基于二維圖像特征的網(wǎng)絡(luò)時(shí)間隱通道檢測方法*

韓 煦 金 華

（江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院 鎮(zhèn)江 212013）

1 引言

隨著網(wǎng)絡(luò)帶寬的快速提升，網(wǎng)絡(luò)隱通道作為威脅網(wǎng)絡(luò)通信安全的主要因素，其危害性日益突出。網(wǎng)絡(luò)隱通道的識別、檢測和消除已成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要問題。網(wǎng)絡(luò)隱通道指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的信道，并且難以被檢測的惡意通信機(jī)制［1～3］。根據(jù)傳輸載體的不同，可將網(wǎng)絡(luò)隱通道分為網(wǎng)絡(luò)存儲隱通道和網(wǎng)絡(luò)時(shí)間隱通道。網(wǎng)絡(luò)存儲隱通道通過更改協(xié)議數(shù)據(jù)單元以隱藏信息，網(wǎng)絡(luò)時(shí)間隱通道是指通過變換網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送速率、發(fā)送時(shí)間、PDU 順序等數(shù)據(jù)包的時(shí)間特性來對隱蔽信息進(jìn)行編碼［4～5］。

近年來，國內(nèi)外的研究者提出了一些針對網(wǎng)絡(luò)時(shí)間隱通道的檢測方法，Cabuk 等［6］利用隱通道嵌入過程中留下的指紋信息，設(shè)計(jì)了一種基于數(shù)據(jù)包到達(dá)時(shí)間分布的度量方法。網(wǎng)絡(luò)時(shí)間隱通道在IPD（包間延遲序列）上呈現(xiàn)規(guī)律的模式，而常規(guī)流量的IPD 可能缺乏這樣的規(guī)律模式。通過觀察流量的IPD 分布規(guī)律，能夠檢測出隱通道。在文獻(xiàn)［7］中，研究了兩個(gè)非參數(shù)統(tǒng)計(jì)檢驗(yàn)的p 值作為檢測參數(shù)，稱為K-L 檢驗(yàn)和Welch 的T 檢驗(yàn)。文獻(xiàn)［8］中提出基于熵的方法來檢測隱通道，他們把網(wǎng)絡(luò)時(shí)間隱通道的檢測分為兩類：基于形狀的和基于規(guī)律的檢測。IPD 的形狀可以用一階統(tǒng)計(jì)量描述，IPD 的規(guī)律可以用高階統(tǒng)計(jì)量描述。然后，作者提出利用熵和修正條件熵來檢測隱通道?；贠ne-class SVM［9］等機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)時(shí)間隱通道檢測框架，通過提取網(wǎng)絡(luò)通道中IPD 各階的統(tǒng)計(jì)特征作為通信指紋來訓(xùn)練分類器，并利用該分類器來檢測隱通道。

現(xiàn)有的檢測方法可以有效地檢測出大部分的網(wǎng)絡(luò)時(shí)間隱通道，但需要事先知道隱通道構(gòu)造算法，且對網(wǎng)絡(luò)環(huán)境高度敏感，需要提取大量數(shù)據(jù)并經(jīng)過復(fù)雜的計(jì)算，此外，現(xiàn)有的方法只反映了網(wǎng)絡(luò)時(shí)間隱通道的一維特征，僅能檢測一類網(wǎng)絡(luò)時(shí)間隱通道。本文提出一種基于二維圖像特征的檢測方法，該方法通過提取網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)間間隔、數(shù)據(jù)包長度［10］兩種特征分量，對兩種特征分量的數(shù)值進(jìn)行歸一化處理后，構(gòu)造能夠描述網(wǎng)絡(luò)時(shí)間隱通道特征的二維圖像，通過基于灰度共生矩陣及其統(tǒng)計(jì)特征分析圖像紋理特性，從而將網(wǎng)絡(luò)流隱蔽信道在時(shí)間軸上的特性關(guān)系反映到二維圖像的紋理特性上。實(shí)驗(yàn)結(jié)果表明，該檢測方法能夠反映網(wǎng)絡(luò)時(shí)間隱通道的多維特性，實(shí)現(xiàn)較好的盲檢測效果，且可以提高檢測效率和準(zhǔn)確率。

2 基于灰度特征圖像的檢測方法

2.1 檢測模型

本文提出的基于二維圖像特征的網(wǎng)絡(luò)時(shí)間隱通道的檢測模型如圖1所示。

圖1 檢測模型

網(wǎng)絡(luò)時(shí)間隱通道的時(shí)間間隔、包長度存在一定的規(guī)律性，本文采集合法通道和網(wǎng)絡(luò)時(shí)間隱通道內(nèi)的數(shù)據(jù)包，提取數(shù)據(jù)包的時(shí)間間隔、包長度，構(gòu)造能夠描述網(wǎng)絡(luò)時(shí)間隱通道特征的兩種特征分量。由于不同分量的物理意義、數(shù)值范圍、物理單位等均存在較大差異，因此對兩種特征分量進(jìn)行歸一化處理。將特征分量歸一化后的數(shù)值排列成二維矩陣，分別構(gòu)造每一種特征分量在合法通道和網(wǎng)絡(luò)時(shí)間隱通道下的二維圖像，求取二維圖像的灰度共生矩陣來描述圖像灰度分布及像素相對位置關(guān)系，計(jì)算灰度共生矩陣的熵、能量、倒數(shù)差分距和對比度等統(tǒng)計(jì)特征，從而區(qū)分合法信道和隱通道。

2.2 特征歸一化處理

由于包間隔、包長度［10］兩個(gè)特征分量的物理意義、數(shù)值范圍、物理單位存在較大差異，不利于構(gòu)造特征圖像并進(jìn)行分析，且提取的數(shù)據(jù)可能有過大或過小的存在，對構(gòu)造灰度特征圖像進(jìn)行分析有影響，因此對特征分量的數(shù)值進(jìn)行歸一化處理，將兩個(gè)特征分量的數(shù)值映射到0～255 范圍之內(nèi)。而高斯歸一化［11］最大的特點(diǎn)就是可以使少量過大或過小的特征值對歸一化后整體元素分布情況的影響較小，因此我們對每一個(gè)類型特征的數(shù)據(jù)進(jìn)行高斯歸一化。

特征分量x經(jīng)過高斯歸一化后的數(shù)值為

令p 分別取包間隔Δt、包長度L，記歸一化后的包間隔序列為｛Δt1'，Δt2'，…Δti'，Δtn'｝，包長度序列為｛L1'，L2'，…Li'，Ln'｝。歸一化后的數(shù)值如表1、表2 所示。

表1 IPD值歸一化

表2 包長度數(shù)值歸一化

2.3 灰度共生矩陣

構(gòu)造灰度共生矩陣［12］是一種常見的描述圖像特征的方法，主要測量圖像中像素亮度值的不同組合出現(xiàn)的頻率，能夠描繪像素間的空間關(guān)系。通常情況下，網(wǎng)絡(luò)流中合法通道的數(shù)據(jù)包的時(shí)間間隔、包長度是以隨機(jī)數(shù)的形式呈現(xiàn)，而含有隱通道的數(shù)據(jù)包的時(shí)間間隔、包長度往往呈現(xiàn)一定的規(guī)律性，因此構(gòu)造灰度共生矩陣對二維圖像進(jìn)行紋理特征分析。取歸一化后的特征分量包間隔、包長度序列中的n個(gè)數(shù)值分別作為像素的灰度值，排列成j*j的二維矩陣，其中n=j*j，j 取不同的數(shù)值且為4 的整數(shù)倍，分別構(gòu)造對應(yīng)的二維圖像，設(shè)（x'，y'）為其中一張二維圖像中任意一點(diǎn)，灰度值為f（x'，y'），dx'，dy'代表偏移量，定義在θ方向上，間距為d 的兩個(gè)像素灰度值為a 和b 的像素概率記為p（a，b|d，θ），那么共生矩陣表達(dá)式為

其中，（x'，y'）分別取包間隔、包長度二維圖像中的一點(diǎn)，即（Δtx'，Δty'）、（Lx'，Ly'），灰度值分別為f（Δtx'，Δty'）、f（Lx'，Ly'）?；诒阌谟?jì)算以及具有代表性的考慮，θ取值為0°，45°，90°，135°。

2.4 灰度共生矩陣統(tǒng)計(jì)特征

2.4.1 圖像的能量（ASM）

圖像的能量（ASM）［13］是矩陣范數(shù)的一種，又稱為角二階矩，能量范圍為［0，1］，其中1 表示一個(gè)常數(shù)圖像，計(jì)算公式為

圖像的能量能夠描繪出圖像均勻性特征，圖像越均勻，其能量值越大；反之，其能量值則越小，圖像越不均勻。

2.4.2 圖像的倒數(shù)差分距（HOM）

圖像的倒數(shù)差分距（HOM）是反映二維圖像局部紋理強(qiáng)度均勻性狀況的度量，圖像的局部紋理越均勻，它的倒數(shù)差分距的值越大，計(jì)算公式為

2.4.3 圖像的熵（ENT）

圖像的熵（ENT）用來描述圖像的復(fù)雜度，一幅沒有任何紋理的圖像，它的灰度共生矩陣的熵值近似為零。若圖像紋理較多，灰度分布不均勻，則數(shù)值近似相等，熵值最大；相反，若圖像紋理較少，則熵值較小，計(jì)算公式為

2.4.4 圖像的對比度（CON）

圖像的對比度（CON）是一個(gè)像素點(diǎn)與其相鄰像素在相對位置上的相對強(qiáng)度對比，對比度范圍為［0，j2］，j為對稱矩陣的長度，計(jì)算公式為

灰度共生矩陣的對比度是用來描述圖像在局部變化上的程度的，圖像的對比度值越小，則表明該圖像在灰度上存在較小差異。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

本文實(shí)際網(wǎng)絡(luò)環(huán)境實(shí)驗(yàn)是基于江蘇大學(xué)信息安全實(shí)驗(yàn)室開發(fā)的網(wǎng)絡(luò)時(shí)間隱通道實(shí)驗(yàn)平臺進(jìn)行實(shí)驗(yàn)驗(yàn)證，該平臺具有三種模式的隱通道實(shí)驗(yàn)通信系統(tǒng)：1）在線/離線通道，在線或離線的情況下均能建立傳輸通道；2）時(shí)間間隔隔通道，能夠改變數(shù)據(jù)包之間的時(shí)間間隔通道；3）包長度通道，可將實(shí)驗(yàn)數(shù)據(jù)包按照既定的長度進(jìn)行發(fā)送。在網(wǎng)絡(luò)時(shí)間隱通道實(shí)驗(yàn)平臺的基礎(chǔ)上進(jìn)行了隱通道檢測實(shí)驗(yàn)，并基于噪聲干擾器對各種不同噪聲進(jìn)行了模擬。實(shí)驗(yàn)環(huán)境部署如圖2所示。

圖2 隱通道檢測實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)利用wireshark 采集合法通道的數(shù)據(jù)包800000 個(gè)，以及時(shí)間間隔隱通道和數(shù)據(jù)包長度隱通道產(chǎn)生的數(shù)據(jù)包各800000 個(gè)，分別提取合法通道和時(shí)間間隔隱通道的特征分量時(shí)間間隔序列，以及合法通道和包長度隱通道的特征分量包長度序列。在上述實(shí)驗(yàn)平臺的基礎(chǔ)上進(jìn)行實(shí)驗(yàn)與分析，所有實(shí)驗(yàn)結(jié)果都是根據(jù)目標(biāo)性能分析指定相同系統(tǒng)參數(shù)的條件下，通過主動調(diào)節(jié)目標(biāo)參數(shù)，經(jīng)過20～30次重復(fù)實(shí)驗(yàn)后，取其平均值。

3.2 實(shí)驗(yàn)結(jié)果分析

3.2.1 網(wǎng)絡(luò)流映射圖像

當(dāng)j=128 時(shí)，合法通道的時(shí)間間隔的二維灰度圖像與時(shí)間間隔隱通道的二維灰度圖像，以及合法通道的包長度的二維灰度圖像與包長度隱通道的二維灰度圖像分別如圖3、圖4所示。

圖3 時(shí)間間隔的二維圖像

圖4 包長度的二維圖像

直觀來看，合法通道的時(shí)間間隔和包長度的二維灰度圖像相對來說更為雜亂無章，而時(shí)間間隔隱通道和包長度隱通道的二維灰度圖像色調(diào)更為單一，紋理更加有序。

3.2.2 映射圖像紋理特征比較

為了考察時(shí)間間隔序列長度對灰度共生矩陣統(tǒng)計(jì)特征的影響，計(jì)算不同檢測窗口下的二維圖像的灰度共生矩陣統(tǒng)計(jì)特征值。可以看到在較小的檢測窗口下，時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值與合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值有顯著差異，隨著時(shí)間間隔序列長度的增大，灰度共生矩陣的統(tǒng)計(jì)值趨于固定。

時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征能量（ASM）、倒數(shù)差分距（HOM）均大于合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征圖像的能量（ASM）、倒數(shù)差分距（HOM），如圖5 所示。時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對比度（CON）均小于合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對比度（CON），如圖6 所示。這說明時(shí)間間隔隱通道的二維圖像的紋理相對于合法通道來說更加均勻，局部變化相對較小。因此當(dāng)數(shù)據(jù)包的時(shí)間間隔的二維圖像的特征ASM＞0.015，HOM＞0.25，ENT＜4，CON＜15，可以判定為時(shí)間間隔隱通道。

圖5 當(dāng)j取不同的值時(shí)，合法通道和時(shí)間間隔隱通道的能量與倒數(shù)差分距

圖6 當(dāng)j取不同的值時(shí)，合法通道和時(shí)間間隔隱通道的熵與對比度

為了考察包長度序列長度對灰度共生矩陣的統(tǒng)計(jì)特征的影響，計(jì)算不同檢測窗口下二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征，通過圖7、圖8說明特征值的范圍和變化情況?？梢钥吹皆谳^小的檢測窗口下，包長度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值波動明顯且與合法通道二維圖像的統(tǒng)計(jì)特征值相差較小，當(dāng)j達(dá)到100 以上，統(tǒng)計(jì)特征值處于一個(gè)相對穩(wěn)定的范圍，因此隨著包長度序列長度的增大，灰度共生矩陣的統(tǒng)計(jì)特征值趨于穩(wěn)定。

包長度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征能量（ASM）、倒數(shù)差分距（HOM）均小于合法通道二維圖像的灰度特征圖像的能量（ASM）、倒數(shù)差分距（HOM），如圖7 所示，包長度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對比度（CON）均大于合法通道二維圖像的灰度共生矩陣的熵（ENT）、對比度（CON），如圖8 所示，這說明包長度隱通道的二維圖像的紋理相對于合法通道來說更不均勻，局部變化相對較大。因此當(dāng)數(shù)據(jù)包的時(shí)間間隔的二維圖像的特征屬性ASM＜0.03，HOM＜0.3，ENT＞3.8，CON＞7，可以判定為包長度隱通道。

圖7 當(dāng)j取不同的值時(shí)，合法通道和包長度隱通道的能量值以及倒數(shù)差分距

圖8 當(dāng)j取不同的值時(shí)，合法通道和包長度隱通道的熵與對比度

我們又分別采集200000 個(gè)合法通道和時(shí)間間隔隱通道、包長度隱通道包作為測試集，分別用真陽率和假陽率兩個(gè)指標(biāo)來說明檢測方法的有效性。真陽率［14］指的是在測試集中，隱通道被正確識別出來的比例；假陽率指的是在測試集中合法通道被誤判為隱通信的比例。我們將本文提出的檢測方法與支持向量機(jī)［15］檢測方法進(jìn)行了比較，結(jié)果如表3 所示，本文針對包長度隱通道的檢測率也進(jìn)行了計(jì)算，結(jié)果如表4所示。

表3 時(shí)間間隔隱通道檢測率比較

表4 包長度隱通道檢測率

傳統(tǒng)的網(wǎng)絡(luò)時(shí)間隱通道檢測方法，如支持向量機(jī)檢測方法，僅能反映網(wǎng)絡(luò)流中數(shù)據(jù)包的一維特征，檢測范圍限定在通過變換網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送時(shí)間這一種類型的網(wǎng)絡(luò)時(shí)間隱通道，且有一定的誤報(bào)率，本文提出的檢測方法能夠描述網(wǎng)絡(luò)流數(shù)據(jù)包的二維特征，可以檢測多種類型的網(wǎng)絡(luò)時(shí)間隱通道，且當(dāng)提取一定數(shù)量的數(shù)據(jù)包時(shí)有較好的檢測效果。

4 結(jié)語

本文提出了一種基于二維圖像特征的網(wǎng)絡(luò)時(shí)間隱通道檢測方法，不同于以往的檢測方法，基于二維圖像特征的檢測方法提取數(shù)據(jù)包的多個(gè)特征分量并對其數(shù)值進(jìn)行歸一化，將一維的特征分量處理成二維圖像，通過灰度共生矩陣的統(tǒng)計(jì)特征閾值進(jìn)行隱通道檢測。模擬試驗(yàn)結(jié)果顯示，該方法可以比較有效地對網(wǎng)絡(luò)隱通道進(jìn)行區(qū)分，且減少了計(jì)算量，提高了檢測準(zhǔn)確率，起到盲檢測的效果，同時(shí)，該方法還能有效檢測包長度隱通道。