本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù)，具體涉及一種針對(duì)bittorrent文件共享過程中基于have消息編碼的隱蔽通信檢測(cè)方法。

背景技術(shù)：

網(wǎng)絡(luò)隱寫作為一種隱蔽通信方式，利用合法的數(shù)據(jù)流作為載體在網(wǎng)絡(luò)中傳遞秘密信息。政府、企業(yè)和個(gè)人通過利用網(wǎng)絡(luò)隱信道進(jìn)行隱秘通信，安全地傳遞重要信息。但同時(shí)，網(wǎng)絡(luò)隱寫也會(huì)被不法組織和個(gè)人利用，以傳遞有害信息，威脅公眾安全。因此，檢測(cè)網(wǎng)絡(luò)隱寫的存在，防止危害發(fā)生，是至關(guān)主要的環(huán)節(jié)。隱寫的檢測(cè)技術(shù)作為網(wǎng)絡(luò)安全防護(hù)領(lǐng)域內(nèi)的一項(xiàng)非常重要的技術(shù)，引起了研究者的廣泛關(guān)注，而且目前為止已經(jīng)取得了很多的研究成果。

bittorrent網(wǎng)絡(luò)是目前被廣大網(wǎng)絡(luò)用戶普遍使用的文件傳輸共享方式，是一種p2p技術(shù)的具體應(yīng)用、擴(kuò)展。近年來p2p技術(shù)飛速發(fā)展，基于p2p以及bittorrent的隱蔽通信方法也應(yīng)運(yùn)而生。

peer消息作為bittorrent網(wǎng)絡(luò)通信不可或缺的組成部分，對(duì)于推動(dòng)整個(gè)bt網(wǎng)絡(luò)的運(yùn)行起著至關(guān)重要的作用，而且peer消息通信容量大，在bt數(shù)據(jù)流中占據(jù)著絕對(duì)比例，have消息是一種通信頻繁且分布有序的peer消息，每當(dāng)一個(gè)完整的數(shù)據(jù)塊block下載完畢，該客戶端節(jié)點(diǎn)peer即可向外發(fā)送與之對(duì)應(yīng)的have消息，have消息的負(fù)載為一個(gè)整數(shù)，且其整體分布呈上升趨勢(shì)。由于have消息具有通信頻繁、分布有序以及修改負(fù)載不會(huì)引起系統(tǒng)錯(cuò)誤的特點(diǎn)，該消息很容易被不法分子利用，以傳遞隱秘信息。

差值映射編碼是一種常用的編碼方式，首先選擇一組樣本數(shù)據(jù)，若傳輸秘密信息’0’，則在原數(shù)據(jù)基礎(chǔ)上減1，若傳輸秘密信息’1’，則在原數(shù)據(jù)基礎(chǔ)上加1。接收方只要將接收的二進(jìn)制數(shù)與樣本數(shù)據(jù)作對(duì)比，便可完成解碼工作。如原數(shù)據(jù)為{12,25,27,40,49}，所要嵌入秘密信息為{1,1,0,1,1}，則嵌入后的數(shù)據(jù)為{13,26,26,41,50}。將差值映射編碼應(yīng)用在have消息的傳輸中，不僅具有較高的魯棒性，而且具有較高的信道容量。

目前尚無公開文獻(xiàn)提出對(duì)于have消息隱蔽通信的檢測(cè)方法。

技術(shù)實(shí)現(xiàn)要素：

發(fā)明目的：本發(fā)明的目的在于解決現(xiàn)有技術(shù)中存在的不足，提供一種針對(duì)bittorrent文件共享過程中基于have消息編碼的隱蔽通信檢測(cè)方法，本發(fā)明提取正常通信與隱蔽通信的信息熵、ε相似度、方差三種特征，使用所提特征構(gòu)建貝葉斯分類器，將待測(cè)數(shù)據(jù)送入貝葉斯分類器進(jìn)行分類，以此判斷待測(cè)數(shù)據(jù)是否含密。

技術(shù)方案：本發(fā)明一種針對(duì)bittorrent文件共享過程中基于have消息編碼的隱蔽通信檢測(cè)方法，包括以下流程：

步驟1：設(shè)置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲正常數(shù)據(jù)，并篩選出其中的have消息；

步驟2：設(shè)置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取每個(gè)正常數(shù)據(jù)have消息中的負(fù)載，該have消息中負(fù)載為一個(gè)正整數(shù)且呈不斷上升的趨勢(shì)，計(jì)算每?jī)蓚€(gè)相鄰負(fù)載數(shù)字之間的差值，并將計(jì)算結(jié)果組成一個(gè)一維數(shù)組，該一維數(shù)組含n個(gè)元素；

步驟3：設(shè)置窗口分割器，利用窗口分割器將正常數(shù)據(jù)分割為l個(gè)窗口，每個(gè)窗口包含w個(gè)正常數(shù)據(jù)；

步驟4：設(shè)置特征提取器，提取每個(gè)窗口數(shù)據(jù)的信息熵h、ε＝0.9時(shí)的ε相似度、方差三種特征，其中信息熵h可由公式(1)計(jì)算：

將正常數(shù)據(jù)的包間時(shí)延分為大小相等的k塊，計(jì)算時(shí)延信息落在每個(gè)塊中的概率pi，pi＝n/w，n為落入第i個(gè)小塊時(shí)延個(gè)數(shù)，再由pi求得信息熵h，此處，取自然常數(shù)e為log的底數(shù)；

首先對(duì)原始數(shù)據(jù)的包間時(shí)延按照由小到大進(jìn)行排序，由公式(2)計(jì)算排序后第i個(gè)包間時(shí)延ti與第i+1個(gè)包間時(shí)延ti+1的差異率difi，其中w為窗口大小，差異率小于ε的包間時(shí)延所占的百分比稱為ε-相似度，由公式(3)計(jì)算ε-相似度，其中num(dif<ε)為差異率小于ε的包間時(shí)延總數(shù)；

difi＝|ti-ti+1|/ti，1≤i≤w-1(2)

e＝num(dif<ε)/(w-1)(3)

方差可由公式(4)得出：

s²＝[(t1-a)²+(t2-a)²+…+(tw-a)²]/w(4)

a為該窗口包間時(shí)延的均值，一個(gè)窗口內(nèi)有w個(gè)包間時(shí)延且分別用t1～tw表示，將所有窗口的三種特征提取完畢，可以得到兩個(gè)維數(shù)為l*3的特征矩陣，其中一個(gè)為正常數(shù)據(jù)的特征矩陣，一個(gè)為含密數(shù)據(jù)的特征矩陣；

步驟5：設(shè)置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲待測(cè)數(shù)據(jù)，并篩選出其中的have消息；

步驟6：設(shè)置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取have消息中的負(fù)載，計(jì)算每相鄰兩個(gè)負(fù)載數(shù)字之間的差值，并將計(jì)算結(jié)果組成一個(gè)一維數(shù)組，該一維數(shù)組包含n⁺個(gè)元素；

步驟7：設(shè)置窗口分割器，利用窗口分割器將待測(cè)數(shù)據(jù)分割為l⁺個(gè)窗口，每個(gè)窗口包含w個(gè)數(shù)據(jù)；

步驟8：設(shè)置特征提取器，提取每個(gè)窗口數(shù)據(jù)的信息熵、ε＝0.9時(shí)的ε相似度、方差三種特征，組成一個(gè)l⁺*3的特征矩陣；

步驟9：設(shè)置貝葉斯分類器，將正常數(shù)據(jù)的特征矩陣分為兩部分，一部分作為樣本數(shù)據(jù)，另一部分作為訓(xùn)練數(shù)據(jù)，由公式(5)計(jì)算訓(xùn)練數(shù)據(jù)和樣本數(shù)據(jù)3種特征的后驗(yàn)概率之積h，并得到求得若干個(gè)h的均值m、方差v和檢測(cè)閾值th＝m+αv，其中α為自定義的常量函數(shù)，用于調(diào)整檢測(cè)閾值；

其中c為樣本包含種類且c為正常數(shù)據(jù)，xi為待測(cè)數(shù)據(jù)的特征，p(xi|c)表示當(dāng)確定樣本為正常數(shù)據(jù)時(shí)特征為xi的后驗(yàn)概率；

同時(shí)把待測(cè)數(shù)據(jù)的特征矩陣輸入貝葉斯分類器，由公式(5)計(jì)算待測(cè)數(shù)據(jù)和樣本數(shù)據(jù)的后驗(yàn)概率之積得到h⁺同閾值th作比較，若大于th可認(rèn)為該窗口數(shù)據(jù)為正常數(shù)據(jù)，反之，則認(rèn)為該窗口數(shù)據(jù)為含密數(shù)據(jù)。

進(jìn)一步的，所述步驟1中的數(shù)據(jù)捕獲器采用wireshark。

進(jìn)一步的，所述步驟2中的數(shù)據(jù)處理器采用matlab。

進(jìn)一步的，所述步驟3中窗口分割器可視實(shí)際情況將數(shù)據(jù)分割為大小任意的窗口。

有益效果：本發(fā)明在提取數(shù)據(jù)三種特征的基礎(chǔ)上，使用了貝葉斯分類器進(jìn)行分類工作，可有效克服單一特征帶來的虛警率高的問題，得到可靠的檢測(cè)結(jié)果。

附圖說明

圖1為本發(fā)明的流程示意圖；

圖2為實(shí)施例中窗口為1000時(shí)的分類結(jié)果示意圖。

具體實(shí)施方式

下面對(duì)本發(fā)明技術(shù)方案進(jìn)行詳細(xì)說明，但是本發(fā)明的保護(hù)范圍不局限于所述實(shí)施例。

實(shí)施例1：

圖1為基于貝葉斯分類器的檢測(cè)流程示意圖，本實(shí)施例中針對(duì)bittorrent文件共享過程中基于have消息編碼的隱蔽通信檢測(cè)方法，首先捕獲正常數(shù)據(jù)和待測(cè)數(shù)據(jù)，分別提取正常數(shù)和待測(cè)數(shù)據(jù)的信息熵、ε相似度以及方差三個(gè)特征，以正常數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，待測(cè)數(shù)據(jù)作為測(cè)試數(shù)據(jù)輸入貝葉斯分類器(其中對(duì)正常數(shù)據(jù)和待測(cè)數(shù)據(jù)的處理過程不分先后)；具體流程如下：

步驟1：設(shè)置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲正常數(shù)據(jù)，并篩選出其中的have消息。

步驟2：設(shè)置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取每個(gè)正常數(shù)據(jù)have消息中的負(fù)載(該消息中負(fù)載即一個(gè)正整數(shù)，且呈不斷上升的趨勢(shì))，計(jì)算每相鄰兩個(gè)負(fù)載數(shù)字之間的差值，并將計(jì)算結(jié)果組成一個(gè)一維數(shù)組，該數(shù)組含40000個(gè)元素。

步驟3：設(shè)置窗口分割器，利用窗口分割器將正常數(shù)據(jù)分割為40個(gè)窗口，每個(gè)窗口包含1000個(gè)數(shù)據(jù)。

步驟4：設(shè)置特征提取器，提取每個(gè)窗口數(shù)據(jù)的信息熵、ε＝0.9時(shí)的ε相似度、方差三種特征。其中信息熵h可由公式(1)計(jì)算：

將正常數(shù)據(jù)的包間時(shí)延分為大小相等的9塊，計(jì)算時(shí)延信息落在每個(gè)塊中的概率pi，再由pi求得信息熵，在本文實(shí)驗(yàn)中取自然常數(shù)e為log的底數(shù)。

首先對(duì)原始數(shù)據(jù)按照由小到大進(jìn)行排序，由公式(2)計(jì)算排序后第i個(gè)包間時(shí)延ti與第i+1個(gè)包間時(shí)延ti+1的差異率difi，其中w為窗口大小。差異率小于ε的包間時(shí)延所占的百分比稱為ε-相似度，由公式(3)計(jì)算ε-相似度，其中num(dif<ε)為差異率小于ε的包間時(shí)延總數(shù)。

difi＝|ti-ti+1|/ti,1≤i≤w-1(2)

e＝num(dif<ε)/(w-1)(3)

方差可由公式(4)得出：

s²＝[(t1-a)²+(t2-a)²+…+(tw-a)²]/w(4)

其中a為該窗口包間時(shí)延的均值，t1,…,tw為包間時(shí)延。

將所有窗口的三種特征提取完畢，可以得到一個(gè)維數(shù)為40*3的特征矩陣。

步驟5：設(shè)置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲待測(cè)數(shù)據(jù)，并篩選出其中的have消息。

步驟6：設(shè)置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取have消息中的負(fù)載，計(jì)算每相鄰兩個(gè)負(fù)載數(shù)字之間的差值，并將計(jì)算結(jié)果組成一個(gè)一維數(shù)組，該數(shù)組包含20000個(gè)元素。

步驟7：設(shè)置窗口分割器，利用窗口分割器將待測(cè)數(shù)據(jù)分割為20個(gè)窗口，每個(gè)窗口包含1000個(gè)數(shù)據(jù)。

步驟8：設(shè)置特征提取器，提取每個(gè)窗口數(shù)據(jù)的信息熵、ε＝0.9時(shí)的ε相似度、方差三種特征，組成一個(gè)20*3的特征矩陣。

步驟9：設(shè)置貝葉斯分類器，將40正常數(shù)據(jù)的特征矩陣分為兩部分，一部分20組作為樣本數(shù)據(jù)，20組作為訓(xùn)練數(shù)據(jù)，由公式(5)計(jì)算訓(xùn)練數(shù)據(jù)和樣本數(shù)據(jù)3種特征的后驗(yàn)概率之積h，并得到求得若干個(gè)h的均值2506.1、方差1311.5和檢測(cè)閾值th＝1194.6。

其中c為樣本包含種類，此處，c為正常數(shù)據(jù)，xi為待測(cè)數(shù)據(jù)的特征，p(xi|c)表示當(dāng)確定樣本為正常數(shù)據(jù)時(shí)特征為xi的后驗(yàn)概率。

同時(shí)把待測(cè)數(shù)據(jù)的特征矩陣輸入貝葉斯分類器，由公式(5)計(jì)算待測(cè)數(shù)據(jù)和樣本數(shù)據(jù)的后驗(yàn)概率之積得到h⁺同閾值th＝1194.6作比較，若大于th＝1194.6可認(rèn)為該窗口數(shù)據(jù)為正常數(shù)據(jù)，反之，則認(rèn)為該窗口數(shù)據(jù)為含密數(shù)據(jù)。

本實(shí)施例中設(shè)定窗口等于1000，其分類結(jié)果如圖2所示，縱軸上的數(shù)值1代表該窗口數(shù)據(jù)為正常數(shù)據(jù)，縱軸上的數(shù)值2代表該窗口數(shù)據(jù)為含密數(shù)據(jù)。直線為待測(cè)數(shù)據(jù)的真實(shí)值，菱形符號(hào)為使用貝葉斯分類器的預(yù)測(cè)值，在20次試驗(yàn)中，使用貝葉斯分類器均可得到準(zhǔn)確的結(jié)果，可見本發(fā)明在檢測(cè)bittorrent文件共享過程中基于have消息編碼的隱蔽通信中具有良好的效果。