資源描述:
《研究生開題報告范》由會員上傳分享���,免費在線閱讀�����,更多相關內(nèi)容在教育資源-天天文庫���。
1�����、基于信息熵SVM的ICMP隱蔽通道�檢測研究指導老師:**匯報人:***報告內(nèi)容研究背景國內(nèi)外研究現(xiàn)狀研究內(nèi)容與目標可行性分析論文進度安排參考文獻研究背景隱蔽通道(CovertChannel)是指用非正常的途徑來達到獲取或傳輸信息的目的���。隨著網(wǎng)絡技術的飛速發(fā)展,整個網(wǎng)絡可以被看作一個巨大的計算機系統(tǒng),這種在網(wǎng)絡環(huán)境下與網(wǎng)絡協(xié)議密切相關的隱蔽通道,通常被稱作網(wǎng)絡隱蔽通道,它利用非正常手段在網(wǎng)絡中傳遞信息�。隱蔽通道是信息隱藏的一個主要分支����。據(jù)英國網(wǎng)站theregister報道,目前很多新的木馬程序通過ICMP(互聯(lián)網(wǎng)控制信息協(xié)議)將盜取的數(shù)據(jù)傳給
2��、攻擊者���,而不采用較為普遍使用的郵件或HTTP信息包裹的方式���,因此極具隱蔽性�����。因此�,研究ICMP的安全性就顯得尤為重要���。研究背景ICMP工作原理ICMP協(xié)議主要是用來進行錯誤信息和控制信息的傳遞���,它屬于TCP/IP協(xié)議報中的網(wǎng)絡層協(xié)議。ICMP消息在以下幾種情況下發(fā)送:①數(shù)據(jù)報不能到達目的地時��,②網(wǎng)關己經(jīng)失去緩存功能�����,③網(wǎng)關能夠引導主機在更短路由上發(fā)送�。ICMP有多種類型的報文,例如Ping和Trace工具都是利用ICMP協(xié)議中的EChoRequest和EchoReply報文進行工作的【l】�����,ICMP常用的報文類型如表1所示。研究背景ICMP隱
3���、蔽通道的實現(xiàn)原理ping(利用0x0和0x8這兩種類型報文來完成工作)向遠程主機發(fā)送一個ICMP_ECHO請求數(shù)據(jù)包�,其選項部分可以填寫數(shù)據(jù)���,當目標主機收到ICMP請求報文以后�����,在ICMP響應報文中填寫標識域和序號域回應請求應答���,并且把請求數(shù)據(jù)包中選項域的東西原封不動的返回去���。在通常情況下���,很少有設備檢查這個字段中實際的內(nèi)容,這就給隱蔽通道的建立提供理想的場所����。如圖1所示:國內(nèi)外研究現(xiàn)狀國外研究現(xiàn)狀03年TaeshikSohn【2】等人先對IMCP負載進行特征提取,然后利用支持向量機(SVM)檢測ICMP隱蔽通道�。07年StevenGianv
4�����、ecchio和王海寧【3】將熵和條件熵理論用于檢測網(wǎng)絡隱蔽時間通道�����,根據(jù)文獻【4】的隱蔽信道分類�����,以IMCP有效負載隱蔽信息的通道屬于網(wǎng)絡存儲通道��,因此該方法不適用于本研究���,但其將信息熵用于檢測隱蔽通道的思想值得借鑒。國內(nèi)外研究現(xiàn)狀國內(nèi)研究現(xiàn)狀目前國內(nèi)專門針對ICMP網(wǎng)絡隱蔽通道檢測的研究很少���,大部分研究都是對網(wǎng)絡隱蔽通道的檢測����。02年薛晉康【5】等人設計了一種基于流量分析的網(wǎng)絡隱蔽通道檢測模型�����,它采用了概率統(tǒng)計中的泊松分布和數(shù)據(jù)挖掘中的聚類分析等方法,開辟了一條檢測信息暗流的新途徑���。該方法存在著準確性差���、實時性差等不足。06年中國科學院的華
5���、元彬【6】等人���,提出了基于數(shù)據(jù)融合思想的鏈路分析法來檢測網(wǎng)絡隱蔽通道,該方法存在誤報��,且實時性較差��。研究內(nèi)容及目標本研究在使用SVM模型【2】檢測ICMP隱蔽通道的基礎上���,將信息熵引入到支持向量機建模中,分析數(shù)據(jù)的信息熵分布規(guī)律和支持向量數(shù)據(jù)及其熵值的關系,進一步構造一個用于檢測ICMP隱蔽通道的信息熵支持向量機模型。研究內(nèi)容及目標信息熵支持向量機描述:(a)選擇合適的核函數(shù);(b)計算出所有IP流(一個源/目地址數(shù)據(jù)流)的熵值序列Hij(Hij=-∑PnLog2Pn表示第I個IP流內(nèi)第J數(shù)據(jù)包的熵�;i=1.2…N,j=1.2…M;N,M分別
6、為IP流個數(shù)和IP流內(nèi)包的個數(shù)�����;Pn表示數(shù)據(jù)包負載中字符n出現(xiàn)的概率;n=0,1,2……254)。?過濾掉SHi
7�、據(jù)肯定是相同的ASCII碼字符集合,也既是所有數(shù)據(jù)包的熵值相同�。我們可以肯定的斷定它不存在ICMP隱蔽通道。2.從已有理論上進行分析:可行性分析SVM二分類中,起決定性作用的數(shù)據(jù)(即支持向量)一般分布在兩類數(shù)據(jù)的邊界上,在這里兩類數(shù)據(jù)相距很近或混合在一起���。從信息熵角度來看,越混亂的數(shù)據(jù)其熵值就越大,我們是否可以斷言,熵值越高的點是支持向量的可能性越大����。SVM的訓練過程就是尋找最大分類邊界上支持向量的過程,若信息熵值的大小與支持向量有一定的相關,就可以通過數(shù)據(jù)的信息熵值來預先確定一個較小的且包含絕大多數(shù)支持向量的數(shù)據(jù)子集。具體見參考文獻【4】可
8����、行性分析3、與標準SVM相比較標準的SVM間復雜度為O(n3),空間復雜度為O(n2)�,求信息熵的時間復雜度為O(n2),空間復雜度為O(n)。因此從時間和空間角度
