基于信息熵SVM的ICMP隐蔽通道检测研究

许多网络设备考虑ICMP流量是良性,对其负载部分不进行检测,因此,攻击者可以将生成的任意信息隐藏在ICMP的有效负载中。将信息熵引入到支持向量机建模中,分析了高熵点与支持向量的关系,进一步构造出用于检测ICMP负载隐蔽通道的信息熵支持向量机模型,最后给出了相关实验,实验结果表明使用信息熵支持向量机检测ICMP负载隐蔽通道具有较快的分类速度和较高的分类精度。     

基于信息熵的隐通道能力分析*

给出了一种基于信息熵的隐通道能力分析方法。该方法首先利用无干扰分析法分析隐通道,得到系统状态转换分布特性,然后引入信息熵,进而推导出隐通道能力表达公式。该方法能较好地对隐通道能力进行定量分析,不仅可以对隐通道能力的大小进行计算,还可以分析隐通道能力的影响因素。最后,给出了存在于多级安全数据库中的一种隐通道,并用该方法分析计算了该隐通道的能力。     

共享隐空间迁移SVM

在机器学习中,迁移学习被证明能有效使用一个领域信息提高另一个领域中受训模型的分类精度. 迁移学习总是假设相关领域间共享某些隐含因素,但在当前的迁移学习方法中,该部分隐含因素依然未得到充分 探讨.本研究引入低维共享隐空间的迁移学习方法,基于经典支持向量机(Support vector machine, SVM)分类模型得到融入共享隐空间的迁移支持向量机,该模型较以往相关方法能更好地利用隐空间这一有效信息,从而提高所得分类器 的泛化性能.相关实验结果亦验证了所提方法的有效性.     

网络隐通道的处理方式

本文首先介绍了网络隐通道的概念,讨论了在网络通信中隐通道存在的技术基础和实现原理,对基于网络通信协议的隐通道技术进行了深入分析。在此基础上讨论了隐通道技术的发展趋势并从网络安全的角度给出了对网络通信中隐通道的防范措施。     

基于SVM的图像隐写检测分析

提出一种检测识别空域最末位、DCT域系数和小波域系数最不重要位信息隐藏的方法.针对在空域和频域系数中最末位的信息替换,结合直方图和像素相关性的随机度统计特征等,采用再嵌入隐藏信息的方法提取相对特征,并对这3种再嵌入情况进行分析,最后使用支持向量机技术进行分类判别,取得理想的检测效果.     

基于信息熵加权去噪的半监督SVM分类器

基于半监督学习思想,采用支持向量机算法来构建分类器,用大量未标识样本来改善分类器性能。标记后的未标识样本可能存在标记错误,采用信息熵加权的欧氏距离去噪方法,减少噪声样本对最优分类面构建的影响,并且对测试错误的数据进行人工反馈提高分类器精度。实验证明了该方法的有效性,去噪提高了分类器的准确率。     

隐通道消除技术

隐通道以一种违背系统安全策略的方式泄露秘密信息,对系统安全造成很大威胁,文章综合分析了国内外较成熟的几种用于消除隐通道的协议,比较了它们在安全性、可靠性和系统性能等方面消除效果的差异,得出它们的思考角度和适用范围,在实际应用中可根据需求分别采用。     

粗糙集的模糊性度量与SVM的混合分类算法

采用信息熵的方法来度量粗糙集的模糊性可以在约简之前对粗糙的决策属性进行预处理,从而消除因决策属性的冗余而带来的分类决策的偏差。结合 SVM在解决小样本、非线性及高维模式识别问题中表现出许多特有的优势。对该类别的方法进行了改进,并对分类的结果进行了测试。     

基于SVM的MANET路由层入侵检测*

针对MANET（移动自组织网络）路由层的攻击,通过对MANET路由层AODV（Ad hoc on-demand distance vector）路由协议交互行为的分析,提取了9个路由交互过程特征,将入侵检测问题转换为对正常行为和异常行为分类识别问题,采用SVM（支持向量机）算法,设计了一种分布式异常检测系统。仿真结果表明,使用该检测系统的检测率达到97%以上,从而验证了该系统的可行性,同时也验证了所提取的路由交互行为特征的有效性。     

基于链路分析法的复合隐蔽通道检测

在研究隐蔽通道的检测方法时,可以将隐蔽通道分成两大类：单一隐蔽通道和复合隐蔽通道。复合隐蔽通道具有了跨越多主机的特点,简单的主机入侵检测体系结构很难对此进行检测,而数据融合技术可以有效地解决这个问题。文中提出了基于数据融合思想的链路分析法,并对复合隐蔽通道的特点、链路分析法检测复合隐蔽通道的理论以及软件的设计进行描述。     

SDN架构下基于ICMP流量的网络异常检测方法

互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.     

基于源代码的隐通道搜索方法

针对目前隐通道搜索方法仍采用手工分析语句信息流所带来的工作量巨大问题,提出了一种基于源代码的信息流分析法,找出软件系统源代码中原语间兼具可见性和可修改性的共享变量,再以此作为共享资源矩阵法的输入,得到高效高精度的隐通道分析工具。     

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。     

TCP协议中隐蔽通道的研究

信息安全是目前最活跃的一个研究方向,在开放的网络环境中如何保证信息的安全成为人们关注的焦点。而信息安全的一个重要分支：隐写术的研究正越来越受到重视。论文给出了隐写术的主要框架、详细分析了TCP协议的包头：然后给出在TCP协议中实现隐蔽通道的方法,最后,分析了此项研究的广阔前景。     

基于量子神经网络的启发式网络隐蔽信道检测模型

为了提高隐蔽信道的检测率,讨论了传统的隐蔽信道检测技术的原理并对其特点作了详细的对比研究;通过对网络隐蔽通道特点的归纳和分析,找到可以描述网络隐蔽通道的若干属性,并提出基于网络隐蔽通道特征指纹的检测思想,归纳出隐蔽信道在协议域、统计规律、行为特征等方面表现出的通信指纹信息,在此基础上,设计并实现了一个基于量子神经网络的启发式网络隐蔽信道检测模型。测试结果表明该检测模型运行高效、检测结果较准确。     

尺度变换复双树小波网络隐藏信道深度检测

针对隐藏信道检测问题解决中,传统检测算法存在特定隐藏信道盲区,或对某类隐藏信道针对性过强而忽视其他隐藏信道的问题,提出一种基于复双树小波包变换的邻域和空域联合网络隐藏信道检测。首先,基于复双树小波包有限冗余变换所特有的平移不变特性,尺度间不同变换系数的相关性,以及尺度相同变换系数邻域间的相关特征,并结合信号增强机制,实现对变换系数的取舍,以达到隐藏信道信号增强效果;其次,与块阈值算法进行联合对网络时间隐藏通道特征提取,然后采用深度学习方式实现隐藏信道训练和检测。最后,通过在IPCTC、TRCTC、Jitterbug、MBCTC、FXCTC五种典型时间隐藏通道中进行实验验证,显示所提算法具有更高的特征精度和较快的计算时间。     

IP时间隐通道抗检测技术的研究

在任何一个网络系统中,时间作为发送方和接收方的共享资源是无法被割断的,这使得IP时间隐通道几乎不可能被根除。通过分析现有的多种IP时间隐通道的检测方法,提出一种不需要计算伪装分布函数反函数的新型抗检测方法,提高了IP时间隐通道的抗检测性。     

IPSec协议中潜在的隐蔽信道问题研究

分析了IPSec协议中可能存在的安全问题,指出其原因是由于IPSec反重放服务中使用了递增序列号所致,并据此提出了基于IPSec数据包排列顺序来携带隐蔽信息的隐蔽信道模型,同时针对实际网络环境中可能出现的乱序和丢包的情况对该隐蔽信道模型的实用价值做了评估,最后给出了防治该类型隐蔽信道的整体解决方案.