研究生开题报告范文.ppt

基于信息熵SVM的ICMP隐蔽通道检测研究指导老师: **汇报人: ***1报告内容?研究背景?国内外研究现状?研究内容与目标?可行性分析?论文进度安排?参考文献2研究背景隐蔽通道(Covert Channel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。据英国网站theregister报道,目前很多新的木马程序通过ICMP(互联网控制信息协议)将盗取的数据传给攻击者,而不采用较为普遍使用的邮件或HTTP信息包裹的方式,因此极具隐蔽性。因此,研究ICMP的安全性就显得尤为重要。3研究背景?ICMP工作原理ICMP协议主要是用来进行错误信息和控制信息的传递,它属于TCP/IP协议报中的网络层协议。ICMP消息在以下几种情况下发送:①数据报不能到达目的地时,②网关己经失去缓存功能,③网关能够引导主机在更短路由上发送。ICMP有多种类型的报文,例如Ping和Trace工具都是利用ICMP协议中的EChoRequest和EchoReply报文进行工作的【 l 】,ICMP常用的报文类型如表1所示。4研究背景?ICMP隐蔽通道的实现原理ping(利用0x0和0x8 这两种类型报文来完成工作)向远程主机发送一个ICMP_ ECHO请求数据包,其选项部分可以填写数据,当目标主机收到ICMP请求报文以后,在ICMP响应报文中填写标识域和序号域回应请求应答,并且把请求数据包中选项域的东西原封不动的返回去。在通常情况下,很少有设备检查这个字段中实际的内容,这就给隐蔽通道的建立提供理想的场所。如图1所示:5国内外研究现状?国外研究现状03年Taeshik Sohn【2】等人先对IMCP负载进行特征提取,然后利用支持向量机(SVM)检测ICMP隐蔽通道。07年Steven hio和王海宁【3】将熵和条件熵理论用于检测网络隐蔽时间通道,根据文献【4】的隐蔽信道分类,以IMCP有效负载隐蔽信息的通道属于网络存储通道,因此该方法不适用于本研究,但其将信息熵用于检测隐蔽通道的思想值得借鉴。6国内外研究现状?国内研究现状目前国内专门针对ICMP网络隐蔽通道检测的研究很少,大部分研究都是对网络隐蔽通道的检测。02年薛晋康【5】等人设计了一种基于流量分析的网络隐蔽通道检测模型,它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法,开辟了一条检测信息暗流的新途径。该方法存在着准确性差、实时性差等不足。06年中国科学院的华元彬【6】等人,提出了基于数据融合思想的链路分析法来检测网络隐蔽通道,该方法存在误报,且实时性较差。7研究内容及目标本研究在使用SVM模型【2】检测ICMP隐蔽通道的基础上,将信息熵引入到支持向量机建模中, 分析数据的信息熵分布规律和支持向量数据及其熵值的关系,进一步构造一个用于检测ICMP隐蔽通道的信息熵支持向量机模型。8研究内容及目标信息熵支持向量机描述:(a)选择合适的核函数;(b)计算出所有IP流(一个源/目地址数据流)的熵值序列Hij ( Hij =-∑PnLog2Pn 表示第I个IP流内第J数据包的熵;i=…N,j=…M;N,M分别为IP流个数和IP流内包的个数;Pn表示数据包负载中字符n出现的概率; n=0,1,2……254 )。?过滤掉SHi<?( I=…N ),训练小规模支持向量机; (SHi为第i个IP流内数据包熵值的方差, ?为阈值)(d)End。9可行性分析本研究是基于SVM模型检测ICMP隐蔽通道的基础上,将信息熵引入到支持向量机建模中。因此SVM的可行性在此不需分析。主要分析使用信息熵过滤掉数据包的可行性。:隐通道是指违背设计者的原意和初衷,被用来传送非法信息的通道,我们可知如果一个IP流的SH=0,那么所有ICMP数据包内的负载数据肯定是相同的ASCII码字符集合,也既是所有数据包的熵值相同。我们可以肯定的断定它不存在ICMP隐蔽通道。:10