韓 煦 金 華

（江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院 鎮(zhèn)江 212013）

1 引言

隨著網(wǎng)絡(luò)帶寬的快速提升，網(wǎng)絡(luò)隱通道作為威脅網(wǎng)絡(luò)通信安全的主要因素，其危害性日益突出。網(wǎng)絡(luò)隱通道的識(shí)別、檢測(cè)和消除已成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要問題。網(wǎng)絡(luò)隱通道指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的信道，并且難以被檢測(cè)的惡意通信機(jī)制［1～3］。根據(jù)傳輸載體的不同，可將網(wǎng)絡(luò)隱通道分為網(wǎng)絡(luò)存儲(chǔ)隱通道和網(wǎng)絡(luò)時(shí)間隱通道。網(wǎng)絡(luò)存儲(chǔ)隱通道通過更改協(xié)議數(shù)據(jù)單元以隱藏信息，網(wǎng)絡(luò)時(shí)間隱通道是指通過變換網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送速率、發(fā)送時(shí)間、PDU 順序等數(shù)據(jù)包的時(shí)間特性來對(duì)隱蔽信息進(jìn)行編碼［4～5］。

近年來，國(guó)內(nèi)外的研究者提出了一些針對(duì)網(wǎng)絡(luò)時(shí)間隱通道的檢測(cè)方法，Cabuk 等［6］利用隱通道嵌入過程中留下的指紋信息，設(shè)計(jì)了一種基于數(shù)據(jù)包到達(dá)時(shí)間分布的度量方法。網(wǎng)絡(luò)時(shí)間隱通道在IPD（包間延遲序列）上呈現(xiàn)規(guī)律的模式，而常規(guī)流量的IPD 可能缺乏這樣的規(guī)律模式。通過觀察流量的IPD 分布規(guī)律，能夠檢測(cè)出隱通道。在文獻(xiàn)［7］中，研究了兩個(gè)非參數(shù)統(tǒng)計(jì)檢驗(yàn)的p 值作為檢測(cè)參數(shù)，稱為K-L 檢驗(yàn)和Welch 的T 檢驗(yàn)。文獻(xiàn)［8］中提出基于熵的方法來檢測(cè)隱通道，他們把網(wǎng)絡(luò)時(shí)間隱通道的檢測(cè)分為兩類：基于形狀的和基于規(guī)律的檢測(cè)。IPD 的形狀可以用一階統(tǒng)計(jì)量描述，IPD 的規(guī)律可以用高階統(tǒng)計(jì)量描述。然后，作者提出利用熵和修正條件熵來檢測(cè)隱通道?；贠ne-class SVM［9］等機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)時(shí)間隱通道檢測(cè)框架，通過提取網(wǎng)絡(luò)通道中IPD 各階的統(tǒng)計(jì)特征作為通信指紋來訓(xùn)練分類器，并利用該分類器來檢測(cè)隱通道。

現(xiàn)有的檢測(cè)方法可以有效地檢測(cè)出大部分的網(wǎng)絡(luò)時(shí)間隱通道，但需要事先知道隱通道構(gòu)造算法，且對(duì)網(wǎng)絡(luò)環(huán)境高度敏感，需要提取大量數(shù)據(jù)并經(jīng)過復(fù)雜的計(jì)算，此外，現(xiàn)有的方法只反映了網(wǎng)絡(luò)時(shí)間隱通道的一維特征，僅能檢測(cè)一類網(wǎng)絡(luò)時(shí)間隱通道。本文提出一種基于二維圖像特征的檢測(cè)方法，該方法通過提取網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)間間隔、數(shù)據(jù)包長(zhǎng)度［10］兩種特征分量，對(duì)兩種特征分量的數(shù)值進(jìn)行歸一化處理后，構(gòu)造能夠描述網(wǎng)絡(luò)時(shí)間隱通道特征的二維圖像，通過基于灰度共生矩陣及其統(tǒng)計(jì)特征分析圖像紋理特性，從而將網(wǎng)絡(luò)流隱蔽信道在時(shí)間軸上的特性關(guān)系反映到二維圖像的紋理特性上。實(shí)驗(yàn)結(jié)果表明，該檢測(cè)方法能夠反映網(wǎng)絡(luò)時(shí)間隱通道的多維特性，實(shí)現(xiàn)較好的盲檢測(cè)效果，且可以提高檢測(cè)效率和準(zhǔn)確率。

2 基于灰度特征圖像的檢測(cè)方法

2.1 檢測(cè)模型

本文提出的基于二維圖像特征的網(wǎng)絡(luò)時(shí)間隱通道的檢測(cè)模型如圖1所示。

圖1 檢測(cè)模型

網(wǎng)絡(luò)時(shí)間隱通道的時(shí)間間隔、包長(zhǎng)度存在一定的規(guī)律性，本文采集合法通道和網(wǎng)絡(luò)時(shí)間隱通道內(nèi)的數(shù)據(jù)包，提取數(shù)據(jù)包的時(shí)間間隔、包長(zhǎng)度，構(gòu)造能夠描述網(wǎng)絡(luò)時(shí)間隱通道特征的兩種特征分量。由于不同分量的物理意義、數(shù)值范圍、物理單位等均存在較大差異，因此對(duì)兩種特征分量進(jìn)行歸一化處理。將特征分量歸一化后的數(shù)值排列成二維矩陣，分別構(gòu)造每一種特征分量在合法通道和網(wǎng)絡(luò)時(shí)間隱通道下的二維圖像，求取二維圖像的灰度共生矩陣來描述圖像灰度分布及像素相對(duì)位置關(guān)系，計(jì)算灰度共生矩陣的熵、能量、倒數(shù)差分距和對(duì)比度等統(tǒng)計(jì)特征，從而區(qū)分合法信道和隱通道。

2.2 特征歸一化處理

由于包間隔、包長(zhǎng)度［10］兩個(gè)特征分量的物理意義、數(shù)值范圍、物理單位存在較大差異，不利于構(gòu)造特征圖像并進(jìn)行分析，且提取的數(shù)據(jù)可能有過大或過小的存在，對(duì)構(gòu)造灰度特征圖像進(jìn)行分析有影響，因此對(duì)特征分量的數(shù)值進(jìn)行歸一化處理，將兩個(gè)特征分量的數(shù)值映射到0～255 范圍之內(nèi)。而高斯歸一化［11］最大的特點(diǎn)就是可以使少量過大或過小的特征值對(duì)歸一化后整體元素分布情況的影響較小，因此我們對(duì)每一個(gè)類型特征的數(shù)據(jù)進(jìn)行高斯歸一化。

特征分量x經(jīng)過高斯歸一化后的數(shù)值為

令p 分別取包間隔Δt、包長(zhǎng)度L，記歸一化后的包間隔序列為｛Δt1'，Δt2'，…Δti'，Δtn'｝，包長(zhǎng)度序列為｛L1'，L2'，…Li'，Ln'｝。歸一化后的數(shù)值如表1、表2 所示。

表1 IPD值歸一化

表2 包長(zhǎng)度數(shù)值歸一化

2.3 灰度共生矩陣

構(gòu)造灰度共生矩陣［12］是一種常見的描述圖像特征的方法，主要測(cè)量圖像中像素亮度值的不同組合出現(xiàn)的頻率，能夠描繪像素間的空間關(guān)系。通常情況下，網(wǎng)絡(luò)流中合法通道的數(shù)據(jù)包的時(shí)間間隔、包長(zhǎng)度是以隨機(jī)數(shù)的形式呈現(xiàn)，而含有隱通道的數(shù)據(jù)包的時(shí)間間隔、包長(zhǎng)度往往呈現(xiàn)一定的規(guī)律性，因此構(gòu)造灰度共生矩陣對(duì)二維圖像進(jìn)行紋理特征分析。取歸一化后的特征分量包間隔、包長(zhǎng)度序列中的n個(gè)數(shù)值分別作為像素的灰度值，排列成j*j的二維矩陣，其中n=j*j，j 取不同的數(shù)值且為4 的整數(shù)倍，分別構(gòu)造對(duì)應(yīng)的二維圖像，設(shè)（x'，y'）為其中一張二維圖像中任意一點(diǎn)，灰度值為f（x'，y'），dx'，dy'代表偏移量，定義在θ方向上，間距為d 的兩個(gè)像素灰度值為a 和b 的像素概率記為p（a，b|d，θ），那么共生矩陣表達(dá)式為

其中，（x'，y'）分別取包間隔、包長(zhǎng)度二維圖像中的一點(diǎn)，即（Δtx'，Δty'）、（Lx'，Ly'），灰度值分別為f（Δtx'，Δty'）、f（Lx'，Ly'）。基于便于計(jì)算以及具有代表性的考慮，θ取值為0°，45°，90°，135°。

2.4 灰度共生矩陣統(tǒng)計(jì)特征

2.4.1 圖像的能量（ASM）

圖像的能量（ASM）［13］是矩陣范數(shù)的一種，又稱為角二階矩，能量范圍為［0，1］，其中1 表示一個(gè)常數(shù)圖像，計(jì)算公式為

圖像的能量能夠描繪出圖像均勻性特征，圖像越均勻，其能量值越大；反之，其能量值則越小，圖像越不均勻。

2.4.2 圖像的倒數(shù)差分距（HOM）

圖像的倒數(shù)差分距（HOM）是反映二維圖像局部紋理強(qiáng)度均勻性狀況的度量，圖像的局部紋理越均勻，它的倒數(shù)差分距的值越大，計(jì)算公式為

2.4.3 圖像的熵（ENT）

圖像的熵（ENT）用來描述圖像的復(fù)雜度，一幅沒有任何紋理的圖像，它的灰度共生矩陣的熵值近似為零。若圖像紋理較多，灰度分布不均勻，則數(shù)值近似相等，熵值最大；相反，若圖像紋理較少，則熵值較小，計(jì)算公式為

2.4.4 圖像的對(duì)比度（CON）

圖像的對(duì)比度（CON）是一個(gè)像素點(diǎn)與其相鄰像素在相對(duì)位置上的相對(duì)強(qiáng)度對(duì)比，對(duì)比度范圍為［0，j2］，j為對(duì)稱矩陣的長(zhǎng)度，計(jì)算公式為

灰度共生矩陣的對(duì)比度是用來描述圖像在局部變化上的程度的，圖像的對(duì)比度值越小，則表明該圖像在灰度上存在較小差異。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

本文實(shí)際網(wǎng)絡(luò)環(huán)境實(shí)驗(yàn)是基于江蘇大學(xué)信息安全實(shí)驗(yàn)室開發(fā)的網(wǎng)絡(luò)時(shí)間隱通道實(shí)驗(yàn)平臺(tái)進(jìn)行實(shí)驗(yàn)驗(yàn)證，該平臺(tái)具有三種模式的隱通道實(shí)驗(yàn)通信系統(tǒng)：1）在線/離線通道，在線或離線的情況下均能建立傳輸通道；2）時(shí)間間隔隔通道，能夠改變數(shù)據(jù)包之間的時(shí)間間隔通道；3）包長(zhǎng)度通道，可將實(shí)驗(yàn)數(shù)據(jù)包按照既定的長(zhǎng)度進(jìn)行發(fā)送。在網(wǎng)絡(luò)時(shí)間隱通道實(shí)驗(yàn)平臺(tái)的基礎(chǔ)上進(jìn)行了隱通道檢測(cè)實(shí)驗(yàn)，并基于噪聲干擾器對(duì)各種不同噪聲進(jìn)行了模擬。實(shí)驗(yàn)環(huán)境部署如圖2所示。

圖2 隱通道檢測(cè)實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)利用wireshark 采集合法通道的數(shù)據(jù)包800000 個(gè)，以及時(shí)間間隔隱通道和數(shù)據(jù)包長(zhǎng)度隱通道產(chǎn)生的數(shù)據(jù)包各800000 個(gè)，分別提取合法通道和時(shí)間間隔隱通道的特征分量時(shí)間間隔序列，以及合法通道和包長(zhǎng)度隱通道的特征分量包長(zhǎng)度序列。在上述實(shí)驗(yàn)平臺(tái)的基礎(chǔ)上進(jìn)行實(shí)驗(yàn)與分析，所有實(shí)驗(yàn)結(jié)果都是根據(jù)目標(biāo)性能分析指定相同系統(tǒng)參數(shù)的條件下，通過主動(dòng)調(diào)節(jié)目標(biāo)參數(shù)，經(jīng)過20～30次重復(fù)實(shí)驗(yàn)后，取其平均值。

3.2 實(shí)驗(yàn)結(jié)果分析

3.2.1 網(wǎng)絡(luò)流映射圖像

當(dāng)j=128 時(shí)，合法通道的時(shí)間間隔的二維灰度圖像與時(shí)間間隔隱通道的二維灰度圖像，以及合法通道的包長(zhǎng)度的二維灰度圖像與包長(zhǎng)度隱通道的二維灰度圖像分別如圖3、圖4所示。

圖3 時(shí)間間隔的二維圖像

圖4 包長(zhǎng)度的二維圖像

直觀來看，合法通道的時(shí)間間隔和包長(zhǎng)度的二維灰度圖像相對(duì)來說更為雜亂無章，而時(shí)間間隔隱通道和包長(zhǎng)度隱通道的二維灰度圖像色調(diào)更為單一，紋理更加有序。

3.2.2 映射圖像紋理特征比較

為了考察時(shí)間間隔序列長(zhǎng)度對(duì)灰度共生矩陣統(tǒng)計(jì)特征的影響，計(jì)算不同檢測(cè)窗口下的二維圖像的灰度共生矩陣統(tǒng)計(jì)特征值?？梢钥吹皆谳^小的檢測(cè)窗口下，時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值與合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值有顯著差異，隨著時(shí)間間隔序列長(zhǎng)度的增大，灰度共生矩陣的統(tǒng)計(jì)值趨于固定。

時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征能量（ASM）、倒數(shù)差分距（HOM）均大于合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征圖像的能量（ASM）、倒數(shù)差分距（HOM），如圖5 所示。時(shí)間間隔隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對(duì)比度（CON）均小于合法通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對(duì)比度（CON），如圖6 所示。這說明時(shí)間間隔隱通道的二維圖像的紋理相對(duì)于合法通道來說更加均勻，局部變化相對(duì)較小。因此當(dāng)數(shù)據(jù)包的時(shí)間間隔的二維圖像的特征ASM＞0.015，HOM＞0.25，ENT＜4，CON＜15，可以判定為時(shí)間間隔隱通道。

圖5 當(dāng)j取不同的值時(shí)，合法通道和時(shí)間間隔隱通道的能量與倒數(shù)差分距

圖6 當(dāng)j取不同的值時(shí)，合法通道和時(shí)間間隔隱通道的熵與對(duì)比度

為了考察包長(zhǎng)度序列長(zhǎng)度對(duì)灰度共生矩陣的統(tǒng)計(jì)特征的影響，計(jì)算不同檢測(cè)窗口下二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征，通過圖7、圖8說明特征值的范圍和變化情況?？梢钥吹皆谳^小的檢測(cè)窗口下，包長(zhǎng)度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征值波動(dòng)明顯且與合法通道二維圖像的統(tǒng)計(jì)特征值相差較小，當(dāng)j達(dá)到100 以上，統(tǒng)計(jì)特征值處于一個(gè)相對(duì)穩(wěn)定的范圍，因此隨著包長(zhǎng)度序列長(zhǎng)度的增大，灰度共生矩陣的統(tǒng)計(jì)特征值趨于穩(wěn)定。

包長(zhǎng)度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征能量（ASM）、倒數(shù)差分距（HOM）均小于合法通道二維圖像的灰度特征圖像的能量（ASM）、倒數(shù)差分距（HOM），如圖7 所示，包長(zhǎng)度隱通道二維圖像的灰度共生矩陣的統(tǒng)計(jì)特征熵（ENT）、對(duì)比度（CON）均大于合法通道二維圖像的灰度共生矩陣的熵（ENT）、對(duì)比度（CON），如圖8 所示，這說明包長(zhǎng)度隱通道的二維圖像的紋理相對(duì)于合法通道來說更不均勻，局部變化相對(duì)較大。因此當(dāng)數(shù)據(jù)包的時(shí)間間隔的二維圖像的特征屬性ASM＜0.03，HOM＜0.3，ENT＞3.8，CON＞7，可以判定為包長(zhǎng)度隱通道。

圖7 當(dāng)j取不同的值時(shí)，合法通道和包長(zhǎng)度隱通道的能量值以及倒數(shù)差分距

圖8 當(dāng)j取不同的值時(shí)，合法通道和包長(zhǎng)度隱通道的熵與對(duì)比度

我們又分別采集200000 個(gè)合法通道和時(shí)間間隔隱通道、包長(zhǎng)度隱通道包作為測(cè)試集，分別用真陽(yáng)率和假陽(yáng)率兩個(gè)指標(biāo)來說明檢測(cè)方法的有效性。真陽(yáng)率［14］指的是在測(cè)試集中，隱通道被正確識(shí)別出來的比例；假陽(yáng)率指的是在測(cè)試集中合法通道被誤判為隱通信的比例。我們將本文提出的檢測(cè)方法與支持向量機(jī)［15］檢測(cè)方法進(jìn)行了比較，結(jié)果如表3 所示，本文針對(duì)包長(zhǎng)度隱通道的檢測(cè)率也進(jìn)行了計(jì)算，結(jié)果如表4所示。

表3 時(shí)間間隔隱通道檢測(cè)率比較

表4 包長(zhǎng)度隱通道檢測(cè)率

傳統(tǒng)的網(wǎng)絡(luò)時(shí)間隱通道檢測(cè)方法，如支持向量機(jī)檢測(cè)方法，僅能反映網(wǎng)絡(luò)流中數(shù)據(jù)包的一維特征，檢測(cè)范圍限定在通過變換網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送時(shí)間這一種類型的網(wǎng)絡(luò)時(shí)間隱通道，且有一定的誤報(bào)率，本文提出的檢測(cè)方法能夠描述網(wǎng)絡(luò)流數(shù)據(jù)包的二維特征，可以檢測(cè)多種類型的網(wǎng)絡(luò)時(shí)間隱通道，且當(dāng)提取一定數(shù)量的數(shù)據(jù)包時(shí)有較好的檢測(cè)效果。

4 結(jié)語

本文提出了一種基于二維圖像特征的網(wǎng)絡(luò)時(shí)間隱通道檢測(cè)方法，不同于以往的檢測(cè)方法，基于二維圖像特征的檢測(cè)方法提取數(shù)據(jù)包的多個(gè)特征分量并對(duì)其數(shù)值進(jìn)行歸一化，將一維的特征分量處理成二維圖像，通過灰度共生矩陣的統(tǒng)計(jì)特征閾值進(jìn)行隱通道檢測(cè)。模擬試驗(yàn)結(jié)果顯示，該方法可以比較有效地對(duì)網(wǎng)絡(luò)隱通道進(jìn)行區(qū)分，且減少了計(jì)算量，提高了檢測(cè)準(zhǔn)確率，起到盲檢測(cè)的效果，同時(shí)，該方法還能有效檢測(cè)包長(zhǎng)度隱通道。