資源描述:
《研究生開題報(bào)告范》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、基于信息熵SVM的ICMP隱蔽通道�檢測(cè)研究指導(dǎo)老師:**匯報(bào)人:***報(bào)告內(nèi)容研究背景國(guó)內(nèi)外研究現(xiàn)狀研究?jī)?nèi)容與目標(biāo)可行性分析論文進(jìn)度安排參考文獻(xiàn)研究背景隱蔽通道(CovertChannel)是指用非正常的途徑來達(dá)到獲取或傳輸信息的目的����。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,整個(gè)網(wǎng)絡(luò)可以被看作一個(gè)巨大的計(jì)算機(jī)系統(tǒng),這種在網(wǎng)絡(luò)環(huán)境下與網(wǎng)絡(luò)協(xié)議密切相關(guān)的隱蔽通道,通常被稱作網(wǎng)絡(luò)隱蔽通道,它利用非正常手段在網(wǎng)絡(luò)中傳遞信息。隱蔽通道是信息隱藏的一個(gè)主要分支����。據(jù)英國(guó)網(wǎng)站theregister報(bào)道,目前很多新的木馬程序通過ICMP(互聯(lián)網(wǎng)控制信息協(xié)議)將盜取的數(shù)據(jù)傳給
2���、攻擊者��,而不采用較為普遍使用的郵件或HTTP信息包裹的方式����,因此極具隱蔽性����。因此�����,研究ICMP的安全性就顯得尤為重要�。研究背景ICMP工作原理ICMP協(xié)議主要是用來進(jìn)行錯(cuò)誤信息和控制信息的傳遞���,它屬于TCP/IP協(xié)議報(bào)中的網(wǎng)絡(luò)層協(xié)議�。ICMP消息在以下幾種情況下發(fā)送:①數(shù)據(jù)報(bào)不能到達(dá)目的地時(shí)�,②網(wǎng)關(guān)己經(jīng)失去緩存功能����,③網(wǎng)關(guān)能夠引導(dǎo)主機(jī)在更短路由上發(fā)送。ICMP有多種類型的報(bào)文�����,例如Ping和Trace工具都是利用ICMP協(xié)議中的EChoRequest和EchoReply報(bào)文進(jìn)行工作的【l】�,ICMP常用的報(bào)文類型如表1所示。研究背景ICMP隱
3�����、蔽通道的實(shí)現(xiàn)原理ping(利用0x0和0x8這兩種類型報(bào)文來完成工作)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)ICMP_ECHO請(qǐng)求數(shù)據(jù)包��,其選項(xiàng)部分可以填寫數(shù)據(jù),當(dāng)目標(biāo)主機(jī)收到ICMP請(qǐng)求報(bào)文以后���,在ICMP響應(yīng)報(bào)文中填寫標(biāo)識(shí)域和序號(hào)域回應(yīng)請(qǐng)求應(yīng)答���,并且把請(qǐng)求數(shù)據(jù)包中選項(xiàng)域的東西原封不動(dòng)的返回去。在通常情況下�����,很少有設(shè)備檢查這個(gè)字段中實(shí)際的內(nèi)容����,這就給隱蔽通道的建立提供理想的場(chǎng)所。如圖1所示:國(guó)內(nèi)外研究現(xiàn)狀國(guó)外研究現(xiàn)狀03年TaeshikSohn【2】等人先對(duì)IMCP負(fù)載進(jìn)行特征提取�,然后利用支持向量機(jī)(SVM)檢測(cè)ICMP隱蔽通道。07年StevenGianv
4�����、ecchio和王海寧【3】將熵和條件熵理論用于檢測(cè)網(wǎng)絡(luò)隱蔽時(shí)間通道�,根據(jù)文獻(xiàn)【4】的隱蔽信道分類,以IMCP有效負(fù)載隱蔽信息的通道屬于網(wǎng)絡(luò)存儲(chǔ)通道���,因此該方法不適用于本研究��,但其將信息熵用于檢測(cè)隱蔽通道的思想值得借鑒��。國(guó)內(nèi)外研究現(xiàn)狀國(guó)內(nèi)研究現(xiàn)狀目前國(guó)內(nèi)專門針對(duì)ICMP網(wǎng)絡(luò)隱蔽通道檢測(cè)的研究很少�,大部分研究都是對(duì)網(wǎng)絡(luò)隱蔽通道的檢測(cè)。02年薛晉康【5】等人設(shè)計(jì)了一種基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測(cè)模型�����,它采用了概率統(tǒng)計(jì)中的泊松分布和數(shù)據(jù)挖掘中的聚類分析等方法�����,開辟了一條檢測(cè)信息暗流的新途徑���。該方法存在著準(zhǔn)確性差、實(shí)時(shí)性差等不足��。06年中國(guó)科學(xué)院的華
5����、元彬【6】等人,提出了基于數(shù)據(jù)融合思想的鏈路分析法來檢測(cè)網(wǎng)絡(luò)隱蔽通道��,該方法存在誤報(bào),且實(shí)時(shí)性較差�����。研究?jī)?nèi)容及目標(biāo)本研究在使用SVM模型【2】檢測(cè)ICMP隱蔽通道的基礎(chǔ)上��,將信息熵引入到支持向量機(jī)建模中,分析數(shù)據(jù)的信息熵分布規(guī)律和支持向量數(shù)據(jù)及其熵值的關(guān)系,進(jìn)一步構(gòu)造一個(gè)用于檢測(cè)ICMP隱蔽通道的信息熵支持向量機(jī)模型。研究?jī)?nèi)容及目標(biāo)信息熵支持向量機(jī)描述:(a)選擇合適的核函數(shù);(b)計(jì)算出所有IP流(一個(gè)源/目地址數(shù)據(jù)流)的熵值序列Hij(Hij=-∑PnLog2Pn表示第I個(gè)IP流內(nèi)第J數(shù)據(jù)包的熵����;i=1.2…N,j=1.2…M;N,M分別
6���、為IP流個(gè)數(shù)和IP流內(nèi)包的個(gè)數(shù);Pn表示數(shù)據(jù)包負(fù)載中字符n出現(xiàn)的概率;n=0,1,2……254)���。?過濾掉SHi
7、據(jù)肯定是相同的ASCII碼字符集合����,也既是所有數(shù)據(jù)包的熵值相同��。我們可以肯定的斷定它不存在ICMP隱蔽通道。2.從已有理論上進(jìn)行分析:可行性分析SVM二分類中,起決定性作用的數(shù)據(jù)(即支持向量)一般分布在兩類數(shù)據(jù)的邊界上,在這里兩類數(shù)據(jù)相距很近或混合在一起���。從信息熵角度來看,越混亂的數(shù)據(jù)其熵值就越大,我們是否可以斷言,熵值越高的點(diǎn)是支持向量的可能性越大�。SVM的訓(xùn)練過程就是尋找最大分類邊界上支持向量的過程,若信息熵值的大小與支持向量有一定的相關(guān),就可以通過數(shù)據(jù)的信息熵值來預(yù)先確定一個(gè)較小的且包含絕大多數(shù)支持向量的數(shù)據(jù)子集����。具體見參考文獻(xiàn)【4】可
8���、行性分析3��、與標(biāo)準(zhǔn)SVM相比較標(biāo)準(zhǔn)的SVM間復(fù)雜度為O(n3),空間復(fù)雜度為O(n2),求信息熵的時(shí)間復(fù)雜度為O(n2),空間復(fù)雜度為O(n)�。因此從時(shí)間和空間角度
