基于多尺度流分析技术的隐蔽信道检测方法与流程

本发明涉及隐蔽信道检测方法技术领域，特别是一种基于多尺度流分析技术的隐蔽信道检测方法。

背景技术：

网络隐蔽信道作为一种“网络中的私有通道、通道中的隐形通道、非通道的通道”，具有跨网异构、协议多样、应用多态、隐蔽位置任意、隐蔽方式复杂等特点，导致虽然部署了很多传统安全检测设备，但仍存在大量不能识别的数据及协议，无法对这些通信进行检查和监管。传统隐蔽通道检测技术大多针对单一类型、单一尺度的检测方案，泛化能力差，无法有效新型多模态网络隐蔽信道，急需提出应对复合隐蔽通道检测的新思路、新方法，为提升我国“网络信道全息分析能力”与“网络隐蔽信道治理能力”提供技术基础，对增强我国网络空间安全的保障能力、推进行业网络化进程都将具有积极意义。

技术实现要素：

针对上述问题，本发明提供了一种基于多尺度流分析技术的隐蔽信道检测方法，采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析，建立多尺度隐蔽信道检测模型，从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题，进而降低了隐蔽信道检测的误报率与漏报率，提高了对隐蔽信道检测的全面性与准确性，有利保障了网络信息的传输安全。

本发明采用的技术方案是：

一种基于多尺度流分析技术的隐蔽信道检测方法，包括以下步骤：

s1、获取待检测分析场景信息，并通过dpdk采集待检测分析场景中的网络流量数据；

s2、将采集的网络流量数据进行预处理，分别从三个尺度获取单一数据包、会话流和通信流；

s3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库；

s4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识；

s5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型；

s6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测，并生成检测报告。

获取待检测分析场景信息，根据不同场景对dpdk进行相应的部署，进而通过dpdk采集某一时段待检测分析场景中的网络数据，为后续分析和检测工作提供完整的源数据，将采集的网络流量数据进行预处理，获取单一数据包、会话流和通信流，会话以源ip、目的ip、源端口、目的端口、会话发起时间来进行唯一标识，一个会话流包含请求端和响应端的双向数据包，同一时段内多个会话流组成通信流，根据单一数据包、会话流和通信流的相关特征建立三个对应的元数据库，将隐蔽信道中数据包、会话流、通信流三个尺度之间的潜在相关特点进行梳理，数据包、会话流特征与通信流统计特征进行元数据形式化表示，将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识，一条信息流能否构成隐蔽信道的关键在于它是否真正被用于非法通信，而不是流经过的变量，根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型，其中数据包特征、会话流特征与通信流统计特征是通过元数据进行形式化表示的，将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测，隐蔽信道的分析检测由多尺度特征分析模型输出的三维特征划分为网络数据包检测、单次通信会话检测(会话流检测)和长时流量统计检测(通信流检测)三类，分别进行检测分析并生成检测报告，该检测报告中包含多种信息数据，如多尺度关联情况、同时段数据情况等等，根据检测报告进行隐蔽信道报警提示。

本方法从通信信道的基础性问题着手，归纳出隐蔽信道的网络流特性、协议链路特性以及应答与控制特性，形成先验知识，从单一数据包、会话流和通信流三个尺度建立隐蔽信道的形式化特征向量库，给出相应启发式的隐蔽信道可疑度融合判定算法，采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析，建立多尺度隐蔽信道检测模型，从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题，进而降低了隐蔽信道检测的误报率与漏报率，提高了对隐蔽信道检测的全面性与准确性，有利保障了网络信息的传输安全。

在进一步的技术方案中，步骤s1包括以下步骤：

s11、获取检测分析场景信息，判断检测分析场景是否为在线实时检测分析场景，如果是，则进入步骤s12；如果否，则进入步骤s13；

s12、将dpdk旁路部署在欲防护网络的出口交换机处，并为其配置相应镜像端口，进入步骤s14；

s13、将dpdk部署在检测分析场景同一个网络内，并为其分配私有ip地址，进入步骤s14；

s14、通过dpdk采集检测分析场景中的网络流量数据。

根据不同场景对dpdk进行相应的部署，通过dpdk对多种检测分析场景网络数据进行采集，保证数据采集的完整性和准确性。一种是离线检测分析场景，dpdk对环境网络拓扑等没有任何要求和限制，只需要与采集对象同在一个网络内，可以分配私有ip地址即可；另一种是在线实时检测分析场景，需要将dpdk旁路部署在欲防护网络的出口交换机处，配置相应镜像端口，从而实现网络流量数据的采集。

在进一步的技术方案中，步骤s2包括以下步骤：

s21、将采集的网络流量数据进行预处理，根据源ip、目的ip、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别；

s22、获取单一数据包、会话流和通信流。

将采集的网络流量数据进行预处理，采集的网络流量数据是离散的、无序的，将离散的无序的网络数据包按网络会话进行重组，一般会话包含会话编号、源mac、目的mac、源ip、目的ip、源端口、目的端口、会话发气时间、数据包总数、协议类型等，着重选取与网络隐蔽信道检测特征关联的构成元素(源ip，目的ip，源端口，目的端口，会话发起时间)来进行唯一标识，一个会话流包含请求端和响应端的双向数据包，同一时段内多个同一标识会话流组成通信流，数据包重组消除了数据包检查方法的分析缺陷，会话是后续网络分析的基础，是展示网络信道情况的基础，对数据进行预处理，以便后续进行有效快速的检测分析。

在进一步的技术方案中，步骤s6包括以下步骤：

s61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中；

s62、通过多尺度特征分析模型基于网络协议规范对单一数据包进行分析检测，通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测，通过多尺度特征分析模型基于流量统计对通信流进行分析检测；

s63、生成检测报告。

根据不同的数据类型，将隐蔽信道的检测划分为网络数据包检测、单次通信会话检测和长时流量统计检测三类，相应的检测方法包括基于特征匹配的检测方法、基于通信行为(流量分布特征)的检测方法以及基于流量统计的检测方法，根据三种检测方法，再将检测出来的异常结果进行报警。针对单一数据包、会话流和通信流分别进行检测分析，保证检测效率，提高隐蔽信道检测的全面性和准确性。

在进一步的技术方案中，步骤s62中对单一数据包进行分析检测包括以下步骤：

s621、获取正常通信数据包，构建训练集；

s622、根据rfc协议规范提取训练集的协议格式信息，构建正常通信数据包规则库；

s623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。

以正常通信数据包为训练集，对照rfc等协议规范提取协议格式信息，如首部格式、特定字段长度和数据类型等，构成正常通信数据包规则库，以此库为检测依据对待检测数据包进行协议格式匹配，匹配不成功，则表示为非法信息流，即为隐蔽信道；匹配成功，则为正常信息流。针对单一数据包采用协议匹配的方法进行分析检测，提高数据检测的效率和准确性。

在进一步的技术方案中，步骤s62中对会话流进行分析检测包括以下步骤：

s624、根据先验知识，对获取的会话流进行逆向分析并进行形式化预处理，将会话流以元数据形式表示形成新的会话流，构建能够标识隐蔽信道类型的会话特征组；

s625、根据会话特征组分析训练新的会话流，并提取可表征ip会话通信行为的特征要素；

s626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器；

s627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习，收敛后生成特定类型隐蔽信道的会话序列模型；

s628、根据会话序列模型对获取的会话流进行模型匹配。

对会话流进行分析检测，采用基于贝叶斯分类器的模型匹配方法，提高对会话流数据检测的准确性。首先，对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理，构建能够标识隐蔽信道类型的会话特征组；然后，以此为指标分析训练数据并提取可表征ip会话通信行为的特征要素，如请求速率、请求时间戳、状态转移序列等，并根据大量特征要素的熵值时间序列构建贝叶斯分类器；通过各类型隐蔽信道训练样本的学习，收敛后形成特定类型隐蔽信道的会话序列模型，根据会话序列模型对获取的会话流进行模型匹配。

在进一步的技术方案中，步骤s62中对通信流进行分析检测包括以下步骤：

s629、基于网络流量自相似模型对获取的通信流进行描述；

s6210、根据概率统计方法对通信流进行泊松分布分析检测。

针对通信流进行分析检测，从宏观尺度对网络通信链路进行隐蔽信道的检测，使用整体流量作为输入，包括链路流量、路径流量信息和流量矩阵等。采用概率统计方法，基于网络流量自相似模型描述特定网络的通信行为：一定时间内特定网络与外界交换的不同类型的数据包分布服从泊松分布，若不服从泊松分布即不符合合法通信规则，则可以判定内部业务非正常改变或网络中出现了非法信息流，即存在隐蔽信道。通过概率统计方法对通信流进行快速有效的检测，保证检测的深度性和全面性。

本发明的有益效果是：

1、采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个尺度的特征分析，结合多尺度隐蔽信道检测，从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题，进而降低了隐蔽信道检测的误报率与漏报率，提高了对隐蔽信道检测的全面性与准确性，有利保障了网络信息的传输安全；

2、根据不同场景对dpdk进行相应的部署，通过dpdk对多种检测分析场景网络数据进行采集，保证数据采集的完整性和准确性；

3、对数据进行预处理，以便后续进行有效快速的检测分析；

4、针对单一数据包、会话流和通信流采用不同的方法分别进行检测分析，保证检测效率，提高隐蔽信道检测的全面性和准确性；

5、针对单一数据包采用协议匹配的方法进行分析检测，提高数据检测的效率和准确性；

6、对会话流进行分析检测，采用基于贝叶斯分类器的模型匹配方法，提高对会话流数据检测的准确性；

7、通过概率统计方法对通信流进行快速有效的检测，保证检测的深度性和全面性。

附图说明

图1为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法的流程图；

图2为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中数据采集的流程图；

图3为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中对单一数据包进行分析检测的流程图；

图4为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中对会话流进行分析检测的流程图。

具体实施方式

下面结合附图对本发明的实施例进行详细说明。

实施例

如图1所示，一种基于多尺度流分析技术的隐蔽信道检测方法，包括以下步骤：

s1、获取待检测分析场景信息，并通过dpdk采集待检测分析场景中的网络流量数据；

s2、将采集的网络流量数据进行预处理，分别从三个尺度获取单一数据包、会话流和通信流；

s3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库；

s4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识；

s5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型；

s6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测，并生成检测报告。

采用智能网卡作为硬件，获取待检测分析场景信息，根据不同场景对dpdk进行相应的部署，进而通过dpdk采集某一时段待检测分析场景中的网络数据，为后续分析和检测工作提供完整的源数据，将采集的网络流量数据进行预处理，获取单一数据包、会话流和通信流，会话以源ip、目的ip、源端口、目的端口、会话发起时间来进行唯一标识，一个会话流包含请求端和响应端的双向数据包，同一时段内多个会话流组成通信流，根据单一数据包、会话流和通信流的相关特征建立三个对应的元数据库，将隐蔽信道中数据包、会话流、通信流三个尺度之间的潜在相关特点进行梳理，数据包、会话流特征与通信流统计特征进行元数据形式化表示，将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配，获取先验知识，一条信息流能否构成隐蔽信道的关键在于它是否真正被用于非法通信，而不是流经过的变量，根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型，其中数据包特征、会话流特征与通信流统计特征是通过元数据进行形式化表示的，将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测，隐蔽信道的分析检测由多尺度特征分析模型输出的三维特征划分为网络数据包检测、单次通信会话检测(会话流检测)和长时流量统计检测(通信流检测)三类，分别进行检测分析并生成检测报告，该检测报告中包含多种信息数据，如多尺度关联情况、同时段数据情况等等，根据检测报告进行隐蔽信道报警提示。

本方法从通信信道的基础性问题着手，归纳出隐蔽信道的网络流特性、协议链路特性以及应答与控制特性，形成先验知识，从单一数据包、会话流和通信流三个尺度建立隐蔽信道的形式化特征向量库，给出相应启发式的隐蔽信道可疑度融合判定算法，采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析，建立多尺度隐蔽信道检测模型，基于单一尺度专项检测的结果，采用启发式可疑度融合判定算法，解决了当前因信息采样尺度失真而无法对其进行全面有深度的检测的问题。将不同尺度、不同层次的可疑度立体化、可视化以及智能融合，从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题，进而降低了隐蔽信道检测的误报率与漏报率，提高了对隐蔽信道检测的全面性与准确性，有利保障了网络信息的传输安全。

在其中一个实施例中，如图2所示，步骤s1包括以下步骤：

s11、获取检测分析场景信息，判断检测分析场景是否为在线实时检测分析场景，如果是，则进入步骤s12；如果否，则进入步骤s13；

s12、将dpdk旁路部署在欲防护网络的出口交换机处，并为其配置相应镜像端口，进入步骤s14；

s13、将dpdk部署在检测分析场景同一个网络内，并为其分配私有ip地址，进入步骤s14；

s14、通过dpdk采集检测分析场景中的网络流量数据。

根据不同场景对dpdk进行相应的部署，通过dpdk对多种检测分析场景网络数据进行采集，保证数据采集的完整性和准确性。一种是离线检测分析场景，dpdk对环境网络拓扑等没有任何要求和限制，只需要与采集对象同在一个网络内，可以分配私有ip地址即可，该方式只能够分析离线的网络数据；另一种是在线实时检测分析场景，需要将dpdk旁路部署在欲防护网络的出口交换机处，配置相应镜像端口，从而实现网络流量数据的采集，此方式为了用户能够远程访问与控制，需要用户分配相应可以远程访问的ip地址以及一定的网络带宽，以便用户能够快速远程下载或长传大量网络数据包。

在其中一个实施例中，步骤s2包括以下步骤：

s21、将采集的网络流量数据进行预处理，根据源ip、目的ip、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别；

s22、获取单一数据包、会话流和通信流。

将采集的网络流量数据进行预处理，采集的网络流量数据是离散的、无序的，将离散的无序的网络数据包按网络会话进行重组，一般会话包含会话编号、源mac、目的mac、源ip、目的ip、源端口、目的端口、会话发气时间、数据包总数、协议类型等，着重选取与网络隐蔽信道检测特征关联的构成元素(源ip，目的ip，源端口，目的端口，会话发起时间)来进行唯一标识，一个会话流包含请求端和响应端的双向数据包，同一时段内多个同一标识会话流组成通信流，数据包重组消除了数据包检查方法的分析缺陷，会话是后续网络分析的基础，是展示网络信道情况的基础，对数据进行预处理，以便后续进行有效快速的检测分析。

在其中一个实施例中，步骤s6包括以下步骤：

s61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中；

s62、通过尺度特征分析模型基于网络协议规范对单一数据包进行分析检测，通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测，通过多尺度特征分析模型基于流量统计对通信流进行分析检测；

s63、生成检测报告。

根据不同的数据类型，将隐蔽信道的检测划分为网络数据包检测、单次通信会话检测和长时流量统计检测三类，相应的检测方法包括基于特征匹配的检测方法、基于通信行为(流量分布特征)的检测方法以及基于流量统计的检测方法，根据三种检测方法，再将检测出来的异常结果进行报警。针对单一数据包、会话流和通信流分别进行检测分析，保证检测效率，提高隐蔽信道检测的全面性和准确性。

在其中一个实施例中，如图3所示，步骤s62中对单一数据包进行分析检测包括以下步骤：

s621、获取正常通信数据包，构建训练集；

s622、根据rfc协议规范提取训练集的协议格式信息，构建正常通信数据包规则库；

s623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。

以正常通信数据包为训练集，对照rfc等协议规范提取协议格式信息，如首部格式、特定字段长度和数据类型等，构成正常通信数据包规则库，以此库为检测依据对待检测数据包进行协议格式匹配，匹配不成功，则表示为非法信息流，即为隐蔽信道；匹配成功，则为正常信息流。针对单一数据包采用协议匹配的方法进行分析检测，提高数据检测的效率和准确性。

在其中一个实施例中，如图4所示，步骤s62中对会话流进行分析检测包括以下步骤：

s624、根据先验知识，对获取的会话流进行逆向分析并进行形式化预处理，将会话流以元数据形式表示形成新的会话流，构建能够标识隐蔽信道类型的会话特征组；

s625、根据会话特征组分析训练新的会话流，并提取可表征ip会话通信行为的特征要素；

s626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器；

s627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习，收敛后生成特定类型隐蔽信道的会话序列模型；

s628、根据会话序列模型对获取的会话流进行模型匹配。

对会话流进行分析检测，采用基于贝叶斯分类器的模型匹配方法，提高对会话流数据检测的准确性。首先，对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理，构建能够标识隐蔽信道类型的会话特征组；然后，以此为指标分析训练数据并提取可表征ip会话通信行为的特征要素，如请求速率、请求时间戳、状态转移序列等，并根据大量特征要素的熵值时间序列构建贝叶斯分类器；通过各类型隐蔽信道训练样本的学习，收敛后形成特定类型隐蔽信道的会话序列模型，根据会话序列模型对获取的会话流进行模型匹配。

在其中一个实施例中，步骤s62中对通信流进行分析检测包括以下步骤：

s629、基于网络流量自相似模型对获取的通信流进行描述；

s6210、根据概率统计方法对通信流进行泊松分布分析检测。

针对通信流进行分析检测，从宏观尺度对网络通信链路进行隐蔽信道的检测，使用整体流量作为输入，包括链路流量、路径流量信息和流量矩阵等。采用概率统计方法，基于网络流量自相似模型描述特定网络的通信行为(即通信流)：一定时间内特定网络与外界交换的不同类型的数据包分布服从泊松分布，判断获取的通信流是否服从泊松分布，若服从，则表示该通信流为正常数据，若不服从泊松分布，则可以判定内部业务非正常改变或网络中出现了非法信息流，即存在隐蔽信道。通过概率统计方法对通信流进行快速有效的检测，保证检测的深度性和全面性。

以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。