针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法技术

本发明专利技术公开一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，首先捕获正常数据和待测数据，分别提取正常数和待测数据的信息熵、ε相似度以及方差三个特征，以正常数据作为训练数据，待测数据作为测试数据输入贝叶斯分类器，由贝叶斯分类器判别待测数据与正常数据是否相似，相似则判断为正常，否则就判断为异常。本发明专利技术采用数据流的多特征检测，可有效克服单一特征带来的虚警率高的问题，给出可靠的检测结果。

Covert communication detection method based on Have message encoding in BitTorrent file sharing process

The invention discloses a method for BitTorrent file sharing in the process of detection of covert communication based on Have message encoding, first capture the normal data and the measured data, and the data were extracted from the normal number of information entropy, similarity and variance three characteristics was measured in the normal data as training data and test data as test data enter Bias discriminant classifier, the measured data and normal data are similar by Bias classifier, similar is judged as normal, otherwise it is judged as abnormal. The invention adopts the multi feature detection of the data stream, and can effectively overcome the false alarm rate caused by the single feature, and gives reliable detection results.

【技术实现步骤摘要】
针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法
本专利技术涉及网络与信息安全技术，具体涉及一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法。
技术介绍
网络隐写作为一种隐蔽通信方式，利用合法的数据流作为载体在网络中传递秘密信息。政府、企业和个人通过利用网络隐信道进行隐秘通信，安全地传递重要信息。但同时，网络隐写也会被不法组织和个人利用，以传递有害信息，威胁公众安全。因此，检测网络隐写的存在，防止危害发生，是至关主要的环节。隐写的检测技术作为网络安全防护领域内的一项非常重要的技术，引起了研究者的广泛关注，而且目前为止已经取得了很多的研究成果。BitTorrent网络是目前被广大网络用户普遍使用的文件传输共享方式，是一种P2P技术的具体应用、扩展。近年来P2P技术飞速发展，基于P2P以及BitTorrent的隐蔽通信方法也应运而生。Peer消息作为BitTorrent网络通信不可或缺的组成部分，对于推动整个BT网络的运行起着至关重要的作用，而且Peer消息通信容量大，在BT数据流中占据着绝对比例，Have消息是一种通信频繁且分布有序的Peer消息，每当一个完整的数据块Block下载完毕，该客户端节点Peer即可向外发送与之对应的Have消息，Have消息的负载为一个整数，且其整体分布呈上升趋势。由于Have消息具有通信频繁、分布有序以及修改负载不会引起系统错误的特点，该消息很容易被不法分子利用，以传递隐秘信息。差值映射编码是一种常用的编码方式，首先选择一组样本数据，若传输秘密信息’0’，则在原数据基础上减1，若传输秘密信息’1’，则在原数据基础上加1。接收方只要将接收的二进制数与样本数据作对比，便可完成解码工作。如原数据为{12,25,27,40,49}，所要嵌入秘密信息为{1,1,0,1,1}，则嵌入后的数据为{13,26,26,41,50}。将差值映射编码应用在Have消息的传输中，不仅具有较高的鲁棒性，而且具有较高的信道容量。目前尚无公开文献提出对于Have消息隐蔽通信的检测方法。
技术实现思路
专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，本专利技术提取正常通信与隐蔽通信的信息熵、ε相似度、方差三种特征，使用所提特征构建贝叶斯分类器，将待测数据送入贝叶斯分类器进行分类，以此判断待测数据是否含密。技术方案：本专利技术一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，包括以下流程：步骤1：设置数据捕获器，利用数据捕获器捕获正常数据，并筛选出其中的Have消息；步骤2：设置数据处理器，利用数据处理器提取每个正常数据Have消息中的负载，该Have消息中负载为一个正整数且呈不断上升的趋势，计算每两个相邻负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组含N个元素；步骤3：设置窗口分割器，利用窗口分割器将正常数据分割为L个窗口，每个窗口包含w个正常数据；步骤4：设置特征提取器，提取每个窗口数据的信息熵H、ε＝0.9时的ε相似度、方差三种特征，其中信息熵H可由公式(1)计算：将正常数据的包间时延分为大小相等的k块，计算时延信息落在每个块中的概率Pi，Pi＝n/w，n为落入第i个小块时延个数，再由Pi求得信息熵H，此处，取自然常数e为log的底数；首先对原始数据的包间时延按照由小到大进行排序，由公式(2)计算排序后第i个包间时延ti与第i+1个包间时延ti+1的差异率difi，其中w为窗口大小，差异率小于ε的包间时延所占的百分比称为ε-相似度，由公式(3)计算ε-相似度，其中num(dif<ε)为差异率小于ε的包间时延总数；difi＝|ti-ti+1|/ti，1≤i≤w-1(2)E＝num(dif<ε)/(w-1)(3)方差可由公式(4)得出：s2＝[(t1-A)2+(t2-A)2+…+(tw-A)2]/w(4)A为该窗口包间时延的均值，一个窗口内有w个包间时延且分别用t1～tw表示，将所有窗口的三种特征提取完毕，可以得到两个维数为L*3的特征矩阵，其中一个为正常数据的特征矩阵，一个为含密数据的特征矩阵；步骤5：设置数据捕获器，利用数据捕获器捕获待测数据，并筛选出其中的Have消息；步骤6：设置数据处理器，利用数据处理器提取Have消息中的负载，计算每相邻两个负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组包含N+个元素；步骤7：设置窗口分割器，利用窗口分割器将待测数据分割为L+个窗口，每个窗口包含w个数据；步骤8：设置特征提取器，提取每个窗口数据的信息熵、ε＝0.9时的ε相似度、方差三种特征，组成一个L+*3的特征矩阵；步骤9：设置贝叶斯分类器，将正常数据的特征矩阵分为两部分，一部分作为样本数据，另一部分作为训练数据，由公式(5)计算训练数据和样本数据3种特征的后验概率之积h，并得到求得若干个h的均值m、方差v和检测阈值Th＝m+αv，其中α为自定义的常量函数，用于调整检测阈值；其中c为样本包含种类且c为正常数据，xi为待测数据的特征，P(xi|c)表示当确定样本为正常数据时特征为xi的后验概率；同时把待测数据的特征矩阵输入贝叶斯分类器，由公式(5)计算待测数据和样本数据的后验概率之积得到h+同阈值Th作比较，若大于Th可认为该窗口数据为正常数据，反之，则认为该窗口数据为含密数据。进一步的，所述步骤1中的数据捕获器采用wireshark。进一步的，所述步骤2中的数据处理器采用matlab。进一步的，所述步骤3中窗口分割器可视实际情况将数据分割为大小任意的窗口。有益效果：本专利技术在提取数据三种特征的基础上，使用了贝叶斯分类器进行分类工作，可有效克服单一特征带来的虚警率高的问题，得到可靠的检测结果。附图说明图1为本专利技术的流程示意图；图2为实施例中窗口为1000时的分类结果示意图。具体实施方式下面对本专利技术技术方案进行详细说明，但是本专利技术的保护范围不局限于所述实施例。实施例1：图1为基于贝叶斯分类器的检测流程示意图，本实施例中针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，首先捕获正常数据和待测数据，分别提取正常数和待测数据的信息熵、ε相似度以及方差三个特征，以正常数据作为训练数据，待测数据作为测试数据输入贝叶斯分类器(其中对正常数据和待测数据的处理过程不分先后)；具体流程如下：步骤1：设置数据捕获器，利用数据捕获器捕获正常数据，并筛选出其中的Have消息。步骤2：设置数据处理器，利用数据处理器提取每个正常数据Have消息中的负载(该消息中负载即一个正整数，且呈不断上升的趋势)，计算每相邻两个负载数字之间的差值，并将计算结果组成一个一维数组，该数组含40000个元素。步骤3：设置窗口分割器，利用窗口分割器将正常数据分割为40个窗口，每个窗口包含1000个数据。步骤4：设置特征提取器，提取每个窗口数据的信息熵、ε＝0.9时的ε相似度、方差三种特征。其中信息熵H可由公式(1)计算：将正常数据的包间时延分为大小相等的9块，计算时延信息落在每个块中的概率Pi，再由Pi求得信息熵，在本本文档来自技高网...

【技术保护点】
一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，其特征在于：包括以下流程：步骤1：设置数据捕获器，利用数据捕获器捕获正常数据，并筛选出其中的Have消息；步骤2：设置数据处理器，利用数据处理器提取每个正常数据Have消息中的负载，该Have消息中负载为一个正整数且呈不断上升的趋势，计算每两个相邻负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组含N个元素；步骤3：设置窗口分割器，利用窗口分割器将正常数据分割为L个窗口，每个窗口包含w个正常数据；步骤4：设置特征提取器，提取每个窗口数据的信息熵H、ε＝0.9时的ε相似度、方差三种特征，其中信息熵H可由公式(1)计算：

【技术特征摘要】
1.一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，其特征在于：包括以下流程：步骤1：设置数据捕获器，利用数据捕获器捕获正常数据，并筛选出其中的Have消息；步骤2：设置数据处理器，利用数据处理器提取每个正常数据Have消息中的负载，该Have消息中负载为一个正整数且呈不断上升的趋势，计算每两个相邻负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组含N个元素；步骤3：设置窗口分割器，利用窗口分割器将正常数据分割为L个窗口，每个窗口包含w个正常数据；步骤4：设置特征提取器，提取每个窗口数据的信息熵H、ε＝0.9时的ε相似度、方差三种特征，其中信息熵H可由公式(1)计算：将正常数据的包间时延分为大小相等的k块，计算时延信息落在每个块中的概率Pi，Pi＝n/w，n为落入第i个小块时延个数，再由Pi求得信息熵H，此处，取自然常数e为log的底数；首先对原始数据的包间时延按照由小到大进行排序，由公式(2)计算排序后第i个包间时延ti与第i+1个包间时延ti+1的差异率difi，其中w为窗口大小，差异率小于ε的包间时延所占的百分比称为ε-相似度，由公式(3)计算ε-相似度，其中num(dif<ε)为差异率小于ε的包间时延总数；difi＝|ti-ti+1|/ti，1≤i≤w-1(2)E＝num(dif<ε)/(w-1)(3)方差可由公式(4)得出：s2＝[(t1-A)2+(t2-A)2+…+(tw-A)2]/w(4)A为该窗口包间时延的均值，一个窗口内有w个包间时延且分别用t1～tw表示，将所有窗口的三种特征提取完毕，可以得到两个维数为L*3的特征矩阵，其中一个为正常数据的特征矩阵，一个为含密数据的特征矩阵；步骤5：设...

【专利技术属性】
技术研发人员：翟江涛，李萌，刘伟伟，徐留杰，
申请(专利权)人：江苏科技大学，
类型：发明
国别省市：江苏,32