錢(qián)玉文，宋華菊，孔建壽，朱曉妹

(1.南京理工大學(xué) 自動(dòng)化學(xué)院，江蘇 南京210094;2.南京曉莊學(xué)院，江蘇 南京211711)

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，基于計(jì)算機(jī)網(wǎng)絡(luò)的各種信息系統(tǒng)也應(yīng)用到各個(gè)領(lǐng)域中，而保證這些系統(tǒng)的安全性成為當(dāng)前研究的重要課題。網(wǎng)絡(luò)身份鑒別是這些應(yīng)用系統(tǒng)中必不可少的安全機(jī)制，傳統(tǒng)的身份鑒別系統(tǒng)只是在用戶(hù)登錄時(shí)認(rèn)證用戶(hù)的身份，而在交易過(guò)程中無(wú)法鑒別用戶(hù)的身份，這往往會(huì)給電子交易系統(tǒng)帶來(lái)致命的安全威脅。一旦黑客截獲正在交易的用戶(hù)信息，進(jìn)行黑客活動(dòng)(如重放攻擊等)會(huì)造成巨大的經(jīng)濟(jì)損失。因而，防止電子交易系統(tǒng)在交易中被欺騙的網(wǎng)絡(luò)指紋是信息安全領(lǐng)域研究的一個(gè)熱點(diǎn)問(wèn)題，它也是目前入侵追蹤、網(wǎng)絡(luò)身份認(rèn)證以及網(wǎng)絡(luò)犯罪取證的重要工具。

網(wǎng)絡(luò)指紋(network thumb printer)的概念首先由Staniford 等人提出，它是指能夠標(biāo)識(shí)用戶(hù)身份的一小塊信息［1］。該技術(shù)首先被用在入侵追蹤中，即在入侵事件發(fā)生以后，利用網(wǎng)絡(luò)指紋可以準(zhǔn)確地追蹤到入侵的源頭。在該領(lǐng)域研究的初期，大量的工作都是利用網(wǎng)絡(luò)包的擴(kuò)展位、未用位(即隱蔽存儲(chǔ)信道)來(lái)傳輸網(wǎng)絡(luò)指紋的，如文獻(xiàn)［2］等。但這種網(wǎng)絡(luò)指紋信息很容易遭到黑客的懷疑、破壞。因此，文獻(xiàn)［3］提出了睡眠網(wǎng)絡(luò)指紋技術(shù)，只有當(dāng)入侵發(fā)生時(shí)才嵌入網(wǎng)絡(luò)指紋，這有效地減少了指紋信息出現(xiàn)的頻率。然而，利用這些方法在廣域網(wǎng)絡(luò)上傳輸網(wǎng)絡(luò)指紋時(shí)，很難繞過(guò)防火墻、跳板機(jī)等網(wǎng)絡(luò)節(jié)點(diǎn)。因?yàn)橐坏┓阑饓Φ染W(wǎng)絡(luò)設(shè)備對(duì)隱藏的指紋信息位強(qiáng)行置位后，指紋信息將會(huì)完全失效，從而導(dǎo)致整個(gè)指紋系統(tǒng)癱瘓。為了解決這個(gè)問(wèn)題，利用時(shí)間以及網(wǎng)絡(luò)行為進(jìn)行信息隱藏的隱蔽時(shí)間信道陸續(xù)被利用來(lái)嵌入網(wǎng)絡(luò)指紋，如文獻(xiàn)［4－7］提出了基于網(wǎng)絡(luò)包發(fā)送時(shí)間的信息嵌入法;文獻(xiàn)［8］利用多個(gè)計(jì)算機(jī)的協(xié)作行為進(jìn)行隱蔽信息的嵌入。隱蔽時(shí)間信道技術(shù)雖然可以較好地繞過(guò)防火墻等設(shè)備，但由于網(wǎng)絡(luò)包傳輸時(shí)間、網(wǎng)絡(luò)節(jié)點(diǎn)行為等的不確定性，使得網(wǎng)絡(luò)指紋信息缺乏穩(wěn)定性。文獻(xiàn)［9］提出了可靠網(wǎng)絡(luò)指紋的方法，但該方法工作效率很低，也無(wú)法嵌入能夠標(biāo)識(shí)用戶(hù)身份的指紋信息。

為了解決網(wǎng)絡(luò)指紋傳輸時(shí)不穩(wěn)定、效率低、不安全等問(wèn)題，本文提出了一種適合傳輸網(wǎng)絡(luò)指紋的隱蔽時(shí)間信道。這種隱蔽信道采用跨多個(gè)網(wǎng)絡(luò)包、冗余嵌入技術(shù)來(lái)提高網(wǎng)絡(luò)指紋信息傳輸?shù)姆€(wěn)定性、隱蔽性。為了彌補(bǔ)冗余嵌入法降低信道效率的問(wèn)題，采用幾何編碼的方式提高了隱蔽信道的傳輸效率。為了驗(yàn)證模型的性能，在多層交換網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn)了網(wǎng)絡(luò)指紋的仿真系統(tǒng)，并對(duì)該系統(tǒng)的魯棒性、正確性和安全性等進(jìn)行了理論分析與實(shí)驗(yàn)驗(yàn)證。

1 基于時(shí)間信道的網(wǎng)絡(luò)指紋

1.1 網(wǎng)絡(luò)指紋的工作模型

建立網(wǎng)絡(luò)指紋系統(tǒng)的目的是確保電子交易系統(tǒng)中的交易不被入侵者破壞，而當(dāng)入侵發(fā)生后可對(duì)入侵進(jìn)行追蹤，它也可用于網(wǎng)絡(luò)犯罪的取證等。指紋系統(tǒng)一般由業(yè)務(wù)系統(tǒng)、指紋服務(wù)器、客戶(hù)端以及網(wǎng)關(guān)組成。該系統(tǒng)工作時(shí)，客戶(hù)端一般將其所在網(wǎng)絡(luò)的硬件信息，如網(wǎng)關(guān)(GW)地址、物理地址(MAC)等，定義為網(wǎng)絡(luò)指紋。網(wǎng)絡(luò)指紋被嵌入到完成正常工作的業(yè)務(wù)網(wǎng)絡(luò)包(簡(jiǎn)稱(chēng)為正常數(shù)據(jù)包或載體數(shù)據(jù)包)中。客戶(hù)端利用隱蔽時(shí)間信道將指紋信息發(fā)送到服務(wù)器端。服務(wù)器端利用指紋服務(wù)器驗(yàn)證指紋。如果指紋服務(wù)端能夠正確地提取指紋信息，則允許下一步交易進(jìn)行，否則交易終止。若在該信息系統(tǒng)中，發(fā)生業(yè)務(wù)糾紛，指紋服務(wù)器根據(jù)網(wǎng)絡(luò)指紋對(duì)網(wǎng)絡(luò)包源頭進(jìn)行網(wǎng)絡(luò)追蹤，利用指紋信息以及網(wǎng)絡(luò)路由器的信息可準(zhǔn)確地追蹤網(wǎng)絡(luò)連接的源頭［3］。該方法利用網(wǎng)絡(luò)硬件信息作為指紋可較好地解決了網(wǎng)絡(luò)交易中的抵賴(lài)問(wèn)題。圖1是網(wǎng)絡(luò)指紋系統(tǒng)的模型示意圖。

圖1 網(wǎng)絡(luò)指紋系統(tǒng)模型Fig.1 Model of network thumb printer

圖1中，電子交易系統(tǒng)的客戶(hù)端有一個(gè)專(zhuān)門(mén)的嵌入網(wǎng)絡(luò)指紋功能模塊，實(shí)現(xiàn)每個(gè)網(wǎng)絡(luò)包的身份確認(rèn)，防止在交易過(guò)程中發(fā)生網(wǎng)絡(luò)欺騙。而沒(méi)有該客戶(hù)端的用戶(hù)，由于無(wú)法插入網(wǎng)絡(luò)指紋而被認(rèn)為交易無(wú)效從而杜絕了入侵者冒充某個(gè)客戶(hù)端的危險(xiǎn)。另外，在該系統(tǒng)中，指紋服務(wù)器中維護(hù)了一個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)保存了每個(gè)客戶(hù)的硬件指紋。這樣，即使客戶(hù)端軟件丟失，也不會(huì)造成重大安全事故，因?yàn)榭蛻?hù)端如果嵌入的當(dāng)前的網(wǎng)絡(luò)信息、硬件信息與指紋服務(wù)器上用戶(hù)數(shù)據(jù)庫(kù)中的信息不符，也會(huì)被認(rèn)為無(wú)效。而這些硬件信息能否有效、安全地傳輸?shù)椒?wù)端，是該模型正常工作的關(guān)鍵，它取決于隱蔽信道的設(shè)計(jì)技術(shù)。

1.2 隱蔽時(shí)間信道的設(shè)計(jì)

網(wǎng)絡(luò)指紋是利用網(wǎng)絡(luò)包攜帶的信息來(lái)對(duì)網(wǎng)絡(luò)包的源頭進(jìn)行身份辨識(shí)的技術(shù)，如何將指紋信息嵌入到網(wǎng)絡(luò)包中是該技術(shù)的關(guān)鍵點(diǎn)。一般地，嵌入信息到網(wǎng)絡(luò)包中有兩種方法，即隱蔽存儲(chǔ)信道和隱蔽時(shí)間信道。因?yàn)殡[蔽存儲(chǔ)信道只是利用網(wǎng)絡(luò)包中的某些未用位、擴(kuò)展來(lái)嵌入信息，這種信道非常不安全。網(wǎng)絡(luò)隱蔽時(shí)間信道(簡(jiǎn)稱(chēng)時(shí)間信道)則不同，它通過(guò)調(diào)制網(wǎng)絡(luò)包的發(fā)送速率、發(fā)送延遲等行為來(lái)嵌入信息，它比存儲(chǔ)信道更安全。

隱蔽時(shí)間信道中利用網(wǎng)絡(luò)包的發(fā)送時(shí)間間隔來(lái)嵌入數(shù)據(jù)，因此需要先定義時(shí)間間隔。設(shè)某發(fā)送節(jié)點(diǎn)先后發(fā)送了兩個(gè)包a 和b，發(fā)送的時(shí)間分別為T(mén)a和Tb，則時(shí)間間隔ipd 為T(mén)b－Ta.若嵌入信息的密鑰為K，嵌入函數(shù)為E，生成的信息為i，則信息的嵌入函數(shù)為

由于隱蔽信息的載體—網(wǎng)絡(luò)包間的時(shí)間間隔，是一個(gè)連續(xù)量，而表示信息的數(shù)據(jù)位是離散的。因此，在嵌入信息前需要將連續(xù)的時(shí)間量處理成離散量，即離散化處理。離散化處理中，首先需定義時(shí)間量化粒度s 以及離散化處理函數(shù)Q，滿(mǎn)足:

其中:s 為量化粒度，函數(shù)R(x)為對(duì)x 取最近的整數(shù)，即若存在整數(shù)z，當(dāng)x ∈(z－ s/2，z + s/2］，則R(x)=z.離散化處理以后，隱蔽時(shí)間信道自身具有一定的抗干擾能力。若網(wǎng)絡(luò)中存在擾動(dòng)，使時(shí)間信號(hào)ipd 偏移到，設(shè)受到干擾后偏離的時(shí)間間隔值為Y=－ipd.若Y∈(－s/2，s/2］，使用離散處理函數(shù)Q 進(jìn)行離散化，則

因此，只要信號(hào)偏離范圍在(－s/2，s/2］內(nèi)，便不會(huì)影響嵌入信息的正確性。然而，式(1)嵌入信息是明文嵌入的，很容易被攻擊者察覺(jué)。在嵌入信息時(shí)一般需要進(jìn)行數(shù)據(jù)加密，加密函數(shù)設(shè)計(jì)如下:

式(4)中，i 為需嵌入的明文信息;s 是離散化粒度，它決定了嵌入信息的安全性、可靠性;O 可用下式來(lái)計(jì)算:

式(5)中，Gm為一個(gè)正整數(shù)，它的選擇非常重要，二進(jìn)制隱蔽信道將該值設(shè)為2，在多進(jìn)制隱蔽信道中它的值為編碼集中編碼的個(gè)數(shù)，如選擇時(shí)間間隔為(1 s，2 s，4 s，16 s)，則Gm=4.將嵌入信息后的網(wǎng)絡(luò)包的發(fā)送時(shí)間間隔表示為ipdi，則它的其取值范圍為自然數(shù)。則根據(jù)最大熵定理，一個(gè)取值為自然數(shù)的隨機(jī)變量如果服從滿(mǎn)足幾何分布，則其信息熵最大［10］。因此使ipdi服從幾何分布時(shí)傳遞的信息量最大，即

式(6)中，ipdik表示第k 個(gè)網(wǎng)絡(luò)包對(duì)中嵌入了信息i，且嵌入信息i 的概率為p.網(wǎng)絡(luò)包在傳輸時(shí)，它會(huì)受到各種因素的影響，特別是路由器等存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備對(duì)網(wǎng)絡(luò)延遲的影響最大。為了消除存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備引起的錯(cuò)誤，本文引入最小時(shí)延Tbase，使得每個(gè)網(wǎng)絡(luò)包間延遲都大于該最小時(shí)延。設(shè)Gm=4，則隱蔽信息的嵌入原理如圖2所示。

圖2 基于幾何編碼嵌入法的隱蔽時(shí)間信道Fig.2 Covert time channel based on geometry code

在圖2所示的嵌入信息方法中，當(dāng)信息位為“00”時(shí)，將ipd 舍入到s 的1 倍數(shù)值上，而當(dāng)信息位為“11”時(shí)，將ipd 舍入到s 的16 倍數(shù)值上，嵌入“01”、“10”的情況與此類(lèi)似。此外，式(4)中對(duì)ipd +s/2 進(jìn)行量化的目的是確保嵌入信息后的時(shí)間間隔(表示為ipdi)略大于嵌入信息前的時(shí)間間隔，即ipdi＞ipd，這保證了嵌入信息的正確性。

但若信息位只是一次性地嵌入到網(wǎng)絡(luò)包中，該信息位將非常脆弱，因?yàn)樵撔畔⑽灰坏┍还粽咂茐幕蛘呔W(wǎng)絡(luò)包在網(wǎng)絡(luò)擁塞后被丟棄后便再也無(wú)法恢復(fù)。因此，這種信息還無(wú)法稱(chēng)為網(wǎng)絡(luò)指紋，因?yàn)樗荒苡脕?lái)識(shí)別用戶(hù)的身份。為了使這些信息真正能夠成為能夠標(biāo)識(shí)發(fā)送者身份的指紋信息，它們需要被可靠地嵌入到網(wǎng)絡(luò)數(shù)據(jù)流中而形成網(wǎng)絡(luò)指紋。

1.3 網(wǎng)絡(luò)指紋的嵌入與提取

為了使得嵌入的信息在受到網(wǎng)絡(luò)干擾后仍然能夠恢復(fù)，本文采用多次向數(shù)據(jù)流中嵌入相同的信息位的方法。若嵌入的指紋有l(wèi) 位，而每一位嵌入次數(shù)為m 次，嵌入過(guò)程如圖3所示。

圖3 網(wǎng)絡(luò)指紋嵌入示意圖Fig.3 Example of embedding network thumb printer into network packets

由圖3可知，由于每一位信息都被冗余m(m≥1)次地嵌入到網(wǎng)絡(luò)數(shù)據(jù)包中，嵌入一個(gè)比特位不是根據(jù)相鄰兩個(gè)網(wǎng)絡(luò)包的時(shí)間間隔，而是間隔d 個(gè)網(wǎng)絡(luò)包的時(shí)間間隔記為ipdd(如圖3中，d 為m－1).這樣處理后，即使某幾個(gè)網(wǎng)絡(luò)包在傳輸過(guò)程中丟失，也不會(huì)造成信息的丟失。另外，采用間隔多個(gè)網(wǎng)絡(luò)包的嵌入信息方式也提高了信息的安全性。發(fā)送端方選取n 個(gè)數(shù)據(jù)包P1，…，Pn，發(fā)送時(shí)間為t1，ti，…，tj，…，tn(ti＜tj且1≤i≤j≤n)，令(Pi，k，Pj，k)為個(gè)被選擇用來(lái)嵌入指紋的第k 個(gè)包對(duì)，則有:

則平均時(shí)間間隔ipdavg可表示為

由式(8)知，客戶(hù)端不再以某一個(gè)ipd 來(lái)攜帶網(wǎng)絡(luò)指紋信息，而是以多個(gè)網(wǎng)絡(luò)包時(shí)間間隔的均值作為指紋信息。這提高了系統(tǒng)的可靠性。相應(yīng)地，指紋服務(wù)器可以通過(guò)約定的s 來(lái)提取信息，即:

發(fā)送端通過(guò)該平均間隔時(shí)間，并選擇離散時(shí)間粒度s，使用式(4)將指紋嵌入。接收方接收到這些網(wǎng)絡(luò)包后，提取網(wǎng)絡(luò)包中的指紋信息。設(shè)If表示實(shí)際提取的l 位指紋信息，則由于干擾的影響，If與真實(shí)嵌入的l 位指紋I 之間會(huì)有一定的差距。為了衡量實(shí)際提取的信息If與原嵌入的信息I 之間的不同的位數(shù)，引入海明距離H(If，I)，該距離表示在傳輸過(guò)程中引起的錯(cuò)誤位數(shù)，若錯(cuò)誤位數(shù)在一定的范圍內(nèi)則認(rèn)為提取成功。設(shè)h 為成功提取的比特位數(shù)，則在傳輸中出錯(cuò)的位數(shù)為l－h(huán).選擇h 為閾值，即H(If，I)＞h，認(rèn)為隱蔽信息可以成功提取。因此，指紋被正確識(shí)別的概率P 為

式(10)中，p 為嵌入信息經(jīng)過(guò)網(wǎng)絡(luò)中傳輸后仍能夠通過(guò)式(3)準(zhǔn)確提取的概率。而由式(4)可知，若干擾范圍在(－s/2，s/2］之間，便可以準(zhǔn)確地識(shí)別出嵌在網(wǎng)絡(luò)包上的指紋。

1.4 網(wǎng)絡(luò)指紋的正確性分析

網(wǎng)絡(luò)指紋模型的正確性體現(xiàn)網(wǎng)絡(luò)指紋是否被正確地嵌入與提取上。設(shè)系統(tǒng)以相隔d(d≥1)個(gè)發(fā)送的網(wǎng)絡(luò)包之間時(shí)間間隔作為載體傳輸隱蔽數(shù)據(jù)，并有一個(gè)含n 個(gè)包的流中隨機(jī)選擇2r 個(gè)離散且相互獨(dú)立的包Pz1，… ，P2r(1≤zk≤n－d，1≤k≤2r)，則產(chǎn)生2r 個(gè)包對(duì)(Pk，Pk+d)(k=1，…，2r).因此，有ipdk，d=tk+d－tk(k =1，…，2r)，ipdk，d(k =1，…，2r)獨(dú)立同分布。設(shè)ipdk，d服從正態(tài)分布N(μ，δ2).此時(shí)，將2r 個(gè)ipd 隨機(jī)分離成相等數(shù)量的兩組:ipd1，k，d和ipd2，k，d(k=1，…，r).用X1，k，d與X2，k，d表示這兩組時(shí)間間隔，有E(X1，k，d)=E(X2，k，d)=μ;Var(X1，k，d)=Var(X2，k，d)= δ2，其中E 為數(shù)學(xué)期望，Var 為方差。用Yk，d表示兩組包中對(duì)應(yīng)位置的時(shí)間間隔之差，它可表示為

對(duì)r 個(gè)時(shí)間間隔之差Yk，d求均值，表示為Yr，則:

由式(12)知，嵌入了指紋后的時(shí)間間隔之差的方差與均值滿(mǎn)足如下關(guān)系μ.另外，多次嵌入同一信息后，可近似地看作一個(gè)正態(tài)分布，由中心極限定理:

式(13)中，Yir為嵌入了信息后，兩組網(wǎng)絡(luò)包對(duì)應(yīng)位置的時(shí)間間隔之差的均值，兩組網(wǎng)絡(luò)包都含有r 個(gè)網(wǎng)絡(luò)包。下面以嵌入信息i 為“0”來(lái)說(shuō)明嵌入方法的正確性。則若≤0，則便無(wú)法提取出正確的信息，只有＞0 才能區(qū)別于其它嵌入的信息。因此，可由正確提取信息位的概率Pr(＞0)來(lái)推導(dǎo)正確性。

從式(14)的推導(dǎo)可知，提取信息的正確性依賴(lài)于μ，σ，r.隨著σ 增大，提取信息的準(zhǔn)確率會(huì)逐步減小，而隨著μ，r 的增大準(zhǔn)確率逐步提高。

1.5 網(wǎng)絡(luò)指紋的魯棒性分析

基于網(wǎng)絡(luò)指紋系統(tǒng)的魯棒性，是指系統(tǒng)受到干擾后系統(tǒng)恢復(fù)正常運(yùn)行的能力。這取決于嵌入的信息是否在干擾后能夠恢復(fù)，即嵌入的信息是否具有魯棒性。嵌入信息的魯棒性指不因載體對(duì)象的受到某種干擾而導(dǎo)致信息丟失的能力。下面以量化的形式說(shuō)明嵌入信息的魯棒性。設(shè)隨機(jī)變量Ti，Tj分別表示第i 個(gè)包的延遲與第j 個(gè)包的延遲時(shí)間，令時(shí)間間隔之差Y=Ti－Tj，因此平均時(shí)間間隔可表示為

設(shè)網(wǎng)絡(luò)干擾的小于s/2，則若嵌入信息位可以成功提取的概率滿(mǎn)足P(＜s/2)，則稱(chēng)該信息位具有魯棒性。而嵌入信息位被成功提取的概率P(≥s/2)，則稱(chēng)該位不具有魯棒性。下面分析在這種定義下，隱蔽信息的魯棒性。設(shè)時(shí)間間隔ipd 服從正態(tài)分布N(μ，δ2)，則:

根據(jù)中心極限定理:

由此可見(jiàn)，嵌入信息的魯棒性隨嵌入冗余組數(shù)m 的增大而增大，隨著各組時(shí)間間隔的方差增大而減少。下面通過(guò)仿真的方法來(lái)進(jìn)一步驗(yàn)證系統(tǒng)的正確性、魯棒性。

2 系統(tǒng)仿真及結(jié)果分析

為了驗(yàn)證指紋系統(tǒng)的相關(guān)指標(biāo)，需要建立其工作環(huán)境。不但可以取得同一個(gè)網(wǎng)絡(luò)的認(rèn)證結(jié)果，也可以取得不同網(wǎng)絡(luò)的認(rèn)證效果。仿真環(huán)境如圖4所示。

在圖4中，采用H3C SecPath100 型號(hào)的8 個(gè)路由器構(gòu)成了8 個(gè)網(wǎng)絡(luò)，路由協(xié)議設(shè)置為靜態(tài)路由協(xié)議和OSPF 路由協(xié)議共同工作。在仿真中，選擇網(wǎng)絡(luò) 172.16.1.0，網(wǎng) 絡(luò) 172.16.3.0 以 及 網(wǎng) 絡(luò)172.16.8.0 中的部分計(jì)算機(jī)進(jìn)行實(shí)驗(yàn)。

2.1 指紋正確性實(shí)驗(yàn)

為了實(shí)現(xiàn)在線(xiàn)指紋提取，使用自行開(kāi)發(fā)的網(wǎng)絡(luò)包重放軟件對(duì)NZIX－II 網(wǎng)絡(luò)數(shù)據(jù)測(cè)量數(shù)據(jù)集(該數(shù)據(jù)集可從網(wǎng)頁(yè)http:∥pma.nlanr.net/traces/long/nzix2.html 獲取)在各個(gè)客戶(hù)端進(jìn)行重放。并以2 000個(gè)網(wǎng)絡(luò)包作為發(fā)送窗口重放數(shù)據(jù)集中的網(wǎng)絡(luò)包。取時(shí)間量化單位s =200 ms.魯棒性隨嵌入冗余次數(shù)m 的變化曲線(xiàn)如圖5所示。

圖4 網(wǎng)絡(luò)指紋的仿真環(huán)境Fig.4 Simulation environment of network thumb printer

圖5 提取率、魯棒性與冗余次數(shù)m 的關(guān)系曲線(xiàn)Fig.5 Detection ability curves with different embedding times m

圖5表明，隨著嵌入冗余次數(shù)m 增加，嵌入信息的魯棒性也增加。當(dāng)m 足夠大時(shí)，指紋被恢復(fù)的概率便接近1.同時(shí)m 的增加，也提高了指紋被正確提取的概率，且只要m 足夠大，便可使提取信息的正確率趨向于1.取嵌入的信息位數(shù)l =24，信息的魯棒性概率p =0.910 2，得到海明距離h 與信息提取率、量化單位s 之間的曲線(xiàn)如圖6所示。

從圖6可知，信息的提取率隨閾值h 的增加而增加，隨著嵌入信息的時(shí)間量化單位s 的增加而增加。

2.2 不可檢測(cè)性實(shí)驗(yàn)

不可檢測(cè)性(undetectability)是指?jìng)窝b對(duì)象與載體對(duì)象具有一致的特性。不可檢測(cè)性衡量隱秘信息的隱秘程度。當(dāng)信息位被嵌入后，每個(gè)嵌入了信息包的延遲是網(wǎng)絡(luò)的延遲與正常網(wǎng)絡(luò)延遲之和。假定網(wǎng)絡(luò)延遲服從隨機(jī)過(guò)程X，嵌入信息位后網(wǎng)絡(luò)延遲的隨機(jī)過(guò)程Y.則嵌入網(wǎng)絡(luò)信息后的分布服從Z =X+Y.Z 的概率分布為［12］:

因此，可以通過(guò)fz來(lái)檢測(cè)數(shù)據(jù)流中是否有嵌入信息。采用Bayes 決策法使錯(cuò)誤決策的代價(jià)最小［12］。正常網(wǎng)絡(luò)數(shù)據(jù)包分為正常類(lèi)與嵌入類(lèi)，ω ={ω1，ω2}決策空間ψ 由2 個(gè)決策αi(i =1，2)組成ψ={α1，α2}，α1定義為判斷異常觀測(cè)量為安全類(lèi)，α2定義為判斷異常觀測(cè)量為嵌入信息類(lèi);損失函數(shù)為λ(αi，ωj)，表示當(dāng)真實(shí)狀態(tài)為ωj，采取的決策為αi所帶來(lái)的損失。利用先驗(yàn)概率的決策規(guī)則可得［12］:

選取NZIX－II 數(shù)據(jù)集中50 萬(wàn)條數(shù)據(jù)進(jìn)行檢測(cè)，選取其中90%作為訓(xùn)練集，10%作為測(cè)試集，并選取閾值為0.05.檢測(cè)率、誤報(bào)率和漏報(bào)率隨嵌入次數(shù)m 變化的曲線(xiàn)如圖7所示。

圖7 不同的冗余m 與檢測(cè)性能的關(guān)系曲線(xiàn)Fig.7 Detection ability curves with different embedding times m

從圖7中可知，雖然檢測(cè)的性能隨著m 的提高有所提高，但是檢測(cè)精度結(jié)果小于80%，誤報(bào)率與漏報(bào)率都非常高。因此，從以上的檢測(cè)結(jié)果知對(duì)于嵌入在網(wǎng)絡(luò)數(shù)據(jù)流中的指紋，很難檢測(cè)，因此，該系統(tǒng)具有較好的隱蔽性。

2.3 效率分析仿真實(shí)驗(yàn)

一般地，在設(shè)計(jì)隱蔽時(shí)間信道時(shí)，嵌入方式有多種如:on/off 法、時(shí)延統(tǒng)計(jì)法等，但這些方法使用在網(wǎng)絡(luò)指紋上并不適合，因此文獻(xiàn)［4］提出了使用奇偶嵌入法進(jìn)行了設(shè)計(jì)。為了比較該方法與本文設(shè)計(jì)的基于幾何編碼嵌入法的差別，設(shè)計(jì)實(shí)驗(yàn)讓這兩種系統(tǒng)分別發(fā)送同樣大小的數(shù)據(jù)，統(tǒng)計(jì)發(fā)送時(shí)間，且選擇最小時(shí)延Tbase=3 ms.實(shí)驗(yàn)結(jié)果如圖8所示。

圖8 奇偶嵌入法和幾何編碼嵌入法的嵌入效率對(duì)比曲線(xiàn)Fig.8 Efficiency curves of information embedded with the ways of odd－even and geometry

由圖8可知，在相同的網(wǎng)絡(luò)中，使用幾何分布編碼發(fā)送隱蔽數(shù)據(jù)時(shí)，效率約為利用奇偶編碼法的發(fā)送數(shù)據(jù)的16 倍。這有效地彌補(bǔ)了由于冗余嵌入信息帶來(lái)的指紋信息傳輸速率低的問(wèn)題。

2.4 有效性仿真實(shí)驗(yàn)

為了驗(yàn)證本文設(shè)計(jì)的網(wǎng)絡(luò)指紋技術(shù)的有效性，分別采用4 種常見(jiàn)的網(wǎng)絡(luò)欺騙方法對(duì)系統(tǒng)中的節(jié)點(diǎn)進(jìn)行欺騙攻擊:IP 欺騙、ARP 欺騙、DNS 欺騙以及Web 欺騙。在使用攻擊的節(jié)點(diǎn)冒充被攻擊的節(jié)點(diǎn)向服務(wù)器申請(qǐng)交易。指紋服務(wù)器分別使用傳統(tǒng)的口令識(shí)別身份的方法，口令和追蹤技術(shù)結(jié)合的方法以及使用網(wǎng)絡(luò)指紋的方法進(jìn)行識(shí)別。在網(wǎng)絡(luò)指紋系統(tǒng)中，取m =12，s =500 ms.攻擊包的個(gè)數(shù)為250 K個(gè)，分5 組分別使用包重放軟件發(fā)送到服務(wù)器上，服務(wù)器識(shí)別的結(jié)果如圖9所示。

從圖9可知，網(wǎng)絡(luò)主動(dòng)認(rèn)證對(duì)欺騙攻擊的包準(zhǔn)確鑒別的概率超過(guò)了99%，而其它的身份識(shí)別率方式對(duì)欺騙攻擊的包準(zhǔn)確鑒別的能力非常弱。

圖9 不同鑒別方法的鑒別能力曲線(xiàn)Fig.9 Curves of the ability of identity authentication with different ways of authentication

3 結(jié)論

本文給出一種網(wǎng)絡(luò)指紋的模型，在該模型中識(shí)別用戶(hù)身份的指紋信息被嵌入到正常的通信數(shù)據(jù)中，與正常數(shù)據(jù)一同發(fā)送到指紋服務(wù)器上，指紋服務(wù)器可以通過(guò)提取嵌入的信息并根據(jù)該信息追蹤網(wǎng)絡(luò)數(shù)據(jù)包的源頭進(jìn)行身份確認(rèn)。在這種模型中，網(wǎng)絡(luò)的物理信息通過(guò)隱蔽信道秘密地參與到身份識(shí)別中，它這是一種全新的身份識(shí)別模型，且隱蔽信道采用幾何編碼、間隔多個(gè)包嵌入冗余地信息等，有效提高了信道容量以及信道的穩(wěn)定性、安全性等。在網(wǎng)絡(luò)環(huán)境下建立了實(shí)際的系統(tǒng)并進(jìn)行了身份識(shí)別實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果說(shuō)明該仿真系統(tǒng)具有良好的魯棒性、不可檢測(cè)性并能夠較好地抵抗網(wǎng)絡(luò)欺騙攻擊的能力。同時(shí)，網(wǎng)絡(luò)指紋模型也克服了傳統(tǒng)電子交易系統(tǒng)中抵抗網(wǎng)絡(luò)欺騙的缺點(diǎn)，是一種可靠、有效、安全的身份識(shí)別的方式。目前的電子交易系統(tǒng)中，公鑰技術(shù)等仍是主流的身份識(shí)別技術(shù)，但本文提出的網(wǎng)絡(luò)指紋技術(shù)是對(duì)目前身份認(rèn)證系統(tǒng)必要的輔助，有利于防止網(wǎng)絡(luò)欺騙。

References)

［1］ Staniford－Chen S，Heberlein L.Holding intruders accountable on the internet［J］.IEEE Symposium Security Privacy，1995:39－49.

［2］ TIAN Zhi－qiang，LIU Yang，DU Ye，et al.Research and implementation of active intrusion tracing［J］.Applied Science and Technology，2003，30(7):43－45.

［3］ Wang X，Reeves D，Wu S，et al.Sleepy watermark tracing:An active network－based intrusion response framework［C］∥Information Security Conference，2001:369－384.

［4］ Peng P，Ning P，Reeves D S.On the secrecy of timing－based active watermarking trace－back techniques［C］∥Proceedings of the 2006 IEEE Symposium on Security and Privacy，2006.

［5］ Wang X，Reeves D S.Robust correlation of encrypted attack traffic through stepping stones by manipulation of inter－packet delays［C］∥Proceedings of the 2003 ACM Conference on Computer and Communications Security，2003:20－29.

［6］ Sellke S，Wang C C，Bagchi S，et al.Covert TCP/IP timing channels:theory to implementation［C］∥Proceedings of INFOCOM 2009.Rio de Janeiro:IEEEE，2009:19－25.

［7］ Cabuk S，Brodley C E，Shields C.IP covert channel detection［J］.Transactions on Information and System Security of ACM，2009，12(4):22:1－22:27.

［8］ QIAN Yu－wen，WANG Fei，KONG Jian－shou，et al.On study of network steganography system based on multi－agent［J］.Journal of Nanjing University of Science and Technology，2009，33(3):302－306.

［9］ Giles J，Hajek B.An information－theoretic and game－theoretic study of timing channels［J］.IEEE Transaction on Information Theory，2003，48:2455－2477.

［10］ 錢(qián)玉文，趙邦信，孔建壽，等.一種基于Web 的可靠網(wǎng)絡(luò)隱蔽時(shí)間信道的研究［J］.計(jì)算機(jī)研究與發(fā)展，2011，48(11):423－431.QIAN Yu－wen，ZHAO Bang－xin，KONG Jian－shou，et al.Robust covert timing channel based on Web［J］.Journal of Computer Research and Development，2011，48(11):423－431.(in Chinese)

［11］ 王永吉，吳敬征，曾海濤，等.隱蔽信道研究［J］.軟件學(xué)報(bào)，2010，21(9):2263－2288.WANG Yong－ji，WU Jing－zheng，ZENG Hai－tao，et al.Covert channel research［J］.Journal of Software，2010，21(9):2263－2288.(in Chinese)

［12］ Duda R，Hart P，Stork D.Pattern classification［M］.John Willey ＆ Sons，2001.