张 博

(北京理工大学计算机学院，北京 100081)

1 引言

计算机的隐蔽信道是信息安全[1]的关键环节，随着互联网的快速发展，相关领域设计出了多种隐蔽信道，进一步推动了隐蔽信道检测算法的研究，使其成为通信领域的热点问题，得到了众多学者的广泛关注。当前比较常用的网络隐蔽信道检测方法主要有基于压缩感知算法的网络隐蔽信道检测法、基于弱能量并行算法的网络隐蔽信道检测法以及基于LS频域算法的网络隐蔽信道检测法，虽然传统检测法可以使接收机获取信道的相关信息，以满足无线通信系统内信道的应用需求，但外界的强干扰条件导致其属性特征出现变化，若信道属性出现较大变化，缺乏融合约束会造成属性特征融合偏差，严重影响信道检测的精准度，同时，现有方法存在一定的局限性，不能对主动式和被动式隐蔽信道进行全面检测[2]。

因此，本文以移动网络时间隐蔽信道为检测背景，提出一种优化的检测算法，依据隐蔽信息的传输原理，分析传统网络时间隐蔽信道检测流程，用两点之间的模表示两子类间的相似度，联立初始阶段样本及其聚类核之间的关联性。随后对全部属性进行归一化处理，并得出模长的线性投影特征值，通过各维空间的密度聚类算法计算，去除无聚类属性，从而组建新的属性集合，将数据包传输的间隔时长序列作为检测的目标进行建模，经过对比分析所得模型与正常模型的相邻子类余弦相似度均值、欧几里得距离均值以及分化系数均值，判定待检测模型的状态属性，依据正常模型特征，获取隐蔽信道检测结果。

2 建立移动网络时间隐蔽信道结构

由正常信道基本元素与基本特征构成的移动网络时间隐蔽信道，从本质上说，就是一种用于隐藏信息传输的通信系统。

已知用户A准备把隐蔽信息I发送给用户B，并选取网络时间隐蔽信道作为传输信道，则用户之间除了要架构一条TCP/IP协议[3]连接的网络链路之外，还应提前设置一个时间集合{t1，t2，…，tn}及各时间的关联值。隐蔽信息I在传输阶段，先进行二进制串编码，若发送信息为0，则用户A再次发送数据包的时间间隔为t1时长，若信息是1，则时间间隔是t2时长；用户B在接收端口对链路实施监视，将所有数据包的间隔时长t记录下来，通过反复t、t1以及t2的对比过程，使用户B获取到隐蔽信道所传输的总体二进制串，实现信息I的还原。下图为移动网络时间隐蔽信道结构示意图。

图1所示的二进制信道，能够采用下列表达式进行描述

图1 移动网络时间隐蔽信道结构示意图

I→(0|1)*→T={ti}

(1)

式中，i=1，2，…，n，二进制的任意一种组合表示为(0|1)*，现实情况下数据包的间隔时长序列为T。

3 网络隐蔽信道属性聚类

通常情况下，网络隐蔽信道检测是通过数据聚类方法得以实现的。将数据集设定为X={x1，x2，…，xn}，划分成相似的子集[4]类C={C1，C2，…，Ck}，其中，k表示类别中的子集个数。采用聚类算法对其进行运算，得到多个内部元素相似的子类，各子类之间存在差异性，不同的相似度阈值会导致子类间生成不同的差异特点，其差异化一般采用子类的间距进行度量。在提升维度之后，用两点之间的模表示两子类间的相似度，假设模长为s，那么，其表达式如下所示

(2)

式中，m维空间中任意一维里任意一点的投影值是K。

通过在一个邻域中寻找数据的聚类，把密度比较理想的区域聚合为一个子类，进而从中发现数据规律。与密度聚类算法存在关联性的一组定义如下所示：

定义1：假定中心是数据R，对象的ε-邻域就是ε围成的范围。

定义2：如果邻域中至少存在p个对象，那么，中心对象则为R，其中，对象数量可任意设定。

采用密度聚类算法实施聚类处理，对所得的多个聚类核个数与坐标进行标记，并将聚类核集合用R={Rj}表示。

初始阶段的聚类核集合R满足R=Φ，且样本Si及其所得的核Rj，符合下列关系表达式

F[Si]=Rj·s(i，j)

(3)

式中，核Rj的个数对应kj样本个数。

密度聚类网络隐蔽信道检测算法中的kj取值为0，具体操作流程描述如下：

1)在归一化处理所有属性的过程中，将存在隐蔽信道记录里的属性数量设定为m，样本集合数量设定为n，采用下列公式展开属性的归一化处理

(4)

式中，第j个属性的极值分别是xmin(j)、xmax(j)，经过归一化处理的第i个与第j个属性标值为x(i，j)，归一化之前的观测值表示为x*(i，j)。

2)如果m维单位投影方向的矢量是a，a1，a2，…，am表示的是该矢量的各个分量，那么，利用式(2)来描述xij的线性投影特征值，并推导出如下所示的投影函数

(5)

将该投影函数作为高维数据向低维空间投影过程中的投影规则[6]，其中，i=1，2，…，n，单位矩阵为A，经过投影得到的数值为zi。

4)如果a1，a2，…，ak中的每个分量都有一个对应的聚类，其中，11，则隐蔽信道存在。

综上所述，经过降维投影处理所得数据，如果任一属性内的子类较多，则判定其中存在隐蔽信道；反之，若任一属性内无子类，那么不存在隐蔽信道。若仅存一个子类，则对其进行降维投影处理，完成多维空间的构造，通过明确子类个数，判断隐蔽信道是否存在。

4 移动网络时间隐蔽信道检测算法优化

传统算法多用于低维数据的处理计算，仅有少量高维数据的处理需求参与其中，所以，检测效率优势比较明显。但实际网络的频率一般较高，在没有隐蔽信道存在的情况下，也会生成聚类，因此，为了获得更准确的检测结果，对传统检测算法进行优化改进。

根据上述网络隐蔽信道属性聚类与属性滤除结果，在移动网络时间隐蔽信道的检测过程中，将数据包传输的间隔时长序列T作为所要检测的目标，采用建模算法分别设计出基于正常信道的网络间隔时长模型与基于隐蔽信道的网络间隔时长模型，通过比较两种模型达成检测目标，如果间隔时长序列为正常状态，那么不存在隐蔽信道，反之，则含有隐蔽信道。

假设任意一条链路的数据包间隔时长序列为T={ti}，其中，i=1，2，…，n，检测窗口N不仅表示检测频率，即每N个数据包检测一次，同时也指代建模窗口，即每N个数据包建模一次，对比得到的模型M与正常模型M0。

优化后算法的具体操作流程描述如下：

1)创建数据包间隔时长序列T的模型，得到待检测模型M1。对检测模型M进行初始化，并满足下列条件式

M.win＿size=win＿size

(6)

M.clusters=clusters

(7)

上式中，聚类与计算窗口的大小为win＿size，也就是每有win＿size个数据就聚类一次，并推算出分化系数polarization，聚类数量为clusters，clusters≥2。

采用下列公式对聚类次数进行求取

(8)

若次数不足2次，就无法实现多个子类间的差异计算，则建模操作终止。

依据窗口大小与聚类数量，聚类第i组数据{t(i-1)×win＿size+1，t(i-1)×win＿size+2，…，ti×win＿size}，其中，i=1，2，…，x-1，基于取得的聚类结果Ci，获取该组数据的分化系数polarizationi。

同理聚类第i+1组数据，解得对应的聚类结果Ci+1与分化系数polarizationi+1。

对聚类结果Ci与Ci+1间的余弦相似度[7，8]cos 与欧几里得距离dist进行求解，设定计算结果分别为cosi和disti。

(9)

(10)

(11)

式中，聚类次数为x，所以，所得的余弦相似度与欧几里得距离个数为x-1。

(12)

(13)

(14)

依据正常模型M0的特征，采用下列公式完成待检测模型M1的检测

(15)

(16)

(17)

3)若模型之间的关系不符合上列条件式，表明模型M1存在异常，实施报警；相反，则说明待检测模型M1正常，该次检测流程结束，对链路[9，10]上的数据包间隔时长序列进行重新采集，开始下一检测周期。

根据上述分析，得到检测优化算法流程图如下所示。

图2 检测算法具体流程图

5 仿真研究

为了体现本文算法的适用性与有效性，分别采用基于压缩感知算法的网络隐蔽信道检测法(方法1)、基于弱能量并行算法的网络隐蔽信道检测法(方法2)以及基于LS频域算法的网络隐蔽信道检测法(方法3)与本文算法进行对比，对MBCTC主动式隐蔽信道和Liquid被动式隐蔽信道实施检测。

5.1 实验环境

仿真环境为英特尔酷睿i5-2520M处理器，运行内存4GB，Linux操作系统，所有分析均通过MATLAB实现。实验采用数据集为KDD CUP-99，该数据集是由不同网络流量和攻击手段生成的真实数据集。其中，共有500万条数据，数据异常类型被分为4大类。针对主动式隐蔽信道，1000个主动发送的数据包格式为正常HTTP，MBCTC的时间间隔拟合于正常HTTP数据包；对于被动式隐蔽信道，对数据包进行重放，通过编码算法完成数据包延时。

5.2 结果与分析

1)主动式隐蔽信道检测效果

图3为不同方法针对主动式隐蔽信道检测准确性的对比结果。

图3 主动式隐蔽信道检测准确率

通过图3可以看出，虽然在实验前期和中期不同方法对主动式隐蔽信道的检测结果的准确率差距不明显，但是到实验后期，本文方法的检测准确率一直处于较高水平，其最高值达到了90%，说明该方法能够实现对主动式隐蔽信道的准确检测。

2)被动式隐蔽信道检测效果

图4为不同方法针对被动式隐蔽信道检测准确性的对比结果。

图4 被动式隐蔽信道检测值

从图4中能够发现，不同方法针对被动式隐蔽信道的检测结果准确率均呈现明显降低的趋势，但随着实验次数的不断增加，本文方法的检测结果准确率仍然高于现有方法，说明本文方法不仅可以对主动式隐蔽信道进行有效检测，还可以对被动式隐蔽信道进行准确检测。这是由于该方法根据数据包传输的间隔时长序列，设计了正常信道和隐蔽信道下的网络间隔时长模型，通过比较两种模型相邻子类之间相关指标完成了对信道的有效检测。

6 结论

随着网络信息的应用，信息安全需求日益提升，为此，本文提出一种移动网络时间隐蔽信道检测优化算法，根据隐蔽信道传输的总体二进制串，探索信道的架构原理，划分数据集为相似子集类，利用聚类算法实施计算，使内部元素相似的各个子类存在差异性，采用两点间的模长度量子类之间的差异化，从而推导出子类的相似度，通过在一个邻域中寻找数据的聚类，对高密度数据进行聚合，基于得到的多个聚类核个数与坐标，完成样本数据与聚类核的关系建立，依据聚类数量与计算窗口大小，分别创建正常信道与隐蔽信道的网络间隔时长模型，对比两个模型相邻子类的各项指标参数，令隐蔽信道检测得以实现。实验结果验证，该方法的检测准确性优于现有方法，尤其是对主动式隐蔽信道的检测准确率达到了90%，说明该方法具有广阔的发展空间与较强的实践价值，为今后相关领域研究提供了有效的数据资料与建设性的理论指导。