络 按照预设的训练规则进行训练并生成封包时间差值译码图片的输出序列z。其中,所述输入 序列x为所述封包时间差值图片的灰阶值循序展开形成,所述输出序列z为所述封包时间差 值译码图片的灰阶值循序展开形成。所述训练规则的训练目标为:所述输入序列x与所述输 出序列z的总体误差和为最小值。所述总体误差和设为
Figure DEST_PATH_IMAGE151
,并满足以下公式:
Figure DEST_PATH_IMAGE152
所述自编码处理模块2包括编码器(Encoder)模块21、译码器(Decoder)模块22以及反向传播算法模块23。具体的:
所述编码器模块21用于将所述输入序列
Figure DEST_PATH_IMAGE153
通过所述神经网络的输入层到达所述 神经网络的中间层,并根据预设的编码器模型生成序列
Figure DEST_PATH_IMAGE154
,并满足如下公式:
Figure DEST_PATH_IMAGE155
其中,
Figure DEST_PATH_IMAGE156
为输入层到中间层的权值,
Figure DEST_PATH_IMAGE157
为中间层的偏差,所述序列
Figure DEST_PATH_IMAGE158
为隐通道特 征序列。
所述译码器模块22用于将所述序列
Figure 295784DEST_PATH_IMAGE154
通过所述神经网络的
Figure DEST_PATH_IMAGE159
个神经元的输出层, 并根据预设的译码器模型生成所述输出序列
Figure DEST_PATH_IMAGE160
,并满足如下公式:
Figure DEST_PATH_IMAGE161
其中,
Figure DEST_PATH_IMAGE162
为所述中间层到所述输出层的权值,
Figure DEST_PATH_IMAGE163
为所述输出层的偏差。
本实施方式中,
Figure 951893DEST_PATH_IMAGE156
为一个权重矩阵,
Figure 826308DEST_PATH_IMAGE162
为另一个权重矩阵,
Figure 203063DEST_PATH_IMAGE162
Figure 807220DEST_PATH_IMAGE156
的转置矩 阵。
所述反向传播算法模块23用于将
Figure 40755DEST_PATH_IMAGE156
Figure 340149DEST_PATH_IMAGE162
Figure 51753DEST_PATH_IMAGE157
以及
Figure 510416DEST_PATH_IMAGE163
在所述神经网络中通过预设 的反向传播算法更新。
以下通过实施例四进行说明所述自编码处理模块2。
实施例四采用实施例三的
Figure DEST_PATH_IMAGE164
的所述封包时间差值图片进行所述自编码处理模 块2的工作流程。所述自编码处理模块2的目标为尽可能重建出相同的所述封包时间差值译 码图片。
将所述封包时间差值图片的灰阶值按照顺序排成一序列,定义为
Figure 383695DEST_PATH_IMAGE153
,其中
Figure DEST_PATH_IMAGE165
。所述封包时间差值译码图片亦可按照顺序排成一序列,定义为
Figure 560598DEST_PATH_IMAGE160
,其 中
Figure DEST_PATH_IMAGE166
,接着设定所述自编码的训练层数、及各层神经元的维度。
具体的,本实施例二的所述自编码模块所采用的模型设定为7层,各层的神经元维 度分别设定为
Figure DEST_PATH_IMAGE167
。其中:
Figure DEST_PATH_IMAGE168
为所述自编码所采用的模型各层所对应的权重矩阵。
Figure DEST_PATH_IMAGE169
分别为
Figure DEST_PATH_IMAGE170
的转置矩阵。隐通道特征序列设定为30维。
本实施方式中,经过所述反向传播算法模块23的反向传播算法训练完成模型后, 在实际操作的过程中,仅会使用到所述编码器模块21。所述编码器模块21将各不同时刻之 封包时间差值图片的抽象特征撷取出来,并计算出其对应的时间型隐通道特征序列
Figure DEST_PATH_IMAGE171
。此时间型隐通道特征序列可完整表示该段时间中,隐通道的抽象特 征,并可作为后续时间隐通道侦测或分类器的重要参考信息。
综上所述,所述时间型隐通道特征撷取系统100通过先将封包时序列转化为图片,再运用自编码自动撷取图片中最具代表性的抽象时间型隐通道特征,从而大幅提升时间型隐通道特征撷取的精确性,并可避免人为定义规则库的时间型隐通道特征撷取系统100,被有心人士作为规避隐通道分析的参考依据。另外,针对与时俱进的隐通道的抗侦测强度,本发明的时间型隐通道特征撷取系统100具相当的泛化能力,应用本发明时间型隐通道特征撷取系统100可通过增加图片训练数据,使得本系统的特征撷取能力,可随着时间型隐通道的设计复杂度而同步增强。除此之外,本发明的时间型隐通道特征撷取系统100还可将撷取出的特征序列,搭配各种主流的特征分类器,进行后续的时间型隐通道分类应用。因此,本发明的时间型隐通道特征撷取系统100可提升时间型隐通道特征撷取的精确性、抗侦测强度大、泛化能力强且安全性高。
需要指出的是,所述图片化处理模块1、所述自编码处理模块2、所述封包抵达时间差值撷取模块11、所述一维浮点数规一化模块12、所述一维正整数图片化模块13、所述码器模块21、所述译码器模块22以及所述反向传播算法模块23均为本领域技术中常用的软件或硬件,其具体性能指标和模块选型需要根据产品的实际设计需要进行选择,在此,不作详细赘述。
本发明还提供一种时间型隐通道特征撷取设备1000。请参照图7所示,图7为本发明时间型隐通道特征撷取设备1000的结构示意图。
所述时间型隐通道特征撷取设备1000包括处理器1001、存储器1002、网络接口1003及存储在存储器1002上并可在处理器1001上运行的计算机程序,所述处理器1001用于读取所述存储器中1002的程序,处理器1001执行计算机程序时实现实施例提供的时间型隐通道特征撷取方法中的步骤。即处理器1001执行所述时间型隐通道特征撷取方法中的步骤。
具体的,处理器1001用于执行以下步骤:
步骤S1、图片化处理和步骤S2、自编码处理。
所述步骤S1、图片化处理包括:
步骤S11、封包抵达时间差值撷取。
步骤S12、一维浮点数规一化。
步骤S13、一维正整数图片化。
所述步骤S2、自编码处理包括:
步骤S21、编码器训练。
步骤S22、译码器训练。
步骤S23、反向传播算法训练。
本发明实施例提供的所述时间型隐通道特征撷取设备1000能够实现时间型隐通道特征撷取方法实施例中的各个实施方式,以及相应有益效果,为避免重复,这里不再赘述。
需要指出的是,图中仅示出了具有组件的1001-1003,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的所述时间型隐通道特征撷取设备1000是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述存储器1002至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器1002可以是所述时间型隐通道特征撷取设备1000的内部存储单元,例如该时间型隐通道特征撷取设备1000的硬盘或内存。在另一些实施例中,所述存储器1002也可以是所述时间型隐通道特征撷取设备1000的外部存储设备,例如该时间型隐通道特征撷取设备1000上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(FlashCard)等。当然,所述存储器1002还可以既包括所述时间型隐通道特征撷取设备1000的内部存储单元也包括其外部存储设备。本实施例中,所述存储器1002通常用于存储安装于所述时间型隐通道特征撷取设备1000的操作系统和各类应用软件,例如时间型隐通道特征撷取设备1000的时间型隐通道特征撷取方法的程序代码等。此外,所述存储器1002还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器1001在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该所述处理器1001通常用于控制所述时间型隐通道特征撷取设备1000的总体操作。本实施例中,所述处理器1001用于运行所述存储器1002中存储的程序代码或者处理数据,例如运行时间型隐通道特征撷取设备1000的时间型隐通道特征撷取方法的程序代码。
网络接口1003可包括无线网络接口或有线网络接口,该网络接口1003通常用于在时间型隐通道特征撷取设备1000与其他电子设备之间建立通信连接。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器1001执行时实现如所述时间型隐通道特征撷取方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现实施例时间型隐通道特征撷取设备100的时间型隐通道特征撷取方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random Access Memory,简称RAM)等。
在本发明实施例中提到的本实施方式为了便于表述。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
与现有技术相比,本发明的时间型隐通道特征撷取方法包括如下步骤:图片化处 理和自编码处理,图片化处理包括:封包抵达时间差值撷取、一维浮点数规一化以及一维正 整数图片化;自编码处理包括:将封包时间差值图片的输入序列x通过神经网络按照预设的 训练规则进行训练并生成封包时间差值译码图片的输出序列z,训练规则的训练目标为:输 入序列
Figure DEST_PATH_IMAGE172
与输出序列
Figure DEST_PATH_IMAGE173
的总体误差和为最小值,总体误差和设为
Figure DEST_PATH_IMAGE174
,并满足以下公式:
Figure DEST_PATH_IMAGE175
。上述方法通过先将封包时序列转化为图片,再运用自编码自动撷取图片 中最具代表性的抽象时间型隐通道特征,即隐通道特征序列,具体的,所述序列y为隐通道 特征序列。从而大幅提升时间型隐通道特征撷取的精确性,并可避免人为定义规则库的时 间型隐通道特征撷取方法,被有心人士作为规避隐通道分析的参考依据。另外,针对与时俱 进的隐通道的抗侦测强度,本发明的时间型隐通道特征撷取方法具相当的泛化能力,应用 本发明时间型隐通道特征撷取方法可通过增加图片训练数据,使得本系统的特征撷取能 力,可随着时间型隐通道的设计复杂度而同步增强。除此之外,本发明的时间型隐通道特征 撷取方法还可将撷取出的特征序列,搭配各种主流的特征分类器,进行后续的时间型隐通 道分类应用。因此,本发明的时间型隐通道特征撷取方法、时间型隐通道特征撷取系统、时 间型隐通道特征撷取设备以及计算机可读存储介质可提升时间型隐通道特征撷取的精确 性、抗侦测强度大、泛化能力强且安全性高。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。

Claims (14)

1.一种时间型隐通道特征撷取方法,其特征在于,该方法包括如下步骤: 图片化处理和自编码处理;
所述图片化处理包括:
封包抵达时间差值撷取:获取所述时间型隐通道中的预设时间
Figure DEST_PATH_IMAGE001
内的时序讯号,根据 所述时序讯号侦测和记录所述时序讯号内的每个
Figure DEST_PATH_IMAGE002
封包的抵达时间,再计算出每个所述
Figure 164410DEST_PATH_IMAGE002
封包之间所述抵达时间的差值并得到依时间顺序的一连串的
Figure DEST_PATH_IMAGE003
个所述差值形成的差 值序列,将所述差值序列记录生成一维浮点数矩阵,其中,所述时序讯号包括所述预设时间
Figure 675026DEST_PATH_IMAGE001
内依时间顺序的一连串的多个所述
Figure 720342DEST_PATH_IMAGE002
封包,
Figure 318814DEST_PATH_IMAGE003
为平方数,所述一维浮点数矩阵内存储 的所述差值序列为
Figure DEST_PATH_IMAGE004
个浮点数
Figure DEST_PATH_IMAGE005
一维浮点数规一化:通过预设的映像函数
Figure DEST_PATH_IMAGE006
Figure 809486DEST_PATH_IMAGE003
个浮点数
Figure DEST_PATH_IMAGE007
由浮 点数域归一化至正整数域,得到
Figure 100790DEST_PATH_IMAGE003
个正整数
Figure DEST_PATH_IMAGE008
,并将记录的
Figure 961299DEST_PATH_IMAGE003
个正整数
Figure 629040DEST_PATH_IMAGE008
记录生成一维正整数矩阵,其中,
Figure DEST_PATH_IMAGE009
,所述映像函数
Figure DEST_PATH_IMAGE010
满足 公式:
Figure DEST_PATH_IMAGE011
Figure DEST_PATH_IMAGE012
为归一化函数;以及,
一维正整数图片化:将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片,所述封包时间差值图片为灰阶图片;
所述自编码处理包括:
将所述封包时间差值图片的输入序列x通过神经网络按照预设的训练规则进行训练并 生成封包时间差值译码图片的输出序列z,其中,所述输入序列x为所述封包时间差值图片 的灰阶值循序展开形成,所述输出序列z为所述封包时间差值译码图片的灰阶值循序展开 形成,所述训练规则的训练目标为:所述输入序列x与所述输出序列z的总体误差和为最小 值,所述总体误差和设为
Figure DEST_PATH_IMAGE013
,并满足以下公式:
Figure DEST_PATH_IMAGE014
2.根据权利要求1所述的时间型隐通道特征撷取方法,其特征在于,所述图片化处理步 骤中,
Figure DEST_PATH_IMAGE015
,所述预设的转化规则为将正整数
Figure DEST_PATH_IMAGE016
设定为所述封包时间差 值图片的第1行的灰阶值,正整数
Figure DEST_PATH_IMAGE017
设定为所述封包时间差值图片的 第2行的灰阶值,…,正整数
Figure DEST_PATH_IMAGE018
设定为所述封包时间差值图片的第9行的灰 阶值。
3.根据权利要求1所述的时间型隐通道特征撷取方法,其特征在于,所述自编码处理步骤中,包括如下步骤:
编码器训练:将所述输入序列
Figure DEST_PATH_IMAGE019
通过所述神经网络的输入层到达所述神经网络的中间 层,并根据预设的编码器模型生成序列
Figure DEST_PATH_IMAGE020
,并满足如下公式:
Figure DEST_PATH_IMAGE021
其中,
Figure DEST_PATH_IMAGE022
为输入层到中间层的权值,
Figure DEST_PATH_IMAGE023
为中间层的偏差,所述序列
Figure 406241DEST_PATH_IMAGE020
为隐通道特征序 列。
4.根据权利要求3所述的时间型隐通道特征撷取方法,其特征在于,所述自编码处理步骤中,还包括如下步骤:
译码器训练:将所述序列
Figure DEST_PATH_IMAGE024
通过所述神经网络的
Figure DEST_PATH_IMAGE025
个神经元的输出层,并根据预设的 译码器模型生成所述输出序列
Figure DEST_PATH_IMAGE026
,并满足如下公式:
Figure DEST_PATH_IMAGE027
其中,
Figure DEST_PATH_IMAGE028
为所述中间层到所述输出层的权值,
Figure DEST_PATH_IMAGE029
为所述输出层的偏差。
5.根据权利要求4所述的时间型隐通道特征撷取方法,其特征在于,
Figure DEST_PATH_IMAGE030
为一个权重矩 阵,
Figure 996010DEST_PATH_IMAGE028
为另一个权重矩阵,
Figure 78235DEST_PATH_IMAGE028
Figure 80827DEST_PATH_IMAGE030
的转置矩阵。
6.根据权利要求4所述的时间型隐通道特征撷取方法,其特征在于,所述自编码处理步骤中,还包括如下步骤:
反向传播算法训练:将
Figure 73053DEST_PATH_IMAGE030
Figure 830794DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE031
以及
Figure 541261DEST_PATH_IMAGE029
在所述神经网络中通过预设的反向传播算法 更新。
7.一种时间型隐通道特征撷取系统,其特征在于,该系统包括图片化处理模块和自编码处理模块,
所述图片化处理模块包括:
封包抵达时间差值撷取模块,用于获取所述时间型隐通道中的预设时间
Figure DEST_PATH_IMAGE032
内的时序讯 号,根据所述时序讯号侦测和记录所述时序讯号内的每个
Figure DEST_PATH_IMAGE033
封包的抵达时间,再计算出每 个所述
Figure 878701DEST_PATH_IMAGE033
封包之间所述抵达时间的差值并得到依时间顺序的一连串的
Figure DEST_PATH_IMAGE034
个所述差值形成 的差值序列,将所述差值序列记录生成一维浮点数矩阵,其中,所述时序讯号包括所述预设 时间
Figure 115647DEST_PATH_IMAGE032
内依时间顺序的一连串的多个所述
Figure 919655DEST_PATH_IMAGE033
封包,
Figure 914156DEST_PATH_IMAGE034
为平方数,所述一维浮点数矩阵内存 储的所述差值序列为N个浮点数
Figure DEST_PATH_IMAGE035
一维浮点数规一化模块,用于通过预设的映像函数
Figure DEST_PATH_IMAGE036
Figure 55288DEST_PATH_IMAGE034
个浮点数
Figure 881161DEST_PATH_IMAGE035
由浮点数域归一化至正整数域,得到
Figure 918387DEST_PATH_IMAGE034
个正整数
Figure DEST_PATH_IMAGE037
,并将记录的
Figure 662834DEST_PATH_IMAGE034
个正整数
Figure 810918DEST_PATH_IMAGE037
记录生成一维正整数矩 阵,其中,
Figure DEST_PATH_IMAGE038
,所述映像函数
Figure 960140DEST_PATH_IMAGE036
满足公式:
Figure DEST_PATH_IMAGE039
Figure DEST_PATH_IMAGE040
为归一化函数;
一维正整数图片化模块,用于将所述一维正整数矩阵按照预设的转化规则进行转化,并生成一张封包时间差值图片,所述封包时间差值图片为灰阶图片;
所述自编码处理模块用于将所述封包时间差值图片的输入序列x通过神经网络按照预 设的训练规则进行训练并生成封包时间差值译码图片的输出序列z,其中,所述输入序列x 为所述封包时间差值图片的灰阶值循序展开形成,所述输出序列z为所述封包时间差值译 码图片的灰阶值循序展开形成,所述训练规则的训练目标为:所述输入序列x与所述输出序 列z的总体误差和为最小值,所述总体误差和设为
Figure DEST_PATH_IMAGE041
,并满足以下公式:
Figure DEST_PATH_IMAGE042
8.根据权利要求7所述的时间型隐通道特征撷取系统,其特征在于,所述图片化处理模 块中,
Figure DEST_PATH_IMAGE043
,所述预设的转化规则为将正整数
Figure DEST_PATH_IMAGE044
设定为所述封包时间差 值图片的第1行的灰阶值,正整数
Figure DEST_PATH_IMAGE045
设定为所述封包时间差值图片的第 2行的灰阶值,…,正整数
Figure DEST_PATH_IMAGE046
设定为所述封包时间差值图片的第9行的灰阶 值。
9.根据权利要求8所述的时间型隐通道特征撷取系统,其特征在于,所述自编码处理模块包括编码器模块,
所述编码器模块用于将所述输入序列x通过所述神经网络的输入层到达所述神经网络的中间层,并根据预设的编码器模型生成序列y,并满足如下公式:
Figure DEST_PATH_IMAGE047
其中,
Figure DEST_PATH_IMAGE048
为输入层到中间层的权值,
Figure DEST_PATH_IMAGE049
为中间层的偏差,所述序列
Figure DEST_PATH_IMAGE050
为隐通道特征序 列。
10.根据权利要求9所述的时间型隐通道特征撷取系统,其特征在于,所述自编码处理模块还包括译码器模块,
所述译码器模块用于将所述序列
Figure 151956DEST_PATH_IMAGE050
通过所述神经网络的
Figure DEST_PATH_IMAGE051
个神经元的输出层,并根据 预设的译码器模型生成所述输出序列
Figure DEST_PATH_IMAGE052
,并满足如下公式:
Figure DEST_PATH_IMAGE053
其中,
Figure DEST_PATH_IMAGE054
为所述中间层到所述输出层的权值,
Figure DEST_PATH_IMAGE055
为所述输出层的偏差。
11.根据权利要求10所述的时间型隐通道特征撷取系统,其特征在于,
Figure 386628DEST_PATH_IMAGE048
为一个权重矩 阵,
Figure 135141DEST_PATH_IMAGE054
为另一个权重矩阵,
Figure 873290DEST_PATH_IMAGE054
Figure 455581DEST_PATH_IMAGE048
的转置矩阵。
12.根据权利要求10所述的时间型隐通道特征撷取系统,其特征在于,所述自编码处理模块还包括反向传播算法模块,
所述反向传播算法模块用于将
Figure 711638DEST_PATH_IMAGE048
Figure 201525DEST_PATH_IMAGE054
Figure 731863DEST_PATH_IMAGE049
以及
Figure 344110DEST_PATH_IMAGE055
在所述神经网络中通过预设的反向 传播算法更新。
13.一种时间型隐通道特征撷取设备,其特征在于,该设备包括处理器和存储器,所述处理器用于读取所述存储器中的程序,执行如权利要求1至6中的任一项所述的时间型隐通道特征撷取方法中的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现如权利要求1至6中任意一项所述的时间型隐通道特征撷取方法中的步骤。
CN202110988013.4A 2021-08-26 2021-08-26 时间型隐通道特征撷取方法、系统、设备及存储介质 Active CN113438257B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110988013.4A CN113438257B (zh) 2021-08-26 2021-08-26 时间型隐通道特征撷取方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110988013.4A CN113438257B (zh) 2021-08-26 2021-08-26 时间型隐通道特征撷取方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN113438257A CN113438257A (zh) 2021-09-24
CN113438257B true CN113438257B (zh) 2021-11-12

Family

ID=77798060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110988013.4A Active CN113438257B (zh) 2021-08-26 2021-08-26 时间型隐通道特征撷取方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN113438257B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7313251B2 (en) * 1993-11-18 2007-12-25 Digimarc Corporation Method and system for managing and controlling electronic media
CN103312814A (zh) * 2013-06-28 2013-09-18 武汉大学 云管理平台和虚拟机终端用户间vnc隐通道的建立方法
WO2016149903A1 (en) * 2015-03-24 2016-09-29 Intellectual Ventures Hong Kong Limited High bit rate covert channel in cloud storage systems
CN110392050A (zh) * 2019-07-18 2019-10-29 北京理工大学 一种基于时间戳的存储隐通道的构建方法
CN112087416A (zh) * 2020-03-16 2020-12-15 唐山学院 一种双向隐蔽信道的通信方法及系统
US11012530B2 (en) * 2013-08-28 2021-05-18 Bright Data Ltd. System and method for improving internet communication by using intermediate nodes

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7313251B2 (en) * 1993-11-18 2007-12-25 Digimarc Corporation Method and system for managing and controlling electronic media
CN103312814A (zh) * 2013-06-28 2013-09-18 武汉大学 云管理平台和虚拟机终端用户间vnc隐通道的建立方法
US11012530B2 (en) * 2013-08-28 2021-05-18 Bright Data Ltd. System and method for improving internet communication by using intermediate nodes
WO2016149903A1 (en) * 2015-03-24 2016-09-29 Intellectual Ventures Hong Kong Limited High bit rate covert channel in cloud storage systems
CN110392050A (zh) * 2019-07-18 2019-10-29 北京理工大学 一种基于时间戳的存储隐通道的构建方法
CN112087416A (zh) * 2020-03-16 2020-12-15 唐山学院 一种双向隐蔽信道的通信方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Code-based timing Covert channel in IEEE 802.11》;Fatemeh Tahmasbi等;《 2015 5th International Conference on Computer and Knowledge Engineering (ICCKE)》;20151029;全文 *
《基于语义信息流的隐通道检测方法研究》;宋香梅;《万方数据库》;20170905;全文 *

Also Published As

Publication number Publication date
CN113438257A (zh) 2021-09-24

Similar Documents

Publication Publication Date Title
Hanselmann et al. CANet: An unsupervised intrusion detection system for high dimensional CAN bus data
CN111783875B (zh) 基于聚类分析的异常用户检测方法、装置、设备及介质
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
CN109359439A (zh) 软件检测方法、装置、设备及存储介质
WO2021169730A1 (zh) 一种数据处理方法、装置和存储介质
CN117082118B (zh) 基于数据推导及端口预测的网络连接方法
CN103577323A (zh) 基于动态关键指令序列胎记的软件抄袭检测方法
CN109523256A (zh) 基于防篡改加密算法的电子凭证票据生成方法
CN111818101B (zh) 网络安全性的检测方法、装置、计算机设备和存储介质
CN108710797A (zh) 一种基于熵信息分布的恶意文档检测方法
CN114065150B (zh) 一种图片版权保护方法
CN114745187A (zh) 一种基于pop流量矩阵的内部网络异常检测方法及系统
CN113438257B (zh) 时间型隐通道特征撷取方法、系统、设备及存储介质
CN113111350A (zh) 一种恶意pdf文件的检测方法、装置及电子设备
CN116595551A (zh) 银行交易数据管理方法及系统
CN115695002A (zh) 流量入侵检测方法、装置、设备、存储介质和程序产品
CN115438751A (zh) 一种基于图神经网络的区块链钓鱼诈骗识别的方法
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
CN112950222A (zh) 资源处理异常检测方法、装置、电子设备及存储介质
CN115086082B (zh) 基于深度学习的网络安全评估方法、系统、设备及介质
CN116886370B (zh) 一种用于网络安全认证的防护系统
Zhang et al. Protecting the Ownership of Deep Learning Models with An End-to-End Watermarking Framework
CN100558036C (zh) 基于比特流的虹膜特征数据的隐藏方法
CN116401664B (zh) 一种恶意代码分类方法、装置、电子设备及存储介质
CN117421644B (zh) 无线设备入侵检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant