一种基于双正交载体的网络水印标记方法及系统技术方案

本发明专利技术提供一种基于双正交载体的网络水印标记方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该基本信息为

A Network Watermarking Method and System Based on Biorthogonal Carrier

The invention provides a network watermarking marking method based on biorthogonal carrier. The steps include: capturing network data stream, extracting basic information and characteristic information from it, and the basic information is as follows:

【技术实现步骤摘要】
一种基于双正交载体的网络水印标记方法及系统
本专利技术属于计算机网络安全领域，具体来说，涉及到一种基于双正交载体的网络水印标记方法及系统。
技术介绍
网络应用的不断普及和深化，使得互联网一方面正在深刻影响人们的生活方式，孕育着社会运转的新常态；另一方面也成为国家战略性关键基础设施，支撑着国家重要领域的有效运转。随着分布式计算、云存储、大数据的接踵而至，物联网、移动互联网、电子眼、机器人和无人机等技术不断发展，数据交换的特点日新月异：数据中心呈现分布式架构特点；数据规模呈现扩大化趋势；获取服务方式呈现虚拟化特征。因此，数据交换要求更敏捷、更可靠、更可控，流交换由此应运而生。随着流交换应用的与日俱增，流交换的安全问题日益凸显。诸如“棱镜门”、SWIFT银行系统风波、2.7亿Gmail和Hotmail账号遭泄露等重大安全事件的屡见不鲜。CNCERT在2016年出版的报告显示，境外数以万计的木马控制端IP紧盯着我国大陆百余万被控制的电脑，它们采用“跳板攻击”对我网络进行渗透和窃密。与此同时，随着云存储技术的不断推广和攻击手段的日益发展，基于中间跳板的信息窃取导致的敏感数据泄露、基于僵尸网络的DDoS攻击导致的服务器无法正常提供服务等问题危害性与日俱增。仔细分析不难发现，已有针对数据中心服务器的攻击无论其原理和手段如何，大都结合跳板和匿名通信技术以实现对攻击源和攻击路径的隐藏。攻击者主要通过破坏流身份信息、削弱关联流相似特征，达到隐藏流身份信息、隐匿流交换范围和隐蔽流交换路径的目的，造成流交换中流身份不可知；流交换范围不可控和交换路径不可寻的问题。与此同时，由于流交换具有对时延敏感、多流交汇等特点。相较于已有交换系统，流交换应用系统，如基于互联网的电子政务商务平台、金融应用、实时分析等系统，具有对时延敏感、多流交汇、结构复杂等特点。已有安全交换技术研究，如数字签名、MAC等，存在资源消耗大、时延高等问题，无法适应流交换环境、难以满足流安全交换需求。因此，网络流水印技术应运而生，网络流水印是在嵌入端通过对流某些方面特性进行调制以增强相关流的相似性；在接收端通过提取绑定的流水印信息以达到鉴别流相关性目的的技术。目前，网络流水印技术主要用于跳变攻击检测、匿名通信关联、敏感数据泄露阻断与溯源等方面。然而，由于现有流水印方案存在以下两个问题：1)现有网络流水印仅表示一条数据流“被标记”或者“不被标记”，而没有任何其他含义，因此无法依据水印信息进行数据源判别和传输路径追踪。2)现有网络水印只选取单一流量特征作为载体，无法满足待嵌入水印信息量大和不同应用场景对水印特性的要求，因此单一流量特征容量受限、流水印信息易被干扰或移除。
技术实现思路
有鉴于此，本专利技术提出了一种基于双正交载体的网络水印标记方法及系统，本方法及系统基于OpenStack云平台实现，本方法选取分别具有强健壮性和高隐蔽性的流特征作为水印载体，使的网络流水印可适用于不同网络状况。与此同时，通过双载体的正交化处理防止流水印的互扰。在此基础上，分别设计基于时间间隔重心的水印嵌入与检测算法和基于包间隔的水印嵌入与检测算法，兼顾水印的健壮性和隐蔽性。为解决上述技术问题，本专利技术采用如下技术方案：一种基于双正交载体的网络水印标记方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该特征信息包括时间间隔重心特征和包间时延特征；根据所述基本信息生成水印信息；将所述时间间隔重心特征和包间时延特征分别作为时间间隔重心载体和包间时延载体，对该两种载体进行正交化处理；利用基于时间间隔重心和包间时延的水印嵌入算法，给所述时间间隔重心载体和包间时延载体嵌入所述水印信息，发送数据包，完成网络水印标记。进一步地，所述基本信息为<源IP地址、目的IP地址、源端口号、目的端口号、协议号>的五元组流信息。进一步地，根据所述基本信息生成水印信息时，还加入时间、安全级别、范畴类别作为流身份信息，通过共享加密密钥的方式生成水印编码。进一步地，正交化处理时，先调制所述时间间隔重心载体，再调制所述包间时延载体。进一步地，先给所述时间间隔重心载体嵌入水印信息，再给所述包间时延重心载体嵌入水印信息。进一步地，发送所述数据包时读取间隔首个数据包的发送时间信息，同时发送该发送时间信息以及所述基本信息和水印信息。一种基于时间间隔重心或包间时延的水印嵌入方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该特征信息包括时间间隔重心特征或者包间时延特征；根据所述基本信息生成水印信息；将所述时间间隔重心特征作为时间间隔重心载体，或者将所述包间时延特征作为包间时延载体；利用基于时间间隔重心的水印嵌入算法，随机选取所述时间间隔重心载体，对所述时间间隔重心载体分组后嵌入所述水印信息；或者利用基于包间时延的水印嵌入算法，随机选取所述包间时延载体，对所述包间时延载体进行量化索引调制后嵌入所述水印信息。进一步地，如果所述时间间隔重心载体或包间时延载体无法嵌入完整的水印信息，则根据所述获取的数据流大小重新生成水印信息；如果嵌入完整水印信息后还有剩余的待嵌入载体，则给该待嵌入载体循环嵌入水印信息。一种网络水印检测方法，步骤包括：获取含水印信息的数据流，从中提取基本信息和特征信息，该特征信息包括时间间隔重心特征和/或包间时延特征；利用基于时间间隔重心和/或包间时延的水印检测算法，提取基于所述时间间隔重心特征和/或包间时延特征的水印信息；根据所述基本信息，请求并获取原始水印信息；将所述水印信息和所述原始水印信息进行比对，对正确率高于设定阈值的数据流进行认证，对于认证通过的数据流，允许其通过网络节点；对正确率低于设定阈值的和认证未通过的数据流进行丢弃，并上报预警信息。一种网络水印追踪方法，步骤包括：收集预警信息，根据基本信息和预警信息，对可疑数据流传输路径进行溯源；提取所述可疑数据流传输路径，根据时间顺序对可疑数据流的转发路径进行重构及显示。一种水印代理节点，包括：一数据流采集模块，用于捕获网络数据流，收集数据流基本信息、时间间隔重心特征和包间时延特征信息，并生成数据流特征统计数据；一水印生成模块，用于根据数据流基本信息生成水印信息；一水印嵌入模块，用于调制数据流，给载体嵌入水印信息；一水印检测模块，用于解调含水印信息的数据流，对提取的水印信息进行鉴别；一缓存空间维护模块，用于通过数据缓存队列的方式存储数据流和水印信息；一时间窗维护模块，用于实现时间窗机制，具体为：维护一定宽度时间间隔的时间窗，该时间窗在所述缓存队列上向时序增加的方向滑动，所述缓存队列上的滑出时间窗的的数据被删除，队列空间被释放。一种水印追踪服务器，包括：一缓存空间维护模块，用于存储上报的预警信息、数据流与水印映射关系信息；一安全策略模块，用于生成基于水印信息的访问控制策略；一水印追踪模块，以网络拓扑为基础，根据基本信息和预警信息对可疑数据流的传输路径进行提取，并根据时间顺序对可疑数据流的转发路径进行重构及显示。一种基于双正交载体的网络水印标记系统，包括一所述水印追踪服务器和多个所述水印代理节点，所述水印追踪服务器建立于云平台控制节点上，所述水印代理节点建立于云平台每个计算节点和边界网关上。本专利技术整体采用分布式的嵌入与检测架构，本文档来自技高网...

【技术保护点】
1.一种基于双正交载体的网络水印标记方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该基本信息为

【技术特征摘要】
1.一种基于双正交载体的网络水印标记方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该基本信息为<源IP地址、目的IP地址、源端口号、目的端口号、协议号>的五元组流信息，该特征信息包括时间间隔重心特征和包间时延特征；根据所述基本信息生成水印信息；将所述时间间隔重心特征和包间时延特征分别作为时间间隔重心载体和包间时延载体，对该两种载体进行正交化处理；利用基于时间间隔重心和包间时延的水印嵌入算法，给所述时间间隔重心载体和包间时延载体嵌入所述水印信息，发送数据包，完成网络水印标记。2.根据权利要求1所述的方法，其特征在于，根据所述基本信息生成水印信息时，还加入时间、安全级别、范畴类别作为流身份信息，通过共享加密密钥的方式生成水印编码。3.根据权利要求1所述的方法，其特征在于，正交化处理时，先调制所述时间间隔重心载体，再调制所述包间时延载体；嵌入水印信息时，先给所述时间间隔重心载体嵌入水印信息，再给所述包间时延重心载体嵌入水印信息。4.一种基于时间间隔重心或包间时延的水印嵌入方法，步骤包括：捕获网络数据流，从中提取基本信息和特征信息，该基本信息为<源IP地址、目的IP地址、源端口号、目的端口号、协议号>的五元组流信息，该特征信息包括时间间隔重心特征或者包间时延特征；根据所述基本信息生成水印信息；将所述时间间隔重心特征作为时间间隔重心载体，或者将所述包间时延特征作为包间时延载体；利用基于时间间隔重心的水印嵌入算法，随机选取所述时间间隔重心载体，对所述时间间隔重心载体分组后嵌入所述水印信息；或者利用基于包间时延的水印嵌入算法，随机选取所述包间时延载体，对所述包间时延载体进行量化索引调制后嵌入所述水印信息。5.根据权利要求4所述的方法，其特征在于，如果所述时间间隔重心载体或包间时延载体无法嵌入完整的水印信息，则根据所述获取的数据流大小重新生成水印信息；如果嵌入完整水印信息后还有剩余的待嵌入载体，则给该待嵌入载体循环嵌入水印信息。6.一种网络水印...

【专利技术属性】
技术研发人员：王利明，雷程，杨倩，马多贺，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11