资源描述:
《研究生开题报告范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、基于信息熵SVM的ICMP隐蔽通道检测研究指导老师:**汇报人:***报告内容研究背景国内外研究现状研究内容与目标可行性分析论文进度安排参考文献研究背景隐蔽通道(CovertChannel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。据英国网站theregister报道,目前很多新的木马程序通过ICMP(互联网控制信息协议)将盗取的数据传给
2、攻击者,而不采用较为普遍使用的邮件或HTTP信息包裹的方式,因此极具隐蔽性。因此,研究ICMP的安全性就显得尤为重要。研究背景ICMP工作原理ICMP协议主要是用来进行错误信息和控制信息的传递,它属于TCP/IP协议报中的网络层协议。ICMP消息在以下几种情况下发送:①数据报不能到达目的地时,②网关己经失去缓存功能,③网关能够引导主机在更短路由上发送。ICMP有多种类型的报文,例如Ping和Trace工具都是利用ICMP协议中的EChoRequest和EchoReply报文进行工作的【l】,ICMP常用的报文类型如表1所示。研究背景ICMP隐
3、蔽通道的实现原理ping(利用0x0和0x8这两种类型报文来完成工作)向远程主机发送一个ICMP_ECHO请求数据包,其选项部分可以填写数据,当目标主机收到ICMP请求报文以后,在ICMP响应报文中填写标识域和序号域回应请求应答,并且把请求数据包中选项域的东西原封不动的返回去。在通常情况下,很少有设备检查这个字段中实际的内容,这就给隐蔽通道的建立提供理想的场所。如图1所示:国内外研究现状国外研究现状03年TaeshikSohn【2】等人先对IMCP负载进行特征提取,然后利用支持向量机(SVM)检测ICMP隐蔽通道。07年StevenGianv
4、ecchio和王海宁【3】将熵和条件熵理论用于检测网络隐蔽时间通道,根据文献【4】的隐蔽信道分类,以IMCP有效负载隐蔽信息的通道属于网络存储通道,因此该方法不适用于本研究,但其将信息熵用于检测隐蔽通道的思想值得借鉴。国内外研究现状国内研究现状目前国内专门针对ICMP网络隐蔽通道检测的研究很少,大部分研究都是对网络隐蔽通道的检测。02年薛晋康【5】等人设计了一种基于流量分析的网络隐蔽通道检测模型,它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法,开辟了一条检测信息暗流的新途径。该方法存在着准确性差、实时性差等不足。06年中国科学院的华
5、元彬【6】等人,提出了基于数据融合思想的链路分析法来检测网络隐蔽通道,该方法存在误报,且实时性较差。研究内容及目标本研究在使用SVM模型【2】检测ICMP隐蔽通道的基础上,将信息熵引入到支持向量机建模中,分析数据的信息熵分布规律和支持向量数据及其熵值的关系,进一步构造一个用于检测ICMP隐蔽通道的信息熵支持向量机模型。研究内容及目标信息熵支持向量机描述:(a)选择合适的核函数;(b)计算出所有IP流(一个源/目地址数据流)的熵值序列Hij(Hij=-∑PnLog2Pn表示第I个IP流内第J数据包的熵;i=1.2…N,j=1.2…M;N,M分别
6、为IP流个数和IP流内包的个数;Pn表示数据包负载中字符n出现的概率;n=0,1,2……254)。©过滤掉SHi<(I=1.2…N),训练小规模支持向量机;(SHi为第i个IP流内数据包熵值的方差,为阈值)(d)End。可行性分析本研究是基于SVM模型检测ICMP隐蔽通道的基础上,将信息熵引入到支持向量机建模中。因此SVM的可行性在此不需分析。主要分析使用信息熵过滤掉数据包的可行性。1.从经验上分析由隐通道的定义:隐通道是指违背设计者的原意和初衷,被用来传送非法信息的通道,我们可知如果一个IP流的SH=0,那么所有ICMP数据包内的负载数
7、据肯定是相同的ASCII码字符集合,也既是所有数据包的熵值相同。我们可以肯定的断定它不存在ICMP隐蔽通道。2.从已有理论上进行分析:可行性分析SVM二分类中,起决定性作用的数据(即支持向量)一般分布在两类数据的边界上,在这里两类数据相距很近或混合在一起。从信息熵角度来看,越混乱的数据其熵值就越大,我们是否可以断言,熵值越高的点是支持向量的可能性越大。SVM的训练过程就是寻找最大分类边界上支持向量的过程,若信息熵值的大小与支持向量有一定的相关,就可以通过数据的信息熵值来预先确定一个较小的且包含绝大多数支持向量的数据子集。具体见参考文献【4】可
8、行性分析3、与标准SVM相比较标准的SVM间复杂度为O(n3),空间复杂度为O(n2),求信息熵的时间复杂度为O(n2),空间复杂度为O(n)。因此从时间和空间角度