[发明专利]一种网络隐信道检测方法

说明书

技术领域

本发明属于通信与信息安全技术领域，涉及一种面向计算机网络的隐信道检测方法，更具体的是涉及一种针对FTP命令序列编码的网络隐信道(FTP-NCC)检测方法。

背景技术

网络隐秘通信是指利用计算机网络通信数据作为载体，将秘密数据隐藏在其中实施隐秘通信的技术，是近些年兴起的一门集数据通信、计算机网络、信息隐藏、信息安全等多项技术的交叉技术。网络隐秘通信的突出特点是隐蔽性高，可穿透一般的访问控制、防火墙和入侵检测等网络安全设施，是当前网络信息系统信息泄露的重要风险之一。

网络隐信道按照可以分为存储式和时间式两大类。存储式是指直接或间接的将隐秘信息嵌入到协议冗余中的隐信道构建方式，它又可以分为基于协议冗余字段的以及基于伪装通信的两种类型。基于协议冗余字段的隐信道是通过各种调制方式将隐秘信息调制到冗余字段中，此类研究成果较为丰富，以Rowland等人为代表提出了多种算法及专利(1.C.H.Rowland，covert channels in the TCP/IP protocol suite，Peer Reviewed Journal on the Internet，July，1997；2.刘镇，钱萍，周亮.一种隐秘通信的发送/接收方法.专利申请号：200810100795.8)。基于伪装的隐信道通过构建貌似正常的数据流，将隐蔽信息伪装在这些貌似正常的行为中进行传递。Darko Kirovski等人提出利用在音频信号中的插入/排序来传递隐秘信息(3.Darko Kirovski，Henrique Malvar.watermarking with covert channel and permutations.No.US 2005/0108542A1)。此类研究成果较上一类的晚，但是由于其没有修改数据包的包头部分安全性有一定提高，也取得了相当的成果，以Krzystof等人(4.w.Mazurczyk，M.Smolarczyk，K.Szczypiorski.RSTEG：retransmission steganography and its detection.Soft Computing.2011，15(3)：505-515)提出的重传式隐蔽信道和邹新光等人提出的利用FTP协议命令编码的算法(5.邹昕光.基于FTP协议的命令序列隐蔽信道.哈尔滨工业大学学报，2007，39(3)：121-126)为代表。

相对于隐信道构建而言，其检测技术的研究尚处于起步阶段，已有算法主要针对基于协议冗余的隐信道算法，采用的技术手段主要是数据分类或统计学习技术(6.T.Sohn，J.Seo，and J.Moon，a study on the covert channel detection of TCP/IP header using support vector machine，Proc.5th Int’l.Conf.Info.and Commun.Security，Oct.2003；7.黄永峰，袁健，陈书梅，王俊.MSN语音流中隐蔽信道检测方法.清华大学学报(自然科学版).2009，49(S2)：2200-2207；8.刘光杰，戴跃伟，顾霞，王执铨.对一种基于IP标识隐写算法的隐写分析，计算机工程，2007，33(24)：35-42)，检测算法通过一维的统计特征或基于多维特征分类器来实现对特定隐信道的判定。然而，对基于伪装的隐信道构建方式尚无有效的检测方法。

发明内容

本发明所要解决的技术问题：针对目前尚无有效的针对FTP命令序列编码的隐信道检测方法的问题，提出一种通过建立FTP正常通信模型的隐信道检测方法，所提方法能对以FTP命令序列为载体的隐信道开展有效的检测。

本发明解决上述问题的技术方案：通过对正常FTP通信业务过程的观测和训练，建立其通信行为的Markov模型，而后利用此模型，和最大后验概率的方法判断某链路的FTP通信是否异常所示。

如附图1所示，FTP行为Markov模型训练方法包括如下步骤：

步骤1：在网络出口处捕获流经网关的FTP数据流；

步骤2：按链路存储所捕获的正常通信FTP数据流，提取其中的命令信息；

步骤3：通过对命令信息的解析，得到所观测FTP命令序列所对应的一组行为方式；

步骤4：建立这些所观测到的行为方式的Markov模型。

在上述步骤中1中，FTP协议是指TCP/IP协议族中应用层中的FTP协议，其工作过程是服务器通过响应客户端的各种操作实现的。