基于二維圖像特征的網絡時間隱通道檢測方法*

韓 煦 金 華

（江蘇大學計算機科學與通信工程學院 鎮江 212013）

1 引言

隨著網絡帶寬的快速提升，網絡隱通道作為威脅網絡通信安全的主要因素，其危害性日益突出。網絡隱通道的識別、檢測和消除已成為網絡安全領域的一個重要問題。網絡隱通道指允許進程以危害系統安全策略的方式傳輸信息的信道，并且難以被檢測的惡意通信機制［1～3］。根據傳輸載體的不同，可將網絡隱通道分為網絡存儲隱通道和網絡時間隱通道。網絡存儲隱通道通過更改協議數據單元以隱藏信息，網絡時間隱通道是指通過變換網絡數據包的發送速率、發送時間、PDU 順序等數據包的時間特性來對隱蔽信息進行編碼［4～5］。

近年來，國內外的研究者提出了一些針對網絡時間隱通道的檢測方法，Cabuk 等［6］利用隱通道嵌入過程中留下的指紋信息，設計了一種基于數據包到達時間分布的度量方法。網絡時間隱通道在IPD（包間延遲序列）上呈現規律的模式，而常規流量的IPD 可能缺乏這樣的規律模式。通過觀察流量的IPD 分布規律，能夠檢測出隱通道。在文獻［7］中，研究了兩個非參數統計檢驗的p 值作為檢測參數，稱為K-L 檢驗和Welch 的T 檢驗。文獻［8］中提出基于熵的方法來檢測隱通道，他們把網絡時間隱通道的檢測分為兩類：基于形狀的和基于規律的檢測。IPD 的形狀可以用一階統計量描述，IPD 的規律可以用高階統計量描述。然后，作者提出利用熵和修正條件熵來檢測隱通道。基于One-class SVM［9］等機器學習算法的網絡時間隱通道檢測框架，通過提取網絡通道中IPD 各階的統計特征作為通信指紋來訓練分類器，并利用該分類器來檢測隱通道。

現有的檢測方法可以有效地檢測出大部分的網絡時間隱通道，但需要事先知道隱通道構造算法，且對網絡環境高度敏感，需要提取大量數據并經過復雜的計算，此外，現有的方法只反映了網絡時間隱通道的一維特征，僅能檢測一類網絡時間隱通道。本文提出一種基于二維圖像特征的檢測方法，該方法通過提取網絡數據包的時間間隔、數據包長度［10］兩種特征分量，對兩種特征分量的數值進行歸一化處理后，構造能夠描述網絡時間隱通道特征的二維圖像，通過基于灰度共生矩陣及其統計特征分析圖像紋理特性，從而將網絡流隱蔽信道在時間軸上的特性關系反映到二維圖像的紋理特性上。實驗結果表明，該檢測方法能夠反映網絡時間隱通道的多維特性，實現較好的盲檢測效果，且可以提高檢測效率和準確率。

2 基于灰度特征圖像的檢測方法

2.1 檢測模型

本文提出的基于二維圖像特征的網絡時間隱通道的檢測模型如圖1所示。

圖1 檢測模型

網絡時間隱通道的時間間隔、包長度存在一定的規律性，本文采集合法通道和網絡時間隱通道內的數據包，提取數據包的時間間隔、包長度，構造能夠描述網絡時間隱通道特征的兩種特征分量。由于不同分量的物理意義、數值范圍、物理單位等均存在較大差異，因此對兩種特征分量進行歸一化處理。將特征分量歸一化后的數值排列成二維矩陣，分別構造每一種特征分量在合法通道和網絡時間隱通道下的二維圖像，求取二維圖像的灰度共生矩陣來描述圖像灰度分布及像素相對位置關系，計算灰度共生矩陣的熵、能量、倒數差分距和對比度等統計特征，從而區分合法信道和隱通道。

2.2 特征歸一化處理

由于包間隔、包長度［10］兩個特征分量的物理意義、數值范圍、物理單位存在較大差異，不利于構造特征圖像并進行分析，且提取的數據可能有過大或過小的存在，對構造灰度特征圖像進行分析有影響，因此對特征分量的數值進行歸一化處理，將兩個特征分量的數值映射到0～255 范圍之內。而高斯歸一化［11］最大的特點就是可以使少量過大或過小的特征值對歸一化后整體元素分布情況的影響較小，因此我們對每一個類型特征的數據進行高斯歸一化。

特征分量x經過高斯歸一化后的數值為

令p 分別取包間隔Δt、包長度L，記歸一化后的包間隔序列為｛Δt1'，Δt2'，…Δti'，Δtn'｝，包長度序列為｛L1'，L2'，…Li'，Ln'｝。歸一化后的數值如表1、表2 所示。

表1 IPD值歸一化

表2 包長度數值歸一化

2.3 灰度共生矩陣

構造灰度共生矩陣［12］是一種常見的描述圖像特征的方法，主要測量圖像中像素亮度值的不同組合出現的頻率，能夠描繪像素間的空間關系。通常情況下，網絡流中合法通道的數據包的時間間隔、包長度是以隨機數的形式呈現，而含有隱通道的數據包的時間間隔、包長度往往呈現一定的規律性，因此構造灰度共生矩陣對二維圖像進行紋理特征分析。取歸一化后的特征分量包間隔、包長度序列中的n個數值分別作為像素的灰度值，排列成j*j的二維矩陣，其中n=j*j，j 取不同的數值且為4 的整數倍，分別構造對應的二維圖像，設（x'，y'）為其中一張二維圖像中任意一點，灰度值為f（x'，y'），dx'，dy'代表偏移量，定義在θ方向上，間距為d 的兩個像素灰度值為a 和b 的像素概率記為p（a，b|d，θ），那么共生矩陣表達式為

其中，（x'，y'）分別取包間隔、包長度二維圖像中的一點，即（Δtx'，Δty'）、（Lx'，Ly'），灰度值分別為f（Δtx'，Δty'）、f（Lx'，Ly'）。基于便于計算以及具有代表性的考慮，θ取值為0°，45°，90°，135°。

2.4 灰度共生矩陣統計特征

2.4.1 圖像的能量（ASM）

圖像的能量（ASM）［13］是矩陣范數的一種，又稱為角二階矩，能量范圍為［0，1］，其中1 表示一個常數圖像，計算公式為

圖像的能量能夠描繪出圖像均勻性特征，圖像越均勻，其能量值越大；反之，其能量值則越小，圖像越不均勻。

2.4.2 圖像的倒數差分距（HOM）

圖像的倒數差分距（HOM）是反映二維圖像局部紋理強度均勻性狀況的度量，圖像的局部紋理越均勻，它的倒數差分距的值越大，計算公式為

2.4.3 圖像的熵（ENT）

圖像的熵（ENT）用來描述圖像的復雜度，一幅沒有任何紋理的圖像，它的灰度共生矩陣的熵值近似為零。若圖像紋理較多，灰度分布不均勻，則數值近似相等，熵值最大；相反，若圖像紋理較少，則熵值較小，計算公式為

2.4.4 圖像的對比度（CON）

圖像的對比度（CON）是一個像素點與其相鄰像素在相對位置上的相對強度對比，對比度范圍為［0，j2］，j為對稱矩陣的長度，計算公式為

灰度共生矩陣的對比度是用來描述圖像在局部變化上的程度的，圖像的對比度值越小，則表明該圖像在灰度上存在較小差異。

3 實驗與分析

3.1 實驗環境

本文實際網絡環境實驗是基于江蘇大學信息安全實驗室開發的網絡時間隱通道實驗平臺進行實驗驗證，該平臺具有三種模式的隱通道實驗通信系統：1）在線/離線通道，在線或離線的情況下均能建立傳輸通道；2）時間間隔隔通道，能夠改變數據包之間的時間間隔通道；3）包長度通道，可將實驗數據包按照既定的長度進行發送。在網絡時間隱通道實驗平臺的基礎上進行了隱通道檢測實驗，并基于噪聲干擾器對各種不同噪聲進行了模擬。實驗環境部署如圖2所示。

圖2 隱通道檢測實驗環境

本文實驗利用wireshark 采集合法通道的數據包800000 個，以及時間間隔隱通道和數據包長度隱通道產生的數據包各800000 個，分別提取合法通道和時間間隔隱通道的特征分量時間間隔序列，以及合法通道和包長度隱通道的特征分量包長度序列。在上述實驗平臺的基礎上進行實驗與分析，所有實驗結果都是根據目標性能分析指定相同系統參數的條件下，通過主動調節目標參數，經過20～30次重復實驗后，取其平均值。

3.2 實驗結果分析

3.2.1 網絡流映射圖像

當j=128 時，合法通道的時間間隔的二維灰度圖像與時間間隔隱通道的二維灰度圖像，以及合法通道的包長度的二維灰度圖像與包長度隱通道的二維灰度圖像分別如圖3、圖4所示。

圖3 時間間隔的二維圖像

圖4 包長度的二維圖像

直觀來看，合法通道的時間間隔和包長度的二維灰度圖像相對來說更為雜亂無章，而時間間隔隱通道和包長度隱通道的二維灰度圖像色調更為單一，紋理更加有序。

3.2.2 映射圖像紋理特征比較

為了考察時間間隔序列長度對灰度共生矩陣統計特征的影響，計算不同檢測窗口下的二維圖像的灰度共生矩陣統計特征值。可以看到在較小的檢測窗口下，時間間隔隱通道二維圖像的灰度共生矩陣的統計特征值與合法通道二維圖像的灰度共生矩陣的統計特征值有顯著差異，隨著時間間隔序列長度的增大，灰度共生矩陣的統計值趨于固定。

時間間隔隱通道二維圖像的灰度共生矩陣的統計特征能量（ASM）、倒數差分距（HOM）均大于合法通道二維圖像的灰度共生矩陣的統計特征圖像的能量（ASM）、倒數差分距（HOM），如圖5 所示。時間間隔隱通道二維圖像的灰度共生矩陣的統計特征熵（ENT）、對比度（CON）均小于合法通道二維圖像的灰度共生矩陣的統計特征熵（ENT）、對比度（CON），如圖6 所示。這說明時間間隔隱通道的二維圖像的紋理相對于合法通道來說更加均勻，局部變化相對較小。因此當數據包的時間間隔的二維圖像的特征ASM＞0.015，HOM＞0.25，ENT＜4，CON＜15，可以判定為時間間隔隱通道。

圖5 當j取不同的值時，合法通道和時間間隔隱通道的能量與倒數差分距

圖6 當j取不同的值時，合法通道和時間間隔隱通道的熵與對比度

為了考察包長度序列長度對灰度共生矩陣的統計特征的影響，計算不同檢測窗口下二維圖像的灰度共生矩陣的統計特征，通過圖7、圖8說明特征值的范圍和變化情況。可以看到在較小的檢測窗口下，包長度隱通道二維圖像的灰度共生矩陣的統計特征值波動明顯且與合法通道二維圖像的統計特征值相差較小，當j達到100 以上，統計特征值處于一個相對穩定的范圍，因此隨著包長度序列長度的增大，灰度共生矩陣的統計特征值趨于穩定。

包長度隱通道二維圖像的灰度共生矩陣的統計特征能量（ASM）、倒數差分距（HOM）均小于合法通道二維圖像的灰度特征圖像的能量（ASM）、倒數差分距（HOM），如圖7 所示，包長度隱通道二維圖像的灰度共生矩陣的統計特征熵（ENT）、對比度（CON）均大于合法通道二維圖像的灰度共生矩陣的熵（ENT）、對比度（CON），如圖8 所示，這說明包長度隱通道的二維圖像的紋理相對于合法通道來說更不均勻，局部變化相對較大。因此當數據包的時間間隔的二維圖像的特征屬性ASM＜0.03，HOM＜0.3，ENT＞3.8，CON＞7，可以判定為包長度隱通道。

圖7 當j取不同的值時，合法通道和包長度隱通道的能量值以及倒數差分距

圖8 當j取不同的值時，合法通道和包長度隱通道的熵與對比度

我們又分別采集200000 個合法通道和時間間隔隱通道、包長度隱通道包作為測試集，分別用真陽率和假陽率兩個指標來說明檢測方法的有效性。真陽率［14］指的是在測試集中，隱通道被正確識別出來的比例；假陽率指的是在測試集中合法通道被誤判為隱通信的比例。我們將本文提出的檢測方法與支持向量機［15］檢測方法進行了比較，結果如表3 所示，本文針對包長度隱通道的檢測率也進行了計算，結果如表4所示。

表3 時間間隔隱通道檢測率比較

表4 包長度隱通道檢測率

傳統的網絡時間隱通道檢測方法，如支持向量機檢測方法，僅能反映網絡流中數據包的一維特征，檢測范圍限定在通過變換網絡數據包發送時間這一種類型的網絡時間隱通道，且有一定的誤報率，本文提出的檢測方法能夠描述網絡流數據包的二維特征，可以檢測多種類型的網絡時間隱通道，且當提取一定數量的數據包時有較好的檢測效果。

4 結語

本文提出了一種基于二維圖像特征的網絡時間隱通道檢測方法，不同于以往的檢測方法，基于二維圖像特征的檢測方法提取數據包的多個特征分量并對其數值進行歸一化，將一維的特征分量處理成二維圖像，通過灰度共生矩陣的統計特征閾值進行隱通道檢測。模擬試驗結果顯示，該方法可以比較有效地對網絡隱通道進行區分，且減少了計算量，提高了檢測準確率，起到盲檢測的效果，同時，該方法還能有效檢測包長度隱通道。