基于二维图像特征的网络时间隐通道检测方法*

韩 煦 金 华

（江苏大学计算机科学与通信工程学院 镇江 212013）

1 引言

随着网络带宽的快速提升，网络隐通道作为威胁网络通信安全的主要因素，其危害性日益突出。网络隐通道的识别、检测和消除已成为网络安全领域的一个重要问题。网络隐通道指允许进程以危害系统安全策略的方式传输信息的信道，并且难以被检测的恶意通信机制［1～3］。根据传输载体的不同，可将网络隐通道分为网络存储隐通道和网络时间隐通道。网络存储隐通道通过更改协议数据单元以隐藏信息，网络时间隐通道是指通过变换网络数据包的发送速率、发送时间、PDU 顺序等数据包的时间特性来对隐蔽信息进行编码［4～5］。

近年来，国内外的研究者提出了一些针对网络时间隐通道的检测方法，Cabuk 等［6］利用隐通道嵌入过程中留下的指纹信息，设计了一种基于数据包到达时间分布的度量方法。网络时间隐通道在IPD（包间延迟序列）上呈现规律的模式，而常规流量的IPD 可能缺乏这样的规律模式。通过观察流量的IPD 分布规律，能够检测出隐通道。在文献［7］中，研究了两个非参数统计检验的p 值作为检测参数，称为K-L 检验和Welch 的T 检验。文献［8］中提出基于熵的方法来检测隐通道，他们把网络时间隐通道的检测分为两类：基于形状的和基于规律的检测。IPD 的形状可以用一阶统计量描述，IPD 的规律可以用高阶统计量描述。然后，作者提出利用熵和修正条件熵来检测隐通道。基于One-class SVM［9］等机器学习算法的网络时间隐通道检测框架，通过提取网络通道中IPD 各阶的统计特征作为通信指纹来训练分类器，并利用该分类器来检测隐通道。

现有的检测方法可以有效地检测出大部分的网络时间隐通道，但需要事先知道隐通道构造算法，且对网络环境高度敏感，需要提取大量数据并经过复杂的计算，此外，现有的方法只反映了网络时间隐通道的一维特征，仅能检测一类网络时间隐通道。本文提出一种基于二维图像特征的检测方法，该方法通过提取网络数据包的时间间隔、数据包长度［10］两种特征分量，对两种特征分量的数值进行归一化处理后，构造能够描述网络时间隐通道特征的二维图像，通过基于灰度共生矩阵及其统计特征分析图像纹理特性，从而将网络流隐蔽信道在时间轴上的特性关系反映到二维图像的纹理特性上。实验结果表明，该检测方法能够反映网络时间隐通道的多维特性，实现较好的盲检测效果，且可以提高检测效率和准确率。

2 基于灰度特征图像的检测方法

2.1 检测模型

本文提出的基于二维图像特征的网络时间隐通道的检测模型如图1所示。

图1 检测模型

网络时间隐通道的时间间隔、包长度存在一定的规律性，本文采集合法通道和网络时间隐通道内的数据包，提取数据包的时间间隔、包长度，构造能够描述网络时间隐通道特征的两种特征分量。由于不同分量的物理意义、数值范围、物理单位等均存在较大差异，因此对两种特征分量进行归一化处理。将特征分量归一化后的数值排列成二维矩阵，分别构造每一种特征分量在合法通道和网络时间隐通道下的二维图像，求取二维图像的灰度共生矩阵来描述图像灰度分布及像素相对位置关系，计算灰度共生矩阵的熵、能量、倒数差分距和对比度等统计特征，从而区分合法信道和隐通道。

2.2 特征归一化处理

由于包间隔、包长度［10］两个特征分量的物理意义、数值范围、物理单位存在较大差异，不利于构造特征图像并进行分析，且提取的数据可能有过大或过小的存在，对构造灰度特征图像进行分析有影响，因此对特征分量的数值进行归一化处理，将两个特征分量的数值映射到0～255 范围之内。而高斯归一化［11］最大的特点就是可以使少量过大或过小的特征值对归一化后整体元素分布情况的影响较小，因此我们对每一个类型特征的数据进行高斯归一化。

特征分量x经过高斯归一化后的数值为

令p 分别取包间隔Δt、包长度L，记归一化后的包间隔序列为｛Δt1'，Δt2'，…Δti'，Δtn'｝，包长度序列为｛L1'，L2'，…Li'，Ln'｝。归一化后的数值如表1、表2 所示。

表1 IPD值归一化

表2 包长度数值归一化

2.3 灰度共生矩阵

构造灰度共生矩阵［12］是一种常见的描述图像特征的方法，主要测量图像中像素亮度值的不同组合出现的频率，能够描绘像素间的空间关系。通常情况下，网络流中合法通道的数据包的时间间隔、包长度是以随机数的形式呈现，而含有隐通道的数据包的时间间隔、包长度往往呈现一定的规律性，因此构造灰度共生矩阵对二维图像进行纹理特征分析。取归一化后的特征分量包间隔、包长度序列中的n个数值分别作为像素的灰度值，排列成j*j的二维矩阵，其中n=j*j，j 取不同的数值且为4 的整数倍，分别构造对应的二维图像，设（x'，y'）为其中一张二维图像中任意一点，灰度值为f（x'，y'），dx'，dy'代表偏移量，定义在θ方向上，间距为d 的两个像素灰度值为a 和b 的像素概率记为p（a，b|d，θ），那么共生矩阵表达式为

其中，（x'，y'）分别取包间隔、包长度二维图像中的一点，即（Δtx'，Δty'）、（Lx'，Ly'），灰度值分别为f（Δtx'，Δty'）、f（Lx'，Ly'）。基于便于计算以及具有代表性的考虑，θ取值为0°，45°，90°，135°。

2.4 灰度共生矩阵统计特征

2.4.1 图像的能量（ASM）

图像的能量（ASM）［13］是矩阵范数的一种，又称为角二阶矩，能量范围为［0，1］，其中1 表示一个常数图像，计算公式为

图像的能量能够描绘出图像均匀性特征，图像越均匀，其能量值越大；反之，其能量值则越小，图像越不均匀。

2.4.2 图像的倒数差分距（HOM）

图像的倒数差分距（HOM）是反映二维图像局部纹理强度均匀性状况的度量，图像的局部纹理越均匀，它的倒数差分距的值越大，计算公式为

2.4.3 图像的熵（ENT）

图像的熵（ENT）用来描述图像的复杂度，一幅没有任何纹理的图像，它的灰度共生矩阵的熵值近似为零。若图像纹理较多，灰度分布不均匀，则数值近似相等，熵值最大；相反，若图像纹理较少，则熵值较小，计算公式为

2.4.4 图像的对比度（CON）

图像的对比度（CON）是一个像素点与其相邻像素在相对位置上的相对强度对比，对比度范围为［0，j2］，j为对称矩阵的长度，计算公式为

灰度共生矩阵的对比度是用来描述图像在局部变化上的程度的，图像的对比度值越小，则表明该图像在灰度上存在较小差异。

3 实验与分析

3.1 实验环境

本文实际网络环境实验是基于江苏大学信息安全实验室开发的网络时间隐通道实验平台进行实验验证，该平台具有三种模式的隐通道实验通信系统：1）在线/离线通道，在线或离线的情况下均能建立传输通道；2）时间间隔隔通道，能够改变数据包之间的时间间隔通道；3）包长度通道，可将实验数据包按照既定的长度进行发送。在网络时间隐通道实验平台的基础上进行了隐通道检测实验，并基于噪声干扰器对各种不同噪声进行了模拟。实验环境部署如图2所示。

图2 隐通道检测实验环境

本文实验利用wireshark 采集合法通道的数据包800000 个，以及时间间隔隐通道和数据包长度隐通道产生的数据包各800000 个，分别提取合法通道和时间间隔隐通道的特征分量时间间隔序列，以及合法通道和包长度隐通道的特征分量包长度序列。在上述实验平台的基础上进行实验与分析，所有实验结果都是根据目标性能分析指定相同系统参数的条件下，通过主动调节目标参数，经过20～30次重复实验后，取其平均值。

3.2 实验结果分析

3.2.1 网络流映射图像

当j=128 时，合法通道的时间间隔的二维灰度图像与时间间隔隐通道的二维灰度图像，以及合法通道的包长度的二维灰度图像与包长度隐通道的二维灰度图像分别如图3、图4所示。

图3 时间间隔的二维图像

图4 包长度的二维图像

直观来看，合法通道的时间间隔和包长度的二维灰度图像相对来说更为杂乱无章，而时间间隔隐通道和包长度隐通道的二维灰度图像色调更为单一，纹理更加有序。

3.2.2 映射图像纹理特征比较

为了考察时间间隔序列长度对灰度共生矩阵统计特征的影响，计算不同检测窗口下的二维图像的灰度共生矩阵统计特征值。可以看到在较小的检测窗口下，时间间隔隐通道二维图像的灰度共生矩阵的统计特征值与合法通道二维图像的灰度共生矩阵的统计特征值有显著差异，随着时间间隔序列长度的增大，灰度共生矩阵的统计值趋于固定。

时间间隔隐通道二维图像的灰度共生矩阵的统计特征能量（ASM）、倒数差分距（HOM）均大于合法通道二维图像的灰度共生矩阵的统计特征图像的能量（ASM）、倒数差分距（HOM），如图5 所示。时间间隔隐通道二维图像的灰度共生矩阵的统计特征熵（ENT）、对比度（CON）均小于合法通道二维图像的灰度共生矩阵的统计特征熵（ENT）、对比度（CON），如图6 所示。这说明时间间隔隐通道的二维图像的纹理相对于合法通道来说更加均匀，局部变化相对较小。因此当数据包的时间间隔的二维图像的特征ASM＞0.015，HOM＞0.25，ENT＜4，CON＜15，可以判定为时间间隔隐通道。

图5 当j取不同的值时，合法通道和时间间隔隐通道的能量与倒数差分距

图6 当j取不同的值时，合法通道和时间间隔隐通道的熵与对比度

为了考察包长度序列长度对灰度共生矩阵的统计特征的影响，计算不同检测窗口下二维图像的灰度共生矩阵的统计特征，通过图7、图8说明特征值的范围和变化情况。可以看到在较小的检测窗口下，包长度隐通道二维图像的灰度共生矩阵的统计特征值波动明显且与合法通道二维图像的统计特征值相差较小，当j达到100 以上，统计特征值处于一个相对稳定的范围，因此随着包长度序列长度的增大，灰度共生矩阵的统计特征值趋于稳定。

包长度隐通道二维图像的灰度共生矩阵的统计特征能量（ASM）、倒数差分距（HOM）均小于合法通道二维图像的灰度特征图像的能量（ASM）、倒数差分距（HOM），如图7 所示，包长度隐通道二维图像的灰度共生矩阵的统计特征熵（ENT）、对比度（CON）均大于合法通道二维图像的灰度共生矩阵的熵（ENT）、对比度（CON），如图8 所示，这说明包长度隐通道的二维图像的纹理相对于合法通道来说更不均匀，局部变化相对较大。因此当数据包的时间间隔的二维图像的特征属性ASM＜0.03，HOM＜0.3，ENT＞3.8，CON＞7，可以判定为包长度隐通道。

图7 当j取不同的值时，合法通道和包长度隐通道的能量值以及倒数差分距

图8 当j取不同的值时，合法通道和包长度隐通道的熵与对比度

我们又分别采集200000 个合法通道和时间间隔隐通道、包长度隐通道包作为测试集，分别用真阳率和假阳率两个指标来说明检测方法的有效性。真阳率［14］指的是在测试集中，隐通道被正确识别出来的比例；假阳率指的是在测试集中合法通道被误判为隐通信的比例。我们将本文提出的检测方法与支持向量机［15］检测方法进行了比较，结果如表3 所示，本文针对包长度隐通道的检测率也进行了计算，结果如表4所示。

表3 时间间隔隐通道检测率比较

表4 包长度隐通道检测率

传统的网络时间隐通道检测方法，如支持向量机检测方法，仅能反映网络流中数据包的一维特征，检测范围限定在通过变换网络数据包发送时间这一种类型的网络时间隐通道，且有一定的误报率，本文提出的检测方法能够描述网络流数据包的二维特征，可以检测多种类型的网络时间隐通道，且当提取一定数量的数据包时有较好的检测效果。

4 结语

本文提出了一种基于二维图像特征的网络时间隐通道检测方法，不同于以往的检测方法，基于二维图像特征的检测方法提取数据包的多个特征分量并对其数值进行归一化，将一维的特征分量处理成二维图像，通过灰度共生矩阵的统计特征阈值进行隐通道检测。模拟试验结果显示，该方法可以比较有效地对网络隐通道进行区分，且减少了计算量，提高了检测准确率，起到盲检测的效果，同时，该方法还能有效检测包长度隐通道。