一种基于图像处理的网络时间隐蔽信道检测方法

技术领域

本发明属于网络信息安全技术领域，具体涉及一种基于图像处理的网络时间隐蔽信道检测方法。

背景技术

近年来，网络时间隐蔽信道成为一个热点研究课题，应用于多种场景。它们既能被僵尸网络利用建立命令和控制通道。同时，它们也可用在海上运输系统用来可靠通信，在移动自组网防御虫洞攻击。已有文献讨论在无线网络中，网络时间隐蔽信道通过特殊的构建方式，可存在于多种网络和协议，如CSMA/CA协议中实现了IPD隐蔽定时通道,IEEE 802.11网络实现一个名叫Covert-DCF的方案以及在语音流量中构建等等。甚至是在使用虚拟化技术的嵌入式系统也能被攻击者用于构建网络时间隐蔽信道。

除了面对复杂多样的场景，网络时间隐蔽信道的检测也面临诸多挑战。首先，网络时间隐蔽信道具有隐蔽性，可以躲避防火墙和IDS等。其次，新的具有潜力的网络时间隐蔽信道被不断提出，如应用于5G网络语音的RDCTC、高带宽隐蔽信道等等。最后，攻击者始终在寻求技巧和策略来逃避检测，例如稀疏嵌入、特征模仿等手段。

现有的网络时间隐蔽信道检测大多是基于统计的，例如概率分布、顺序规律性、信息熵。但这些方法仅对特定的网络时间隐蔽信道有效，并不适合其它网络时间隐蔽信道。而且现有的网络时间隐蔽信道检测方法需要较大的IPD(网络数据包包间间隔，Inter PacketDelay)采样窗口，灵敏度低，而隐蔽信道主要传输小样本的规模。因此网络时间隐蔽信道检测分类模型越来越依赖机器学习。而现有的机器学习以及基于统计的检测方式都是从整个流量样本提取特征。这种从粗粒度的角度的特征提取方式造成通用性低和灵敏度低，同时也使得异常流量更容易模仿合法信道，导致检测效果严重下降。

发明内容

本发明提出一种基于图像处理的网络时间隐蔽信道检测方法，特征提取复杂度高，攻击者难以模拟逃避检测，检测准确率更高，所需采样窗口更小。

本发明通过以下技术方案实现：

一种基于图像处理的网络时间隐蔽信道检测方法，包括如下步骤：

步骤S1、分别对IPD时序数据提取格兰姆角场以得到IPD的第一特征矩阵、提取马尔可夫转换场以得到IPD的第二特征矩阵、提取递归图以得到第三特征矩阵，第一特征矩阵保存IPD的自相关特性，第二特征矩阵保存IPD的概率分布变化规律，第三特征矩阵保存IPD的周期性和非平稳特性；

步骤S2、将第一特征矩阵、第二特征矩阵和第三特征矩阵归一化映射于图像RBG三通道的像素中，得到特征图像；

步骤S3、使用轻量级图像分类网络对特征图像进行学习分类，得到检测模型。

进一步的，所述步骤S1中：

所述IPD时序数据由X＝{x

进一步的，所述步骤S1中：

所述IPD时序数据由X＝{x

进一步的，所述步骤S1中：

所述IPD时序数据由X＝{x

进一步的，所述步骤S2中，将第一特征矩阵、第二特征矩阵和第三特征矩阵分别归一化映射至[0,255]，得到所述特征图像。

进一步的，所述步骤S3中，使用MobieVit网络对所述特征图像进行分类。

本发明具有如下有益效果：

1、本发明分别通过对IPD时序数据提取格兰姆角场以得到IPD的第一特征矩阵、提取马尔可夫转换场以得到IPD的第二特征矩阵、提取递归图以得到第三特征矩阵，从而保存保存IPD的自相关特性、概率分布变化规律、周期性和非平稳特性，并根据第一、第二和第三特征矩阵得到特征图像，最后利用轻量级图像分类网络对特征图像进行分类，特征提取复杂度更高，攻击者很难应用某种隐蔽信道模拟得到上述三种特征矩阵，且上述三种特征矩阵均与正常流量的特征矩阵相似，使得模仿难度更高，使得本发明检测的准确率更高，所需采样窗口也更小，且轻量级图像分类网络速度更快，进一步提高检测速度。

附图说明

下面结合附图对本发明做进一步详细说明。

图1为本发明的流程图。

图2为本发明在开关型隐蔽信道下与基于统计特征的检测方法的准确率对比图。

图3为本发明在时间重放型隐蔽信道下与基于统计特征的检测方法的准确率对比图。

图4为本发明在松耦合型隐蔽信道下与基于统计特征的检测方法的准确率对比图。

图5为本发明在L比特对N包隐蔽信道下与基于统计特征的检测方法的准确率对比图。

图6为本发明与其他使用图像处理的检测方法的准确率对比图。

具体实施方式

如图1所示，基于图像处理的网络时间隐蔽信道检测方法包括如下步骤：

步骤S1、分别对IPD时序数据提取格兰姆角场以得到IPD的第一特征矩阵、提取马尔可夫转换场以得到IPD的第二特征矩阵、提取递归图以得到第三特征矩阵，第一特征矩阵保存IPD静态的自相关特性，第二特征矩阵保存IPD动态的概率分布变化规律，第三特征矩阵保存IPD的周期性和非平稳特性；

具体地：

对于第一特征矩阵：

IPD时序数据由X＝{x

然后将

对于第二特征矩阵：

IPD时序数据由X＝{x

在本实施例中，使用分位数bin＝8划分，划分方式为按quantile数量划分；

对第三特征矩阵：

IPD时序数据由X＝{x

步骤S2、将第一特征矩阵、第二特征矩阵和第三特征矩阵归一化映射于图像RBG三通道的像素中，得到特征图像，在本实施例中，采用OpenCV库提供的imwrite函数将第一特征矩阵、第二特征矩阵和第三特征矩阵分别归一化映射至[0,255]，得到特征图像；

步骤S3、使用轻量级图像分类网络对特征图像进行学习分类，得到检测模型，在本实施例中，使用MobieVit网络对特征图像进行分类。MobieVit网络相比简单的CNN网络，检测准确率更高，相比重量级网络，速度更快且准确率接近，且MobileVit网络可以在移动端、嵌入式设备运行。

如图2至图5所示，依次对比了本发明在开关型网络时间隐蔽信道(IPDTC或On-OffCTC)、时间重放型隐蔽信道(TRCTC)、松耦合型隐蔽信道(Jitterbug)、L比特对N包隐蔽信道(LNCTC)下，与现有技术中五种基于统计特征的检测方法的准确率，可以看出，在各种隐蔽信道下，本发明均具有高于其他基于统计特征的检测方法的准确率，即使对于较小的检测窗口尺寸，本发明的准确率依然接近1。

如图6所示，对比了本发明与另外两种使用图像处理的检测方法的准确率，在检测窗口尺寸为32和64时，本发明的准确率相较于其他两种方法，均有提升。

以上所述，仅为本发明的较佳实施例而已，故不能以此限定本发明实施的范围，即依本发明申请专利范围及说明书内容所作的等效变化与修饰，皆应仍属本发明专利涵盖的范围内。