针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法与流程
本发明涉及网络与信息安全技术,具体涉及一种针对bittorrent文件共享过程中基于have消息编码的隐蔽通信检测方法。
背景技术:
网络隐写作为一种隐蔽通信方式,利用合法的数据流作为载体在网络中传递秘密信息。政府、企业和个人通过利用网络隐信道进行隐秘通信,安全地传递重要信息。但同时,网络隐写也会被不法组织和个人利用,以传递有害信息,威胁公众安全。因此,检测网络隐写的存在,防止危害发生,是至关主要的环节。隐写的检测技术作为网络安全防护领域内的一项非常重要的技术,引起了研究者的广泛关注,而且目前为止已经取得了很多的研究成果。
bittorrent网络是目前被广大网络用户普遍使用的文件传输共享方式,是一种p2p技术的具体应用、扩展。近年来p2p技术飞速发展,基于p2p以及bittorrent的隐蔽通信方法也应运而生。
peer消息作为bittorrent网络通信不可或缺的组成部分,对于推动整个bt网络的运行起着至关重要的作用,而且peer消息通信容量大,在bt数据流中占据着绝对比例,have消息是一种通信频繁且分布有序的peer消息,每当一个完整的数据块block下载完毕,该客户端节点peer即可向外发送与之对应的have消息,have消息的负载为一个整数,且其整体分布呈上升趋势。由于have消息具有通信频繁、分布有序以及修改负载不会引起系统错误的特点,该消息很容易被不法分子利用,以传递隐秘信息。
差值映射编码是一种常用的编码方式,首先选择一组样本数据,若传输秘密信息’0’,则在原数据基础上减1,若传输秘密信息’1’,则在原数据基础上加1。接收方只要将接收的二进制数与样本数据作对比,便可完成解码工作。如原数据为{12,25,27,40,49},所要嵌入秘密信息为{1,1,0,1,1},则嵌入后的数据为{13,26,26,41,50}。将差值映射编码应用在have消息的传输中,不仅具有较高的鲁棒性,而且具有较高的信道容量。
目前尚无公开文献提出对于have消息隐蔽通信的检测方法。
技术实现要素:
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种针对bittorrent文件共享过程中基于have消息编码的隐蔽通信检测方法,本发明提取正常通信与隐蔽通信的信息熵、ε相似度、方差三种特征,使用所提特征构建贝叶斯分类器,将待测数据送入贝叶斯分类器进行分类,以此判断待测数据是否含密。
技术方案:本发明一种针对bittorrent文件共享过程中基于have消息编码的隐蔽通信检测方法,包括以下流程:
步骤1:设置数据捕获器,利用数据捕获器捕获正常数据,并筛选出其中的have消息;
步骤2:设置数据处理器,利用数据处理器提取每个正常数据have消息中的负载,该have消息中负载为一个正整数且呈不断上升的趋势,计算每两个相邻负载数字之间的差值,并将计算结果组成一个一维数组,该一维数组含n个元素;
步骤3:设置窗口分割器,利用窗口分割器将正常数据分割为l个窗口,每个窗口包含w个正常数据;
步骤4:设置特征提取器,提取每个窗口数据的信息熵h、ε=0.9时的ε相似度、方差三种特征,其中信息熵h可由公式(1)计算:
将正常数据的包间时延分为大小相等的k块,计算时延信息落在每个块中的概率pi,pi=n/w,n为落入第i个小块时延个数,再由pi求得信息熵h,此处,取自然常数e为log的底数;
首先对原始数据的包间时延按照由小到大进行排序,由公式(2)计算排序后第i个包间时延ti与第i+1个包间时延ti+1的差异率difi,其中w为窗口大小,差异率小于ε的包间时延所占的百分比称为ε-相似度,由公式(3)计算ε-相似度,其中num(dif<ε)为差异率小于ε的包间时延总数;
difi=|ti-ti+1|/ti,1≤i≤w-1(2)
e=num(dif<ε)/(w-1)(3)
方差可由公式(4)得出:
s2=[(t1-a)2+(t2-a)2+…+(tw-a)2]/w(4)
a为该窗口包间时延的均值,一个窗口内有w个包间时延且分别用t1~tw表示,将所有窗口的三种特征提取完毕,可以得到两个维数为l*3的特征矩阵,其中一个为正常数据的特征矩阵,一个为含密数据的特征矩阵;
步骤5:设置数据捕获器,利用数据捕获器捕获待测数据,并筛选出其中的have消息;
步骤6:设置数据处理器,利用数据处理器提取have消息中的负载,计算每相邻两个负载数字之间的差值,并将计算结果组成一个一维数组,该一维数组包含n+个元素;
步骤7:设置窗口分割器,利用窗口分割器将待测数据分割为l+个窗口,每个窗口包含w个数据;
步骤8:设置特征提取器,提取每个窗口数据的信息熵、ε=0.9时的ε相似度、方差三种特征,组成一个l+*3的特征矩阵;
步骤9:设置贝叶斯分类器,将正常数据的特征矩阵分为两部分,一部分作为样本数据,另一部分作为训练数据,由公式(5)计算训练数据和样本数据3种特征的后验概率之积h,并得到求得若干个h的均值m、方差v和检测阈值th=m+αv,其中α为自定义的常量函数,用于调整检测阈值;
其中c为样本包含种类且c为正常数据,xi为待测数据的特征,p(xi|c)表示当确定样本为正常数据时特征为xi的后验概率;
同时把待测数据的特征矩阵输入贝叶斯分类器,由公式(5)计算待测数据和样本数据的后验概率之积得到h+同阈值th作比较,若大于th可认为该窗口数据为正常数据,反之,则认为该窗口数据为含密数据。
进一步的,所述步骤1中的数据捕获器采用wireshark。
进一步的,所述步骤2中的数据处理器采用matlab。
进一步的,所述步骤3中窗口分割器可视实际情况将数据分割为大小任意的窗口。
有益效果:本发明在提取数据三种特征的基础上,使用了贝叶斯分类器进行分类工作,可有效克服单一特征带来的虚警率高的问题,得到可靠的检测结果。
附图说明
图1为本发明的流程示意图;
图2为实施例中窗口为1000时的分类结果示意图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
实施例1:
图1为基于贝叶斯分类器的检测流程示意图,本实施例中针对bittorrent文件共享过程中基于have消息编码的隐蔽通信检测方法,首先捕获正常数据和待测数据,分别提取正常数和待测数据的信息熵、ε相似度以及方差三个特征,以正常数据作为训练数据,待测数据作为测试数据输入贝叶斯分类器(其中对正常数据和待测数据的处理过程不分先后);具体流程如下:
步骤1:设置数据捕获器,利用数据捕获器捕获正常数据,并筛选出其中的have消息。
步骤2:设置数据处理器,利用数据处理器提取每个正常数据have消息中的负载(该消息中负载即一个正整数,且呈不断上升的趋势),计算每相邻两个负载数字之间的差值,并将计算结果组成一个一维数组,该数组含40000个元素。
步骤3:设置窗口分割器,利用窗口分割器将正常数据分割为40个窗口,每个窗口包含1000个数据。
步骤4:设置特征提取器,提取每个窗口数据的信息熵、ε=0.9时的ε相似度、方差三种特征。其中信息熵h可由公式(1)计算:
将正常数据的包间时延分为大小相等的9块,计算时延信息落在每个块中的概率pi,再由pi求得信息熵,在本文实验中取自然常数e为log的底数。
首先对原始数据按照由小到大进行排序,由公式(2)计算排序后第i个包间时延ti与第i+1个包间时延ti+1的差异率difi,其中w为窗口大小。差异率小于ε的包间时延所占的百分比称为ε-相似度,由公式(3)计算ε-相似度,其中num(dif<ε)为差异率小于ε的包间时延总数。
difi=|ti-ti+1|/ti,1≤i≤w-1(2)
e=num(dif<ε)/(w-1)(3)
方差可由公式(4)得出:
s2=[(t1-a)2+(t2-a)2+…+(tw-a)2]/w(4)
其中a为该窗口包间时延的均值,t1,…,tw为包间时延。
将所有窗口的三种特征提取完毕,可以得到一个维数为40*3的特征矩阵。
步骤5:设置数据捕获器,利用数据捕获器捕获待测数据,并筛选出其中的have消息。
步骤6:设置数据处理器,利用数据处理器提取have消息中的负载,计算每相邻两个负载数字之间的差值,并将计算结果组成一个一维数组,该数组包含20000个元素。
步骤7:设置窗口分割器,利用窗口分割器将待测数据分割为20个窗口,每个窗口包含1000个数据。
步骤8:设置特征提取器,提取每个窗口数据的信息熵、ε=0.9时的ε相似度、方差三种特征,组成一个20*3的特征矩阵。
步骤9:设置贝叶斯分类器,将40正常数据的特征矩阵分为两部分,一部分20组作为样本数据,20组作为训练数据,由公式(5)计算训练数据和样本数据3种特征的后验概率之积h,并得到求得若干个h的均值2506.1、方差1311.5和检测阈值th=1194.6。
其中c为样本包含种类,此处,c为正常数据,xi为待测数据的特征,p(xi|c)表示当确定样本为正常数据时特征为xi的后验概率。
同时把待测数据的特征矩阵输入贝叶斯分类器,由公式(5)计算待测数据和样本数据的后验概率之积得到h+同阈值th=1194.6作比较,若大于th=1194.6可认为该窗口数据为正常数据,反之,则认为该窗口数据为含密数据。
本实施例中设定窗口等于1000,其分类结果如图2所示,纵轴上的数值1代表该窗口数据为正常数据,纵轴上的数值2代表该窗口数据为含密数据。直线为待测数据的真实值,菱形符号为使用贝叶斯分类器的预测值,在20次试验中,使用贝叶斯分类器均可得到准确的结果,可见本发明在检测bittorrent文件共享过程中基于have消息编码的隐蔽通信中具有良好的效果。
- 还没有人留言评论。精彩留言会获得点赞!