研究生毕业答辩报告

1、基于(jy)信息熵SVM的ICMP隐蔽通道检测研究 指导老师: * 汇报(hubo)人：*共三十九页绪论ICMP协议下的隐蔽通道基于信息熵的样本缩减(sujin)策略支持向量机模型的选择信息熵SVM模型总结 主 要 内 容：2共三十九页一、绪 论1.研究背景 隐蔽通道(Covert Channel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。 据英国网站theregister报道，目前很多新的

2、木马程序通过ICMP（互联网控制信息协议）将盗取的数据传给攻击者，而不采用较为(jio wi)普遍使用的邮件或HTTP信息包裹的方式，因此极具隐蔽性。因此，研究ICMP的安全性就显得尤为重要。3共三十九页2.国内外研究(ynji)现状国外研究现状 03年Taeshik Sohn1等人先对ICMP负载进行特征提取，作为输入向量，利用支持向量机(SVM)检测ICMP隐蔽通道。 07年Steven Gianvecchio和王海宁2将熵和条件熵理论用于检测网络隐蔽时间通道，根据(gnj)文献3的隐蔽信道分类，以ICMP有效负载隐蔽信息的通道属于网络存储通道，因此该方法不适用于本研究，但其将信息熵用于检

3、测隐蔽通道的思想值得借鉴。 08年Zouheir Trabelsi等4研究了ICMP协议下的文件和信息隐蔽传输，构造了可以绕过防火墙的ICMP隐蔽通道，但未提出如何检测。4共三十九页2.国内外研究(ynji)现状国内研究现状 目前国内专门针对ICMP网络隐蔽通道检测的研究很少，大部分研究都是对网络隐蔽通道的检测。 02年薛晋康5等人设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。 06年中国科学院的华元彬6等人，提出了基于数据融合思想的链路分析法来检测网络隐蔽通道，该方法存在误报，且实时性较差。 09年南京

4、工业大学林小进7等人，提出了基于 ICMP协议的木马通信技术，不但(bdn)能穿越防火墙，还构建了ICMP隐蔽通道 。5共三十九页3.主要研究内容在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上，提出了基于信息熵的训练样本集缩减策略 。对核函数的选取问题进行了一些探索，并尝试建立若干选取规则，分别解决了核函数的类型及核参数(cnsh)选取的问题，构造出一种有效的混合核函数 构造可用于大规模数据集下ICMP隐蔽通道检测模型信息熵支持向量机模型 6共三十九页二、 ICMP协议(xiy)下的隐蔽通道1.ICMP协议概述 ICMP (Internet Control Message Pr

5、otocol )主要是用来进行错误信息和控制信息的传递，它属于TCP/IP协议报中的网络层协议。 ICMP 报文是放在一个 IP 数据报的数据部分中通过互联网的。 ICMP消息(xio xi)在以下几种情况下发送:数据报不能到达目的地时，网关己经失去缓存功能，网关能够引导主机在更短路由上发送。 7共三十九页2. ICMP报文类型(lixng) ICMP有多种类型的报文，不同(b tn)类型由报文中的类型字段和代码字段来共同决定。在15种ICMP类型的报文中，我们最关心的是类型0 x0和类型0 x8。例如Ping和Trace工具都是利用ICMP协议中的0 x0和类型0 x8报文进行工作的，ICM

6、P常用的报文类型如表1所示。8共三十九页 (1)利用Ping命令隐藏信息建立隐蔽通道 Ping是判断远程主机是否可以到达的工具，使用一个或多个ICMPECHO数据包来探测主机地址是否存活 。ICMPECHO数据包的选项部分可以填写数据，通常是用来记录ICMP报文沿途经过(jnggu)的路由器地址以及沿途经过(jnggu)路由器时耗费的时间，根据操作系统的不同，其负载部分的填充数据也不尽相同，如表2所示 ：3.ICMP协议中隐蔽通道(tngdo)的实现 9共三十九页 许多网络设备考虑(kol)ICMP流量是良性，对其负载部分不进行检测，因此，攻击者可以将生成的任意信息隐藏在ICMP的有效负载中

7、。这样，我们可以建立隐蔽通道，把要发送的数据隐藏在ICMP数据包包头的选项域(Optional Data)中 。下图1表示出：在利用ICMP协议实现的Ping命令中，秘密数据隐藏的地方： （1）利用Ping命令隐藏信息(xnx)建立隐蔽通道10共三十九页 利用 ICMP进行(jnxng)通讯，构建隐蔽通道首先要加载 winsock库 ,创建 ICMP原始套接字 ,使用原始套接字可以自已设定 ICMP数据包的格式 ,然后填写 ICMP数据包的信息，具体流程见下图2：（2）ICMP隐蔽通道程序(chngx)的实现过程11共三十九页1.ICMP数据流熵值分布特征分析 信息熵是Shannon于1948

8、年提出，用于解决对信息的量化度量问题。信息的随机性越大，熵值也就越大。本文信息熵用来度量ICMP回送请求/应答数据包负载中数据信息量的大小，公式： 其中:Pn为ICMP数据包负载中字符n出现的概率，n为任一ASCII字符。根据熵值公式对采集到的为期(wiq)10天的ICMP数据流（type 0/8）的有效负载进行熵值计算，其熵值分布如图3： 三、基于(jy)信息熵的样本缩减策略12共三十九页 图3(a)中，似乎整个流量由信息量峰值低于1 bit/packet的低熵数据(shj)流构成，这是合乎情理的，因为绝大多数的ICMP回应请求数据(shj)包中包含重复字符，且研究表明在英文文献中不同英文字

9、符的标准信息熵为0.61.3bits/character36。仔细观看图3(b)，在高熵数据(shj)流这个规模，最大信息量为8 bit/packet，这时ICMP有效载荷是由整个ASCII字符集（ 0-254 ）的数据(shj)组成，而信息量为5.56.0 bit/packet的流量更值得引起注意，这种数据(shj)包中包含了少数单词，且熵值分布很分散，但仅从ICMP数据(shj)流的熵值分布来看，我们还无法确定哪些ICMP数据(shj)包中存在隐蔽通道，为此我们引入熵标准差的概念 。13共三十九页 在介绍熵标准差之前(zhqin)先引入一个定义： 定义1：在给定的单位时间内流经同一对目的地

10、址和源地址的ICMP数据流，我们称之为一个IP流对。 熵标准差的计算公式为： 其中：n为一IP流对内样本个数（ICMP数据包个数），j为变量（j=0,1,n）,Hj为样本j的熵值，为样本熵值平均数. 1.ICMP数据流熵值分布(fnb)特征分析14共三十九页 为了进一步分析ICMP数据流的熵值分布特性，我们分别选取500对不含隐蔽通道(tngdo)的正常IP流对和500对含有隐蔽通道(tngdo)的异常IP流对，计算其熵标准差，熵标准差分布情况见上图4、5所示。15共三十九页 从图4中看出正常IP流对的熵标准差值分布很集中，且近95%的IP流对的熵标准差为0。但相对正常的IP流对，含有隐蔽通道

11、的IP流对的熵标准差分布则大相径庭，如上图5所示。虽然从IP流对的熵标准差分布，我们也很难确定哪些IP流对中肯定存在隐蔽通道，但我们发现在500对正常IP流对中， 有474对熵标准差为0的IP流对，那么在不影响分类精度的情况下，我们能不能将熵标准差为0的IP流对作为正常数据筛选掉呢？基于这样的思想，我们提出了基于信息熵的训练样本集缩减策略(cl)，具体缩减步骤如下： （1）对采集到的ICMP数据流进行IP流对统计 （2）计算每个IP流对熵标准差 （3）筛选掉熵标准差为0的 IP流对 （4）将筛选后得缩减样本集作为最终训练集 2.训练样本集缩减(sujin)策略16共三十九页 为了证明该缩减策略

12、的有效性，我们从两个方面稍加验证： (1)理论分析：攻击者建立ICMP隐蔽通道，其目的就是将隐蔽信息或者恶意数据通过该通道一点点传递出去，对任意一个熵标准差为0的IP流对而言，意味着在检测时间内该IP流对内的所有ICMP数据负载内容完全相同，那么这样的ICMP数据包内肯定不会存在隐蔽通道。 (2)实验(shyn)：为了验证提出的缩减策略的正确性，我们将筛选掉的熵标准差为0的某一IP流对内的样本数据（100个），作为T. Sohn等提出的检测ICMP隐蔽通道方法的试验数据集，进行ICMP隐蔽通道检测的实验(shyn)，实验(shyn)结果见下表3 。3.训练样本集缩减(sujin)策略有效性证明

13、17共三十九页 从表3，我们看出该IP流对中不存在隐蔽通道。我们又经过(jnggu)多次试验，结果都表明几乎所有的熵标准差为0的IP流对中都不存在隐蔽通道。在本研究的实验结果部分也证实了我们的缩减策略方法是有效的、正确的。 *FP =False Positive)(%),FN = False Negative(%), TC = Total Correctness(%)， CN=The Number of Cover channel18共三十九页 采用SVM求解问题需要选择(xunz)一个核函数。尽管只要满足Mercer条件的函数在理论上都可选为核函数，但不同的核函数，其性能完全不同。核函数类别

14、及其参数选择(xunz)、二次规划参数选择(xunz)统称为模型选择(xunz)。1.核函数及其方法特点 核函数的定义并不困难，根据泛函的有关理论，只要一种函数满足Mercer条件，它就对应某一变换空间的内积。对于判断哪些函数是核函数到目前为止也取得了重要的突破，得到了Mercer定理和以下常用的核函数类型： 四、支持(zhch)向量机模型的选择19共三十九页 1.核函数(hnsh)及其方法特点(1)线性核函数(hnsh)： (2)多项式核函数：(3)径向基（RBF)核函数：(4)傅立叶核函数： (5)Sigmoid核函数： 20共三十九页 核函数(hnsh)方法的广泛应用，与其特点是分不开的

15、:（1）核函数的引入避免了“维数灾难”，大大减小了计算量。而输入空间的维数二对核函数矩阵无影响，因此，核函数方法可以有效处理高维输入；（2）无需知道非线性变换函数的形式和参数；（3）核函数的形式和参数的变化会隐式地改变从输入空间到特征空间的映射，进而对特征空间的性质产生影响，最终改变各种核函数方法的性能；（4）核函数方法可以和不同的算法相结合，形成多种不同的基于核函数技术的方法，且这两部分的设计可以单独进行，并可以为不同的应用选择不同的核函数和算法；（5）核函数的确定比较容易，只要满足Mercer条件的任意对称函数都可以。1.核函数及其方法(fngf)特点21共三十九页 RBF核函数、多项式核

16、函数和傅立叶核函数各自都有突出的优点且有很强的互补性，自然地可以想象到用RBF核函数和比较简单的多项式核函数、傅立叶核函数的混合形式能够针对不同的实际问题构造出更为理想的核函数。为了叙述方便，我们(w men)先引入如下符号： 其中为 权参数，代表着这三类核函数在混合核函数中占的比重。d， ，q称为核参数。2.混合核函数(hnsh)SVM的构建 22共三十九页 在前人对于核函数的研究基础上，对核函数的选取问题进行了一些探索，并尝试建立若干如下选取规则： 规则1：取核函数: 规则2： 规则3： 规则4： 由选取规则，我们得到(d do)最终混合核函数为： 2.混合核函数(hnsh)SVM的构建

17、23共三十九页 为了将信息熵方法引入到支持向量机建模中，对ICMP隐蔽通道(tngdo)进行检测，本文设计了一个基于信息熵SVM 的ICMP隐蔽通道(tngdo)检测模型，见下图6： 五、信息熵SVM模型(mxng)24共三十九页(1)数据采集模块(m kui) 本研究中的数据采集实际的校园网中进行的，使用数据包嗅探器Tcpdump ，采集试验数据，采集环境见下图7：1.各功能模块介绍(jisho)25共三十九页 环境的具体配置下表4： 实验选取的数据所采用的数据集由训练(xnlin)数据集和测试数据集组成，见表5 。1.各功能模块介绍(jisho)26共三十九页 数据集1,正类数据集(Tcp

18、dump packets)。该数据集由网络数据采集分析工具Tcpdump在教育主干网上采集到的20000个样本组成，暂作为正类数据集，其中6000个作为训练数据，14000个作为测试数据。 数据集2，负类数据集(Loki2 packets,VNCC packets)。该数据集由两部分(b fen)数据组成：隐蔽通道工具Loki237,38构造的2000个样本，其中1000个作为训练数据，1000个作为测试数据；由VNCC产生的500个样本全部作为测试数据。这两部分(b fen)数据暂作为负类数据集。1.主要(zhyo)功能模块介绍27共三十九页(2)数据预处理模块 ICMP数据包中的负载数据长

19、度可能会不尽相同，而且有可能不是数字类型，所以必须要将量化后数据转换为支持向量机能够识别(shbi)的数字向量形式。首先对采集到的ICMP数据包负载分别抽取13维数据和15维数据（13维+4字节包头数据），见下图8，其中每维数据由ICMP数据包中2个字节数据构成。然后进行归一化处理，作为输入向量。归一化范围是在0到1之间。 1.主要(zhyo)功能模块介绍28共三十九页(3)样本缩减模块(m kui) 该模块的主要工作是根据本文提出的IP流对的概念，先计算IP流对内ICMP数据包负载的信息熵，然后根据熵标准差公式计算该IP流对的熵标准差，由本研究提出的训练样本集缩减策略，筛选掉熵标准差为0的样

20、本，最后将剩余的样本集作为训练样本集进行训练。1.主要(zhyo)功能模块介绍29共三十九页(4)SVM分类器 该模块也是ICMP隐蔽通道(tngdo)检测的核心部分，其性能将直接影响到整个系统的精度和效率。其工作过程分为两个阶段：训练阶段和检测阶段，训练阶段用于确定支持向量机分类器的参数及核函数的选取，在本研究中选用我们构建的混合核函数。检测阶段对实际需要检测的ICMP样本数据(这些样本数据也是从数据预处理模块中得到的)进行预测。1.主要(zhyo)功能模块介绍30共三十九页2.试验(shyn)结果验证(1)基于信息熵的样本缩减策略的有效性证明 为了验证该策略的有效性，下面就分类精度和训练时

21、间上，对本文提出的信息熵SVM检测(jin c)方法与T. Sohn等人提出的SVM检测(jin c)方法进行比较，结果列于下表6，图9，核函数都分别采用多项式核函数和RBF核函数。 31共三十九页(1)基于信息熵的样本缩减(sujin)策略的有效性证明 信息熵SVM方法与SVM方法在使用(shyng)同样的核函数进行试验的情况下，从表6可以看出，前者相比后者其分类精度有所降低，但是训练时间在相同样本下明显减少，见图9. 32共三十九页(2)选取混合核函数(hnsh)的实验结果 为了考察采用混合核核函数的应用效果，这里将采用三种核函数的分类结果、训练时间列于下表7，图10进行对比分析：2.试验

22、结果(ji gu)验证33共三十九页 从表7，图10试验结果，并综合分类精度和训练时间两方面因素考虑，总体上来说采用(ciyng)本文构建的作为核函数分类效果较好。 (2)选取(xunq)混合核函数的实验结果34共三十九页六、总 结1.主要工作 （1）在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上 ，提出了基于信息熵的训练样本集缩减策略。 （2）在前人对于核函数的研究基础上，对核函数的选取问题进行了一些探索，并尝试建立若干选取规则，分别(fnbi)解决了核函数的类型及核参数选取的问题，构造出一种有效的混合核函数。 （3）构造出可用于大规模数据集下的ICMP隐蔽通道检测模型信息熵

23、SVM模型 35共三十九页2.不足与下一步工作 (1) 试验中仅限于对采集到的部分样本进行试验，还不能完全排除使用该缩减策略筛选掉的样本中存在隐蔽通道(tngdo)的可能性。 (2)在支持向量机的训练过程中，混合核函数及其参数的选择是经验的，没有经过严格的数学证明。 本研究提出得基于信息熵SVM的检测方法，只对ICMP协议下的隐蔽通道进行检测，能否将该检测方法应用到其他协议下的隐蔽通道检测，比如TCP/IP协议下的隐蔽通道检测，将是下一步的研究重点。 六、总 结36共三十九页参考文献1 T. Sohn, T. Noh, J. Moon. Covert Channel Detection in

24、the ICMP Payload Using Support Vector Machine. In Second International Workshop on Mathematical Methods, Models, and Architectures for Computer Networks, pages 828-835, September 20052 S. Gianvecchio, H. Wang. Detecting Covert Timing Channels: An Entropy-Based Approach. In Proceedings of 14th ACM Conference on Computer and Communication Security (CCS), November 2007.3 D. Llamas, C. Allison, A. Miller. Covert Channels in Internet Protocols: A Survey. In Proceedings of the 6th