| 发明名称 | 一种针对多链路到达序列编码的隐蔽通信检测方法 | ||
| 摘要 | 本发明公开了一种针对多链路到达序列编码的隐蔽通信检测方法,将待测数据和正常数据的数据包到达序列看作随机序列,分别按TCP流的标识符对序列求熵,若两主机通信时存在N条TCP流,则可得到N个熵值,将N条TCP流的N个熵值视作一个N维空间的点,再求该点到原点的欧氏距离,通过比较二者欧氏距离的差异,判断待检测数据流是否为含密数据流。并且在求出数据流信息熵的基础上,与欧氏距离的计算相结合,从而提高了检测效果,可以得到可靠的检测结果。 | ||
| 申请公布号 | CN105933094A | 申请公布日期 | 2016.09.07 |
| 申请号 | CN201610460259.3 | 申请日期 | 2016.06.22 |
| 申请人 | 江苏科技大学 | 发明人 | 翟江涛;李萌;高斌;唐雨 |
| 分类号 | H04L1/00(2006.01)I;H04L12/24(2006.01)I;H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L1/00(2006.01)I |
| 代理机构 | 南京苏高专利商标事务所(普通合伙) 32204 | 代理人 | 陈静 |
| 主权项 | 一种针对多链路到达序列编码的隐蔽通信检测方法,其特征在于,包括建立模型库和利用模型库进行检测,所述建立模型库包括如下步骤:(1)设置数据捕获器:在两台主机之间建立基于MPTCP的多链路链接,并利用数据捕获器捕获主机之间通信时的数据包,用过滤器筛选出数据包的到达序列;(2)设置字符映射器:根据stegblock的原理建立一个字符映射器,将捕获的数据包到达序列转化为标识符序列,标识符序列为一维数组;(3)设置窗口分割器:窗口分割器将标识符序列分为大小为w的窗口,共可分为<img file="FDA0001025311320000011.GIF" wi="44" he="87" />个窗口;每个窗口分成大小为L的小区间,一个窗口可分为<img file="FDA0001025311320000012.GIF" wi="45" he="89" />个小区间,若主机之间存在N条流,f<sub>N</sub>为一个小区间内通过某条流的数据包的个数,统计每个小区间中每条TCP流的占比<img file="FDA0001025311320000013.GIF" wi="651" he="99" />(4)设置熵值求取器:熵值求取器计算窗口内每条TCP流标识符序列的信息熵<img file="FDA0001025311320000014.GIF" wi="523" he="151" />(5)设置欧氏距离求取器:欧氏距离求取器将每个窗口内的N条TCP流的N个信息熵视作一个N维空间的点,分别计算各点到原点的欧氏距离<img file="FDA0001025311320000015.GIF" wi="190" he="63" /><img file="FDA0001025311320000016.GIF" wi="286" he="95" />每一点的欧氏距离为:<img file="FDA0001025311320000017.GIF" wi="479" he="95" />其中x<sub>n</sub>为步骤(4)中求得的信息熵H<sub>N</sub>;(6)训练不同链路数的正常数据模型,并设定检测阈值:在两台主机间链路数不同的情况下,重复步骤(1)‑(5),得到不同链路数的正常数据模型,对各模型进行分析,求不同链路数所含数据的均值M<sup>+</sup>、方差V<sup>+</sup>和检测阈值Th<sup>+</sup>=M<sup>+</sup>+αV<sup>+</sup>,其中α为自定义的常量函数;(7)建立模型库:将步骤(6)中求得的不同链路数的检测阈值放入模型库中。 | ||
| 地址 | 212003 江苏省镇江市梦溪路2号 | ||