[发明专利]采用多维特征向量检测IP ID隐信道的方法

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种采用多维特征向量检测IP ID隐信道的方法。 

背景技术

信息隐蔽是一种新的信息安全技术，近年来得到了迅速的发展，可广泛应用于数字信息的版权保护、认证、机密信息的隐蔽传输等领域。信息隐藏技术是利用载体信息的冗余性，将隐蔽信息嵌入到普通信息之中，通过普通信息的发送将秘密信息发送出去。信息隐藏可以穿透访问控制、防火墙和入侵检测等网络安全设施，实施不易被察觉的隐藏通信。 

传统的信息隐藏大多以文本、音频、图像作为载体，近年来，基于网络协议的信息隐藏逐渐成为热点。利用信息隐藏技术，在TCP/IP协议中嵌入机密数据，进行隐蔽通信的信道称为隐信道。TCP/IP协议的各种报文结构通常具有固定格式。这种固定格式在给网际互连带来方便的同时，也不可避免地引入了冗余。如某些协议报文中的字段在一般的通信过程中通常不会被利用，但按照TCP/IP协议的标准它们又不可缺少，这就给隐蔽通信创造了机会。 

现有的基于TCP/IP协议的隐信道主要分为存储型隐信道和时序型隐信道两种。存储型隐信道，利用协议头部的冗余字段隐藏信息；时序型隐信道，利用数据包的时序特征或顺序(调制数据包的时间间隔、数据包在网络中的发送时间或数据包的顺序等)，隐藏信息。接下来介绍几种存储型隐信道。以Rowland为代表提出了基于TCP/IP头部域的隐信道（Covert channels in the TCP/IP protocol suite，1996），C.Abad提出了基于校验和的隐信道（IP Checksum Covert Channels and Selected Hash Collision，2001），J.Giffin，R.Greenstadt，P.Litwack，and R.Tibbetts，提出了基于选项域时间戳的隐信道（Covert Messaging Through TCP Timestamps，2002）。基于TCP/IP头部的存储型隐信道取得了相当的成果，如图1所示为IP数据报格式及标识(ID)域的位置。 

网络隐信道的存在，给国家、单位和个人的信息安全带来极大的威胁， 尤其是网络中的病毒有些已经开始通过隐信道传输，国家、企业以及个人的信息也开始通过隐信道泄露到对手或网络上。现在网络隐信道对网络安全的破坏是悄无声息的，对网络信息的安全性和私密性构成了极大的威胁。因此，研究网络隐信道的检测技术势在必行。 

相对于隐信道的正向研究，其逆向的检测技术研究比较少。现有的隐信道检测方法大多是针对特定的隐藏算法进行分析，其检测效率低，实用性不强。本发明因此而来。 

发明内容

本发明的目的在于提供一种采用多维特征向量检测IP ID隐信道的方法，该方法解决了现有检测算法检测效率低、实用性不强等问题，可以实现基于IP协议隐蔽通信中基于IP ID的隐信道的有效检测。 

为了解决现有技术中的这些问题，本发明提供的技术方案是： 

一种采用多维特征向量检测IP ID隐信道的方法，其特征在于所述方法采用SVM分类器对三维特征向量(E，D，H)分类学习训练，然后检测出隐信道，具体包括以下步骤： 

（1）特征提取： 

i）针对正常的训练样本，连续捕获N个IP数据包，提取IP头部ID域信息，获得相邻数据包ID差值Δid₁，Δid₂，...，Δid_n-1，其中N为检测窗口尺寸；统计Δid₁，Δid₂，...，Δid_n-1的均值E、标准差D和熵值H，得到三维特征矢量(E，D，H)，其中： 

E(Δid₁，Δid₂，...，Δid_n-1)=（Δid₁+Δid₂+...+Δid_n-1）/(n-1)；