專利名稱:一種網(wǎng)絡(luò)隱信道檢測方法
技術(shù)領(lǐng)域:
本發(fā)明屬于通信與信息安全技術(shù)領(lǐng)域�,涉及一種面向計(jì)算機(jī)網(wǎng)絡(luò)的隱信道檢測方法,更具體的是涉及一種針對FTP命令序列編碼的網(wǎng)絡(luò)隱信道(FTP-NCC)檢測方法�。
背景技術(shù):
網(wǎng)絡(luò)隱秘通信是指利用計(jì)算機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)作為載體,將秘密數(shù)據(jù)隱藏在其中實(shí)施隱秘通信的技術(shù)����,是近些年興起的一門集數(shù)據(jù)通信、計(jì)算機(jī)網(wǎng)絡(luò)��、信息隱藏��、信息安全等多項(xiàng)技術(shù)的交叉技術(shù)�����。網(wǎng)絡(luò)隱秘通信的突出特點(diǎn)是隱蔽性高��,可穿透一般的訪問控制�、防火墻和入侵檢測等網(wǎng)絡(luò)安全設(shè)施,是當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)信息泄露的重要風(fēng)險(xiǎn)之一����。網(wǎng)絡(luò)隱信道按照可以分為存儲式和時(shí)間式兩大類。存儲式是指直接或間接的將隱秘信息嵌入到協(xié)議冗余中的隱信道構(gòu)建方式��,它又可以分為基于協(xié)議冗余字段的以及基于偽裝通信的兩種類型�。基于協(xié)議冗余字段的隱信道是通過各種調(diào)制方式將隱秘信息調(diào)制到冗余字段中�����,此類研究成果較為豐富����,以Rowland等人為代表提出了多種算法及專利(I. C. H. Rowland, covert channels in the TCP/IP protocol suite, Peer Reviewed Journal on the Internet, July, 1997 ;2.劉鎮(zhèn)����,錢萍�����,周亮 一種隱秘通信的發(fā)送/接收方法.專利申請?zhí)?00810100795. 8)���。基于偽裝的隱信道通過構(gòu)建貌似正常的數(shù)據(jù)流���,將隱蔽信息偽裝在這些貌似正常的行為中進(jìn)行傳遞�。Darko Kiixwski等人提出利用在音頻信號中的插入/排序來傳遞隱秘信息(3. Darko Kirovski, Henrique Malvar. watermarking with covert channel and permutations. No. US 2005/0108542A1)����。此類石開究成果較上一類的晚,但是由于其沒有修改數(shù)據(jù)包的包頭部分安全性有一定提高�,也取得了相當(dāng)?shù)某晒?Krzystof 等人(4. w. Mazurczyk,M. Smolarczyk, K. Szczypiorski. RSTEG retransmission steganography and its detection. Soft Computing. 2011,15(3) 505-515)提出的重傳式隱蔽信道和鄒新光等人提出的利用FTP協(xié)議命令編碼的算法(5.鄒昕光.基于FTP協(xié)議的命令序列隱蔽信道.哈爾濱工業(yè)大學(xué)學(xué)報(bào)��,2007���,39 (3) =121-126)為代表���。相對于隱信道構(gòu)建而言,其檢測技術(shù)的研究尚處于起步階段����,已有算法主要針對基于協(xié)議冗余的隱信道算法,采用的技術(shù)手段主要是數(shù)據(jù)分類或統(tǒng)計(jì)學(xué)習(xí)技術(shù)(6. T. Sohn, J. Seo,and J. Moon,a study on the covert channel detection of TCP/IP header using support vector machine,Proc. 5th IntJ I. Conf. Info, and Commun. Security,Oct.2003 ���; 7.黃永峰����,袁健���,陳書梅����,王俊.MSN語音流中隱蔽信道檢測方法.清華大學(xué)學(xué)報(bào)(自然科學(xué)版) 2009�,49 (S2) =2200-2207 ;8.劉光杰����,戴躍偉,顧霞����,王執(zhí)銓 對一種基于IP標(biāo)識隱寫算法的隱寫分析,計(jì)算機(jī)工程,2007���,33 (24) :35-42)��,檢測算法通過一維的統(tǒng)計(jì)特征或基于多維特征分類器來實(shí)現(xiàn)對特定隱信道的判定���。然而,對基于偽裝的隱信道構(gòu)建方式尚無有效的檢測方法
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題針對目前尚無有效的針對FTP命令序列編碼的隱信道檢測方法的問題�����,提出一種通過建立FTP正常通信模型的隱信道檢測方法����,所提方法能對以FTP命令序列為載體的隱信道開展有效的檢測。本發(fā)明解決上述問題的技術(shù)方案通過對正常FTP通信業(yè)務(wù)過程的觀測和訓(xùn)練�����, 建立其通信行為的Markov模型���,而后利用此模型��,和最大后驗(yàn)概率的方法判斷某鏈路的 FTP通信是否異常所示���。
式�����;
如附圖
I所示,F(xiàn)TP行為Markov模型訓(xùn)練方法包括如下步驟
步驟I :在網(wǎng)絡(luò)出口處捕獲流經(jīng)網(wǎng)關(guān)的FTP數(shù)據(jù)流�;
步驟2 :按鏈路存儲所捕獲的正常通信FTP數(shù)據(jù)流,提取其中的命令信息���;
步驟3 :通過對命令信息的解析�����,得到所觀測FTP命令序列所對應(yīng)的一組行為方
步驟4 :建立這些所觀測到的行為方式的Markov模型��。
在上述步驟中I中�,F(xiàn)TP協(xié)議是指TCP/IP協(xié)議族中應(yīng)用層中的FTP協(xié)議�,其工作過程是服務(wù)器通過響應(yīng)客戶端的各種操作實(shí)現(xiàn)的。針對FTP協(xié)議��,典型的7種有意義用戶行為包括登陸���、創(chuàng)建新目錄����、改變目錄、 下載文件����、上傳文件、刪除文件和重命名文件���。正常情況下���,這些操作反映了客戶的FTP文件操作行為,如果對這些行為進(jìn)行編碼����,例如將登陸行為編碼為‘0’,上傳文件行為編碼為 ‘ I’��,這樣就構(gòu)成了基于應(yīng)用層協(xié)議命令序列編碼的隱信道��?�;贔TP命令序列編碼隱信道是這類隱信道的一種���。在上述步驟I中�,檢測器根據(jù)目的端口號的值判斷所捕獲的數(shù)據(jù)包是否為FTP應(yīng)用。上述步驟I中的將檢測器布置在網(wǎng)絡(luò)出口處的網(wǎng)關(guān)處是由于隱信道的最大潛在危害是繞過系統(tǒng)的防御策略建立秘密信道給系統(tǒng)帶來信息泄露的隱患����,因此,需要將檢測器布置在網(wǎng)絡(luò)的出口處��,檢測流出網(wǎng)絡(luò)的數(shù)據(jù)是否存在異常���。上述步驟2的關(guān)鍵在于提取網(wǎng)絡(luò)數(shù)據(jù)包的FTP命令。如附圖2所示���,F(xiàn)TP命令在數(shù)據(jù)包中的位置���。FTP命令在數(shù)據(jù)包中是以明文ASCII碼存放的,而且FTP命令均由4個(gè)英文字符組成�,RFC959文檔為FTP定義的34個(gè)命令,其含義說明見附表I��。上述步驟3的關(guān)鍵在于將命令組合為相應(yīng)的行為方式���。由于存在不同F(xiàn)TP客戶端和服務(wù)端軟件設(shè)計(jì)的不同���,導(dǎo)致的行為表示方面的微弱差異�����。這里嚴(yán)格按照RFC959文檔對各命令的意義描述確定���。在上述步驟4中,在建立FTP行為Markov模型時(shí)�,除了上述的7種典型用戶行為外,還附帶考慮一些非典型用戶行為�,如由NOOP命令構(gòu)成的維持FTP鏈接不斷開的行為。這些行為在FTP通信過程中用的較少�����,在建立Markov模型時(shí)��,可將它們的轉(zhuǎn)移概率以及初始概率值都設(shè)置為固定的較小數(shù)值����。通過上述訓(xùn)練步驟后即可得到正常FTP通信的行為Markov模型,檢測時(shí)調(diào)用所建正常模型�����,通過對比所觀測的FTP數(shù)據(jù)模型與正常模型之間的差異����,給出檢測結(jié)果����。如附圖3所示�,檢測方法包括如下步驟步驟I :捕獲流經(jīng)網(wǎng)關(guān)的數(shù)據(jù)流,根據(jù)IP地址和目的端口號提取各條鏈路的FTP 數(shù)據(jù)�;步驟2 :將所捕獲的FTP數(shù)據(jù),按鏈路存儲并提取其中的FTP命令���;
步驟3 :將提取的FTP命令序列轉(zhuǎn)化為其所對應(yīng)的FTP行為方式�;步驟4:當(dāng)所轉(zhuǎn)化的行為方式序列達(dá)到檢測窗口大小��,統(tǒng)計(jì)出相應(yīng)的行為初始概率和狀態(tài)轉(zhuǎn)移概率����,并將其作為FTP的行為Markov模型���;步驟5 :使用基于最大后驗(yàn)概率的檢測算法�����,判斷所觀測FTP通信行為上述訓(xùn)練模型之間的差異�����,給出檢測結(jié)果����。在上述檢測步驟3和4中,由命令序列轉(zhuǎn)化為FTP行為方式的方法以及建立行為 Markov模型的方法均與訓(xùn)練過程相同�。在上述檢測步驟5中,基于最大后驗(yàn)概率的檢測算法可以描述為設(shè)O = Io1, O2,... OnI為一組觀測到的FTP行為�����,運(yùn)用Markov鏈的方法判斷其是否存在異常就需要估計(jì) P(o|M)的值��。P(o|M)表示基于Markov模型估計(jì)觀測數(shù)據(jù)產(chǎn)生的概率值�。針對該問題,一種
較好的估計(jì)方法是最大后驗(yàn)概率方法���。本發(fā)明檢測算法即采用最大后驗(yàn)概率的方法��。最大
-1
后驗(yàn)概率公式如―八��。,#) = ' 所示�,采用上式計(jì)算最大后驗(yàn)概率,由于a G(0 I)
=1 °t°t+\ ��、�����,,�,
隨著計(jì)算數(shù)據(jù)的增多,最大后驗(yàn)概率MAP(o��,M)會很快收斂到0導(dǎo)致檢測失敗���。為了克服該
-1
問題����,通常的做法是求其對數(shù)值�,即k)gM4P(0,M) = Iog^i +!>g、+i�,正常情況下�����,最大后驗(yàn)概
^=I
率的對數(shù)值會在一個(gè)較為固定的范圍內(nèi)�,反之,差異則會較大。本發(fā)明公開了一種針對FTP命令序列編碼的隱信道檢測方法���,該方法能夠有效克服隱信道檢測方法只針對特定隱信道的弊端�����,實(shí)現(xiàn)對基于FTP命令序列編碼的一類隱信道的可靠檢測�����;且利用以FTP的通信行為作為建模對象����,有利于提高檢測的可靠性���;使用基于最大后驗(yàn)概率的檢測算法����,該檢測算法能在較小的窗口下給出可靠的檢測結(jié)果�����。表I FTP命令及功能描述
權(quán)利要求
1.一種網(wǎng)絡(luò)隱信道檢測方法��,其特征在于針對FTP協(xié)議命令序列編碼的網(wǎng)絡(luò)隱信道 (FTP-NCC),首先通過對正常FTP通信數(shù)據(jù)分析����,得到正常FTP通信業(yè)務(wù)命令的Markov模型,然后通過從捕獲的單一鏈路的FTP數(shù)據(jù)包所提取的命令序列數(shù)據(jù)���,建立待檢測FTP通信鏈路的Markov模型���,結(jié)合訓(xùn)練階段的模型,最后采用最大后驗(yàn)概率方法進(jìn)行檢測���。
2.根據(jù)權(quán)利要求I所述的網(wǎng)絡(luò)隱信道檢測方法�����,需對正常FTP通信業(yè)務(wù)的命令序列進(jìn)行訓(xùn)練�����,其特征在于首先提取FTP數(shù)據(jù)包的命令序列�,然后對所觀測到的命令序列進(jìn)行解析得到對應(yīng)的FTP行為方式并建立FTP行為Markov模型����,訓(xùn)練方法包括如下步驟步驟I :捕獲流經(jīng)網(wǎng)關(guān)的單一鏈路上的FTP數(shù)據(jù)流;步驟2 :按鏈路存儲所捕獲的正常通信FTP數(shù)據(jù)流���,提取其中的命令信息�����;步驟3 :通過對命令信息的解析��,得到觀測FTP命令序列所對應(yīng)的一組行為方式����;步驟4 :根據(jù)統(tǒng)計(jì)結(jié)果建立這些所觀測到的行為方式的Markov模型的概率轉(zhuǎn)移矩陣�����。
3.根據(jù)權(quán)利要求I和2所述的網(wǎng)絡(luò)隱信道檢測方法�����,其特征在于其步驟3中的將所觀測的FTP命令序列轉(zhuǎn)化為對應(yīng)的一組行為方式是通過對FTP命令組對應(yīng)的文件操作功能來描述的����,即通過對特定命令的識別,將一組命令歸結(jié)為一個(gè)行為����,從而將所觀測的命令序列流轉(zhuǎn)化為行為流����。
4.根據(jù)權(quán)利要求I和3所述的網(wǎng)絡(luò)隱信道檢測方法����,其特征在于首先觀測網(wǎng)絡(luò)數(shù)據(jù)流,按鏈路提取其中的FTP數(shù)據(jù)并得到一組觀測的命令序列���,然后將其轉(zhuǎn)化為其所對應(yīng)的行為方式并建立行為Markov模型調(diào)用檢測算法判斷是否存在異常�����,檢測方法包括如下步驟步驟I :捕獲網(wǎng)絡(luò)中的數(shù)據(jù)流���,并根據(jù)目的端口號提取其中的FTP數(shù)據(jù);步驟2 :將所捕獲的FTP數(shù)據(jù)����,按鏈路存儲并提取其中的FTP命令;步驟3 :將提取的FTP命令序列轉(zhuǎn)化為其所對應(yīng)的FTP行為方式��;步驟4 :當(dāng)所轉(zhuǎn)化的行為方式序列達(dá)到檢測窗口大小時(shí)��,建立FTP的行為Markov模型; 步驟5 :使用基于最大后驗(yàn)概率的檢測算法���,判斷所觀測FTP通信行為與上述訓(xùn)練模型之間的差異,得出檢測結(jié)果�。
全文摘要
FTP協(xié)議命令序列編碼網(wǎng)絡(luò)隱信道(FTP-NCC)是發(fā)送端通過一定的編碼方式將隱秘信息嵌入到正常FTP應(yīng)用中的一種隱蔽通信方式。本發(fā)明公開了一種基于Markov模型的針對FTP協(xié)議命令序列編碼的網(wǎng)絡(luò)隱信道檢測方法�,包含訓(xùn)練和檢測兩個(gè)步驟,訓(xùn)練步驟用于獲得正常FTP通信命令數(shù)據(jù)流的Markov模型�����,檢測步驟根據(jù)訓(xùn)練所得模型����,使用最大后驗(yàn)概率方法進(jìn)行的FTP-NCC的檢測。該方法可實(shí)現(xiàn)對FTP-NCC的可靠檢測�。
文檔編號H04L29/08GK102594619SQ201210033978
公開日2012年7月18日 申請日期2012年2月15日 優(yōu)先權(quán)日2012年2月15日
發(fā)明者劉光杰, 戴躍偉, 王浩, 翟江濤 申請人:南京理工大學(xué)常熟研究院有限公司