研究生毕业答辩报告

基于信息熵SVM的ICMP隐蔽通道检测研究指导老师:***人：***绪论ICMP下的隐蔽通道基于信息熵的样本缩减策略支持向量机模型的选择信息熵SVM模型主要内容：一、绪论1.研究背景隐蔽通道(CovertChannel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。据英国网站theregister报道，目前很多新的木马程序通过ICMP（互联网控制信息协议）将盗取的数据传给攻击者，而不采用较为普遍使用的邮件或HTTP信息包裹的方式，因此极具隐蔽性。因此，研究ICMP的安全性就显得尤为重要。2.国内外研究现状国外研究现状03年TaeshikSohn[1]等人先对ICMP负载进行特征提取，作为输入向量，利用支持向量机(SVM)检测ICMP隐蔽通道。07年StevenGianvecchio和王海宁[2]将熵和条件熵理论用于检测网络隐蔽时间通道，根据文献[3]的隐蔽信道分类，以ICMP有效负载隐蔽信息的通道属于网络存储通道，因此该方法不适用于本研究，但其将信息熵用于检测隐蔽通道的思想值得借鉴。08年ZouheirTrabelsi等[4]研究了ICMP协议下的文件和信息隐蔽传输，构造了可以绕过防火墙的ICMP隐蔽通道，但未提出如何检测。2.国内外研究现状国内研究现状目前国内专门针对ICMP网络隐蔽通道检测的研究很少，大部分研究都是对网络隐蔽通道的检测。02年薛晋康[5]等人设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。06年中国科学院的华元彬[6]等人，提出了基于数据融合思想的链路分析法来检测网络隐蔽通道，该方法存在误报，且实时性较差。09年南京工业大学林小进[7]等人，提出了基于ICMP协议的木马通信技术，不但能穿越防火墙，还构建了ICMP隐蔽通道。3.主要研究内容在分析ICMP数据流负载熵值和IP流对熵差分布特征的基础上，提出了基于信息熵的训练样本集缩减策略。对核函数的选取问题进行了一些探索，并尝试建立若干选取规则，分别解决了核函数的类型及核参数选取的问题，构造出一种有效的混合核函数构造可用于大规模数据集下ICMP隐蔽通道检测模型—信息熵支持向量机模型二、ICMP协议下的隐蔽通道1.ICMP协议概述ICMP(InternetControlMessageProtocol)主要是用来进行错误信息和控制信息的传递，它属于TCP/IP协议报中的网络层协议。ICMP报文是放在一个IP数据报的数据部分中通过互联网的。ICMP消息在以下几种情况下发送:①数据报不能到达目的地时，②网关己经失去缓存功能，③网关能够引导主机在更短路由上发送。2.ICMP报文类型ICMP有多种类型的报文，不同类型由报文中的类型字段和代码字段来共同决定。在15种ICMP类型的报文中，我们最关心的是类型0x0和类型0x8。例如Ping和Trace工具都是利用ICMP协议中的0x0和类型0x8报文进行工作的，ICMP常用的报文类型如表1所示。(1)利用Ping命令隐藏信息建立隐蔽通道Ping是判断远程主机是否可以到达的工具，使用一个或多个ICMPECHO数据包来探测主机地址是否存活。ICMPECHO数据包的选项部分可以填写数据，通常是用来记录ICMP报文沿途经过的路由器地址以及沿途经过路由器时耗费的时间，根据操作系统的不同，其负载部分的填充数据也不尽相同，如表2所示：3.ICMP协议中隐蔽通道的实现许多网络设备考虑ICMP流量是良性，对其负载部分不进行检测，因此，攻击者可以将生成的任意信息隐藏在ICMP的有效负载中。这样，我们可以建立隐蔽通道，把要发送的数据隐藏在ICMP数据包包头的选项域(OptionalData)中。下图1表示出：在利用ICMP协议实现的Ping命令中，秘密数据隐藏的地方：（1）利用Ping命令隐藏信息建立隐蔽通道利用ICMP进行通讯，构建隐蔽通道首先要加载winsock库,创建ICMP原始套接字,使用原始套接字可以自已设定ICMP数据包的格式,然后填写ICMP数据包的信息，具体见下图2：（2）ICMP隐蔽通道程序的实现过程1.ICMP数据流熵值分布特征分析信息熵是Shannon于1948年提出，用于解决对信息的量化度量问题。信息的随机性越大，熵值也就越大。本文信息熵用来度量ICMP回送请求/应答数据包负载中数据信息量的大小，公式：其中:Pn为ICMP数据包负载中字符n出现的概率，n为任一ASCII字符。根据熵值公式对采集到的为期10天的ICMP数据流（type0/8）的有效负载进行熵值计算，其熵值分布如图3：三、基于信息熵的样本缩减策略图3(a)中，似乎整个流量由信息量峰值低于1bit/packet的低熵数据流构成，这是合乎情理的，因为绝大多数的ICMP回应请求数据包中包含重复字符，且研究表明在英文文献中不同英文字符的标准信息熵为0.6~1.3bits/character[36]。仔细观看图3(b)，在高熵数据流这个规模，最大信息量为8bit/packet，这时ICMP有效载荷是由整个ASCII字符集（0-254）的数据组成，而信息量为5.5~6.0bit/packet的流量更值得引起注意，这种数据包中包含了少数单词，且熵值分布很分散，但仅从ICMP数据流的熵值分布来看，我们还无法确定哪些ICMP数据包中存在隐蔽通道，为此我们引入熵标准差的概念。在介绍熵标准差之前先引入一个定义：定义1：在给定的单位时间内流经同一对目的地址和源地址的ICMP数据流，我们称之为一个IP流对。熵标准差的计算公式为：其中：n为一IP流对内样本个数（ICMP数据包个数），j为变量（j=0,1,…,n）,Hj为样本j的熵值，为样本熵值平均数.　1.ICMP数据流熵值分布特征分析为了进一步分析ICMP数据流的熵值分布特性，我们分别选取500对不含隐蔽通道的正常IP流对和500对含有隐蔽通道的异常IP流对，计算其熵标准差，熵标准差分布情况见上图4、5所示。从图4中看出正常IP流对的熵标准差值分布很集中，且近95%的IP流对的熵标准差为0。但相对正常的IP流对，含有隐蔽通道的IP流对的熵标准差分布则大相径庭，如上图5所示。虽然从IP流对的熵标准差分布，我们也很难确定哪些IP流对中肯定存在隐蔽通道，但我们发现在500对正常IP流对中，有474对熵标准差为0的IP流对，那么在不影响分类精度的情况下，我们能不能将熵标准差为0的IP流对作为正常数据筛选掉呢？基于这样的思想，我们提出了基于信息熵的训练样本集缩减策略，具体缩减步骤如下：（1）对采集到的ICMP数据流进行IP流对统计（2）计算每个IP流对熵标准差（3）筛选掉熵标准差为0的IP流对（4）将筛选后得缩减样本集作为最终训练集2.训练样本集缩减策略为了证明该缩减策略的有效性，我们从两个方面稍加验证：(1)理论分析：攻击者建立ICMP隐蔽通道，其目的就是将隐蔽信息或者恶意数据通过该通道一点点传递出去，对任意一个熵标准差为0的IP流对而言，意味着在检测时间内该IP流对内的所有ICMP数据负载内容完全相同，那么这样的ICMP数据包内肯定不会存在隐蔽通道。(2)实验：为了验证提出的缩减策略的正确性，我们将筛选掉的熵标准差为0的某一IP流对内的样本数据（100个），作为T.Sohn等提出的检测ICMP隐蔽通道方法的试验数据集，进行ICMP隐蔽通道检测的实验，实验结果见下表3。3.训练样本集缩减策略有效性证明从表3，我们看出该IP流对中不存在隐蔽通道。我们又经过多次试验，结果都表明几乎所有的熵标准差为0的IP流对中都不存在隐蔽通道。在本研究的实验结果部分也证实了我们的缩减策略方法是有效的、正确的。*FP=FalsePositive)(%),FN=FalseNegative(%),TC=TotalCorrectness(%)，CN=TheNumberofCoverchannel采用SVM求解问题需要选择一个核函数。尽管只要满足Mercer条件的函数在理论上都可选为核函数，但不同的核函数，其性能完全不同。核函数类别及其参数选择、二次规划参数选择统称为模型选择。1.核函数及其方法特点核函数的定义并不困难，根据泛函的有关理论，只要一种函数满足Mercer条件，它就对应某一变换空间的内积。对于判断哪些函数是核函数到目前为止也取得了重要的突破，得到了Mercer定理和以下常用的核函数类型：四、支持向量机模型的选择1.核函数及其方法特点(1)线性核函数：(2)多项式核函数：(3)径向基（RBF)核函数：(4)傅立叶核函数：(5)Sigmoid核函数：核函数方法的广泛应用，与其特点是分不开的:（1）核函数的引入避免了“维数灾难”，大大减小了计算量。而输入空间的维数二对核函数矩阵无影响，因此，核函数方法可以有效处理高维输入；（2）无需知道非线性变换函数的形式和参数；（3）核函数的形式和参数的变化会隐式地改变从输入空间到特征空间的映射，进而对特征空间的性质产生影响，最终改变各种核函数方法的性能；（4）核函数方法可以和不同的算法相结合，形成多种不同的基于核函数技术的方法，且这两部分的设计可以单独进行，并可以为不同的应用选择不同的核函数和算法；（5）核函数的确定比较容易，只要满足Mercer条件的任意对称函数都可以。1.核函数及其方法特点RBF核函数、多项式核函数和傅立叶核函数各自都有突出的优点且有很强的互补性，自然地可以想象到用RBF核函数和比较简单的多项式核函数、傅立叶核函数的混合形式能够针对不同的实际问题构造出更为理想的核函数。为了叙述方便，我们先引入如下符号：其中为权参数，代表着这三类核函数在混合核函数中占的比重。d，，q称为核参数。2.混合核函数SVM的构建在前人对于核函数的研究基础上，对核函数的选取问题进行了一些探索，并尝试建立若干如下选取规则：规则1：取核函数:规则2：规则3：规则4：由选取规则，我们得到最终混合核函数为：2.混合核函数SVM的构建为了将信息熵方法引入到支持向量机建模中，对ICMP隐蔽通道进行检测，本文设计了一个基于信息熵SVM的ICMP隐蔽通道检测模型，见下图6： 五、信息熵SVM模型(1)数据采集模块本研究中的数据采集实际的校园网中进行的，使用数据包嗅探器—Tcpdump，采集试验数据，采集环境见下图7：1.各功能模块介绍环境的具体配置下表4：实验选取的数据所采用的数据集由训练数据集和测试数据集组成，见表5。1.各功能模块介绍数据集1,正类数据集(Tcpdumppackets)。该数据集由网络数据采集分析工具Tcpdump在教育主干网上采集到的20000个样本组成，暂作为正类数据集，其中6000个作为训练数据，14000个作为测试数据。数据集2，负类数据集(Loki2packets,VNCCpackets)。该数据集由两部分数据组成：隐蔽通道工具Loki2[37,38]构造的2000个样本，其中1000个作为训练数据，1000个作为测试数据；由VNCC产生的500个样本全部作为测试数据。这两部分数据暂作为负类数据集。1.主要功能模块介绍(2)数据预处理模块ICMP数据包中的负载数据长度可能会不尽相同，而且有可能不是数字类型，所以必须要将量化后数据转换为支持向量机能够识别的数字向量形式。首先对采集到的ICMP数据包负载分别抽取13维数据和15维数据（13维+4字节包头数据），见下图8，其中每维数据由ICMP数据包中2个字节数据构成。然后进行归一化处理，作为输入向量。归一化范围是在0到1之间。1.主要功能模块介绍(3)样本缩减模块该模块的主要工作是根据本文提出的IP流对的概念，先计算IP流对内ICMP数据包负载的信息熵，然后根据熵标准差公式计算该IP流对的熵标准差，由本研究提出的训练样本集缩减策略，筛选掉熵标准差为0的样本，最后将剩余的样本集作为训练样本集进行训练。1.主要功能模块介绍(4)SVM分类器该模块也是ICMP隐蔽通道检测的核心部分，其性能将直接影响到整个系统的精度和效率。其工作过程分为两个阶段：训练阶段和检测阶段，训练阶段用于确定支持向量机分类器的参数及核函数的选取，在本研究中选用我们构建的混合核函数。检测阶段对实际需要检测的ICMP样本数据(这些样本数据也是从数据预处理模块中得到的)进行预测。1.主要功能模块介绍2.试验结果验证(1)基于信息熵的样本缩减策略的有效性证明为了验证该策略的有效性，下面就分类精度和训练时间上，对本文提出的信息熵SVM检测方法与T.Sohn等人提出的SVM检测方法进行比较，结果列于下表6，图9，核函数都分别采用多项式核函数和RBF核函数。(1)基于信息熵的样本缩减策略的有效性证明信息熵SVM方法与SVM方法在使用同样的核函数进行试验的情况下，从表6可以看出，前者相比后者其分类精度有所降低，但是训练时间在相同样本下明显减少，见图9.(2)选取混合核函数的实验结果为了考察采用混合核核函数的应用效果，这里将采用三种核函数的分类结果、训练时间列于下表7，图10进行对比分析：2.试验结果验证从表7，图10试验结果，并综合分类精度和训练时间两方面因素考虑，总体上来说采用本文构建的作为核函数分类效果较好。(2)选取混合核函数的实验结果六、总结1.主要工作（1）在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上，提出了基于信息熵的训练样本集缩减策略。（2）在前人对于核函数的研究基础上，对核函数的选取问题进行了一些探索，并尝试建立若干选取规则，分别解决了核函数的类型及核参数选取的问题，构造出一种有效的混合核函数。（3）构造出可用于大规模数据集下的ICMP隐蔽通道检测模型—信息熵SVM模型2.不足与下一步工作(1)试验中仅限于对采集到的部分样本进行试验，还不能完全排除使用该缩减策略筛选掉的样本中存在隐蔽通道的可能性。(2)在支持向量机的训练过程中，混合核函数及其参数的选择是经验的，没有经过严格的数学证明。本研究提出得基于信息熵SVM的检测方法，只对ICMP协议下的隐蔽通道进行检测，能否将该检测方法应用到其他协议下的隐蔽通道检测，比如TCP/IP协议下的隐蔽通道检测，将是下一步的研究重点。六、总结参考文献[1]T.Sohn,T.Noh,J.Moon.CovertChannelDetectionintheICMPPayloadUsingSupportVectorMachine.InSecondInternationalWorkshoponMathematicalMethods,Models,andArchitecturesforComputerNetworks,pages828-835,September2005[2]S.Gianvecchio,H.Wang.DetectingCovertTimingChannels:AnEntropy-BasedApproach.InProceedingsof14thACMConferenceonComputerandCommunicationSecurity(CCS),November2007.[3]D.Llamas,C.Allison,A.Miller.CovertChannelsinInternetProtocols:ASurvey.InProceedingsofthe6thAnnualPostgraduateSymposiumabouttheConvergenceofTelecommunications,NetworkingandBroadcasting,PGNET2005,June2005.[4]ZouheirTrabelsi,WassimEl-Hajj,andSafuatHamdy.ImplementationofanICMP-BasedCovertChannelforFileandMessageTransfer.Electronics,CircuitsandSystems,2008.ICECS2008.15thIEEEInternationalConference.2008,11:894~897[5]　薛晋康，许士博等.基于流量分析的网络隐蔽通道检测模型[J].计算机工程,2002(12):46~48.[6]　华元彬，蒋建春等.基于链路分析法的复合隐蔽通道检测[J].计算机应用,2006(1):81~83.[7]林小进,钱江.基于ICMP的木马通信技术研究[J].计算机应用，2009，5(1):102~104感谢！