一種基于dct變換的on-off時間式隱蔽通信檢測方法
【專利摘要】本發(fā)明公開了一種基于網絡數據包時間序列頻域特性的ON?OFF時間式隱蔽通信檢測方法。首先捕獲網絡數據流��,將一定窗口下對正常網絡數據流相鄰包間時延看作隨機序列進行DCT變換并計算DCT系數的信息熵�。然后將待檢測數據流包間時延序列DCT系數的信息熵和正常數據流包間時延序列DCT系數的信息熵進行比較,從而判斷待檢測數據流是否為ON?OFF時間式隱蔽通信數據���。本發(fā)明的方法從網絡數據流的頻域特性上展開對時間式隱蔽通信的檢測���,較現有的時間式隱蔽通信檢測方法,具有更為可靠的檢測結果。
【專利說明】
-種基于DCT變換的ON-OFF時間式隱蔽通信檢測方法
技術領域
[0001] 本發(fā)明設及網絡與信息安全技術領域��,具體設及一種針對ON-OFF時間式隱蔽通 信����,對包間時延序列進行DCT變換,從頻域上進行隱蔽通信檢測的方法���。
【背景技術】
[0002] 網絡隱寫作為一種隱蔽通信方式,利用合法的數據流作為載體在網絡中傳遞秘密 信息��。政府���、企業(yè)和個人通過利用網絡隱信道進行隱秘通信����,安全地傳遞重要信息���。但同時����, 網絡隱寫也會被不法組織和個人利用��,W傳遞有害信息,威脅公眾安全����。因此,檢測網絡隱 寫的存在���,防止危害發(fā)生��,是至關主要的環(huán)節(jié)���。隱寫的檢測技術作為網絡安全防護領域內的 一項非常重要的技術,引起了研究者的廣泛關注����,而且目前為止已經取得了很多的研究成 果。
[0003] 時間式隱寫是通過改變網絡數據包的包間時延信息來進行隱秘信息傳輸的隱寫 算法��。對于數據包內部的信息及協(xié)議的行為方式等一切與時間信息無關的信息�����,時間式隱 寫不作任何改變�����,運提高了其隱蔽性。ON-OFF開關模式是目前時間式隱寫的一種主要實現 方式�,運種模式非常簡單,就是通過調整數據包的發(fā)送速度�,觀測在一定的時間間隔中是否 有數據包發(fā)送,從而判斷隱秘信息是' 1'還是' 0 '��。
[0004] Padlipsky等人提出了一種ON-OFF的時間式隱寫算法����,發(fā)送方和接收方約定一個 時間間隔,在運個時間間隔內�����,發(fā)送方用發(fā)送數據包代表隱秘信息'1'��,用保持沉默代表隱 秘信息'0'���。化ndel等人提出了基于ICMP協(xié)議的時間式隱寫�,利用信號的延遲來傳遞隱秘信 息。由于運種方法使用了 ICMP協(xié)議應答機制���,因此可W非常容易的實現收發(fā)雙方的同步�����。 Girling提出了一種時間式隱寫構建方法�,在原始通信的時間信息中加入一定的時延,用新 的時間信息代表隱秘信息���。運種構建方法為日后時間式隱寫的發(fā)展研究提供了很好的參考 和啟發(fā)�。Shah等人就是在運種方法的基礎上提出的Jitterbug隱寫算法��,Jitterbug將二進 制編碼嵌入到包間時延中�,實現隱秘信息的傳輸。Cabuk等人提出了鎖相環(huán)的同步機制���,運 也是一種ON-OFF的時間式隱寫����,用發(fā)送包代表'1'�����,不發(fā)送數據包代表'0'��。但是不同的是�, 它將數據傳輸時間分為若干個時間間隔�,運個時間間隔的大小是可W變化的���,運就大大的 改善了時間式隱寫的穩(wěn)定性和魯棒性����。
[0005] 對于隱寫的檢測����,其主要思想是:比較待檢測數據流與正常數據流之間的差異,如 果差異超出某一闊值���,則判斷是隱寫��,否則�����,判斷為正常數據流。網絡隱寫構建方法是多種 多樣的��,而網絡環(huán)境也是瞬息萬變的�,因此對于隱寫的檢測難度較高,導致了隱寫檢測技術 還不夠成熟的現狀�。很多隱寫檢測方法都是針對某一種或幾種類似的隱寫�����,因而不存在通 用性����。雖然也存在一些檢測方法���,能夠實現對多種隱寫的檢測���,但是運些檢測方法對特定的 網絡環(huán)境具有很強的依賴性,局限性較大���。
[0006] Murdoch等人提出了一種基于TCP初始序列號位統(tǒng)計特性的隱寫檢測方法�����,運種檢 測方法只針對基于TCP初始序列號位的隱寫����,不具有普及型�����。Sohn等人提出了基于SVM分類 器的檢測方法,目的是用于檢測基于TCP初始序列號位的隱寫W及基于IP標識位的隱寫�。實 驗表明,運種檢測方法只對于基于IP標識位的隱寫有較好的檢測結果����,而且適用性也不高。 針對基于ICMP協(xié)議負載的存儲式隱寫���,Sohn等人提出了一種使用SVM的檢測方法����。劉光杰等 人提出了一種基于IPID位正常通信自增特性統(tǒng)計規(guī)律的檢測算法���,用W檢測基于IPID位的 隱寫�����。由此可見��,很難設計出一種檢測算法,實現對多種隱寫的檢測���。
[0007] W上的隱寫檢測方法大多是一對一的�����,只針對一種隱寫有效�����,無法應用于其他隱 寫���,限制了適用范圍����。但是也有一些檢測算法���,具有較好的適用性����。對于時間式隱寫的檢測�����, 化buk等人提出了兩種檢測方法:基于包間延時方差的檢測算法��,W及相鄰包間延時的相似 度算法��。運兩種方法都是通過對包間時延進行統(tǒng)計,計算出某種特征值����,比較隱寫與正常數 據流的差異或者相似度,從而判斷是否為時間式隱寫����。Shah等人針對Jitterbug隱寫,提出 了一種利用包間延時的統(tǒng)計規(guī)律的檢測算法��,運種方法也可W應用于其他的時間式隱寫檢 ^UnQian等人提出了一種基于密度聚類的時間式隱寫檢測方法�����,運種方法對密度聚類特征 的選取和聚類的數目較為依賴�,因此在實際應用中有一定的局限性。GivanveccMo等人將 信息論中的的賭與帶修正條件賭引入了檢測算法�,利用包間時延信息的賭來檢測時間式隱 寫。運種方法是一種比較成熟的檢測算法���,能夠有效的檢測出大多數的時間式隱寫�����。
[0008] 上述現有技術中的隱寫檢測方法都是在時域上進行的��,沒有考慮到隱寫數據流和 正常數據流在頻域上的差異����,而頻域特性在網絡擾動下會有更穩(wěn)定的表現�����。
【發(fā)明內容】
[0009] 發(fā)明目的:針對上述現有技術存在的缺陷���,本發(fā)明旨在提供一種基于DCT變換 (Discrete Cosine Transform,離散余弦變換)的ON-OFF時間式隱蔽通信檢測方法����,將待檢 測數據流和正常數據流的包間時延進行DCT變換����,分別計算DCT系數的信息賭,通過比較二 者的差異�����,判斷待檢測數據流是否為隱寫數據流���。
[0010]技術方案:一種基于DCT變換的ON-OFF時間式隱蔽通信檢現巧法��,包括如下步驟:
[0011] (1)提取正常數據流的包間時延信息:從正常數據流中提取連續(xù)的N個包間時延信 息����;
[0012] (2)DCT變換:對提取到的N個正常數據流包間時延信息進行DCT變換,得到N個DCT 系數;將N個DCT系數分為大小為W的窗口���,總共分為^個窗口���; H,
[001引(3)計算信息賭:將每個窗口內的W個DCT系數按大小分為L個區(qū)間���,統(tǒng)計每個區(qū)間 內含有DCT系數的個數��,計算區(qū)間內占有DCT系數的概率;再計算信息賭Hn;
[0014] (4)設定檢測闊值:計算^個窗口內DCT系數信息賭的均值M和方差V���,再根據均值M W 和方差V設定檢測的闊值化;
[0015] (5)提取待檢測數據流的包間時延信息:從待檢測數據流中提取連續(xù)的N個包間時 延信息����;
[0016] (6)DCT變換:對提取到的N個待檢測數據流包間時延信息進行DCT變換,得到N個 DCT系數;將其分為大小為W的窗口���,總共分為^個窗口��; ?1
[0017] (7)計算信息賭:將每個窗口內的^個待檢測數據流包間時延信息的DCT系數按大 小分為L個區(qū)間�����,統(tǒng)計每個區(qū)間內含有DCT系數的個數��,計算區(qū)間內占有DCT系數的概率;再 計算信息賭出�;
[0018] (8)判斷待檢測數據流屬性:將出與檢測闊值化比較�����,如果出小于化�����,則待檢測數據 流為正常數據流����,否則為隱寫數據流。
[0019]進一巧的���,巧驟(3)中所述區(qū)間內占有DCT系數的概率即Pm, i = l��,2,…��,L;所述信 息賭
��。
[0020] 進一步的��,步驟(4)中所述闊值化=M+aV�,其中a為自定義的常量函數,用于調整檢 測闊值����。
[0021] 進一步的,步驟(7)中所述計算區(qū)間內占有DCT系數的概率即
[0022]
[0023] 有益效果:本發(fā)明將網絡數據包之間的時間間隔看做隨機序列�����。由于時域上時間 間隔的時變性往往會導致檢測器存在較高的誤報率�,而如果在頻域上觀測的話,則會呈現 較為穩(wěn)定的特征���,而該特征能有效反應時間式隱蔽通信的存在��,因此本發(fā)明可有效降低檢 測器的誤報率�����。
【附圖說明】
[0024] 圖1為基于DCT變換的ON-OFF式隱蔽通信檢測算法流程圖�����。
[0025] 圖2為觀測窗口為200的正常數據流與含秘數據流的DCT系數實驗圖����。
【具體實施方式】
[0026] 下面通過一個最佳實施例并結合附圖對本技術方案進行詳細說明。
[0027] 圖1是基于DCT變換的ON-OFF式隱蔽通信檢測算法流程圖�����,它給出了本發(fā)明實現的 具體流程�����。W下我們對其中各個部分進行簡要描述:
[0028] -種基于DCT變換的ON-OF即寸間式隱蔽通信檢測方法�����,包括如下步驟:
[0029] (1)提取正常數據流的包間時延信息:從正常數據流中提取連續(xù)的N個包間時延信 息;本實施例中具體為:提取正常數據流包間時延信息(單位為ms)�,并寫入original_time_ interval. txt文件����。
[0030] (2 )DCT變換:對提取到的N個正常數據流包間時延信息進行DCT變換���,得到N個DCT 系數;將N個DCT系數分為大小為W的窗口,總共分為一個窗口�����,具體為:從o;riginal_time_ W interval. txt文件中讀取實驗所需的100��,000個時間信息�����,對其進行DCT變換�����,得到100���,000 個DCT系數����,并將其分成500個窗口����,每個窗口內200個DCT系數���。
[0031 ] (3)計算信息賭:將每個窗口內的W個DCT系數按大小分為L個區(qū)間,統(tǒng)計每個區(qū)間 內含有DCT系數的個數�����,計算區(qū)間內占有DCT系數的概率Pni, i = l�����,2,…�����,L再計算信息賭
���,具體為:對每一窗口的200個DCT系數進行大小排列,分為等長度的 20個區(qū)間�����,統(tǒng)計每個區(qū)間內的DCT系數的個數�,從而計算概率。再利用計算出的概率計算出 該組系數的信息:����!
得到500個窗口 DCT系數的信息賭�����;
[0032] (4)設定檢測闊值:計算^個窗口內DCT系數信息賭的均值M和方差V�,再根據均值M -抑���, 和方差V設定檢測的闊值化=M+a V�,其中a為自定義的常量函數�,用于調整檢測闊值;
[0033] (5)提取待檢測數據流的包間時延信息:從待檢測數據流中提取連續(xù)的N個包間時 延信息���,具體為:提取待檢測數據流的包間時延信息(單位為ms)����,并寫入detection_time_ interval. txt文件�;
[0034] (6)DCT變換:對提取到的N個待檢測數據流包間時延信息進行DCT變換,得到N個 DCT系數����;將其分為大小為W的窗口,總共分為一個窗口��,具體為:從detection_t ime_ W - - interval. txt文件中讀取實驗所需的100,000個時間信息���,對其進行DCT變換���,得到100,000 個DCT系數��,并將其分成500個窗口��,每個窗口內200個DCT系數�����。圖2給出了在200窗口下的正 常數據流與含秘數據流的DCT系數圖����,從圖中可看出該方法可有效檢測出ON-OF即寸間式隱 蔽通信�����;
[0035] (7)計算信息賭:將每個窗口內的^個待檢測數據流包間時延信息的DCT系數按大 小分為L個區(qū)間��,統(tǒng)計每個區(qū)間內含有DCT系數的個數��,具體為:對每一窗口的200個DCT系數 進行大小排列,分為等長度的20個區(qū)間����,統(tǒng)計每個區(qū)間內的DCT系數的個數,從而計算區(qū)間 內占有DCT系數的概率J = 1����,2,...�����,五�����,? = 1�����,2�����,...,一;再計算該組的信息賭巧.��,5 = 1�����,2,…����,一;
[0036] (8)判斷待檢測數據流屬性:將待檢測數據流窗口數據的信息賭Hs與設定的檢測 闊值化比較,如果出<化�����,則判定為正常數據�����,否則判定為ON-OF即寸間式隱寫數據流�����。
[0037] W上僅是本發(fā)明的優(yōu)選實施方式��,應當指出:對于本技術領域的普通技術人員來 說��,在不脫離本發(fā)明原理的前提下�����,還可W做出若干改進和潤飾��,運些改進和潤飾也應視為 本發(fā)明的保護范圍����。
【主權項】
1. 一種基于DCT變換的ON-OFF時間式隱蔽通信檢測方法,其特征在于�����,包括如下步驟: (1) 提取正常數據流的包間時延信息:從正常數據流中提取連續(xù)的N個包間時延信息����; (2) DCT變換:對提取到的N個正常數據流包間時延信息進行DCT變換,得到N個DCT系數�����; 將N個DCT系數分為大小為w的窗口����,總共分為個窗口�����; (3) 計算信息熵:將每個窗口內的w個DCT系數按大小分為L個區(qū)間����,統(tǒng)計每個區(qū)間內含 有DCT系數的個數��,計算區(qū)間內占有DCT系數的概率;再計算信息熵H n;(4) 設定檢測閾值:計算個窗口內DCT系數信息熵的均值Μ和方差V��,再根據均值Μ和方 差V設定檢測的閾值Th; (5) 提取待檢測數據流的包間時延信息:從待檢測數據流中提取連續(xù)的N個包間時延信 息��; (6) DCT變換:對提取到的N個待檢測數據流包間時延信息進行DCT變換�,得到N個DCT系 數;將其分為大小為w的窗口,總共分為·個窗口��; (7) 計算信息熵:將每個窗口內的個待檢測數據流包間時延信息的DCT系數按大小分 為L個區(qū)間��,統(tǒng)計每個區(qū)間內含有DCT系數的個數�,計算區(qū)間內占有DCT系數的概率;再計算 信息熵Hs; (8) 判斷待檢測數據流屬性:將Hs與檢測閾值Th比較,如果Hs小于Th����,則待檢測數據流為 正常數據流,否則為隱寫數據流��。2. 根據權利要求1所述的一種基于DCT變換的0N-0FF時間式隱蔽通信檢測方法,其特征 在于�����,步驟(3)中所述區(qū)間內占有DCT系數的概率即Ρ ηι�����,? = 1���,2,···�,Μ所述信息熵3. 根據權利要求1所述的一種基于DCT變換的0N-0FF時間式隱蔽通信檢測方法,其特征 在于��,步驟(4)中所述閾值Th=M+aV����,其中α為自定義的常量函數,用于調整檢測閾值�����。4. 根據權利要求1所述的一種基于DCT變換的0N-0FF時間式隱蔽通信檢測方法�����,其特征 在于,步驟(7)中所述計算區(qū)間內占有DCT系數的概率即/^./〇.丄.���、'=丨·2�����,··
【文檔編號】H04L12/26GK105827662SQ201610383653
【公開日】2016年8月3日
【申請日】2016年6月2日
【發(fā)明人】翟江濤, 楊芳, 唐雨
【申請人】江蘇科技大學