CN117596082B - 一种隐蔽信道的检测方法、系统及相关设备 - Google Patents
一种隐蔽信道的检测方法、系统及相关设备 Download PDFInfo
- Publication number
- CN117596082B CN117596082B CN202410075769.3A CN202410075769A CN117596082B CN 117596082 B CN117596082 B CN 117596082B CN 202410075769 A CN202410075769 A CN 202410075769A CN 117596082 B CN117596082 B CN 117596082B
- Authority
- CN
- China
- Prior art keywords
- feature vector
- data
- vector
- channel
- hidden
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 30
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 29
- 239000011159 matrix material Substances 0.000 claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 21
- 238000005538 encapsulation Methods 0.000 claims abstract description 12
- 239000013598 vector Substances 0.000 claims description 215
- 238000013527 convolutional neural network Methods 0.000 claims description 35
- 238000001514 detection method Methods 0.000 claims description 30
- 230000004927 fusion Effects 0.000 claims description 27
- 238000011176 pooling Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 abstract description 5
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000003062 neural network model Methods 0.000 abstract description 3
- 239000000284 extract Substances 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 238000005457 optimization Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 2
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 2
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 2
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013075 data extraction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于互联网安全技术领域,尤其涉及一种隐蔽信道的检测方法、系统及相关设备。本发明通过对网络层IP数据报的封装边界进行分割提取,提取预设位置的传输层数据与网络层数据,转化为报头特征数据,利用对齐后的格式化数据进行学习、训练,而不是用等长窗口截断不等长报文进行训练;本发明通过两个独立的通道处理报头部分和负载部分,并通过循环矩阵对两个独立通道进行融合,可以使提取出的特征对齐,从而有助于后续模型进行特征学习;本发明可以通过嵌入层算法为后续神经网络模型构建小维度的向量化输入,极大地优化了模型性能。
Description
技术领域
本发明适用于互联网安全技术领域,尤其涉及一种隐蔽信道的检测方法、系统及相关设备。
背景技术
隐蔽通信是信息隐藏技术的一种,通常被应用在安全通信上。但如果该技术被滥用,往往可以作为一种传递非法信息,或是泄露隐私信息的手段,不法分子常常采用隐蔽通信的方式传递消息。因此,有必要对可能存在的隐蔽通信进行检测,从而阻止此类事件的发生。在军事对抗领域中,隐蔽通信具有抗截获、抗干扰的优良特性,能够隐蔽地传输高价值信息,若能截获隐蔽通信传输的信息,对于战局具有重大的战略价值。
在现有技术中,一种方法是通过将提取到的数据包报头字段与预先设定默认取值进行匹配来获取存在非法填充字段的IPv6数据包。可有效检测IPv6隐蔽信道的存在性并判断IPv6隐蔽信道的威胁类型。该方法的缺点是只能检测与预设隐蔽方式相同的信道,且只检测报头,如果攻击者的隐蔽方法并非特定方法,或在报文中存在隐蔽信道,则使用该方法无法进行检测。
另一种方法是将流媒体中数据进行简单组合,然后通过深度学习的自动挖掘特征关联的自动表示方法实现了网络流媒体多维度并发隐蔽通信的检测。但网络数据包是一种结构化数据,简单组合的方式缺乏可解释性,也不利于规律性高层特征的学习。
因此亟需一种新的隐蔽信道的检测方法、系统及相关设备,解决上述问题。
发明内容
本发明提供一种隐蔽信道的检测方法、系统及相关设备,旨在解决现有技术中对隐蔽信道的检测速度慢、误报率高以及资源开销大的问题。
第一方面,本发明提供一种隐蔽信道的检测方法,所述检测方法包括以下步骤:
S1、获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
S2、对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
S3、通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
S4、将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
S5、将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
S6、将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
优选的,步骤S1中,所述网络层数据为IP数据报报头中的数据。
优选的,步骤S2中,所述应用层协议为HTTP协议。
优选的,步骤S2中,所述负载特征数据包括请求地址数据和请求数据。
优选的,所述嵌入层算法为Global Vector算法。
优选的,步骤S4中,所述第一预设方法为:
将所述第一特征向量和所述第二特征向量通过所述双通道卷积神经网络的卷积层中窗口大小不同的多个过滤器进行卷积操作,提取所述第一特征向量和所述第二特征向量中的隐向量特征;
将所述隐向量特征作为所述双通道卷积神经网络中池化层的输入,进行最大池化操作,得到池化隐向量特征;
将所述池化隐向量特征作为所述双通道卷积神经网络中全连接层的输入进行处理,输出所述第一优化特征向量和所述第二优化特征向量。
优选的,步骤S5中,所述第二预设方法包括以下步骤:
S51、将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵;
S52、计算所述第一循环矩阵与所述第二优化特征向量的内积,得到第一内积;计算所述第二循环矩阵与所述第一优化特征向量的内积,得到第二内积;
S53、将所述第一优化特征向量、所述第二优化特征向量、所述第一内积以及所述第二内积进行组合,得到所述融合特征向量。
第二方面,本发明还提供一种隐蔽信道的检测系统,包括:
报头模块,用于获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
负载模块,用于对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
向量模块,用于通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
优化模块,用于将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
融合模块,用于将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
计算模块, 用于将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
第三方面,本发明还提供一种计算机设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隐蔽信道的检测程序,所述处理器执行所述隐蔽信道的检测程序时实现如上述实施例中任意一项所述的隐蔽信道的检测方法中的步骤。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有隐蔽信道的检测程序,所述隐蔽信道的检测程序被处理器执行时实现如上述实施例中任意一项所述的隐蔽信道的检测方法中的步骤。
与现有技术相比,本发明通过对网络层IP数据报的封装边界进行分割提取,提取预设位置的传输层数据与网络层数据,转化为报头特征数据,利用对齐后的格式化数据进行学习、训练,而不是用等长窗口截断不等长报文进行训练,并重考虑了网络层、传输层的数据特征和应用层的数据特征及它们二者间的融合特征,相较其它只考察单一特征的方法而言检测能力更强;本发明通过两个独立的通道处理报头部分和负载部分,并通过循环矩阵对两个独立通道进行融合,可以使提取出的特征对齐,从而有助于后续模型进行特征学习;本发明可以通过嵌入层算法为后续神经网络模型构建小维度的向量化输入,极大地优化了模型性能。这样使得本发明对隐蔽信道的检测速度快、误报率低以及资源开销适中。
附图说明
下面结合附图详细说明本发明。通过结合以下附图所作的详细描述,本发明的上述或其他方面的内容将变得更清楚和更容易理解。附图中:
图1是本发明实施例提供的隐蔽信道的检测方法的流程图;
图2是本发明实施例提供的隐蔽信道的检测方法的IP数据报报头示意图;
图3是本发明实施例提供的隐蔽信道的检测方法的TCP数据报报头示意图;
图4是本发明实施例提供的隐蔽信道的检测方法的HTTP协议的请求报文示意图;
图5是本发明实施例提供的隐蔽信道的检测系统200的结构示意图;
图6是本发明实施例提供的计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一
请参考图1-图4,本发明提供一种隐蔽信道的检测方法,所述隐蔽信道的检测方法包括以下步骤:
S1、获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
在本发明实施例中,所述网络层数据为IP数据报报头中的数据。
在本发明实施例中,将所述待检测报文根据网络层IP数据报的封装边界进行分割,如图2所示,首先提取IP数据报报头,并保留其中的4~7字节的数据(即第一预设位置的网络层数据);如图3所示,随后再提取TCP数据报报头,并保留其中的4-11字节的数据(即第二预设位置的传输层数据),最后,将路由器接收到待检测报文时的32比特时间戳作为向量的最后32个比特,形成一个128比特的报头特征数据D packet。当然其他位置的数据也是可行的,在此不做限制。
S2、对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
在本发明实施例中,所述负载特征数据包括请求地址数据和请求数据。需要说明的是,负载特征数据可以根据实际情况设置为其他类型的数据,并不仅限于请求地址数据和请求数据,其他类型的数据也是可行的,在此不做限制。
在本发明实施例中,所述应用层协议为HTTP协议,HTTP协议中请求报文格式如图4所示,请求行中的请求方法包括GET、POST、HEAD、PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH等,其中,GET用于请求获取指定的资源;POST用于向指定资源提交数据,请求服务器进行处理;HEAD与GET方法类似,但服务器在响应中只返回HTTP头部,不返回实际数据;PUT用于请求服务器存储资源,并用Request-URI作为其标识;DELETE用于请求服务器删除指定的资源;CONNECT用于建立网络连接,以便通过代理进行通信;OPTIONS用于请求获取目标支持的通信选项;TRACE用于进行消息回环测试,检查请求是否经过了代理等中间节点;PATCH用于对资源进行部分更新。需要说明的是,其他的应用层协议也是可行的,如FTP协议、Telent协议、SMTP协议、POP3协议等,可根据实际情况进行设置为其他协议,在此不做限制。
其中,最常见的两种方法为GET与POST,URL作为请求方法的地址部分,常被用作隐藏信息,因此将这两个字段作为请求地址数据抽取保留。头部字段长度及字段名与值的可选范围有限,用作隐蔽通信较易被识破,因此直接舍弃该字段。请求数据字段包含了大量的自定义内容,有较大的可用空间,因此该字段作为请求数据保留,将请求数据和请求地址数据拼接后形成负载特征数据D payload,输入到下一层网络中(即传输层)。
S3、通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
在本发明实施例中,通过嵌入层算法将报头特征数据D packet及负载特征数据D payload分别转换成两个平行通道的相同维度向量,即第一特征向量V t和第二特征向量V d。由于上述步骤中得到的报头特征数据D packet的尺寸为128比特的定长数据,可以直接转化为第一特征向量V t,还需通过嵌入层算法将变长的负载特征数据D payload转换成定长的第二特征向量V d。
在本发明实施例中,采用Global Vector算法作为嵌入层算法,将请求方法字段分配到向量空间中具有接近距离的向量中。将每个请求方法字段的值Sw i依次分配一个唯一的索引idx,然后在Global Vector算法的词典中查找相应的矢量表示V idx。由于请求方法字段的种类大约一百多种,可采用一个字节对其进行表示,而URL字段不超过10个字节,可全部保留,再保留5个字节的请求数据字段,最终形成的第二特征向量V d的尺寸也被设定为128比特。需要说明的是,嵌入层算法并不仅限于Global Vector算法,其他的嵌入层算法也是可行的,在此不做限制。
S4、将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
在本发明实施例中,所述第一预设方法为:
将所述第一特征向量和所述第二特征向量通过所述双通道卷积神经网络的卷积层中窗口大小不同的多个过滤器进行卷积操作,提取所述第一特征向量和所述第二特征向量中的隐向量特征;
将所述隐向量特征作为所述双通道卷积神经网络中池化层的输入,进行最大池化操作,得到池化隐向量特征;
将所述池化隐向量特征作为所述双通道卷积神经网络中全连接层的输入进行处理,输出所述第一优化特征向量和所述第二优化特征向量。
具体的,将第一特征向量V t和第二特征向量V d输入一个双通道卷积神经网络,在双通道卷积神经网络中,每个通道都有自己的卷积层和池化层,可以独立地进行参数学习和优化。两个通道分别对准第一特征向量V t和第二特征向量V d,来自单一通道的向量输入神经网络后,通过窗口大小不同的多个过滤器的卷积操作自动提取报头及负载的隐向量特征,每个卷积层后连接池化层进行最大池化操作,操作过程如下式表示:
再经过全连接层处理后,得到两个特征向量,即第一优化特征向量V teigen和第二优化特征向量V deigen,操作过程如下式表示:
其中,采用三个具有不同窗口大小的过滤器,n=3。
S5、将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
在本发明实施例中,所述第二预设方法包括以下步骤:
S51、将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵;
S52、计算所述第一循环矩阵与所述第二优化特征向量的内积,得到第一内积;计算所述第二循环矩阵与所述第一优化特征向量的内积,得到第二内积;
S53、将所述第一优化特征向量、所述第二优化特征向量、所述第一内积以及所述第二内积进行组合,得到所述融合特征向量。
具体的,将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵,其执行操作如下:
将所述第一优化特征向量V teigen和第二优化特征向量V deigen扩展为第一循环矩阵C teigen和第二循环矩阵C deigen,随后再执行操作:
得到两个特征向量与循环矩阵的内积(即第一内积和第二内积),再执行操作:
得到融合特征向量V joint。
S6、将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
在本发明实施例中,将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行批量归一化(BatchNorm)和Softmax计算后,得到决定当前预测标签的输出方程Y,其过程表示如下:
。
将输出方程得Y的结果作为隐蔽信道检测结果输出。
与现有技术相比,本发明通过对网络层IP数据报的封装边界进行分割提取,提取预设位置的传输层数据与网络层数据,转化为报头特征数据,利用对齐后的格式化数据进行学习、训练,而不是用等长窗口截断不等长报文进行训练,并重考虑了网络层、传输层的数据特征和应用层的数据特征及它们二者间的融合特征,相较其它只考察单一特征的方法而言检测能力更强;本发明通过两个独立的通道处理报头部分和负载部分,并通过循环矩阵对两个独立通道进行融合,可以使提取出的特征对齐,从而有助于后续模型进行特征学习;本发明可以通过嵌入层算法为后续神经网络模型构建小维度的向量化输入,极大地优化了模型性能。这样使得本发明对隐蔽信道的检测速度快、误报率低以及资源开销适中。
实施例二
本发明实施例还提供一种隐蔽信道的检测系统,请参照图5,图5是本发明实施例提供的隐蔽信道的检测系统200的结构示意图,其包括:
201、报头模块,用于获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
在本发明实施例中,所述网络层数据为IP数据报报头中的数据。
在本发明实施例中,将所述待检测报文根据网络层IP数据报的封装边界进行分割,首先提取IP数据报报头,并保留其中的4~7字节的数据(即第一预设位置的网络层数据);随后再提取TCP数据报报头,并保留其中的4-11字节的数据(即第二预设位置的传输层数据),最后,将路由器接收到待检测报文时的32比特时间戳作为向量的最后32个比特,形成一个128比特的报头特征数据D packet。当然其他位置的数据也是可行的,在此不做限制。
202、负载模块,用于对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
在本发明实施例中,所述负载特征数据包括请求地址数据和请求数据。需要说明的是,负载特征数据可以根据实际情况设置为其他类型的数据,并不仅限于请求地址数据和请求数据,其他类型的数据也是可行的,在此不做限制。
在本发明实施例中,所述应用层协议为HTTP协议,HTTP协议中请求报文格式如图4所示,请求行中的请求方法包括GET、POST、HEAD、PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH等,其中,GET用于请求获取指定的资源;POST用于向指定资源提交数据,请求服务器进行处理;HEAD与GET方法类似,但服务器在响应中只返回HTTP头部,不返回实际数据;PUT用于请求服务器存储资源,并用Request-URI作为其标识;DELETE用于请求服务器删除指定的资源;CONNECT用于建立网络连接,以便通过代理进行通信;OPTIONS用于请求获取目标支持的通信选项;TRACE用于进行消息回环测试,检查请求是否经过了代理等中间节点;PATCH用于对资源进行部分更新。需要说明的是,其他的应用层协议也是可行的,如FTP协议、Telent协议、SMTP协议、POP3协议等,可根据实际情况进行设置为其他协议,在此不做限制。
其中,最常见的两种方法为GET与POST,URL作为请求方法的地址部分,常被用作隐藏信息,因此将这两个字段作为请求地址数据抽取保留。头部字段长度及字段名与值的可选范围有限,用作隐蔽通信较易被识破,因此直接舍弃该字段。请求数据字段包含了大量的自定义内容,有较大的可用空间,因此该字段作为请求数据保留,将请求数据和请求地址数据拼接后形成负载特征数据D payload,输入到下一层网络中(即传输层)。
203、向量模块,用于通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
在本发明实施例中,通过嵌入层算法将报头特征数据D packet及负载特征数据D payload分别转换成两个平行通道的相同维度向量,即第一特征向量V t和第二特征向量V d。由于上述步骤中得到的报头特征数据D packet的尺寸为128比特的定长数据,可以直接转化为第一特征向量V t,还需通过嵌入层算法将变长的负载特征数据D payload转换成定长的第二特征向量V d。
在本发明实施例中,采用Global Vector算法作为嵌入层算法,将请求方法字段分配到向量空间中具有接近距离的向量中。将每个请求方法字段的值Sw i依次分配一个唯一的索引idx,然后在Global Vector算法的词典中查找相应的矢量表示V idx。由于请求方法字段的种类大约一百多种,可采用一个字节对其进行表示,而URL字段不超过10个字节,可全部保留,再保留5个字节的请求数据字段,最终形成的第二特征向量V d的尺寸也被设定为128比特。需要说明的是,嵌入层算法并不仅限于Global Vector算法,其他的嵌入层算法也是可行的,在此不做限制。
204、优化模块,用于将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
在本发明实施例中,所述第一预设方法为:
将所述第一特征向量和所述第二特征向量通过所述双通道卷积神经网络的卷积层中窗口大小不同的多个过滤器进行卷积操作,提取所述第一特征向量和所述第二特征向量中的隐向量特征;
将所述隐向量特征作为所述双通道卷积神经网络中池化层的输入,进行最大池化操作,得到池化隐向量特征;
将所述池化隐向量特征作为所述双通道卷积神经网络中全连接层的输入进行处理,输出所述第一优化特征向量和所述第二优化特征向量。
具体的,将第一特征向量V t和第二特征向量V d输入一个双通道卷积神经网络,在双通道卷积神经网络中,每个通道都有自己的卷积层和池化层,可以独立地进行参数学习和优化。两个通道分别对准第一特征向量V t和第二特征向量V d,来自单一通道的向量输入神经网络后,通过窗口大小不同的多个过滤器的卷积操作自动提取报头及负载的隐向量特征,每个卷积层后连接池化层进行最大池化操作,操作过程如下式表示:
再经过全连接层处理后,得到两个特征向量,即第一优化特征向量V teigen和第二优化特征向量V deigen,操作过程如下式表示:
其中,采用三个具有不同窗口大小的过滤器,n=3。
205、融合模块,用于将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
在本发明实施例中,所述第二预设方法包括以下步骤:
S51、将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵;
S52、计算所述第一循环矩阵与所述第二优化特征向量的内积,得到第一内积;计算所述第二循环矩阵与所述第一优化特征向量的内积,得到第二内积;
S53、将所述第一优化特征向量、所述第二优化特征向量、所述第一内积以及所述第二内积进行组合,得到所述融合特征向量。
具体的,将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵,其执行操作如下:
将所述第一优化特征向量V teigen和第二优化特征向量V deigen扩展为第一循环矩阵C teigen和第二循环矩阵C deigen,随后再执行操作:
得到两个特征向量与循环矩阵的内积(即第一内积和第二内积),再执行操作:
得到融合特征向量V joint。
206、计算模块, 用于将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
在本发明实施例中,将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行批量归一化(BatchNorm)和Softmax计算后,得到决定当前预测标签的输出方程Y,其过程表示如下:
。
将输出方程得Y的结果作为隐蔽信道检测结果输出。
所述隐蔽信道的检测系统200能够实现如上述实施例中的隐蔽信道的检测方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
实施例三
本发明实施例还提供一种计算机设备,请参照图6,图6是本发明实施例提供的计算机设备的结构示意图,所述计算机设备300包括:存储器302、处理器301及存储在所述存储器302上并可在所述处理器301上运行的隐蔽信道的检测程序。
所述处理器301调用所述存储器302存储的隐蔽信道的检测程序,执行本发明实施例提供的隐蔽信道的检测方法中的步骤,请结合图1,具体包括以下步骤:
S1、获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
S2、对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
S3、通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
S4、将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
S5、将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
S6、将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
本发明实施例提供的计算机设备300能够实现如上述实施例中的方法中的步骤,且能实现同样的技术效果,参上述实施例中的描述,此处不再赘述。
实施例四
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有隐蔽信道的检测程序,该隐蔽信道的检测程序被处理器执行时实现本发明实施例提供的隐蔽信道的检测方法中的各个过程及步骤,且能实现相同的技术效果,为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,所揭露的仅为本发明较佳实施例而已,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式用等同变化,均属于本发明的保护之内。
Claims (10)
1.一种隐蔽信道的检测方法,其特征在于,所述检测方法包括以下步骤:
S1、获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
S2、对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
S3、通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
S4、将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
S5、将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
S6、将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
2.如权利要求1所述的隐蔽信道的检测方法,其特征在于,步骤S1中,所述网络层数据为IP数据报报头中的数据。
3.如权利要求1所述的隐蔽信道的检测方法,其特征在于,步骤S2中,所述应用层协议为HTTP协议。
4.如权利要求1所述的隐蔽信道的检测方法,其特征在于,步骤S2中,所述负载特征数据包括请求地址数据和请求数据。
5.如权利要求1所述的隐蔽信道的检测方法,其特征在于,所述嵌入层算法为GlobalVector算法。
6.如权利要求1所述的隐蔽信道的检测方法,其特征在于,步骤S4中,所述第一预设方法为:
将所述第一特征向量和所述第二特征向量通过所述双通道卷积神经网络的卷积层中窗口大小不同的多个过滤器进行卷积操作,提取所述第一特征向量和所述第二特征向量中的隐向量特征;
将所述隐向量特征作为所述双通道卷积神经网络中池化层的输入,进行最大池化操作,得到池化隐向量特征;
将所述池化隐向量特征作为所述双通道卷积神经网络中全连接层的输入进行处理,输出所述第一优化特征向量和所述第二优化特征向量。
7.如权利要求1所述的隐蔽信道的检测方法,其特征在于,步骤S5中,所述第二预设方法包括以下步骤:
S51、将所述第一优化特征向量和所述第二优化特征向量进行扩展,得到第一循环矩阵和第二循环矩阵;
S52、计算所述第一循环矩阵与所述第二优化特征向量的内积,得到第一内积;计算所述第二循环矩阵与所述第一优化特征向量的内积,得到第二内积;
S53、将所述第一优化特征向量、所述第二优化特征向量、所述第一内积以及所述第二内积进行组合,得到所述融合特征向量。
8.一种隐蔽信道的检测系统,其特征在于,包括:
报头模块,用于获取待检测报文,将所述待检测报文根据网络层IP数据报的封装边界进行分割,提取所述待检测报文中第一预设位置的网络层数据和第二预设位置的传输层数据,将所述传输层数据和所述网络层数据进行转化,得到报头特征数据;
负载模块,用于对应用层中第三预设位置的数据根据应用层协议进行提取并转化,得到负载特征数据;
向量模块,用于通过嵌入层算法将所述报头特征数据和所述负载特征数据分别转化为两个平行通道的相同维度向量,得到第一特征向量和第二特征向量;
优化模块,用于将所述第一特征向量作为双通道卷积神经网络中一个通道的输入,所述第二特征向量作为所述双通道卷积神经网络中另一通道的输入,通过第一预设方法对所述第一特征向量和所述第二特征向量进行处理,得到第一优化特征向量和第二优化特征向量;
融合模块,用于将所述第一优化特征向量和所述第二优化特征向量通过第二预设方法进行处理,得到融合特征向量;
计算模块, 用于将所述融合特征向量输入至所述双通道卷积神经网络中的全连接层进行计算,输出得到隐蔽信道的检测结果。
9.一种计算机设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隐蔽信道的检测程序,所述处理器执行所述隐蔽信道的检测程序时实现如权利要求1-7中任意一项所述的隐蔽信道的检测方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有隐蔽信道的检测程序,所述隐蔽信道的检测程序被处理器执行时实现如权利要求1-7中任意一项所述的隐蔽信道的检测方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410075769.3A CN117596082B (zh) | 2024-01-18 | 2024-01-18 | 一种隐蔽信道的检测方法、系统及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410075769.3A CN117596082B (zh) | 2024-01-18 | 2024-01-18 | 一种隐蔽信道的检测方法、系统及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117596082A CN117596082A (zh) | 2024-02-23 |
CN117596082B true CN117596082B (zh) | 2024-03-26 |
Family
ID=89910306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410075769.3A Active CN117596082B (zh) | 2024-01-18 | 2024-01-18 | 一种隐蔽信道的检测方法、系统及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117596082B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109729070A (zh) * | 2018-11-28 | 2019-05-07 | 甘肃农业大学 | 一种基于cnn和rnn融合模型的网络异构并发隐写信道的检测方法 |
CN114553722A (zh) * | 2022-01-12 | 2022-05-27 | 西安电子科技大学 | 基于多视角一维卷积神经网络的VPN和non-VPN网络流量分类方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9832213B2 (en) * | 2014-10-31 | 2017-11-28 | Cyber Crucible Inc. | System and method for network intrusion detection of covert channels based on off-line network traffic |
-
2024
- 2024-01-18 CN CN202410075769.3A patent/CN117596082B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109729070A (zh) * | 2018-11-28 | 2019-05-07 | 甘肃农业大学 | 一种基于cnn和rnn融合模型的网络异构并发隐写信道的检测方法 |
CN114553722A (zh) * | 2022-01-12 | 2022-05-27 | 西安电子科技大学 | 基于多视角一维卷积神经网络的VPN和non-VPN网络流量分类方法 |
Non-Patent Citations (1)
Title |
---|
基于SVM的ICMP网络存储隐蔽信道检测;李抒霞;周安民;郑荣锋;胡星高;;信息安全研究;20200205(第02期);28-36 * |
Also Published As
Publication number | Publication date |
---|---|
CN117596082A (zh) | 2024-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450721B (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
US20060280178A1 (en) | Script-based parser | |
CN113347210B (zh) | 一种dns隧道检测方法、装置及电子设备 | |
US10999304B2 (en) | Bind shell attack detection | |
CN111371778B (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
CN114095274B (zh) | 一种攻击研判方法及装置 | |
CN113472791B (zh) | 一种攻击检测方法、装置、电子设备及可读存储介质 | |
CN112468518A (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
SG184120A1 (en) | Method of identifying a protocol giving rise to a data flow | |
CN103731429A (zh) | web应用漏洞检测方法及装置 | |
CN112822223A (zh) | 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 | |
US10805435B2 (en) | Method of processing data stream, computer program product and classifier for processing data stream | |
CN108847983A (zh) | 基于mqtt协议的入侵检测方法 | |
Kebande et al. | Functional requirements for adding digital forensic readiness as a security component in IoT environments | |
CN117596082B (zh) | 一种隐蔽信道的检测方法、系统及相关设备 | |
Cambiaso et al. | A network traffic representation model for detecting application layer attacks | |
CN114070800A (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
JP2018531466A6 (ja) | 木グラフプロパティを適用するjsonデータのリアルタイムバリデーション | |
CN112565229A (zh) | 隐蔽通道检测方法及装置 | |
CN108712324B (zh) | 处理邮件的方法和装置 | |
CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
CN114050917B (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |