本发明专利技术公开了一种基于网络数据包时间序列频域特性的ON‑OFF时间式隐蔽通信检测方法。首先捕获网络数据流,将一定窗口下对正常网络数据流相邻包间时延看作随机序列进行DCT变换并计算DCT系数的信息熵。然后将待检测数据流包间时延序列DCT系数的信息熵和正常数据流包间时延序列DCT系数的信息熵进行比较,从而判断待检测数据流是否为ON‑OFF时间式隐蔽通信数据。本发明专利技术的方法从网络数据流的频域特性上展开对时间式隐蔽通信的检测,较现有的时间式隐蔽通信检测方法,具有更为可靠的检测结果。
【技术实现步骤摘要】
本专利技术涉及网络与信息安全
,具体涉及一种针对ON-OFF时间式隐蔽通信,对包间时延序列进行DCT变换,从频域上进行隐蔽通信检测的方法。
技术介绍
网络隐写作为一种隐蔽通信方式,利用合法的数据流作为载体在网络中传递秘密信息。政府、企业和个人通过利用网络隐信道进行隐秘通信,安全地传递重要信息。但同时,网络隐写也会被不法组织和个人利用,以传递有害信息,威胁公众安全。因此,检测网络隐写的存在,防止危害发生,是至关主要的环节。隐写的检测技术作为网络安全防护领域内的一项非常重要的技术,引起了研究者的广泛关注,而且目前为止已经取得了很多的研究成果。时间式隐写是通过改变网络数据包的包间时延信息来进行隐秘信息传输的隐写算法。对于数据包内部的信息及协议的行为方式等一切与时间信息无关的信息,时间式隐写不作任何改变,这提高了其隐蔽性。ON-OFF开关模式是目前时间式隐写的一种主要实现方式,这种模式非常简单,就是通过调整数据包的发送速度,观测在一定的时间间隔中是否有数据包发送,从而判断隐秘信息是‘1’还是‘0’。Padlipsky等人提出了一种ON-OFF的时间式隐写算法,发送方和接收方约定一个时间间隔,在这个时间间隔内,发送方用发送数据包代表隐秘信息‘1’,用保持沉默代表隐秘信息‘0’。Handel等人提出了基于ICMP协议的时间式隐写,利用信号的延迟来传递隐秘信息。由于这种方法使用了ICMP协议应答机制,因此可以非常容易的实现收发双方的同步。Girling提出了一种时间式隐写构建方法,在原始通信的时间信息中加入一定的时延,用新的时间信息代表隐秘信息。这种构建方法为日后时间式隐写的发展研究提供了很好的参考和启发。Shah等人就是在这种方法的基础上提出的Jitterbug隐写算法,Jitterbug将二进制编码嵌入到包间时延中,实现隐秘信息的传输。Cabuk等人提出了锁相环的同步机制,这也是一种ON-OFF的时间式隐写,用发送包代表‘1’,不发送数据包代表‘0’。但是不同的是,它将数据传输时间分为若干个时间间隔,这个时间间隔的大小是可以变化的,这就大大的改善了时间式隐写的稳定性和鲁棒性。对于隐写的检测,其主要思想是:比较待检测数据流与正常数据流之间的差异,如果差异超出某一阈值,则判断是隐写,否则,判断为正常数据流。网络隐写构建方法是多种多样的,而网络环境也是瞬息万变的,因此对于隐写的检测难度较高,导致了隐写检测技术还不够成熟的现状。很多隐写检测方法都是针对某一种或几种类似的隐写,因而不存在通用性。虽然也存在一些检测方法,能够实现对多种隐写的检测,但是这些检测方法对特定的网络环境具有很强的依赖性,局限性较大。Murdoch等人提出了一种基于TCP初始序列号位统计特性的隐写检测方法,这种检测方法只针对基于TCP初始序列号位的隐写,不具有普及型。Sohn等人提出了基于SVM分类器的检测方法,目的是用于检测基于TCP初始序列号位的隐写以及基于IP标识位的隐写。实验表明,这种检测方法只对于基于IP标识位的隐写有较好的检测结果,而且适用性也不高。针对基于ICMP协议负载的存储式隐写,Sohn等人提出了一种使用SVM的检测方法。刘光杰等人提出了一种基于IPID位正常通信自增特性统计规律的检测算法,用以检测基于IPID位的隐写。由此可见,很难设计出一种检测算法,实现对多种隐写的检测。以上的隐写检测方法大多是一对一的,只针对一种隐写有效,无法应用于其他隐写,限制了适用范围。但是也有一些检测算法,具有较好的适用性。对于时间式隐写的检测,Cabuk等人提出了两种检测方法:基于包间延时方差的检测算法,以及相邻包间延时的相似度算法。这两种方法都是通过对包间时延进行统计,计算出某种特征值,比较隐写与正常数据流的差异或者相似度,从而判断是否为时间式隐写。Shah等人针对Jitterbug隐写,提出了一种利用包间延时的统计规律的检测算法,这种方法也可以应用于其他的时间式隐写检测。Qian等人提出了一种基于密度聚类的时间式隐写检测方法,这种方法对密度聚类特征的选取和聚类的数目较为依赖,因此在实际应用中有一定的局限性。Givanvecchio等人将信息论中的的熵与带修正条件熵引入了检测算法,利用包间时延信息的熵来检测时间式隐写。这种方法是一种比较成熟的检测算法,能够有效的检测出大多数的时间式隐写。上述现有技术中的隐写检测方法都是在时域上进行的,没有考虑到隐写数据流和正常数据流在频域上的差异,而频域特性在网络扰动下会有更稳定的表现。
技术实现思路
专利技术目的:针对上述现有技术存在的缺陷,本专利技术旨在提供一种基于DCT变换(DiscreteCosineTransform,离散余弦变换)的ON-OFF时间式隐蔽通信检测方法,将待检测数据流和正常数据流的包间时延进行DCT变换,分别计算DCT系数的信息熵,通过比较二者的差异,判断待检测数据流是否为隐写数据流。技术方案:一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,包括如下步骤:(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包间时延信息;(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗口;(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hn;(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,再根据均值M和方差V设定检测的阈值Th;(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N个包间时延信息;(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口;(7)计算信息熵:将每个窗口内的个待检测数据流包间时延信息的DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hs;(8)判断待检测数据流属性:将Hs与检测阈值Th比较,如果Hs小于Th,则待检测数据流为正常数据流,否则为隐写数据流。进一步的,步骤(3)中所述区间内占有DCT系数的概率即Pni,i=1,2,…,L;所述信息熵进一步的,步骤(4)中所述阈值Th=M+αV,其中α为自定义的常量函数,用于调整检测阈值。本文档来自技高网...
【技术保护点】
一种基于DCT变换的ON‑OFF时间式隐蔽通信检测方法,其特征在于,包括如下步骤:(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包间时延信息;(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗口;(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hn;(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,再根据均值M和方差V设定检测的阈值Th;(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N个包间时延信息;(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口;(7)计算信息熵:将每个窗口内的个待检测数据流包间时延信息的DCT系数按大小分为L个区间,统计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算信息熵Hs;(8)判断待检测数据流属性:将Hs与检测阈值Th比较,如果Hs小于Th,则待检测数据流为正常数据流,否则为隐写数据流。...
【技术特征摘要】
1.一种基于DCT变换的ON-OFF时间式隐蔽通信检测方法,其特征在于,
包括如下步骤:
(1)提取正常数据流的包间时延信息:从正常数据流中提取连续的N个包
间时延信息;
(2)DCT变换:对提取到的N个正常数据流包间时延信息进行DCT变换,
得到N个DCT系数;将N个DCT系数分为大小为w的窗口,总共分为个窗
口;
(3)计算信息熵:将每个窗口内的w个DCT系数按大小分为L个区间,统
计每个区间内含有DCT系数的个数,计算区间内占有DCT系数的概率;再计算
信息熵Hn;
(4)设定检测阈值:计算个窗口内DCT系数信息熵的均值M和方差V,
再根据均值M和方差V设定检测的阈值Th;
(5)提取待检测数据流的包间时延信息:从待检测数据流中提取连续的N
个包间时延信息;
(6)DCT变换:对提取到的N个待检测数据流包间时延信息进行DCT变
换,得到N个DCT系数;将其分为大小为w的窗口,总共分为个窗口;...
【专利技术属性】
技术研发人员:翟江涛,杨芳,唐雨,
申请(专利权)人:江苏科技大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。