陳虹呂 王詩蕊 李峰 王俊峰

時(shí)間型網(wǎng)絡(luò)隱蔽信道是一種隱蔽性極高的信息泄露方式.其作為APT攻擊的主要通信手段，對網(wǎng)絡(luò)安全產(chǎn)生了極大威脅.目前針對隱蔽信道的檢測方法通用性不足、誤檢率高，且人工提取流量特征耗時(shí)耗力.本文提出了一種基于灰度圖像轉(zhuǎn)化的檢測方法.該方法將報(bào)文到達(dá)時(shí)間間隔歸一化，轉(zhuǎn)換成像素值，再將其轉(zhuǎn)為灰度圖像，由此把一維序列分類問題轉(zhuǎn)成二維圖像分類問題.本文使用卷積神經(jīng)網(wǎng)絡(luò)自動(dòng)獲取圖像特征，并利用卷積塊注意力模塊，從空間與通道兩個(gè)維度進(jìn)行特征自適應(yīng)優(yōu)化.本文用合法流量和隱蔽信道流量組成的數(shù)據(jù)集訓(xùn)練網(wǎng)絡(luò)，所得到的二分類模型用于判別被檢測流量是否為時(shí)間型隱蔽信道流量.最后將提出的方法與現(xiàn)有的4種檢測方法做對比.實(shí)驗(yàn)結(jié)果表明，本文方法具有更高的精確率和召回率，所得模型的通用性更好且誤檢率更低.

時(shí)間型隱蔽信道; 灰度圖像; 卷積神經(jīng)網(wǎng)絡(luò); 注意力

TP393A2023.033003

收稿日期： 2022-06-24

基金項(xiàng)目： 國家重點(diǎn)研發(fā)計(jì)劃（2019QY1400）; 國家自然科學(xué)基金（U2133208）; 四川省青年科技創(chuàng)新研究團(tuán)隊(duì)（2022JDTD0014）

作者簡介： 陳虹呂（1997-）， 女， 重慶人， 碩士研究生， 研究方向?yàn)榫W(wǎng)絡(luò)空間安全. E-mail： 13088021029@163.com

通訊作者： 王俊峰. E-mail： wangjf@scu.edu.cn

Covert timing channel detection method based on grayscale image transformation

CHEN Hong-Lü1， WANG Shi-Rui2， LI Feng1， WANG Jun-Feng1

（1. College of Computer Science （College of Software）， Sichuan University， Chengdu 610065， China;

2. National Industrial Information Security Development Research Center， Beijing 100040， China）

Network covert timing channel is a highly concealed method of information leakage. As the main communication method of APT attack， it poses a great threat to network security. The current detection methods for covert channel are insufficient generality， have high false detection rate， and manual extraction of features is time-consuming. This paper proposes a detection method based on grayscale image transformation. This method normalizes the inter-arrival time sequence of packets， and converts them into pixel values， and then converts into a grayscale image， thereby transforming a problem of one-dimensional sequence classification into a problem of two-dimensional image classification. The authors use the Convolutional Neural Networks to automatically acquire image features， and use the Convolutional Block Attention Module to optimize the feature adaptively from two dimensions of space and channel. The authors train the network with the data set composed of legitimate traffic and covert channel traffic， and the obtained binary classifier can be used to judge whether the detected traffic is covert timing channel traffic. Finally， the proposed approach is compared with the four existing detection methods. The experimental results show that the proposed method has higher precision and recall rate， and the proposed model has better generality and lower false detection rate.

Covert timing channel; Grayscale image; Convolutional neural network; Attention

1 引 言

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展，信息安全問題變得日益嚴(yán)峻.為規(guī)避信息泄露事故的發(fā)生，網(wǎng)絡(luò)入侵檢測也更加嚴(yán)格.因此，如何繞過檢測系統(tǒng)盜取信息成為了攻擊者的研究熱點(diǎn).目前存在一種名為隱蔽信道的信息盜竊方式，它憑借極高的隱蔽性令許多入侵檢測系統(tǒng)束手無策［1］.隱蔽信道這一概念在1973年由Lampson等首次提出［2］，它利用協(xié)議的規(guī)則漏洞，通過現(xiàn)有系統(tǒng)資源來傳輸信息，而這些資源本不該用于傳輸數(shù)據(jù).隱蔽信道對于目前的網(wǎng)絡(luò)安全機(jī)制不可見，它的高隱蔽性給網(wǎng)絡(luò)環(huán)境帶來了極大的安全隱患.因此，對隱蔽信道檢測方法的研究具有重要意義.

隱蔽信道大多數(shù)時(shí)候被用于非法目的.例如，高級可持續(xù)性威脅（APT）攻擊中，隱蔽信道常常作為信息回傳的工具;一些APT組織會(huì)利用隱蔽信道潛伏在網(wǎng)絡(luò)中搜集政府的隱私信息［3］;計(jì)算機(jī)病毒可以通過隱蔽信道在不被發(fā)現(xiàn)的情況下自行傳播［4］.2010年發(fā)生了一場名為“極光行動(dòng)”的攻擊，攻擊者利用IE漏洞和基于SSL協(xié)議的隱蔽信道，獲取到谷歌的賬號密碼等信息，導(dǎo)致谷歌網(wǎng)絡(luò)被滲入數(shù)月，大量機(jī)密數(shù)據(jù)被竊取［5］.

網(wǎng)絡(luò)隱蔽信道作為信息安全中一個(gè)重要研究領(lǐng)域越來越受到重視［6］

.我國的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GBl7859-1999）［7］以及國際標(biāo)準(zhǔn)化組織 ISO 發(fā)布的《信息技術(shù)安全評估通用準(zhǔn)則》（ISO/IEC 15408）［8］對隱蔽信道分析提出了明確規(guī)定，要求高安全等級的信息系統(tǒng)必須進(jìn)行隱蔽信道分析.因此，對隱蔽信道檢測方法的研究具有著現(xiàn)實(shí)的需求和意義.

網(wǎng)絡(luò)隱蔽信道種類繁多，根據(jù)它們隱藏信息的載體差異可分為兩類：時(shí)間型隱蔽信道和存儲(chǔ)型隱蔽信道［9］.存儲(chǔ)型隱蔽信道，顧名思義，是以通信雙方的共享資源為載體傳遞隱蔽信息，共享資源主要包括協(xié)議的首部字段，如：IP協(xié)議的服務(wù)類型（TOS）［10］、標(biāo)志位（flag）［11］、生存時(shí)間（TTL）［12］字段、TCP協(xié)議的序列號（ISN）字段［13］和SSH協(xié)議的MAC字段［14］等.存儲(chǔ)型隱蔽信道受到網(wǎng)絡(luò)協(xié)議的嚴(yán)格約束，不能偏離特定行為.針對這一類型，通常只需要監(jiān)視數(shù)據(jù)包的特定字段，判斷其取值范圍和分布是否存在異常即可.而時(shí)間型隱蔽信道則利用報(bào)文的時(shí)間特性來傳遞隱蔽信息，如：報(bào)文的發(fā)送時(shí)間、到達(dá)時(shí)間間隔等.它只改變報(bào)文的時(shí)間特性，并不違反網(wǎng)絡(luò)安全策略，與存儲(chǔ)型信道相比，有著更大的隨機(jī)性和更強(qiáng)的隱蔽性，因此對該類型的信道檢測更具挑戰(zhàn).針對時(shí)間型隱蔽信道的檢測成為了近年來相關(guān)領(lǐng)域的熱門研究課題.目前有學(xué)者針對時(shí)間型隱蔽信道提出了不同的檢測方法，但經(jīng)調(diào)研，這些方法只在特定類型的信道上有較好的效果，且對合法流量的誤報(bào)率較高.

針對上述問題，本文提出了一種新穎的基于灰度圖像轉(zhuǎn)化的時(shí)間型隱蔽信道檢測方法，該方法先將報(bào)文到達(dá)接收方的時(shí)間間隔歸一化，再轉(zhuǎn)換為灰度圖像.在此基礎(chǔ)上利用二維卷積神經(jīng)網(wǎng)絡(luò)（2D-CNN）和卷積塊注意力模塊（CBAM）訓(xùn)練二分類模型，以達(dá)到更好的檢測效果.本文的主要?jiǎng)?chuàng)新和貢獻(xiàn)如下：（1） 提出了基于灰度圖像轉(zhuǎn)化的時(shí)間型網(wǎng)絡(luò)隱蔽信道檢測方法，將流量可視化，把一維序列分類問題轉(zhuǎn)換為二維圖像分類問題，使用圖像分類技術(shù)檢測隱蔽信道.（2） 提出了將卷積神經(jīng)網(wǎng)絡(luò)和CBAM注意力模塊相結(jié)合的自動(dòng)檢測方法，從圖像空間維度和網(wǎng)絡(luò)通道維度分別生成注意力特征圖并加以融合，該方法在檢測性能上優(yōu)于手工提取特征的方法.（3） 本文仿真了四種經(jīng)典的時(shí)間型隱蔽信道并收集了隱蔽信道流量，結(jié)合真實(shí)環(huán)境下的合法流量進(jìn)行大量的實(shí)驗(yàn).實(shí)驗(yàn)結(jié)果表明，本文提出的方法可以實(shí)現(xiàn)隱蔽信道的自動(dòng)檢測，該方法具有更好的通用性，較其他方法在精確率、召回率上均有一定提升.

2 相關(guān)工作

網(wǎng)絡(luò)隱蔽信道按照傳輸數(shù)據(jù)的網(wǎng)絡(luò)資源類型可分為兩類：存儲(chǔ)型和時(shí)間型.由于本文的研究主要針對時(shí)間型隱蔽信道，因此對存儲(chǔ)型不再展開介紹.下面我們將對經(jīng)典的時(shí)間型隱蔽信道的設(shè)計(jì)、現(xiàn)有的檢測方法及圖像處理的應(yīng)用展開介紹.

2.1 時(shí)間型隱蔽信道

在本文中，我們主要關(guān)注4種經(jīng)典的時(shí)間型隱蔽信道：BER、GAS、CAB和ZAN.我們采用了在文獻(xiàn)中首次提出這種隱蔽信道設(shè)計(jì)的作者名字的前三個(gè)字母大寫來命名.本小節(jié)將詳細(xì)介紹這4種隱蔽信道的設(shè)計(jì).

（1） BER.對于BER［15］隱蔽信道，我們首先設(shè)定兩個(gè)值：t0和t1.把需要發(fā)送的隱蔽信息編碼為二進(jìn)制的形式，當(dāng)需要發(fā)送0時(shí)，就將報(bào)文時(shí)間間隔設(shè)置為t0;當(dāng)需要發(fā)送1時(shí)，就將時(shí)間間隔設(shè)置為t1.接收方收到報(bào)文后，可以根據(jù)提前約定好的規(guī)則解碼二進(jìn)制數(shù)據(jù)，從而提取隱蔽信息.

（2） GAS.Gasior等人［16］提出了一種新的嵌入隱蔽信息的方法.首先需要設(shè)定一個(gè)基準(zhǔn)值th：當(dāng)需要發(fā)送0時(shí)，在th上減去一個(gè)隨機(jī)值Δt，作為報(bào)文時(shí)間間隔;當(dāng)需要發(fā)送1時(shí)，則在th的基礎(chǔ)上加上Δt.接收方通過比較真實(shí)的報(bào)文到達(dá)時(shí)間間隔和th的值來解碼信息.

（3） CAB.Cabuk［17］提出了時(shí)間重放隱蔽信道.該信道在作者早期提出的模型上做了改進(jìn).為了規(guī)避基于統(tǒng)計(jì)方法的檢測，該信道選取了合法流量的報(bào)文時(shí)間間隔，將間隔值排序后，選取一個(gè)閾值，根據(jù)閾值將時(shí)間間隔分為兩個(gè)不相交的集合T0和T1.從間隔值較小的集合T0中無重復(fù)地隨機(jī)選取一個(gè)值代表0;相應(yīng)地，從集合T1中隨機(jī)選取一個(gè)值代表1.

（4） ZAN.Zander等人［18］提出了ZAN信道，它源自一種將隱蔽信息編碼進(jìn)IP報(bào)文TTL字段的調(diào)制技術(shù).作者將初始間隔時(shí)間設(shè)為t0.當(dāng)發(fā)送數(shù)據(jù)0時(shí)，保持間隔時(shí)間不變，即tk=tk-1;當(dāng)發(fā)送數(shù)據(jù)1時(shí)，在上一個(gè)間隔時(shí)間tk-1的基礎(chǔ)上加上或減去一個(gè)隨機(jī)值ε，即tk=tk-1±ε.

2.2 檢測方法介紹

經(jīng)典的時(shí)間型隱蔽信道檢測方法可分為三類：基于統(tǒng)計(jì)的方法、基于熵的方法和基于機(jī)器學(xué)習(xí)的方法，下面我們將對這些方法展開介紹.

2.2.1 基于統(tǒng)計(jì)的方法 Cabuk等人［19］提出了一個(gè)基于規(guī)律性度量的方法.將采樣的間隔時(shí)間分為N段，得到每一段的標(biāo)準(zhǔn)差，表示為σ1，σ2，…，σN，然后計(jì)算相鄰σi相對差的標(biāo)準(zhǔn)差，表示為

Regularity=STDEVσi-σjσi，i

Cabuk等人［19］在同一文獻(xiàn)中提出了第二種檢測方法，名為ε-similarity測試.它首先按升序?qū)?bào)文的時(shí)間間隔進(jìn)行排序，排序后的間隔表示為a1，a2，…，an，然后計(jì)算相鄰間隔時(shí)間的相對差|ai-ai+1|ai. ε-similarity即為相對差小于ε的百分比.Yang等人［20］提出可以使用Kolmogorov-Smirnov（K-S）測試，度量待測樣本與預(yù)期合法流量樣本的經(jīng)驗(yàn)分布函數(shù)差距，來將隱蔽信道和合法流量區(qū)分開來.距離較大則表明可能存在隱蔽信道.Rezaei 等人［21］提出了使用Spearman-Rho測試、Mann-Whitney-Wilcoxon秩和檢驗(yàn)、Wilcoxon秩序檢驗(yàn)三種非參數(shù)統(tǒng)計(jì)測試來檢驗(yàn)是否存在隱蔽信道流量.

2.2.2 基于熵的方法 Gianvecchio等人［22］提出使用熵和修正條件熵來檢測隱蔽信道.熵值較高意味著隨機(jī)性較大;而熵值低意味著數(shù)據(jù)分布可能存在固定模式，則樣本為隱蔽信道流量的可能性更高.為了同時(shí)評估待測數(shù)據(jù)的分布特性和數(shù)值特性，張宇飛等人［23］提出了使用差分信息熵來檢測隱蔽信道的方法，該方法對數(shù)據(jù)的變化具有更高的敏感度.

2.2.3 基于機(jī)器學(xué)習(xí)的方法 Shresth等人［24］提出使用SVM的方法檢測隱蔽信道，他們使用報(bào)文到達(dá)時(shí)間間隔的4個(gè)統(tǒng)計(jì)特征作為流量指紋：K-S值、regularity分?jǐn)?shù)、熵和修正條件熵.通過四個(gè)指紋訓(xùn)練模型來檢測隱蔽信道.Fu等人［25］提出了基于隨機(jī)森林的檢測方法，方法中用到了8個(gè)統(tǒng)計(jì)特征.Darwish［26］提出了一種基于層次特征提取的方法，根據(jù)提前制定的規(guī)則對每一層特征進(jìn)行剪枝處理，結(jié)合深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練檢測模型，該方法在檢測準(zhǔn)確率上有較大的提升.Han等人［27］提出了一種基于時(shí)間間隔和有效載荷長度分析的檢測方法，該方法提取了與時(shí)間和載荷相關(guān)的20個(gè)統(tǒng)計(jì)量，并最終驗(yàn)證了使用KNN算法的模型相比其他算法具有更好的檢測性能.Wu等人［28］提出將時(shí)間間隔離散化后轉(zhuǎn)換為符號序列，通過計(jì)算狀態(tài)轉(zhuǎn)換概率矩陣來檢測隱蔽信道.

現(xiàn)有方法雖然對部分隱蔽信道有一定的檢測效果，但依然存在以下缺點(diǎn)：（1） 大多數(shù)方法通過手動(dòng)提取特征，序列中的局部顯著性特征難以得到關(guān)注并有效地表達(dá).且手動(dòng)選擇特征過度依賴專家知識，耗時(shí)耗力，特征的好壞直接影響模型的檢測性能，特征的適應(yīng)性和表征性不足會(huì)導(dǎo)致模型的魯棒性降低.（2） 模型通用性和泛化能力不足，只能對部分隱蔽信道有較好的效果，無法可靠地檢測出多種類型的信道.（3） 現(xiàn)有方法對合法流量的誤報(bào)率較高.

2.3 圖像技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用

近年來，圖像技術(shù)被廣泛應(yīng)用于其他領(lǐng)域，包括網(wǎng)絡(luò)安全領(lǐng)域.眾多研究表明，圖像技術(shù)在處理分類問題上有較高的準(zhǔn)確性.

Nataraj等人［29］使用圖像處理技術(shù)將二進(jìn)制代碼樣本結(jié)構(gòu)轉(zhuǎn)換為二維灰度圖像，然后從這些圖像中提取各種特征，以訓(xùn)練機(jī)器學(xué)習(xí)分類器來檢測惡意軟件.該分類器在檢測多種類型的惡意軟件時(shí)達(dá)到了97.18%的準(zhǔn)確率.2017年，Chen等人［30］鑒于傳統(tǒng)IP流量分類嚴(yán)重依賴于手工特征提取，提出了將序列轉(zhuǎn)化為圖像后利用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行分類的新方法，并用實(shí)驗(yàn)驗(yàn)證了該方法的有效性.2018年，Taheri等人［31］提出將合法流量和僵尸網(wǎng)絡(luò)流量數(shù)據(jù)轉(zhuǎn)換為圖像，再利用DenseNet訓(xùn)練分類器來檢測僵尸網(wǎng)絡(luò)的方法.2020年，He等人［32］提出了將會(huì)話的前幾個(gè)非零有效載荷轉(zhuǎn)換為灰度圖像，并使用卷積神經(jīng)網(wǎng)絡(luò)對轉(zhuǎn)換后的灰度圖像進(jìn)行分類，來分類加密后的網(wǎng)絡(luò)流量. Al-Eidi［33］提出了將時(shí)間型隱蔽信道流量轉(zhuǎn)化為彩色圖像，手動(dòng)提取圖像的8個(gè)常見特征，用以訓(xùn)練分類器，以克服統(tǒng)計(jì)方法檢測精度低的缺點(diǎn).

鑒于現(xiàn)有隱蔽信道檢測方法的缺點(diǎn)，以及圖像處理技術(shù)在解決網(wǎng)絡(luò)安全領(lǐng)域問題時(shí)較為有效，本文提出了一種基于灰度圖像轉(zhuǎn)化的時(shí)間型隱蔽信道檢測方法.該方法將報(bào)文時(shí)間間隔序列轉(zhuǎn)換為灰度圖像，結(jié)合CNN和CBAM注意力模塊訓(xùn)練分類器，實(shí)現(xiàn)了圖像特征的自動(dòng)提取.該方法不再依賴專家知識，節(jié)省了人力，且提高了模型的通用性和檢測性能，降低了誤檢率.

3 檢測方法

3.1 方法概述

如圖1，本文的系統(tǒng)架構(gòu)一共由4個(gè)部分組成：數(shù)據(jù)生成、數(shù)據(jù)預(yù)處理、模型訓(xùn)練和模型測試.首先，我們搭建了一個(gè)包含多個(gè)主機(jī)的通信環(huán)境，用于構(gòu)建多種隱蔽信道.兩個(gè)主機(jī)之間通信，生成隱蔽信道流量，用wireshark捕獲流量后保存為pcap文件.合法流量取自MAWI工作組發(fā)布的骨干網(wǎng)絡(luò)日流量.隨后將這些流量做預(yù)處理，根據(jù)<源IP地址，目的IP地址，源端口，目的端口，協(xié)議類型>五元組提取出流，得到每條流的報(bào)文時(shí)間間隔，歸一化后轉(zhuǎn)換為灰度圖像.再用CNN網(wǎng)絡(luò)結(jié)合CBAM注意力模塊訓(xùn)練檢測模型.考慮到現(xiàn)實(shí)場景中會(huì)遇到未知類型的隱蔽信道，因此我們將該檢測問題定為二分類問題.

3.2 數(shù)據(jù)預(yù)處理

由于時(shí)間型隱蔽信道的信息主要藏匿于報(bào)文時(shí)間間隔中，因此本文對流量的主要關(guān)注點(diǎn)也是報(bào)文的時(shí)間間隔.原始數(shù)據(jù)是pcap文件，將文件中的報(bào)文按照五元組<源IP地址，目的IP地址，源端口，目的端口，協(xié)議類型>分流后，提取報(bào)文的到達(dá)時(shí)間間隔，每401個(gè)報(bào)文作為一個(gè)組，則一組應(yīng)包含400個(gè)時(shí)間間隔值.然后我們將400個(gè)值歸一化.歸一化是將數(shù)值的絕對值變成相對關(guān)系，將數(shù)據(jù)限制在所需要的范圍內(nèi).歸一化過程使用了最大最小縮放法，要將原始數(shù)據(jù)歸一化到區(qū)間［a，b］，計(jì)算方法如式（1）和 式（2）所示.其中Xi、Xi′為序列中第i個(gè)數(shù)進(jìn)行歸一變換前后的值，Xmax、Xmin分別為該序列中的最大值和最小值. 該縮放為可逆變換，如式（3）所示.

Xi′=a+kXi-Xmin（1）

k=b-aXmax-Xmin（2）

Xi=Xi′-ak+Xmin（3）

由于要將時(shí)間間隔轉(zhuǎn)為灰度圖像，所以我們選擇的范圍是［0，255］.接下來將處理后的每組數(shù)據(jù)二維排列，從左到右、從上到下地填充一個(gè)20×20的矩陣.矩陣中的每個(gè)位置都代表灰度圖像中的一個(gè)像素點(diǎn).每張圖像都可以在展平后通過式（3）的逆變換變回原始數(shù)據(jù). 由此可見該預(yù)處理為無損變換.

我們采用了Python的ImageIO庫寫入圖像數(shù)據(jù)，圖2是各類隱蔽信道流量和合法流量生成的灰度圖示例.

3.3 模型構(gòu)建

在模型訓(xùn)練中，我們采用卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Networks， CNN）和卷積塊注意力模塊（Convolutional Block Attention Module，CBAM）相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)，如圖3.

CNN是一種被廣泛應(yīng)用于圖像識別領(lǐng)域的神經(jīng)網(wǎng)絡(luò)，它可以實(shí)現(xiàn)圖像特征的自動(dòng)提取.CNN由卷積層、池化層、激活函數(shù)和全連接層組成.通過卷積和池化，網(wǎng)絡(luò)提取不同層次的圖像特征并進(jìn)行壓縮，最終可學(xué)到高層次的特征.CNN模塊輸出的特征圖為F， F∈瘙綆C×H×W.其中C為通道數(shù)，H和W分別為特征圖的高度和寬度.

CBAM是一種混合注意力機(jī)制［34］，它結(jié)合了通道注意力Mc和空間注意力Ms.每個(gè)注意力模塊的輸出都與輸入做運(yùn)算，運(yùn)算結(jié)果作為下一模塊的輸入，如式（4）、式（5）所示.表示哈達(dá)瑪積運(yùn)算，將輸出的特征圖維度與輸入保持一致.

F′=Mc（F）F（4）

F″=Ms（F′）F′（5）

通道注意力模塊的處理過程如式（6）所示.CNN模塊的輸出為F，將作為通道注意力模塊的輸入，使用全局平均池化和最大池化，將特征圖在空間維度進(jìn)行壓縮，傳入共享網(wǎng)絡(luò)MLP，最后經(jīng)激活函數(shù)Sigmoid激活，產(chǎn)生通道注意力權(quán)重Mc（F）， Mc（F）∈瘙綆C×1×1.其中σ為激活函數(shù)Sigmoid.

Mc（F）=σMLPAvgPoolF+MLPMaxPoolF（6）

與通道注意力不同的是，空間注意力模塊關(guān)注特征的空間關(guān)系，分別用平均池化和最大池化壓縮特征圖的通道維度，將池化的結(jié)果拼接后傳入卷積層生成空間注意力權(quán)重MsF′，卷積核為7×7大小，如式（7）.

MsF′=σf7×7（［AvgPoolF′;MaxPool（F′）］）（7）

兩個(gè)注意力模塊在通道和空間兩個(gè)維度互為補(bǔ)充，更好地計(jì)算出注意力特征圖，有益于提升模型的檢測性能.這一點(diǎn)我們將在下一節(jié)的實(shí)驗(yàn)中加以驗(yàn)證.

4 實(shí)驗(yàn)結(jié)果

4.1 數(shù)據(jù)集

為了訓(xùn)練分類模型，我們需要收集隱蔽信道流量和合法流量.其中，合法流量數(shù)據(jù)我們選用了MAWI工作組在2021年10月1日發(fā)布的日流量中的TCP流量［33］.對于隱蔽信道流量，我們選用了2.1小節(jié)中描述的四種經(jīng)典信道BER［14］、GAS［15］、CAB ［16］、ZAN［17］，并根據(jù)它們在原論文中的設(shè)計(jì)進(jìn)行仿真.我們在局域網(wǎng)中部署了3臺(tái)主機(jī)，借助主機(jī)間建立的TCP連接實(shí)現(xiàn)隱蔽通信.

對于BER信道，我們設(shè)置t0=40 ms， t1=80 ms.對于GAS信道，我們設(shè)基準(zhǔn)值th=60 ms，隨機(jī)值Δt范圍為10～40 ms.因此發(fā)送信息0和1的取值分別為th-Δt 和 th+Δt.對于CAB信道，我們提取合法流量中的TCP流，按升序進(jìn)行排列，并將其分為兩個(gè)集合T0和T1，其中T0和T1具有相同的元素個(gè)數(shù). 對于ZAN，我們設(shè)初始值t0=40 ms，隨機(jī)值ε的范圍為30～60 ms.當(dāng)發(fā)送隱蔽信息1時(shí)，我們讓加和減操作交替進(jìn)行，即若tk-1=tk-2+ε，則tk=tk-1-ε.由于ε是一個(gè)隨機(jī)值，為了避免tk過大或者過小，我們約定：若tk-1>80 ms，則tk=tk-1-ε;若tk-1-ε<10 ms，則tk=tk-1+ε.這是因?yàn)楫?dāng)間隔時(shí)間太大，很可能會(huì)呈現(xiàn)較為明顯的異常，這將導(dǎo)致隱蔽信道更容易被檢測出來;若間隔時(shí)間太小，將更容易受到網(wǎng)絡(luò)抖動(dòng)因素的影響而造成信息解碼錯(cuò)誤，因此我們做了間隔范圍的控制.

生成原始數(shù)據(jù)后，我們按照五元組劃分流，然后保存每一條單向流的時(shí)間間隔.我們一共收集了680 000個(gè)合法時(shí)間間隔，然后按照每組400個(gè)間隔進(jìn)行切分，共分為1700組，生成1700張20×20的灰度圖像樣本.其中1600個(gè)樣本被用作訓(xùn)練，100個(gè)被用作測試.對于每類隱蔽信道，我們收集了200 000個(gè)時(shí)間間隔，仍然按照每組400個(gè)間隔進(jìn)行分組，得到500組數(shù)據(jù)，生成500張圖象樣本.其中400張用于訓(xùn)練，100張用于測試.我們讓所有隱蔽信道的訓(xùn)練樣本同時(shí)參與訓(xùn)練，然后對每類隱蔽信道分別進(jìn)行檢測，這樣可以保證訓(xùn)練集和測試集中的合法流量與隱蔽信道流量的樣本比例為1∶1.

4.2 性能評估

我們用基于CNN和CBAM注意力模塊訓(xùn)練得到的模型對每一類隱蔽信道分別進(jìn)行了檢測實(shí)驗(yàn)，本小節(jié)用混淆矩陣來評估模型的檢測性能.

（1） BER.表1展示了我們的模型檢測BER信道的混淆矩陣，合法流量和隱蔽流量的檢測率分別為90%和98%.據(jù)分析，在BER信道上的高檢測率是由于它的編碼規(guī)則將與合法流量的間隔分布呈現(xiàn)較為顯著的差異.BER信道的時(shí)間間隔分布主要取決于通信雙方設(shè)定的兩個(gè)固定值以及隱蔽信息的二進(jìn)制編碼.網(wǎng)絡(luò)抖動(dòng)會(huì)對間隔值的分布產(chǎn)生一定影響，但間隔時(shí)間仍主要分布在t0和t1附近.

（2）GAS.分類模型在GAS信道流量上的實(shí)驗(yàn)結(jié)果如表2所示.隱蔽信道的檢測率為96%，相對BER略有下降，這是因?yàn)镚AS信道中的Δt為間隔時(shí)間賦予了一定的隨機(jī)性.但不可否認(rèn)的是，GAS的編碼規(guī)則依然使得隱蔽流量的分布具有規(guī)律性，呈現(xiàn)出與合法流量不同的特征.

（3） CAB.如表3，我們的模型在CAB信道上的檢測率為91%，這比其他隱蔽信道上的檢測率都低，但也在我們意料之中.因?yàn)镃AB的間隔值選取自合法流量，這導(dǎo)致該信道的數(shù)值特性與合法流量是相似的.在兩個(gè)不相交集合中無重復(fù)的取值會(huì)讓間隔的隨機(jī)性較大，相對其他隱蔽信道來說更難檢測.

（4） ZAN.表4展示了模型對ZAN信道的檢測結(jié)果，結(jié)果顯示模型對隱蔽信道和合法流量的檢測率分別為2%和11%，這表明我們的模型可以檢測出絕大部分ZAN.

4.3 性能對比

為了驗(yàn)證我們提出的模型在檢測性能上的優(yōu)越性，我們選取了四種對比方法，分別是：經(jīng)典的Regularity測試、基于SVM的模型、基于隨機(jī)森林（RF）的模型和基于層次特征提?。℉ier）的方法.為保公正，我們復(fù)現(xiàn)了這四種方法并在同一批數(shù)據(jù)上進(jìn)行了實(shí)驗(yàn).然后選取精度（Precision）、召回率（Recall）、F1分?jǐn)?shù)（F1-score）和誤報(bào)率RFP（Rate of False Positive， RFP）作為評價(jià)指標(biāo).

Precision也叫查準(zhǔn)率，即被預(yù)測為隱蔽信道的樣本中真正為隱蔽信道的樣本比例，見式（8）.其中TP表示模型預(yù)測正確且類別為隱蔽信道的樣本數(shù)，F(xiàn)P表示模型預(yù)測正確且類別為合法流量的樣本數(shù). Precision越高，證明模型預(yù)測為隱蔽信道的出錯(cuò)率越低.

Percision=TPTP+FP（8）

Recall也叫查全率，即所有隱蔽信道樣本中被預(yù)測出來為隱蔽信道的樣本占比，如式（9）.為了系統(tǒng)安全考慮，我們希望盡可能多地檢測出所有隱蔽信道.Recall越高表明該方法越能夠保證系統(tǒng)的安全.

Recall=TPTP+FN（9）

式（10）為F1-score的計(jì)算方式.P代表精度（Precision）； R代表召回率（Recall）.這兩個(gè)指標(biāo)是互相制約的關(guān)系，一味追求更高的精度會(huì)以犧牲召回率為代價(jià)，反之亦然.F1-score綜合考慮了兩者，是評價(jià)一個(gè)模型好壞的關(guān)鍵指標(biāo).F1-score越高，模型的性能越好.

F1-score=2×P×RP+R（10）

已知精度Precision，可以計(jì)算誤報(bào)率RFP，如式（11）. RFP越低，模型的性能越好.

RFP=1-Precision（11）

圖4～圖6分別是Precision、Recall、F1-score三個(gè)評價(jià)指標(biāo)下的對比實(shí)驗(yàn)結(jié)果.其中不同深淺的顏色代表不同的方法，本文提出的方法在圖中每一簇的最后一列，不同簇代表不同種類的隱蔽信道.從圖4中我們可以看出，在Precision指標(biāo)上，我們的方法在四種隱蔽信道上的實(shí)驗(yàn)結(jié)果分別到達(dá)了94%、92%、87%和88%.除了ZAN信道上的SVM方法與我們的方法結(jié)果持平外，其余方法在該指標(biāo)上的實(shí)驗(yàn)結(jié)果均低于我們提出的方法.另外，在Recall和F1-score兩個(gè)指標(biāo)上，我們的方法也明顯優(yōu)于其他方法.圖7展示了我們的方法和對比方法的誤報(bào)率情況.從圖7可以看到，我們的模型除了在ZAN信道上與SVM方法的誤報(bào)率持平在12%，其他情況下的誤報(bào)率都低于對比方法.

以上實(shí)驗(yàn)結(jié)果表明，我們的模型性能優(yōu)于其他對比方法，該模型具有通用性，可以檢測出絕大部分的隱蔽信道，且誤報(bào)率更低.

其次，本小節(jié)的4種對比方法均需手動(dòng)提取流量特征.這需要人工對每種隱蔽信道的報(bào)文時(shí)間間隔序列進(jìn)行分析，總結(jié)多類隱蔽信道的共性，并選取最具表征能力的特征集，此過程將消耗較多時(shí)間.而本文提出的基于圖像的特征自動(dòng)提取方法，將特征提取的過程交予CNN和CBAM注意力機(jī)制相結(jié)合的框架完成，這將節(jié)省約40%的人力成本.

4.4 消融實(shí)驗(yàn)

為了評估基于灰度圖像轉(zhuǎn)化的模型對于隱蔽信道檢測的有效性，我們將基線方法和基于灰度圖像轉(zhuǎn)化的分類方法做了比較.基線定義為將一維卷積神經(jīng)網(wǎng)絡(luò)直接用于時(shí)間間隔序列.我們選取了正確率（Accuracy）、召回率（Recall）、F1分?jǐn)?shù)（F1-score）三個(gè)指標(biāo)來衡量模型的性能.式（12）給出了Accuracy的計(jì)算公式：

Accuracy=TP+TNP+N（12）

其中，TP和TN分別表示模型預(yù)測正確且樣本類別為隱蔽信道和合法流量的個(gè)數(shù)；P和N分別表示類別為隱蔽信道和合法流量的樣本總個(gè)數(shù).有關(guān)Recall和F1-score的計(jì)算方式，上一節(jié)的式（9）、式（10）已經(jīng)給出.為消除實(shí)驗(yàn)的偶然性，我們進(jìn)行了10次隨機(jī)實(shí)驗(yàn)，并計(jì)算實(shí)驗(yàn)結(jié)果的平均值（%）和標(biāo)準(zhǔn)差，如表5～表7，表中的數(shù)字是指標(biāo)平均值，括號中為標(biāo)準(zhǔn)差.

如表5～表7的前兩行所示，與基線模型相比，基于灰度圖像轉(zhuǎn)化的分類模型在Accuracy、Recall、F1-score三個(gè)指標(biāo)上均有所提升.效果最為顯著的是，針對CAB類隱蔽信道的檢測Recall從77.4%提升到了87.3%.結(jié)果表明，將流量轉(zhuǎn)為灰度圖像可以有效地提升模型的檢測性能.

為定量評估CBAM注意力模塊在檢測模型中的貢獻(xiàn)，我們比較了單獨(dú)使用二維卷積神經(jīng)網(wǎng)絡(luò)的模型和加入CBAM注意力模塊后的模型，如表5～表7的后兩行所示.加入CBAM注意力模塊后，模型對各隱蔽信道的檢測效果均有不同程度的提升，針對最難檢測的CAB信道，模型的Accuracy、Recall、F1-score分別提升了0.8%、3.6%和0.9%.根據(jù)定量比較的結(jié)果，我們可以合理推斷： CBAM注意力模塊的加入可以有效提升模型的檢測性能.

5 結(jié) 論

本文分析了現(xiàn)有的時(shí)間型隱蔽信道檢測方法的不足，提出了一種將流量轉(zhuǎn)換成灰度圖像的處理方法.該方法結(jié)合了CNN和CBAM注意力模塊，解決了現(xiàn)有方法檢測通用性不足、誤檢率高的問題.我們的方法在與現(xiàn)有的四類方法比較中，表現(xiàn)出了更好的檢測性能.但由于現(xiàn)實(shí)場景中會(huì)出現(xiàn)更多未知的隱蔽信道，且訓(xùn)練數(shù)據(jù)可能不充分，因此，如何識別出未知的隱蔽信道，且在數(shù)據(jù)不充分的情況下讓模型依然保持較好的檢測性能，是我們未來要探索的方向.

參考文獻(xiàn)：

［1］ Zseby T， Vázquez F I， Bernhardt V， et al. A network steganography lab on detecting TCP/IP covert channels ［J］. IEEE T Educ， 2016， 59： 224.

［2］ Lampson， Butler W. A note on the confinement problem ［J］. Commun ACM， 1973， 16： 613.

［3］ 王曉琪， 李強(qiáng)， 閆廣華， 等. 高級持續(xù)性威脅中隱蔽可疑DNS 行為的檢測［J］. 計(jì)算機(jī)研究與發(fā)展， 2017， 54： 2334.

［4］ 張紅， 申濱， 張燕， 等. 基于卷積神經(jīng)網(wǎng)絡(luò)的寬帶合作頻譜感知［J］.重慶郵電大學(xué)學(xué)報(bào)：自然科學(xué)版， 2022， 34： 766.

［5］ Zander S， Armitage G， Branch P. A survey of covert channels and countermeasures in computer network protocols ［J］. IEEE Commun Surv Tut， 2007， 9： 44.

［6］ 巫祺煒. 高級持續(xù)性威脅（APT）隱蔽信道的檢測研究［D］. 上海： 上海交通大學(xué)， 2016.

［7］ 國家質(zhì)量技術(shù)監(jiān)督局. 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：GB 17859-1999 ［S］.北京： 中國標(biāo)準(zhǔn)出版社， 1999.

［8］ Jones R H， Goodrich J K， Sabiston D C . Information technology-security techniques-evaluation criteria for IT security-part1：introduction and general model ［J］. Inf Technol Stand， 2009， 15： 598.

［9］ 李彥峰， 丁麗萍， 吳敬征， 等. 網(wǎng)絡(luò)隱蔽信道關(guān)鍵技術(shù)研究綜述［J］. 軟件學(xué)報(bào)， 2019， 30： 2470.

［10］ Handel T， Sandford M. Hiding data in the OSI network model ［C］//International Workshop on Information Hiding. Berlin： Springer，? 1996： 23.

［11］ Kundur D， Ahsan K. Practical Internet steganography： data hiding in IP ［J］.Secur Inform? Syst， 2003（2）： 10.

［12］ Zander S， Armitage G J， Branch P A. Covert channels in the IP time to live field ［C］//Australian Telecommunication Networks and Application Conference （ATNAC）.Melbourne： University of Melbourne， 2006.

［13］ Mileva A， Panajotov B. Covert channels in TCP/IP protocol stack-extended version ［J］. Open Comput. Sci， 2014， 4： 45.

［14］ Lucena N B， Pease J， Yadollahpour P， et al. Syntax and semantics-preserving application-layer protocol steganography［C］//International Workshop on Information Hiding. Berlin： Springer，? 2004： 164-179.

［15］ Berk V， Giani A， Cybenko G. Detection of covert channel encoding in network packet delays： TR2005536 ［R］.New Hampshire：? Department of Computer Science， Dartmouth College， 2005： 1.

［16］ Gasior W， Li Y. Network covert channels on the android platform［C］//Proceedings of the Seventh Annual Workshop on Cyber Security and Information Intelligence Research.［S.l.］： ACM， 2011.

［17］ Cabuk S. Network covert channels： Design， analysis， detection， and elimination ［D］.Hammond： Purdue University， 2006.

［18］ Zander S， Armitage G， Branch P. An empirical evaluation of IP time to live covert channels ［C］//Proceedings of the 2007 15th IEEE International Conference on Networks.［S.l］：IEEE， 2007： 42.

［19］ Cabuk S， Brodley C E， Shields C. IP covert timing channels： design and detection ［C］//Proceedings of the 11th ACM Conference on Computer and Communications Security.［S.l.：S.n.］， 2004： 178.

［20］ Yang P， Zhao H， Bao Z. A probability-model-based approach to detect covert timing channel ［C］//Proceedings of the 2015 IEEE International Conference on Information and Automation.Lijiang： IEEE， 2015： 1043.

［21］ Rezaei F， Hempel M， Sharif H. Towards a reliable detection of covert timing channels over real-time network traffic ［J］. IEEE T Depend Secure Comput， 2017， 14： 249.

［22］ Gianvecchio S， Wang H. An entropy-based approach to detecting covert timing channels ［J］. IEEE Trans Dependable Secure Comput， 2010， 8： 785.

［23］ 張宇飛， 沈瑤， 楊威， 等. 差分信息熵的網(wǎng)絡(luò)時(shí)序型隱蔽信道檢測［J］.軟件學(xué)報(bào)， 2019， 30： 1.

［24］ Shrestha P L， Hempel M， Rezaei F， et al. A support vector machine-based framework for detection of covert timing channels ［J］. IEEE Trans Dependable Secure Comput， 2015， 13： 274.

［25］ Li Q， Zhang P， Chen Z， et al. Covert timing channel detection method based on random forest algorithm［C］//Proceedings of the 17th International Conference on Communication Technology （ICCT）.Chengdu： IEEE， 2017： 165.

［26］ Darwish O， Al-Fuqaha A， Brahim G B， et al. Statistical hierarchical analysis with deep neural network-based framework for covert timing channels detection［J］. Appl Soft Comput， 2019， 82： 105546.

［27］ Han J， Huang C， Shi F， et al. Covert timing channel detection method based on time interval and payload length analysis［J］. Comput? Secur， 2020， 97： 101952.

［28］ Wu S， Chen Y， Tian H， et al. Detection of covert timing channel based on time series symbolization［J］. IEEE Open J Commun Soc， 2021， 2： 2372.

［29］ Nataraj L， Karthikeyan S， Jacob G， et al. Malware images： visualization and automatic classification［C］//Proceedings of the 8th International Symposium on Visualization for Cyber Security.［S.l.： s.n.］， 2011： 1.

［30］ Chen Z， Ke H， Jian L， et al. Seq2Img： A sequence-to-image based approach towards IP traffic classification using convolutional neural networks［C］//Proceedings of the International Conference on Big Data.Osaka： IEEE， 2017.

［31］ Taheri S， Salem M， Yuan J S. Leveraging image representation of network traffic data and transfer learning in botnet detection［J］. Big Data Cognit Comput， 2018， 2： 37.

［32］ He Y， Li W. Image-based encrypted traffic classification with convolution neural networks ［C］//Proceedings of the 2020 IEEE 5th International Conference on Data Science in Cyberspace （DSC）. Hong Kong： IEEE， 2020： 271.

［33］ Al-Eidi S， Darwish O， Chen Y， et al. SnapCatch： automatic detection of covert timing channels using image processing and machine learning［J］. IEEE Access， 2020， 9： 177.

［34］ Woo S， Park J， Lee J Y， et al. Cbam： convolutional block attention module［C］//Proceedings of the European Conference on Computer Vision （ECCV）. Munich： ［s.n.］， 2018： 3.

引用本文格式：

中 文： 陳虹呂， 王詩蕊， 李峰， 等.基于灰度圖像轉(zhuǎn)化的時(shí)間型隱蔽信道檢測方法［J］. 四川大學(xué)學(xué)報(bào)： 自然科學(xué)版， 2023， 60： 033003.

英 文： Chen H L，? Wang S R， Li F， et al.Covert timing channel detection method based on grayscale image transformation ［J］. J Sichuan Univ： Nat Sci Ed， 2023， 60： 033003.