張 博

(北京理工大學(xué)計(jì)算機(jī)學(xué)院，北京 100081)

1 引言

計(jì)算機(jī)的隱蔽信道是信息安全[1]的關(guān)鍵環(huán)節(jié)，隨著互聯(lián)網(wǎng)的快速發(fā)展，相關(guān)領(lǐng)域設(shè)計(jì)出了多種隱蔽信道，進(jìn)一步推動(dòng)了隱蔽信道檢測(cè)算法的研究，使其成為通信領(lǐng)域的熱點(diǎn)問(wèn)題，得到了眾多學(xué)者的廣泛關(guān)注。當(dāng)前比較常用的網(wǎng)絡(luò)隱蔽信道檢測(cè)方法主要有基于壓縮感知算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法、基于弱能量并行算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法以及基于LS頻域算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法，雖然傳統(tǒng)檢測(cè)法可以使接收機(jī)獲取信道的相關(guān)信息，以滿足無(wú)線通信系統(tǒng)內(nèi)信道的應(yīng)用需求，但外界的強(qiáng)干擾條件導(dǎo)致其屬性特征出現(xiàn)變化，若信道屬性出現(xiàn)較大變化，缺乏融合約束會(huì)造成屬性特征融合偏差，嚴(yán)重影響信道檢測(cè)的精準(zhǔn)度，同時(shí)，現(xiàn)有方法存在一定的局限性，不能對(duì)主動(dòng)式和被動(dòng)式隱蔽信道進(jìn)行全面檢測(cè)[2]。

因此，本文以移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道為檢測(cè)背景，提出一種優(yōu)化的檢測(cè)算法，依據(jù)隱蔽信息的傳輸原理，分析傳統(tǒng)網(wǎng)絡(luò)時(shí)間隱蔽信道檢測(cè)流程，用兩點(diǎn)之間的模表示兩子類間的相似度，聯(lián)立初始階段樣本及其聚類核之間的關(guān)聯(lián)性。隨后對(duì)全部屬性進(jìn)行歸一化處理，并得出模長(zhǎng)的線性投影特征值，通過(guò)各維空間的密度聚類算法計(jì)算，去除無(wú)聚類屬性，從而組建新的屬性集合，將數(shù)據(jù)包傳輸?shù)拈g隔時(shí)長(zhǎng)序列作為檢測(cè)的目標(biāo)進(jìn)行建模，經(jīng)過(guò)對(duì)比分析所得模型與正常模型的相鄰子類余弦相似度均值、歐幾里得距離均值以及分化系數(shù)均值，判定待檢測(cè)模型的狀態(tài)屬性，依據(jù)正常模型特征，獲取隱蔽信道檢測(cè)結(jié)果。

2 建立移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道結(jié)構(gòu)

由正常信道基本元素與基本特征構(gòu)成的移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道，從本質(zhì)上說(shuō)，就是一種用于隱藏信息傳輸?shù)耐ㄐ畔到y(tǒng)。

已知用戶A準(zhǔn)備把隱蔽信息I發(fā)送給用戶B，并選取網(wǎng)絡(luò)時(shí)間隱蔽信道作為傳輸信道，則用戶之間除了要架構(gòu)一條TCP/IP協(xié)議[3]連接的網(wǎng)絡(luò)鏈路之外，還應(yīng)提前設(shè)置一個(gè)時(shí)間集合{t1，t2，…，tn}及各時(shí)間的關(guān)聯(lián)值。隱蔽信息I在傳輸階段，先進(jìn)行二進(jìn)制串編碼，若發(fā)送信息為0，則用戶A再次發(fā)送數(shù)據(jù)包的時(shí)間間隔為t1時(shí)長(zhǎng)，若信息是1，則時(shí)間間隔是t2時(shí)長(zhǎng)；用戶B在接收端口對(duì)鏈路實(shí)施監(jiān)視，將所有數(shù)據(jù)包的間隔時(shí)長(zhǎng)t記錄下來(lái)，通過(guò)反復(fù)t、t1以及t2的對(duì)比過(guò)程，使用戶B獲取到隱蔽信道所傳輸?shù)目傮w二進(jìn)制串，實(shí)現(xiàn)信息I的還原。下圖為移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道結(jié)構(gòu)示意圖。

圖1所示的二進(jìn)制信道，能夠采用下列表達(dá)式進(jìn)行描述

圖1 移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道結(jié)構(gòu)示意圖

I→(0|1)*→T={ti}

(1)

式中，i=1，2，…，n，二進(jìn)制的任意一種組合表示為(0|1)*，現(xiàn)實(shí)情況下數(shù)據(jù)包的間隔時(shí)長(zhǎng)序列為T。

3 網(wǎng)絡(luò)隱蔽信道屬性聚類

通常情況下，網(wǎng)絡(luò)隱蔽信道檢測(cè)是通過(guò)數(shù)據(jù)聚類方法得以實(shí)現(xiàn)的。將數(shù)據(jù)集設(shè)定為X={x1，x2，…，xn}，劃分成相似的子集[4]類C={C1，C2，…，Ck}，其中，k表示類別中的子集個(gè)數(shù)。采用聚類算法對(duì)其進(jìn)行運(yùn)算，得到多個(gè)內(nèi)部元素相似的子類，各子類之間存在差異性，不同的相似度閾值會(huì)導(dǎo)致子類間生成不同的差異特點(diǎn)，其差異化一般采用子類的間距進(jìn)行度量。在提升維度之后，用兩點(diǎn)之間的模表示兩子類間的相似度，假設(shè)模長(zhǎng)為s，那么，其表達(dá)式如下所示

(2)

式中，m維空間中任意一維里任意一點(diǎn)的投影值是K。

通過(guò)在一個(gè)鄰域中尋找數(shù)據(jù)的聚類，把密度比較理想的區(qū)域聚合為一個(gè)子類，進(jìn)而從中發(fā)現(xiàn)數(shù)據(jù)規(guī)律。與密度聚類算法存在關(guān)聯(lián)性的一組定義如下所示：

定義1：假定中心是數(shù)據(jù)R，對(duì)象的ε-鄰域就是ε圍成的范圍。

定義2：如果鄰域中至少存在p個(gè)對(duì)象，那么，中心對(duì)象則為R，其中，對(duì)象數(shù)量可任意設(shè)定。

采用密度聚類算法實(shí)施聚類處理，對(duì)所得的多個(gè)聚類核個(gè)數(shù)與坐標(biāo)進(jìn)行標(biāo)記，并將聚類核集合用R={Rj}表示。

初始階段的聚類核集合R滿足R=Φ，且樣本Si及其所得的核Rj，符合下列關(guān)系表達(dá)式

F[Si]=Rj·s(i，j)

(3)

式中，核Rj的個(gè)數(shù)對(duì)應(yīng)kj樣本個(gè)數(shù)。

密度聚類網(wǎng)絡(luò)隱蔽信道檢測(cè)算法中的kj取值為0，具體操作流程描述如下：

1)在歸一化處理所有屬性的過(guò)程中，將存在隱蔽信道記錄里的屬性數(shù)量設(shè)定為m，樣本集合數(shù)量設(shè)定為n，采用下列公式展開屬性的歸一化處理

(4)

式中，第j個(gè)屬性的極值分別是xmin(j)、xmax(j)，經(jīng)過(guò)歸一化處理的第i個(gè)與第j個(gè)屬性標(biāo)值為x(i，j)，歸一化之前的觀測(cè)值表示為x*(i，j)。

2)如果m維單位投影方向的矢量是a，a1，a2，…，am表示的是該矢量的各個(gè)分量，那么，利用式(2)來(lái)描述xij的線性投影特征值，并推導(dǎo)出如下所示的投影函數(shù)

(5)

將該投影函數(shù)作為高維數(shù)據(jù)向低維空間投影過(guò)程中的投影規(guī)則[6]，其中，i=1，2，…，n，單位矩陣為A，經(jīng)過(guò)投影得到的數(shù)值為zi。

4)如果a1，a2，…，ak中的每個(gè)分量都有一個(gè)對(duì)應(yīng)的聚類，其中，11，則隱蔽信道存在。

綜上所述，經(jīng)過(guò)降維投影處理所得數(shù)據(jù)，如果任一屬性內(nèi)的子類較多，則判定其中存在隱蔽信道；反之，若任一屬性內(nèi)無(wú)子類，那么不存在隱蔽信道。若僅存一個(gè)子類，則對(duì)其進(jìn)行降維投影處理，完成多維空間的構(gòu)造，通過(guò)明確子類個(gè)數(shù)，判斷隱蔽信道是否存在。

4 移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道檢測(cè)算法優(yōu)化

傳統(tǒng)算法多用于低維數(shù)據(jù)的處理計(jì)算，僅有少量高維數(shù)據(jù)的處理需求參與其中，所以，檢測(cè)效率優(yōu)勢(shì)比較明顯。但實(shí)際網(wǎng)絡(luò)的頻率一般較高，在沒(méi)有隱蔽信道存在的情況下，也會(huì)生成聚類，因此，為了獲得更準(zhǔn)確的檢測(cè)結(jié)果，對(duì)傳統(tǒng)檢測(cè)算法進(jìn)行優(yōu)化改進(jìn)。

根據(jù)上述網(wǎng)絡(luò)隱蔽信道屬性聚類與屬性濾除結(jié)果，在移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道的檢測(cè)過(guò)程中，將數(shù)據(jù)包傳輸?shù)拈g隔時(shí)長(zhǎng)序列T作為所要檢測(cè)的目標(biāo)，采用建模算法分別設(shè)計(jì)出基于正常信道的網(wǎng)絡(luò)間隔時(shí)長(zhǎng)模型與基于隱蔽信道的網(wǎng)絡(luò)間隔時(shí)長(zhǎng)模型，通過(guò)比較兩種模型達(dá)成檢測(cè)目標(biāo)，如果間隔時(shí)長(zhǎng)序列為正常狀態(tài)，那么不存在隱蔽信道，反之，則含有隱蔽信道。

假設(shè)任意一條鏈路的數(shù)據(jù)包間隔時(shí)長(zhǎng)序列為T={ti}，其中，i=1，2，…，n，檢測(cè)窗口N不僅表示檢測(cè)頻率，即每N個(gè)數(shù)據(jù)包檢測(cè)一次，同時(shí)也指代建模窗口，即每N個(gè)數(shù)據(jù)包建模一次，對(duì)比得到的模型M與正常模型M0。

優(yōu)化后算法的具體操作流程描述如下：

1)創(chuàng)建數(shù)據(jù)包間隔時(shí)長(zhǎng)序列T的模型，得到待檢測(cè)模型M1。對(duì)檢測(cè)模型M進(jìn)行初始化，并滿足下列條件式

M.win＿size=win＿size

(6)

M.clusters=clusters

(7)

上式中，聚類與計(jì)算窗口的大小為win＿size，也就是每有win＿size個(gè)數(shù)據(jù)就聚類一次，并推算出分化系數(shù)polarization，聚類數(shù)量為clusters，clusters≥2。

采用下列公式對(duì)聚類次數(shù)進(jìn)行求取

(8)

若次數(shù)不足2次，就無(wú)法實(shí)現(xiàn)多個(gè)子類間的差異計(jì)算，則建模操作終止。

依據(jù)窗口大小與聚類數(shù)量，聚類第i組數(shù)據(jù){t(i-1)×win＿size+1，t(i-1)×win＿size+2，…，ti×win＿size}，其中，i=1，2，…，x-1，基于取得的聚類結(jié)果Ci，獲取該組數(shù)據(jù)的分化系數(shù)polarizationi。

同理聚類第i+1組數(shù)據(jù)，解得對(duì)應(yīng)的聚類結(jié)果Ci+1與分化系數(shù)polarizationi+1。

對(duì)聚類結(jié)果Ci與Ci+1間的余弦相似度[7，8]cos 與歐幾里得距離dist進(jìn)行求解，設(shè)定計(jì)算結(jié)果分別為cosi和disti。

(9)

(10)

(11)

式中，聚類次數(shù)為x，所以，所得的余弦相似度與歐幾里得距離個(gè)數(shù)為x-1。

(12)

(13)

(14)

依據(jù)正常模型M0的特征，采用下列公式完成待檢測(cè)模型M1的檢測(cè)

(15)

(16)

(17)

3)若模型之間的關(guān)系不符合上列條件式，表明模型M1存在異常，實(shí)施報(bào)警；相反，則說(shuō)明待檢測(cè)模型M1正常，該次檢測(cè)流程結(jié)束，對(duì)鏈路[9，10]上的數(shù)據(jù)包間隔時(shí)長(zhǎng)序列進(jìn)行重新采集，開始下一檢測(cè)周期。

根據(jù)上述分析，得到檢測(cè)優(yōu)化算法流程圖如下所示。

圖2 檢測(cè)算法具體流程圖

5 仿真研究

為了體現(xiàn)本文算法的適用性與有效性，分別采用基于壓縮感知算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法(方法1)、基于弱能量并行算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法(方法2)以及基于LS頻域算法的網(wǎng)絡(luò)隱蔽信道檢測(cè)法(方法3)與本文算法進(jìn)行對(duì)比，對(duì)MBCTC主動(dòng)式隱蔽信道和Liquid被動(dòng)式隱蔽信道實(shí)施檢測(cè)。

5.1 實(shí)驗(yàn)環(huán)境

仿真環(huán)境為英特爾酷睿i5-2520M處理器，運(yùn)行內(nèi)存4GB，Linux操作系統(tǒng)，所有分析均通過(guò)MATLAB實(shí)現(xiàn)。實(shí)驗(yàn)采用數(shù)據(jù)集為KDD CUP-99，該數(shù)據(jù)集是由不同網(wǎng)絡(luò)流量和攻擊手段生成的真實(shí)數(shù)據(jù)集。其中，共有500萬(wàn)條數(shù)據(jù)，數(shù)據(jù)異常類型被分為4大類。針對(duì)主動(dòng)式隱蔽信道，1000個(gè)主動(dòng)發(fā)送的數(shù)據(jù)包格式為正常HTTP，MBCTC的時(shí)間間隔擬合于正常HTTP數(shù)據(jù)包；對(duì)于被動(dòng)式隱蔽信道，對(duì)數(shù)據(jù)包進(jìn)行重放，通過(guò)編碼算法完成數(shù)據(jù)包延時(shí)。

5.2 結(jié)果與分析

1)主動(dòng)式隱蔽信道檢測(cè)效果

圖3為不同方法針對(duì)主動(dòng)式隱蔽信道檢測(cè)準(zhǔn)確性的對(duì)比結(jié)果。

圖3 主動(dòng)式隱蔽信道檢測(cè)準(zhǔn)確率

通過(guò)圖3可以看出，雖然在實(shí)驗(yàn)前期和中期不同方法對(duì)主動(dòng)式隱蔽信道的檢測(cè)結(jié)果的準(zhǔn)確率差距不明顯，但是到實(shí)驗(yàn)后期，本文方法的檢測(cè)準(zhǔn)確率一直處于較高水平，其最高值達(dá)到了90%，說(shuō)明該方法能夠?qū)崿F(xiàn)對(duì)主動(dòng)式隱蔽信道的準(zhǔn)確檢測(cè)。

2)被動(dòng)式隱蔽信道檢測(cè)效果

圖4為不同方法針對(duì)被動(dòng)式隱蔽信道檢測(cè)準(zhǔn)確性的對(duì)比結(jié)果。

圖4 被動(dòng)式隱蔽信道檢測(cè)值

從圖4中能夠發(fā)現(xiàn)，不同方法針對(duì)被動(dòng)式隱蔽信道的檢測(cè)結(jié)果準(zhǔn)確率均呈現(xiàn)明顯降低的趨勢(shì)，但隨著實(shí)驗(yàn)次數(shù)的不斷增加，本文方法的檢測(cè)結(jié)果準(zhǔn)確率仍然高于現(xiàn)有方法，說(shuō)明本文方法不僅可以對(duì)主動(dòng)式隱蔽信道進(jìn)行有效檢測(cè)，還可以對(duì)被動(dòng)式隱蔽信道進(jìn)行準(zhǔn)確檢測(cè)。這是由于該方法根據(jù)數(shù)據(jù)包傳輸?shù)拈g隔時(shí)長(zhǎng)序列，設(shè)計(jì)了正常信道和隱蔽信道下的網(wǎng)絡(luò)間隔時(shí)長(zhǎng)模型，通過(guò)比較兩種模型相鄰子類之間相關(guān)指標(biāo)完成了對(duì)信道的有效檢測(cè)。

6 結(jié)論

隨著網(wǎng)絡(luò)信息的應(yīng)用，信息安全需求日益提升，為此，本文提出一種移動(dòng)網(wǎng)絡(luò)時(shí)間隱蔽信道檢測(cè)優(yōu)化算法，根據(jù)隱蔽信道傳輸?shù)目傮w二進(jìn)制串，探索信道的架構(gòu)原理，劃分?jǐn)?shù)據(jù)集為相似子集類，利用聚類算法實(shí)施計(jì)算，使內(nèi)部元素相似的各個(gè)子類存在差異性，采用兩點(diǎn)間的模長(zhǎng)度量子類之間的差異化，從而推導(dǎo)出子類的相似度，通過(guò)在一個(gè)鄰域中尋找數(shù)據(jù)的聚類，對(duì)高密度數(shù)據(jù)進(jìn)行聚合，基于得到的多個(gè)聚類核個(gè)數(shù)與坐標(biāo)，完成樣本數(shù)據(jù)與聚類核的關(guān)系建立，依據(jù)聚類數(shù)量與計(jì)算窗口大小，分別創(chuàng)建正常信道與隱蔽信道的網(wǎng)絡(luò)間隔時(shí)長(zhǎng)模型，對(duì)比兩個(gè)模型相鄰子類的各項(xiàng)指標(biāo)參數(shù)，令隱蔽信道檢測(cè)得以實(shí)現(xiàn)。實(shí)驗(yàn)結(jié)果驗(yàn)證，該方法的檢測(cè)準(zhǔn)確性優(yōu)于現(xiàn)有方法，尤其是對(duì)主動(dòng)式隱蔽信道的檢測(cè)準(zhǔn)確率達(dá)到了90%，說(shuō)明該方法具有廣闊的發(fā)展空間與較強(qiáng)的實(shí)踐價(jià)值，為今后相關(guān)領(lǐng)域研究提供了有效的數(shù)據(jù)資料與建設(shè)性的理論指導(dǎo)。