研究生开题报告范文

基于信息熵SVMICMP隐蔽通道

检测研究

指导老师:**汇报人:***1/15报告内容研究背景国内外研究现状研究内容与目标可行性分析论文进度安排参照文献2/15研究背景

隐蔽通道(CovertChannel)是指用非正常途径来达成获取或传输信息目标。伴随网络技术飞速发展,整个网络能够被看作一种巨大计算机系统,这种在网络环境下与网络协议密切有关隐蔽通道,一般被称作网络隐蔽通道,它利用非正常伎俩在网络中传递信息。隐蔽通道是信息隐藏一种主要分支。据英国网站theregister报道，目前很多新木马程序通过ICMP（互联网控制信息协议）将盗取数据传给袭击者，而不采取较为普遍使用邮件或HTTP信息包裹方式，因此极具隐蔽性。因此，研究ICMP安全性就显得尤为主要。3/15研究背景ICMP工作原理ICMP协议主要是用来进行错误信息和控制信息传递，它属于TCP/IP协议报中网络层协议。ICMP消息在下列几个情况下发送:①数据报不能达到目标地时，②网关己经失去缓存功能，③网关能够引导主机在更短路由上发送。ICMP有多种类型报文，例如Ping和Trace工具都是利用ICMP协议中EChoRequest和EchoReply报文进行工作【l】，ICMP常用报文类型如表1所示。4/15研究背景ICMP隐蔽通道实现原理

ping（利用0x0和0x8这两种类型报文来完成工作）向远程主机发送一种ICMP_ECHO祈求数据包，其选项部分能够填写数据，当目标主机收到ICMP祈求报文后来，在ICMP响应报文中填写标识域和序号域回应祈求应答，并且把祈求数据包中选项域东西原封不动返回去。在一般情况下，很少有设备检查这个字段中实际内容，这就给隐蔽通道建立提供抱负场所。如图1所示：5/15国内外研究现状国外研究现状23年TaeshikSohn【2】等人先对IMCP负载进行特性提取，然后利用支持向量机(SVM)检测ICMP隐蔽通道。23年StevenGianvecchio和王海宁【3】将熵和条件熵理论用于检测网络隐蔽时间通道，根据文献【4】隐蔽信道分类，以IMCP有效负载隐蔽信息通道属于网络存放通道，因此该办法不适用于本研究，但其将信息熵用于检测隐蔽通道思想值得借鉴。

6/15国内外研究现状国内研究现状目前国内专门针对ICMP网络隐蔽通道检测研究很少，大部分研究都是对网络隐蔽通道检测。23年薛晋康【5】等人设计了一种基于流量分析网络隐蔽通道检测模型，它采取了概率统计中泊松分布和数据挖掘中聚类分析等办法，开辟了一条检测信息暗流新途径。该办法存在着精确性差、实时性差等不足。23年中国科学院华元彬【6】等人，提出了基于数据融合思想链路分析法来检测网络隐蔽通道，该办法存在误报，且实时性较差。

7/15研究内容及目标本研究在使用SVM模型【2】检测ICMP隐蔽通道基础上，将信息熵引入到支持向量机建模中,分析数据信息熵分布规律和支持向量数据及其熵值关系,深入构造一种用于检测ICMP隐蔽通道信息熵支持向量机模型。8/15研究内容及目标

信息熵支持向量机描述:(a)选择合适核函数;(b)计算出所有IP流（一种源/目地址数据流）熵值序列Hij

(Hij=-∑PnLog2Pn表达第I个IP流内第J数据包熵；i=1.2…N,j=1.2…M;N,M分别为IP流个数和IP流内包个数；Pn表达数据包负载中字符n出现概率;n=0,1,2……254)。©过滤掉SHi<

(I=1.2…N),训练小规模支持向量机;(SHi为第i个IP流内数据包熵值方差,为阈值)(d)End。9/15可行性分析本研究是基于SVM模型检测ICMP隐蔽通道基础上，将信息熵引入到支持向量机建模中。因此SVM可行性在此不需分析。主要分析使用信息熵过滤掉数据包可行性。1.从经验上分析由隐通道定义：隐通道是指违反设计者原意和初衷，被用来传送非法信息通道，我们可知假如一种IP流SH=0,那么所有ICMP数据包内负载数据肯定是相同ASCII码字符集合，也既是所有数据包熵值相同。我们能够肯定断定它不存在ICMP隐蔽通道。2.从已有理论上进行分析：10/15可行性分析SVM二分类中,起决定性作用数据(即支持向量)一般分布在两类数据边界上,在这里两类数据相距很近或混合在一起。从信息熵角度来看,越混乱数据其熵值就越大,我们是否能够断言,熵值越高点是支持向量也许性越大。SVM训练过程就是寻找最大分类边界上支持向量过程,若信息熵值大小与支持向量有一定有关,就能够通过数据信息熵值来预先确定一种较小且包括绝大多数支持向量数据子集。

详细见参照文献【4】11/15可行性分析3、与标准SVM相比较

标准SVM间复杂度为O(n3),空间复杂度为O(n2)，求信息熵时间复杂度为O(n2),空间复杂度为O(n)。因此从时间和空间角度考虑,该办法都是可行。

12/15论文进度安排工作项目阶段工作和估计指标起止时间科研调查查询、搜集资料有关理论学习和研究08.09-0811选题报告分析资料，选择合适地研究方向08.11-08.12试验阶段编写代码进行试验09.01-09.0513/15论文进度安排工作项目阶段工作和估计指标起止时间论文撰写成果分析、总结，并撰写毕业论文09.06-09.09论文审阅论文修改、送审09.09-09.11论文答辩试验演示及答辩09.1214/15五、参照文献[1]江嘉.传输协议ICMP安全性解析.昆明理工大学学报(理工版)，2023，25(1):102一104[2]T.Sohn,T.Noh,J.Moon.SupportVectorMachineBasedICMPCovertChannelAttackDetection.InSecondInternationalWorkshoponMathematicalMethods,Models,andArchitecturesforComputerNetworks,pages461-464,September2023.[3]S.Gianvecchio,H.Wang.DetectingCovertTimingChannels:AnEntropy-BasedApproach.InProceedingsof14thACMConferenceonComputerandCommunicationSecurity(CCS),November2023.[4]D.Llamas,C.Allison,A.Miller.CovertChannelsinInternetProtocols:ASurvey.InProceedingsofthe6thAnnualPostgraduateSymposiumabouttheConvergenceofTelecommunications,NetworkingandBroadcasting,PGNET2023,June2023.[5]薛晋康