icmp数据流熵值分布特征分析.ppt

基于信息熵SVM的ICMP隐蔽通道检测研究 指导老师: *** 汇报人：*** 主 要 内 容： 绪论 ICMP协议下的隐蔽通道 基于信息熵的样本缩减策略 支持向量机模型的选择 信息熵SVM模型 总结 一、绪 论 1.研究背景 隐蔽通道(Covert Channel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。 据英国网站theregister报道，目前很多新的木马程序通过ICMP（互联网控制信息协议）将盗取的数据传给攻击者，而不采用较为普遍使用的邮件或HTTP信息包裹的方式，因此极具隐蔽性。因此，研究ICMP的安全性就显得尤为重要。 2.国内外研究现状 国外研究现状 03年Taeshik Sohn[1]等人先对ICMP负载进行特征提取，作为输入向量，利用支持向量机(SVM)检测ICMP隐蔽通道。 07年Steven Gianvecchio和王海宁[2]将熵和条件熵理论用于检测网络隐蔽时间通道，根据文献[3]的隐蔽信道分类，以ICMP有效负载隐蔽信息的通道属于网络存储通道，因此该方法不适用于本研究，但其将信息熵用于检测隐蔽通道的思想值得借鉴。 08年Zouheir Trabelsi等[4]研究了ICMP协议下的文件和信息隐蔽传输，构造了可以绕过防火墙的ICMP隐蔽通道，但未提出如何检测。 2.国内外研究现状 国内研究现状 目前国内专门针对ICMP网络隐蔽通道检测的研究很少，大部分研究都是对网络隐蔽通道的检测。 02年薛晋康[5]等人设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。 06年中国科学院的华元彬[6]等人，提出了基于数据融合思想的链路分析法来检测网络隐蔽通道，该方法存在误报，且实时性较差。 09年南京工业大学林小进[7]等人，提出了基于 ICMP协议的木马通信技术，不但能穿越防火墙，还构建了ICMP隐蔽通道 。 3.主要研究内容 在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上，提出了基于信息熵的训练样本集缩减策略 。 对核函数的选取问题进行了一些探索，并尝试建立若干选取规则，分别解决了核函数的类型及核参数选取的问题，构造出一种有效的混合核函数 构造可用于大规模数据集下ICMP隐蔽通道检测模型—信息熵支持向量机模型 二、 ICMP协议下的隐蔽通道 2. ICMP报文类型 许多网络设备考虑ICMP流量是良性，对其负载部分不进行检测，因此，攻击者可以将生成的任意信息隐藏在ICMP的有效负载中 。这样，我们可以建立隐蔽通道，把要发送的数据隐藏在ICMP数据包包头的选项域(Optional Data)中 。下图1表示出：在利用ICMP协议实现的Ping命令中，秘密数据隐藏的地方： 利用 ICMP进行通讯，构建隐蔽通道首先要加载 winsock库 ,创建 ICMP原始套接字 ,使用原始套接字可以自已设定 ICMP数据包的格式 ,然后填写 ICMP数据包的信息，具体流程见下图2： 1.ICMP数据流熵值分布特征分析 信息熵是Shannon于1948年提出，用于解决对信息的量化度量问题。信息的随机性越大，熵值也就越大。本文信息熵用来度量ICMP回送请求/应答数据包负载中数据信息量的大小，公式： 其中:Pn为ICMP数据包负载中字符n出现的概率，n为任一ASCII字符。根据熵值公式对采集到的为期10天的ICMP数据流（type 0/8）的有效负载进行熵值计算，其熵值分布如图3： 在介绍熵标准差之前先引入一个定义： 定义1：在给定的单位时间内流经同一对目的地址和源地址的ICMP数据流，我们称之为一个IP流对。 熵标准差的计算公式为： 其中：n为一IP流对内样本个数（ICMP数据包个数），j为变量（j=0,1,…,n）,Hj为样本j的熵值，为样本熵值平均数.　 为了进一步分析ICMP数据流的熵值分布特性，我们分别选取500对不含隐蔽通道的正常IP流对和500对含有隐蔽通道的异常IP流对，计算其熵标