基于聚類分析的網(wǎng)絡(luò)存儲隱蔽信道檢測算法

袁 健，王 濤

（上海理工大學(xué)光電信息與計算機工程學(xué)院，上海200093）

基于聚類分析的網(wǎng)絡(luò)存儲隱蔽信道檢測算法

袁 健，王 濤

（上海理工大學(xué)光電信息與計算機工程學(xué)院，上海200093）

在包含巨大通信量和多種通信協(xié)議的網(wǎng)絡(luò)環(huán)境下，隱蔽信道允許進程以危害系統(tǒng)安全的方式傳輸信息，對安全信息系統(tǒng)構(gòu)成威脅。為此，提出一種基于聚類分析的隱蔽信道檢測算法，根據(jù)正常通信數(shù)據(jù)和隱蔽通信數(shù)據(jù)聚類的差別判斷通信流中是否存在網(wǎng)絡(luò)存儲隱蔽信道。實驗結(jié)果表明，該算法可根據(jù)通信量大小和待檢測字段特點靈活調(diào)整實現(xiàn)算法，具有較高的實時性和準確率。

聚類分析；網(wǎng)絡(luò)隱蔽信道；隱蔽信道檢測；網(wǎng)絡(luò)安全；安全檢測

1 概述

隱蔽信道的概念最早由Lampson于1973年提出，其給出的定義為：不是被設(shè)計或本意不是用來傳輸信息的通信信道。美國國防部1985年發(fā)布的“可信計算機系統(tǒng)評測標準”（TCSEC）對隱蔽信道給出的定義是：允許進程以違背系統(tǒng)安全策略的形式傳送信息的通信信道。隱蔽信道存在于多個領(lǐng)域，本文將著重研究存在于網(wǎng)絡(luò)通信中的網(wǎng)絡(luò)隱蔽信道。

隱蔽信道的存在使得惡意主體能夠以危害系統(tǒng)安全策略的方式傳輸信息，從而繞開安全策略的控制范圍。隱蔽信道是傳統(tǒng)單機和網(wǎng)絡(luò)系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)等的重要威脅，即使在云計算這種新型計算環(huán)境下仍然存在。美國TCSEC，國際標準化組織ISO發(fā)布的CC標準［1］，以及我國發(fā)布的“信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求”［2］等標準都要求對高等級的安全信息系統(tǒng)進行隱蔽信道分析。

網(wǎng)絡(luò)隱蔽信道的分類方法有很多，其中學(xué)術(shù)界認可度最高、使用頻率最高的分類方法是根據(jù)共享資源劃分，分為存儲隱蔽信道和時間隱蔽信道。本文主要針對網(wǎng)絡(luò)存儲隱蔽信道的檢測算法進行研究。

2 相關(guān)研究

1996年，Handel提出了如圖1所示的網(wǎng)絡(luò)隱蔽信道模型。網(wǎng)絡(luò)用戶A lice和Bob使用2臺聯(lián)網(wǎng)的計算機用于通信，模型之間可以建立一條看似無害的公開的通信信道，但實際上在這條通信信道中隱藏著非法信息。A lice和Bob共享一套用于加密解密隱蔽信息的機制，從而得到信道中所隱藏的隱蔽信息。黑客可以控制一臺已被攻破的主機，利用該模型給自己傳遞受限的信息，雖然防火墻等安全措施能實時監(jiān)控通信信道，但并不一定能察覺出非法信息。

圖1 網(wǎng)絡(luò)隱蔽信道模型

網(wǎng)絡(luò)存儲隱蔽信道主要利用網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議控制部分或擴展數(shù)據(jù)部分加載信息，而不是直接利用協(xié)議的常規(guī)數(shù)據(jù)部分保存隱蔽信息［3］。常被用于傳輸隱蔽信息的字段包括：未用的IP頭字段如TOS（Type of Service）、DF（Don't Fragment）；IP頭的擴展和填充段如ID（Identifier）、CheckSum等；TCP頭的標志位字段如初始序列號、時間戳等；由于網(wǎng)絡(luò)數(shù)據(jù)包大都有較多的不常用數(shù)據(jù)字段，因此這類隱蔽信道比較容易實現(xiàn)。由于因特網(wǎng)的巨大通信量和多種通信協(xié)議的存在，使得網(wǎng)絡(luò)隱蔽信道有了理想的高帶寬傳輸媒介，進而對網(wǎng)絡(luò)安全構(gòu)成很大的威脅。網(wǎng)絡(luò)存儲隱蔽信道由于其較容易實現(xiàn)、傳輸載體豐富、魯棒性高等特點，也成為網(wǎng)絡(luò)安全中不可忽視的隱患之一。對隱蔽信道的分析工作主要包括信道的檢測、度量和處置。其中隱蔽信道的檢測作為分析工作的首要任務(wù)顯得極為重要。

當前網(wǎng)絡(luò)存儲隱蔽信道的檢測技術(shù)已經(jīng)相對成熟，幾乎每當有新的隱蔽信道提出之后，都會有相應(yīng)的檢測算法實現(xiàn)對其的檢測［4］。現(xiàn)有的網(wǎng)絡(luò)隱蔽信道檢測方法可大致分為4類：

（1）特征檢測，是指針對網(wǎng)絡(luò)數(shù)據(jù)包的固定字段或?qū)傩赃M行監(jiān)聽，一旦該字段或?qū)傩跃哂挟惓Ｌ卣骰虍愑谡Ｌ卣?，則視為具有隱蔽信道威脅。這種檢測機制適合檢測已知的隱蔽信道，而對于未知甚至新型的隱蔽信道并不能有效的檢測。例如IP協(xié)議報文中的TOS、DF等字段，一般只要對每個數(shù)據(jù)包的特殊位進行監(jiān)聽，若該數(shù)據(jù)位的取值有異常，可初步認為該數(shù)據(jù)位是經(jīng)過篡改含有了隱蔽信息。文獻［5］針對復(fù)合隱蔽信道具有跨越多主機的特點，提出了基于鏈路分析的復(fù)合隱蔽信道檢測方法，通過監(jiān)測網(wǎng)絡(luò)通信流的鏈路長度來識別通信中是否含有隱蔽信息。該檢測方法可有效的檢測跨主機多的、鏈路較長的隱蔽信道，但檢測對象單一，且有較高的誤報率。

（2）行為檢測，是指利用某種方式，建立起正常網(wǎng)絡(luò)通信下的特征模型，并利用該模型對通信流中的網(wǎng)絡(luò)行為進行匹配檢測，根據(jù)網(wǎng)絡(luò)行為的閾值差異判斷通信流中是否含有隱蔽信息。這種檢測機制對于簡單隱蔽信道具有較好的檢測效果，但其檢測對象相對單一，且模型訓(xùn)練過程通常較長。例如Sohn、吳傳偉等人，利用SVM訓(xùn)練出正常網(wǎng)絡(luò)行為與異常網(wǎng)絡(luò)行為的檢測模型，從而實現(xiàn)網(wǎng)絡(luò)隱蔽信道的檢測［6-7］，該模型的訓(xùn)練復(fù)雜度隨檢測維度成指數(shù)增長，對復(fù)合型隱蔽信道檢測檢測效果較差，且鑒于支持向量機（Support Vector Machine，SVM）算法特點，其對異常點過于敏感，且對多分類隱蔽信道檢測有一定的局限。

（3）統(tǒng)計檢測，是指利用統(tǒng)計學(xué)理論，分析概括網(wǎng)絡(luò)通信流中某些屬性的概率分布，由于數(shù)據(jù)包在嵌入隱蔽信息后其統(tǒng)計特性通常會發(fā)生改變，據(jù)此可檢測出含有隱蔽信息的通信流。例如文獻［8］提出的基于流量分析的檢測方法認為，正常的通信流會服從泊松分布，當采集到的通信流不服從泊松分布時，就可以認為通信流中被嵌入了隱蔽信息。這種檢測方法由于需要采集大量統(tǒng)計數(shù)據(jù)，實時性較差，且誤報率較高。

（4）人工智能檢測，是指利用如神經(jīng)網(wǎng)絡(luò)等學(xué)習(xí)算法，將隱蔽信道的特征、規(guī)律及效用等信息通過神經(jīng)元之間的連接構(gòu)成模式圖來學(xué)習(xí)理解，經(jīng)過一定的訓(xùn)練形成較為準確的檢測模型。例如Tumonian、唐彰國等人提出的基于神經(jīng)網(wǎng)絡(luò)［9-10］的網(wǎng)絡(luò)隱蔽信道檢測模型雖然有較高的準確度，但其訓(xùn)練過程中的收斂時間較長，導(dǎo)致檢測的實時性較差，不使用于網(wǎng)絡(luò)通信的實時檢測。

從以上論述可以看出，隱蔽信道為避免被檢出，往往設(shè)計和采用新型的隱蔽方式，檢測者因為不了解未知的和新型的隱蔽信道特征，基于原有的特征檢測方法很難對不斷出現(xiàn)的新隱蔽信道類型進行有效的檢測，因此，該類方法的實際檢測意義不大。采用智能方法既能檢測已有類型的隱蔽信道，也能檢測出未知的新型隱蔽信道，因此，人工智能檢測方法是目前較有效的檢測方法。

綜上所述，目前隱蔽信道檢測算法有以下問題：

（1）檢測算法大都針對某一種或幾種隱蔽信道，而隱蔽信道種類繁多，需要跨種類檢測算法的出現(xiàn)；

（2）檢測算法效率較低，影響網(wǎng)絡(luò)實時檢測的效果；

（3）檢測的準確率有待提高，有誤檢、錯檢現(xiàn)象存在。

針對上述問題，本文根據(jù)網(wǎng)絡(luò)存儲隱蔽信道的特點，利用數(shù)據(jù)挖掘中聚類分析技術(shù)，提出一種基于聚類分析的網(wǎng)絡(luò)隱蔽信道檢測算法（detection algorithm of Network Covert Storage Channel based on Cluster Analysis，NCSCCA）。NCSCCA檢測算法較已有算法具有以下優(yōu)點：（1）聚類分析算法的聚類時間較神經(jīng)網(wǎng)絡(luò)、SVM等算法的訓(xùn)練時間更短，提高了檢測效率，更適用于網(wǎng)絡(luò)隱蔽信道的實時檢測。（2）該檢測算法能夠檢測多種類型的網(wǎng)絡(luò)存儲隱蔽信道，具有一定的自適應(yīng)性。（3）經(jīng)過實驗驗證，該檢測方法能夠有效的檢測出網(wǎng)絡(luò)中的隱蔽信道，且誤報率較低。NCSCCA檢測算法有著很高的實用性，適用于網(wǎng)絡(luò)通信量大、安全性實時性要求較高的應(yīng)用平臺。

3 NCSCCA算法

聚類分析又稱為群分析，是根據(jù)“物以類聚”的道理對樣品或指標進行分類的一種多元統(tǒng)計分析方法［11］。

3.1 基于聚類的隱蔽信道檢測

網(wǎng)絡(luò)存儲隱蔽信道的本質(zhì)是惡意篡改網(wǎng)絡(luò)協(xié)議中已有字段值，用以傳輸隱蔽信息，而網(wǎng)絡(luò)協(xié)議中的每一個字段都有其原本的意義。例如IP協(xié)議中的標識符（Identifier）通常與標記字段（Flags）和分片字

段一起用于數(shù)據(jù)包的分段。報頭校驗和（Header CheckSum）是針對IP報頭的糾錯字段等。由于每個字段本身所具有的含義，大多協(xié)議字段都有其自身的特點。另一方面，隱蔽信息通常經(jīng)編碼之后嵌入到協(xié)議字段中，根據(jù)編碼方式的不同，所得到的嵌入信息的特點也隨之不同。

由上述分析可知，對隱蔽信息進行聚類分析，可能得到2種結(jié)果：一種是鑒于所使用的加密方式有其明顯的特點，會得到某些特征明顯的聚類簇；另一種結(jié)果是由于加密產(chǎn)生的結(jié)果比較隨機，得不到明顯的聚類特征，直觀上表現(xiàn)為出現(xiàn)大量散列的隨機點。也就是說，對嵌入了隱蔽信息的數(shù)據(jù)進行聚類分析，要么得到該隱蔽信息所特有的聚類特征，要么因為得不到聚類簇而得不到到任何聚類特征（沒有聚類特征本身也是一種特征）。而對于正常通信數(shù)據(jù)的聚類，只要對協(xié)議字段值根據(jù)字段自身特點進行相應(yīng)的數(shù)據(jù)預(yù)處理，再對預(yù)處理過的數(shù)據(jù)進行聚類分析，就一定能得到符合字段本身特點的聚類特征，只是不同字段有難易程度的區(qū)別。若嵌入了隱蔽信息的通信數(shù)據(jù)和正常數(shù)據(jù)都能得聚類特征，則正常信息的聚類簇中心與隱蔽信息的聚類簇中心距離較遠，據(jù)此可判別出隱蔽通信流中含有隱蔽信息。若嵌入了隱蔽信息的通信流不能得到有效的聚類特征，表現(xiàn)為散列的隨機點，則由于距正常信息聚類簇中心較遠的可疑點數(shù)量達到一定閾值，可據(jù)此認為通信流中含有隱蔽信息。得到正常數(shù)據(jù)和隱蔽數(shù)據(jù)的聚類特征后，對比特征差異，就能判斷數(shù)據(jù)流中是否含有隱蔽數(shù)據(jù)。例如某些協(xié)議字段設(shè)有默認值，對此類字段聚類分析就能得到默認值附近的聚類特征。在IP協(xié)議中，同源同目的報文的標識符（Identif-ier）字段在一段時間內(nèi)變化范圍不會太大，在聚類結(jié)果上表現(xiàn)為形成一個聚類簇，如果某一時間段內(nèi)該字段值變化較大，則可懷疑有隱蔽信息存在。

3.2 算法流程

NCSCCA算法的流程如圖2所示。

圖2 NCSCCA算法流程

NCSCCA隱蔽信道檢測算法由3個步驟組成：數(shù)據(jù)預(yù)處理、待檢測字段值聚類和聚類中心對比。數(shù)據(jù)預(yù)處理將根據(jù)待檢測字段特點將字段值處理成適合聚類分析的格式，不同字段有不同的處理方式，數(shù)據(jù)預(yù)處理的優(yōu)劣決定聚類的準確性。K-means聚類算法［12］是基于劃分聚類算法中的一個典型算法。該聚類算法具有操作簡潔、采用誤差平方和的準則函數(shù)、對大數(shù)據(jù)集的處理上有較高的可伸縮性和高效性，所以本文將使用經(jīng)典的K-means聚類算法進行聚類分析。

聚類中心對比算法的主要思路為：首先得到樣本數(shù)據(jù)點與聚類中心的距離dist，然后通過dist與聚類簇半徑rK的比對，得出該點是否為異常點。最后就可以得到樣本數(shù)據(jù)集中異常數(shù)據(jù)點的占比，若該占比大于預(yù)設(shè)閾值ξabnormal，就可以斷定，該樣本數(shù)據(jù)集極有可能是由隱蔽信息構(gòu)成的。

若給定一個數(shù)據(jù)集X=｛χ1，χ2，…，χn｝，將其劃分為K個相似的子集｛C1，C2，…，CK｝。每一個子集類中的對象都彼此相似，具有同一聚類中心點。設(shè)存在正整數(shù)m表示觀測空間的維數(shù)。對于任何i，j=1，2，…，n，有χi，χj可看作高維空間的兩個點，它們之間的相似度可以用它們之間的距離r（i，j）來度量，如式（1）所示。其中，K表示m維空間上一點在某一維上的投影值。

NCSCCA算法的具體步驟如下：

SteP1 從數(shù)據(jù)源中取出K個中心點μK作為初始值，關(guān)于K初始值的選取需要根據(jù)字段特點決定，或多次選取初值找到最合適的初始值。

SteP2 按式（1）計算每個數(shù)據(jù)點與初始中心點的距離r（i，j），將距離中心點最近的數(shù)據(jù)點歸類到該中心點所代表的簇中。

SteP3 用式（2）計算出每個簇的中心點：

其中，NK表示簇CK中數(shù)據(jù)點的個數(shù)；χi∈CK表示聚類簇CK中所有的數(shù)據(jù)點。

SteP4 重復(fù)Step2，直到達到某閾值或終止條件。就得到了數(shù)據(jù)源每個簇的聚類中心點μK和簇半徑rK。

SteP5 計算要對比的數(shù)據(jù)點到聚類簇CK的聚類中心點的距離dist，其中i=1，2，…，K。若dist與該聚類簇的簇半徑相似度小于閾值εr，則認為樣本數(shù)據(jù)點屬于聚類簇CK。若該數(shù)據(jù)點不屬于任何聚類簇，則認為該數(shù)據(jù)點為異常數(shù)據(jù)，異常點個數(shù)Nabnormal自加1。

SteP6 若樣本數(shù)據(jù)中還有未對比的數(shù)據(jù)點，重復(fù)Step 5。

SteP7 計算樣本數(shù)據(jù)中異常數(shù)據(jù)點的占比ρi=其中，N是樣本集X中異常數(shù)據(jù)點的個abnormal數(shù)；Ntotal是樣本集中數(shù)據(jù)點的總個數(shù)；ρi則是樣本集中異常數(shù)據(jù)點的占比。

NCSCCA隱蔽信道檢測算法將檢測過程分為3個步驟的主要優(yōu)點為：（1）根據(jù)數(shù)據(jù)量的大小，可以靈活地選擇聚類算法；聚類算法得到的聚類特征可用于其他檢測檢測算法，使得數(shù)據(jù)可以充分利用，提高效率；（2）根據(jù)檢測字段的特點，可靈活地選擇不同的數(shù)據(jù)預(yù)處理方式和聚類中心對比算法；（3）可使整個檢測算法更容易實現(xiàn)模塊化設(shè)計。

4 實驗結(jié)果與分析

為實驗該檢測算法的效果，本文實驗將構(gòu)造2種隱蔽信道：以IP協(xié)議報頭中Identifier字段和Header checksum字段為載體的網(wǎng)絡(luò)存儲隱蔽信道，以這2種隱蔽信道的檢測為例，測試NCSCCA隱蔽信道檢測算法的優(yōu)劣。實驗的主要思想是：采集網(wǎng)絡(luò)通信數(shù)據(jù)包，獲取IP協(xié)議頭的Identifier字段和Header checksum字段，將這2個字段作為2個維度進行2維的聚類分析，檢測網(wǎng)絡(luò)通道中是否含有以這2個字段為載體的隱蔽通道。最后將本文提出的聚類分析檢測算法與已有的神經(jīng)網(wǎng)絡(luò)方法和SVM方法進行比對分析。

4.1 實驗內(nèi)容

實驗將利用2臺接入Internet的2臺PC機：PC1和PC2，分別模擬通信過程中的惡意入侵者和受害者。實驗中，收集PC1與PC2通信過程中所產(chǎn)生的通信數(shù)據(jù)，并通過本文所提出的NCSCCA隱蔽信道檢測方法對其進行檢測，從而驗證NCSCCA隱蔽信道檢測方法的可行性及準確性。

檢測過程中所需要的通信數(shù)據(jù)將通過Wireshark軟件進行采集，Wireshark是一個網(wǎng)絡(luò)封包分析軟件，通過Wireshark，可以采集到指定IP之間的所有網(wǎng)絡(luò)通信數(shù)據(jù)。檢測中需要正常的通信數(shù)據(jù)以獲得正常數(shù)據(jù)集的聚類簇，同時需要含有隱蔽信息的非正常數(shù)據(jù)以驗證檢測方法的可行性。在本實驗中，將利用PC2向PC1發(fā)起一系列正常HTTP連接，模擬受害機的正常通信過程，并截取其數(shù)據(jù)報文作為正常通信數(shù)據(jù)集。利用網(wǎng)絡(luò)報文構(gòu)造軟件（如xcap）構(gòu)造含有隱蔽信息的網(wǎng)絡(luò)報文，并通過PC2向PC1發(fā)送大量含有此類隱蔽信息的HTTP連接，模擬受害機被劫持后發(fā)送隱蔽信息的通信過程，此狀況下截取到的數(shù)據(jù)報文作為非正常通信數(shù)據(jù)集。數(shù)據(jù)采集軟件的界面如圖3所示。

圖3 Wireshark采集過程界面

實驗所采用的數(shù)據(jù)集如下：

（1）正常數(shù)據(jù)：由Wireshark采集到的12 000個正常通信數(shù)據(jù)包的Identifier字段和Header Checksum字段組成，其中8 000個樣本對作為訓(xùn)練數(shù)據(jù)，4 000個樣本對作為正常數(shù)據(jù)樣本。

（2）非正常數(shù)據(jù)：由Wireshark采集到的4 000個非正常通信數(shù)據(jù)包的Identifier字段和Header Checksum字段組成，作為非正常數(shù)據(jù)樣本。

獲取到正常與非正常數(shù)據(jù)集后，需要對數(shù)據(jù)集進行適當?shù)臄?shù)據(jù)預(yù)處理，并利用本文所提出的NCSCCA隱蔽信道檢測方法對通信數(shù)據(jù)進行檢測。實驗首先對正常數(shù)據(jù)集進行聚類分析，從而得到正常通信數(shù)據(jù)的聚類特征。然后將非正常數(shù)據(jù)點與正常數(shù)據(jù)聚類特征進行對比，得出通信數(shù)據(jù)的異常率，依據(jù)異常率的大小來判斷通信過程中是否存在隱蔽信息。

4.2 結(jié)果分析

實驗首先需要對采集到的數(shù)據(jù)進行預(yù)處理，數(shù)據(jù)預(yù)處理的步驟主要包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)變換和數(shù)據(jù)規(guī)約［13］。數(shù)據(jù)清理主要處理缺失數(shù)據(jù)、噪聲數(shù)據(jù)，識別刪除孤立點，保證數(shù)據(jù)的有效性。數(shù)據(jù)集成則是將多個數(shù)據(jù)源中的數(shù)據(jù)合并存放在一個統(tǒng)一數(shù)據(jù)存儲位置的過程，確保沒有數(shù)據(jù)冗余的前提下，集成所有采集到的數(shù)據(jù)。數(shù)據(jù)變換是指采用線性或非線性的數(shù)學(xué)變換方法，將多維數(shù)據(jù)壓縮成較少維度的數(shù)據(jù)，消除其在空間、時間、屬性及精確度等特征表現(xiàn)方面的差異。經(jīng)過變換后的數(shù)據(jù)各指標處于同一數(shù)量級，使數(shù)據(jù)規(guī)范化，更好地對其進行數(shù)據(jù)分析。數(shù)據(jù)規(guī)約技術(shù)可以用來得到數(shù)據(jù)集的規(guī)約表示，該技術(shù)在減小數(shù)據(jù)量的基礎(chǔ)上，接近于保持原數(shù)據(jù)的完整性。檢測不同的字段需要根據(jù)其特點進行適合的數(shù)據(jù)預(yù)處理方式，好的數(shù)據(jù)預(yù)處理會給后續(xù)的數(shù)據(jù)分析過程帶來便利。

數(shù)據(jù)預(yù)處理后，對正常數(shù)據(jù)集進行聚類分析，從而得到正常數(shù)據(jù)的聚類中心和簇半徑。K-means聚類算法具有直觀、快速特點，是一種廣泛使用的聚類算法，所以本文使用Matlab中K-means聚類分析函數(shù)對正常數(shù)據(jù)集進行K-means聚類分析，將采集到的數(shù)據(jù)用標準分數(shù)（Matlab中為zscore函數(shù)）進行標準化處理之后得到的結(jié)果。8 000個正常數(shù)據(jù)樣本的聚類結(jié)果如圖4所示。

圖4 聚類結(jié)果

從聚類結(jié)果可以直觀的看到，8 000個正常數(shù)據(jù)集的樣本被聚類為8個簇，說明在一段時間內(nèi)，IP報文的Identifier和Header Checksum字段值是有一定聚類特征的，聚類結(jié)果的詳細數(shù)據(jù)如表1所示。

表1 聚類數(shù)據(jù)

得到正常通信數(shù)據(jù)的聚類特征后，就可以利用對比算法用來判斷樣本數(shù)據(jù)點是否屬于某一特征簇。若數(shù)據(jù)點屬于以上8個簇中的任意一個，則認為是正常數(shù)據(jù)點，若數(shù)據(jù)點距所有簇的簇中心距離都較遠，則可認為是異常數(shù)據(jù)點。本文認為若檢測樣本中異常點的占比，也就是異常率在規(guī)定閾值以上即可認為該樣本中含有隱蔽信息。閾值的大小根據(jù)系統(tǒng)的安全等級確定，對安全要求越高表示對隱蔽信道的檢測要求越高，需要適當降低閾值的大小。本文將閾值定為30%，異常率高于20%則認為數(shù)據(jù)中可能存在隱蔽信息，而低于該值則認為是正常通信數(shù)據(jù)。將每相鄰200個數(shù)據(jù)分為1組，則4 000個正常數(shù)據(jù)樣本被分為20組。同樣將4 000個非正常數(shù)據(jù)樣本分為20組。分析每組數(shù)據(jù)的異常率來判斷是否出現(xiàn)隱蔽信息，并與實際情況進行比對，用正常數(shù)據(jù)來分析得到表2的結(jié)果，用構(gòu)造的非正常信息進行比對，得到表3的結(jié)果。

由實驗結(jié)果可得出：正常數(shù)據(jù)樣本的異常率較低，表示正常數(shù)據(jù)樣本的數(shù)據(jù)點大部分在已知聚類中心附近，可視為正常數(shù)據(jù)。而非正常數(shù)據(jù)樣本的異常率很高，表示在非正常數(shù)據(jù)樣本中有大量可能含有隱蔽信息的異常點。由表2可以看出，20個正常數(shù)據(jù)組的異常率最大值為18.5%，遠小于閾值30%，均被檢測為正常數(shù)據(jù)，其檢測成功率為100%。從表3可以看出，20個非正常數(shù)據(jù)組中有3組的異常率小于閾值30%，被判定為正常數(shù)據(jù)，因此檢測的成功率為85%。從以上分析得出，采用該算法，正常數(shù)據(jù)一般不會被誤判，但非正常數(shù)據(jù)會漏判，但漏判的比例不高。

現(xiàn)有的大部分檢測算法如基于SVM的檢測算法、基于BP神經(jīng)網(wǎng)絡(luò)的檢測算法和本文提出的NCSCCA檢測算法在進行檢測之前都需要一定的訓(xùn)練時間。將之前的8 000個樣本數(shù)據(jù)分別用上述3種算法訓(xùn)練，得到表4所示的訓(xùn)練時間與復(fù)雜度對比。

表2 正常數(shù)據(jù)樣本分析結(jié)果

表3 非正常數(shù)據(jù)分析結(jié)果

表4 訓(xùn)練時間與復(fù)雜度對比

由實驗結(jié)果可以明顯看出，NCSCCA檢測算法較其他兩種傳統(tǒng)方法在訓(xùn)練時間上具有明顯優(yōu)勢，其根本原因是因為NCSCCA算法的時間復(fù)雜度是線性增加的，而另外2種算法的時間復(fù)雜度較高，是指數(shù)型增長的。數(shù)據(jù)量越大，聚類算法的效率越高。隱蔽信道的檢測勢必要由離線檢測向?qū)崟r在線檢測發(fā)展，而在線檢測的瓶頸之一就是檢測算法的時間復(fù)雜度，經(jīng)對比分析可以得出NCSCCA檢測算法鑒于其線性的時間復(fù)雜度，適用于大通信量的網(wǎng)絡(luò)隱蔽信道實時檢測，實用性較高。

5 結(jié)束語

本文針對網(wǎng)絡(luò)存儲隱蔽信道的檢測方法進行研究，提出了NCSCCA網(wǎng)絡(luò)存儲隱蔽信道檢測算法。該算法先采用聚類分析得到聚類特征，再對比聚類特征得到數(shù)據(jù)異常率，然后判斷出當前通信流中是否含有隱蔽信息。實驗結(jié)果表明，該檢測算法具有準確度高、算法簡單、時間復(fù)雜度低、實時性好的特點，且可以根據(jù)通信量和字段特點改變聚類算法和對比算法，具有較好的靈活性，適合用于大通信量的快速網(wǎng)絡(luò)隱蔽信道檢測。

［1］ ISO/IEC.ISO/IEC 15408-2005 Common Criteria for Information Technology.Security Evaluation［S］. Geneva，Switzerland：ISO Press，2005.

［2］ 中國國家標準化管理委員會.GB/T 20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求［S］.北京：中國標準出版社，2006.

［3］ 王永吉，吳敬征.隱蔽信道研究［J］.軟件學(xué)報，2010，21（9）：2262-2288.

［4］ 吳小進.網(wǎng)絡(luò)隱蔽信道檢測技術(shù)的研究［D］.南京：南京理工大學(xué)，2012.

［5］ 華元彬，蔣建春，卿斯?jié)h.基于鏈路分析法的復(fù)合隱蔽通道檢測［J］.計算機應(yīng)用，2006，26（1）：81-83.

［6］ 吳傳偉，孫 瑞，羅 敏.基于SVM的Telnet隱蔽信道檢測［J］.信息安全與通信保密，2012，（9）：97-98.

［7］ Sohn T，Seo J T，Moon J.A Study on the Covert Channel Detection of TCP/IP Header Using Support Vector Machine［C］//Proceedins of ICICS'03.Berlin，Germany：Springer，2003：313-324.

［8］ Porras P A，Kemmerrer R A.Covert Flow Trees：A Technique for Identifying and Analyzing Covert Channels［C］//Proceedings of IEEE Computer Society Symposium on Security and Privacy.Washington D.C.，USA：IEEE Press，1991：36-51.

［9］ 周愛武，于亞飛.K-M eans聚類算法的研究［J］.計算機技術(shù)與發(fā)展，2011，21（2）：62-65.

［10］ Tumonian E，Anikeev M.Network Based Detection of Passive Covert Channels in TCP/IP［C］//Proceedings of the 30th IEEE Conference on Local Computer Networks Anniversary.Washington D.C.，USA：IEEE Press，2005：802-809.

［11］ Han Jiawei，Kamber M.Data Mining：Concepts and Techniques［M］.San Francisco，USA：Morgan Kaufmann Publishers，2001.

［12］ 唐彰國，李煥洲，鐘明全，等.基于量子神經(jīng)網(wǎng)絡(luò)的啟發(fā)式網(wǎng)絡(luò)隱蔽信道檢測模型［J］.計算機應(yīng)用研究，2012，29（8）：3033-3035，3038.

［13］ 安淑芝.數(shù)據(jù)倉庫與數(shù)據(jù)挖掘［M］.北京：清華大學(xué)出版社，2005.

編輯 金胡考

Detection Algorithm of Network Storage Covert Channel Based on Clustering Analysis

YUAN Jian，WANG Tao
（School of Optical-Electrical and Computer Engineering，University of Shanghai for Science and Technology，Shanghai200093，China）

The huge communication traffic and vast of communication protocol turn to be perfect medium for covert channel.As a kind of communication channel which allows a process to transfer information in amanner that violates the system's security，the covert channel is becoming amajor threat to the secure information system s.A detection algorithm of Network Covert Storage Channel based on Cluster Analysis（NCSCCA）is proposed in this paper to detect covert storage channel，which is widely existed in network.This new method can identify whether a covert storage channel is existed in the communicating，depending on cluster analysis difference between normal and abnormal communication and has a high-speed feature.W hat's more，this method has the ability to detect several kinds of covert storage channel. Preliminary experiment results show that the method is real-time and accurate.

clustering analysis；network covert channel；covert channel detection；network security；security detection

袁 健，王 濤.基于聚類分析的網(wǎng)絡(luò)存儲隱蔽信道檢測算法［J］.計算機工程，2015，41（9）：168-173.

英文引用格式：Yuan Jian，W ang Tao.Detection Algorithm of Network Storage Covert Channel Based on Cluster Analysis［J］.Computer Engineering，2015，41（9）：168-173.

1000-3428（2015）09-0168-06

A

TP393

10.3969/j.issn.1000-3428.2015.09.031

國家自然科學(xué)基金資助項目（61202376）；上海市教育發(fā)展基金會晨光計劃基金資助項目（10CG49）；上海市教委科研創(chuàng)新基金資助項目（13YZ075）。

袁 ?。?971-），女，副教授、博士，主研方向：網(wǎng)絡(luò)安全，數(shù)據(jù)分析與挖掘，智能交通；王 濤，碩士研究生。

2014-08-14

2014-10-07 E-m ail：yuanjianwq@163.com