研究生开题报告范.ppt

基于信息熵SVM的ICMP隐蔽通道 检测研究,指导老师: * 汇 报 人: *,报告内容,研究背景 国内外研究现状 研究内容与目标 可行性分析 论文进度安排 参考文献,研究背景,隐蔽通道(Covert Channel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。 据英国网站theregister报道，目前很多新的木马程序通过ICMP（互联网控制信息协议）将盗取的数据传给攻击者，而不采用较为普遍使用的邮件或HTTP信息包裹的方式，因此极具隐蔽性。因此，研究ICMP的安全性就显得尤为重要。,研究背景,ICMP工作原理 ICMP协议主要是用来进行错误信息和控制信息的传递，它属于TCP/IP协议报中的网络层协议。ICMP消息在以下几种情况下发送:数据报不能到达目的地时，网关己经失去缓存功能，网关能够引导主机在更短路由上发送。 ICMP有多种类型的报文，例如Ping和Trace工具都是利用ICMP协议中的EChoRequest和EchoReply报文进行工作的【 l 】 ，ICMP常用的报文类型如表1所示。,研究背景,ICMP隐蔽通道的实现原理 ping（利用0x0和0x8 这两种类型报文来完成工作）向远程主机发送一个ICMP_ ECHO请求数据包，其选项部分可以填写数据，当目标主机收到ICMP请求报文以后，在ICMP响应报文中填写标识域和序号域回应请求应答，并且把请求数据包中选项域的东西原封不动的返回去。在通常情况下，很少有设备检查这个字段中实际的内容，这就给隐蔽通道的建立提供理想的场所。如图1所示：,国内外研究现状,国外研究现状 03年Taeshik Sohn【2】等人先对IMCP负载进行特征提取，然后利用支持向量机(SVM)检测ICMP隐蔽通道。 07年Steven Gianvecchio和王海宁【3】将熵和条件熵理论用于检测网络隐蔽时间通道，根据文献【4】的隐蔽信道分类，以IMCP有效负载隐蔽信息的通道属于网络存储通道，因此该方法不适用于本研究，但其将信息熵用于检测隐蔽通道的思想值得借鉴。,国内外研究现状,国内研究现状 目前国内专门针对ICMP网络隐蔽通道检测的研究很少，大部分研究都是对网络隐蔽通道的检测。 02年薛晋康【5】等人设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。该方法存在着准确性差、实时性差等不足。 06年中国科学院的华元彬【6】等人，提出了基于数据融合思想的链路分析法来检测网络隐蔽通道，该方法存在误报，且实时性较差。,研究内容及目标,本研究在使用SVM模型【2】检测ICMP隐蔽通道的基础上，将信息熵引入到支持向量机建模中, 分析数据的信息熵分布规律和支持向量数据及其熵值的关系,进一步构造一个用于检测ICMP隐蔽通道的信息熵支持向量机模型。,研究内容及目标,信息熵支持向量机描述: (a)选择合适的核函数; (b)计算出所有IP流（一个源/目地址数据流）的熵值序列Hij ( Hij =-PnLog2Pn 表示第I个IP流内第J数据包的熵； i=1.2N,j=1.2M;N,M分别为IP流个数和IP流内包的个数； Pn表示数据包负载中字符n出现的概率; n=0,1,2254 )。 过滤掉SHi( I=1.2N ),训练小规模支持向量机; (SHi为第i个IP流内数据包熵值的方差, 为阈值) (d)End。,可行性分析,本研究是基于SVM模型检测ICMP隐蔽通道的基础上，将信息熵引入到支持向量机建模中。因此SVM的可行性在此不需分析。主要分析使用信息熵过滤掉数据包的可行性。 1.从经验上分析 由隐通道的定义：隐通道是指违背设计者的原意和初衷，被用来传送非法信息的通道 ，我们可知如果一个IP流的SH=0,那么所有ICMP数据包内的负载数据肯定是相同的ASCII码字符集合，也既是所有数据包的熵值相同 。我们可以肯定的断定它不存在ICMP隐蔽通道。 2.从已有理论上进行分析：,可行性分析,SVM二分类中,起决定性作用的数据(即支持向量)一般分布在两类数据的边界上,在这里两类数据相距很近或混合在一起。从信息熵角度来看,越混乱的数据其熵值就越大,我们是否可以断言,熵值越高的点是支持向量的可能性越大。 SVM的训练过程就是寻找最大分类边界上支持向量的过程,若信息熵值的大小与支持向量有一定的相关,就可以通过数据的信息熵值来预先确定一个较小的且包含绝大多数支持向量的数据子集。 具体见参考文献【4】,可行性分析,3、与标准SVM相比较 标准的SVM间复杂度为O(n3),空间复杂度为O(n2)，求信息熵的时间复杂度为O(n2),空间复杂度为O(n)。因此从时间和空间角度考虑,该方法都是可行的。,论文进度安排,论文进度安排,五、参考文献,1 江嘉.传输协议ICMP的安全性解析.昆明理工大学学报(理工版)，2003，25(1):102 一104 2 T. Sohn, T. Noh, J. Moon. Support Vector Machine Based ICMP Covert Channel Attack Detection. In Second International Workshop on Mathematical Methods, Models, and Architectures for Computer Networks, pages 461-464, September 2003. 3 S. Gianvecchio, H. Wang. Detecting Covert Timing Channels: An Entropy-Based Approach. In Proceedings of 14th ACM Conference on Computer and Communication Security (CCS), November 2007. 4 D. Llamas, C. Allison, A. Miller. Covert Channels in Internet Protocols: A Survey. In Proceedings of the 6th Annual Postgraduate Symposium about the Convergence of Telecommunications, Networking and Broadcasting, PGNET 2005, June 2005. 5 薛晋康，许士博等. 基于流量分析