【技术实现步骤摘要】
采用多维特征向量检测IP ID隐信道的方法
本专利技术属于信息安全
,具体涉及一种采用多维特征向量检测IP ID隐信道的方法。
技术介绍
信息隐蔽是一种新的信息安全技术,近年来得到了迅速的发展,可广泛应用于数字信息的版权保护、认证、机密信息的隐蔽传输等领域。信息隐藏技术是利用载体信息的冗余性,将隐蔽信息嵌入到普通信息之中,通过普通信息的发送将秘密信息发送出去。信息隐藏可以穿透访问控制、防火墙和入侵检测等网络安全设施,实施不易被察觉的隐藏通信。传统的信息隐藏大多以文本、音频、图像作为载体,近年来,基于网络协议的信息隐藏逐渐成为热点。利用信息隐藏技术,在TCP/IP协议中嵌入机密数据,进行隐蔽通信的信道称为隐信道。TCP/IP协议的各种报文结构通常具有固定格式。这种固定格式在给网际互连带来方便的同时,也不可避免地引入了冗余。如某些协议报文中的字段在一般的通信过程中通常不会被利用,但按照TCP/IP协议的标准它们又不可缺少,这就给隐蔽通信创造了机会。现有的基于TCP/IP协议的隐信道主要分为存储型隐信道和时序型隐信道两种。存储型隐信道,利用协议头部的冗余字段隐藏信息;时序型隐信道,利用数据包的时序特征或顺序(调制数据包的时间间隔、数据包在网络中的发送时间或数据包的顺序等),隐藏信息。接下来介绍几种存储型隐信道。以Rowland为代表提出了基于TCP/IP头部域的隐信道(Covert channels in the TCP/IP protocol suite, 1996), C.Abad提出了基于校验和的隐信道(IP Checksum Cover...
【技术保护点】
一种采用多维特征向量检测IP?ID隐信道的方法,其特征在于所述方法采用SVM分类器对三维特征向量(E,D,H)分类学习训练,然后检测出隐信道,具体包括以下步骤:(1)特征提取:i)针对正常的训练样本,连续捕获N个IP数据包,提取IP头部ID域信息,获得相邻数据包ID差值Δid1,Δid2,...,Δidn?1,其中N为检测窗口尺寸;统计Δid1,Δid2,...,Δidn?1的均值E、标准差D和熵值H,得到三维特征矢量(E,D,H),其中:E(Δid1,Δid2,...,Δidn?1)=(Δid1+Δid2+...+Δidn?1)/(n?1);D(Δid1,Δid2,...,Δidn-1)=1nΣ1n-1(Δidi-E)2;H(Δid1,Δid2,...,Δidn-1)=-Σipilogpi;其中pi为Δidi出现的概率;ii)针对异常的训练样本,按照与正常的训练样本相同的特征提取方法提取出异常训练样本的三维特征矢量;(2)SVM分类器训练:采用重复步骤(1)得到的正常的训练样本...
【技术特征摘要】
1.一种采用多维特征向量检测IP ID隐信道的方法,其特征在于所述方法采用SVM分类器对三维特征向量(E,D,H)分类学习训练,然后检测出隐信道,具体包括以下步骤: (1)特征提取: i)针对正常的训练样本,连续捕获N个IP数据包,提取IP头部ID域信息,获得相邻数据包ID差值Aid1, Aid2,...,Aidlri,其中N为检测窗口尺寸;统计Aid1, Aid2,...,Δ Idn^1的均值E、标准差D和熵值H,得到三维特征矢量(E,D,H),其中: 2.根据权利要求1所述的方法,其特征在于所述方法步骤(1)中连续捕获N个IP数据包后,去掉包体,获得包头中的IP ID值后,将以十六进制表示的IP ID值转化为以十进制表示的IP ID值,然...
【专利技术属性】
技术研发人员:黄刘生,沈瑶,缪海波,陆潇榕,杨威,陈志立,
申请(专利权)人:中国科学技术大学苏州研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。