利用BP神經網絡分析檢測網絡時序型隱信道

張宇飛，沈 瑤，楊 威，肖漢，黃劉生

1(中國科學技術大學 蘇州研究院，江蘇 蘇州 215123)2(中國科學技術大學 軟件學院，江蘇 蘇州 215123)3(中國科學技術大學 計算機學院，合肥 230026)

1 引 言

隱信道技術是近年來發展起來的一種新型的隱秘通信技術.它利用網絡通信機制中的漏洞，秘密地嵌入隱蔽信息，從而繞過網絡中的安全檢查機制，達到隱秘傳輸的目的.相比傳統的加密技術，隱信道技術在隱藏傳輸信息的內容的同時，還隱藏了傳輸信息的行為，因而具有更強的隱蔽性.隨著密碼學和密文破解技術的發展，加密技術的安全性正在受到挑戰，而對于隱信道技術的防范措施的研究工作目前尚處于起步階段.一旦隱信道技術被不法分子掌握，隱信道技術結合木馬、病毒等傳統的攻擊手段將會對信息安全和個人隱私保護造成極大的威脅.因此對于隱信道檢測技術的研究是有意義的.

人工神經網絡是通過模擬生物神經系統工作原理而建立的一種計算模型.通過神經網絡可以使計算機擁有思考和分析問題的能力.善于處理非線性分類問題是神經網絡的主要特征之一.因此，筆者將嘗試把神經網絡模型引入到隱信道檢測工作中，以克服已有檢測技術對于非線性分類問題的局限性，同時為檢測模型賦予自適應、自學習正常信道數據特征的能力.

本文主要貢獻如下：

1)提出了基于BP神經網絡的時序型隱信道檢測模型，詳細介紹了檢測模型的體系結構設計.

2)解決了已有算法對于非線性分類情景的局限性和檢測窗口大小設定無確定標準的問題.

3)編碼實現檢測模型，并通過實驗對檢測模型的性能和檢測效果進行評估，實驗證明，利用神經網絡結合已有算法可以達到更好的檢測效果.

本文其余部分的組織結構如下：第2部分主要對相關技術的已有的研究成果進行簡要總結；第3部分詳細說明基于BP神經網絡的時序型隱信道檢測模型的體系結構；第4部分說明檢測模型在實現過程中的相關細節，主要通過實驗給出測模型中的相關參數設定；第5部分說明實驗設計和對實驗結果的分析；第6部分最后做出全文總結.

2 相關工作

2.1 隱信道

網絡隱信道技術是指利用網絡中的正常通信信道構建的用于隱秘傳輸的信道.隱信道的概念最初由Lampson于1973年提出[3，9].

按照隱秘信息的存儲載體，網絡隱信道可以被劃分為網絡存儲型隱信道和網絡時序型隱信道[13].其中存儲型隱信道利用網絡數據包中的冗余字段存儲隱秘信息；而時序型隱信道則將隱秘信息存儲在數據包的時間間隔中.時序型隱信道具有構建簡單、隱蔽性強的特點，不同類型的時序型隱信道的區別主要在于編碼規則，目前較為成熟的時序型隱信道構建方法主要有：IPCTC[1，10]、TRCTC[4]、JitterBug[6]、MBCTC[5]等.

時序型隱信道的檢測主要基于對待測數據進行統計特征分析，在時序型隱信道中，由于數據包時間間隔被人為地操縱，其數據包時間間隔一定會表現出不同于正常數據的統計特征.通常考察的統計特征有：均值、方差、標準差、熵值.目前較為成熟的時序型隱信道檢測算法有：隨機性檢測算法[1]、ε相似度算法[1]以及CCE算法[2].以上三種算法均采用單一閾值作為算法最終結果的判定標準，下文中可以看到該判定標準在非線性分類的問題中表現不佳，筆者將通過引入BP神經網絡來改善這一缺陷.

2.2 神經網絡

人工神經網絡(Artifitest Neural Network，ANN)又稱為連接模型(Connection Model)，或簡稱為神經網絡(Neural Network)，是一種模仿動物神經網絡的行為特征，進行信息處理的計算模型.利用神經網絡，可以為機器賦予感知和思考的能力.神經網絡模型可以用一個帶邊權的有向圖來描述.圖中的點被稱為“神經元”，邊上附有權值.神經網絡是一個分層的結構，輸入層用于讀取數據的輸入，各個神經元對輸入數據進行相關處理后，將處理結果傳入到各個隱層的神經元中，在具體實現中，隱層部分可以有多層，逐層神經元對數據進行處理后，將結果傳至相對于當前層的下一層中，所有隱層的神經元對收到的數據進行處理后，將處理結果傳入輸出層的神經元中，最后輸出層處理數據后，輸出處理的結果.在實際應用中，根據神經元之間的關聯關系和圖中邊權的設定方式的不同，可以得到不同的神經網絡的組織方式，其中較為成熟的是反向傳播神經網絡(Back Propagation Neural Network)，簡稱BP網絡.BP網絡中各層神經元采用全互連接的方式進行關聯，同時采用梯度下降法在訓練過程中對網絡進行反饋調節，通過反復訓練和反饋調節的過程使網絡達到較為完美的分類效果.

神經網絡模型中的每一個神經元都被賦予了一個非線性的激活函數，通常情況下，激活函數設定為sigmoid函數，其表達式如下：

(1)

激活函數使得網絡分析處理數據的過程中可以引入非線性因素，因而神經網絡具有善于處理非線性分類問題的優勢[12].

3 檢測模型的設計

在隱信道檢測工作中引入BP神經網絡的目的是通過BP神經網絡來克服已有檢測算法在非線性劃分情況下的局限性.筆者通過實驗發現，前文中提到的3種時序型隱信道檢測算法對于正常信道和隱信道的區分能力已經達到了較為可觀的水平，然而，三種算法均采用單一閾值比對的方式考察算法的輸出結果，進而得到最終的檢測結果.單一閾值會將算法輸出值域劃分為2個子區間，分別對應正常信道和隱信道.然而筆者通過實際實驗發現，對于某些實驗數據，正常數據和隱信道數據將會把算法輸出值域劃分為3個子區間，而正常數據對應的是為于中間位置的子區間，此時，不論如何設定參考閾值，都無法達到較好的檢測效果.而這種實驗情況就是非線性劃分的情況，因此單一閾值的判定標準有一定的局限性，基于以上因素，本文提出基于BP神經網絡的時序型隱信道檢測模型，基本設計思路是：將已有的檢測算法的輸出結果看作數據的某種特征，然后將特征值作為BP神經網絡的輸入，通過BP網絡對數據特征進行分析，得到最終的檢測結果.另外，筆者還發現，在利用3種已知算法進行實驗的過程中，檢測窗口大小的設定缺乏統一的標準，因此，在我們的檢測模型中，將使用每一種算法在多個不同的檢測窗口下對待測數據提取特征，以得到更充分的數據特征信息.檢測模型的體系結構可以用圖1來描述：

圖1 基于BP神經網絡的時序型隱信道檢測模型Fig.1 Detecting model based on BP neural network

整個檢測模型可以分為2個子模塊，特征提取模塊提取數據的特征；特征分析模塊則利用BP神經網絡對提取的特征進行分析，得到最終的檢測結果.

特征提取模塊采用已有檢測算法對待測數據進行特征提取，這里設計為樹形結構，圖中的每個節點稱為“特征提取單元”，每個特征提取單元都具有自己的檢測窗口大小，位于樹形結構較高層的特征提取單元的檢測窗口值是與其相關聯的低層特征提取單元檢測窗口大小的總和.這樣的設計的好處是高層提取單元在計算輸出結果時可以利用低層特征提取單元的輸出結果，從而提高模塊的計算效率.在設計階段，該模塊部署了ε相似度算法和CCE算法兩種已知特征.

特征提取工作完成后，特征分析模塊分析提取到的特征，得到最終的檢測結果.該模塊采用BP神經網絡來實現.其中輸入層接收的就是特征提取模塊得到的特征數據.這里需要說明的是，雖然特征提取模塊以樹形結構呈現，并不是位于頂層的特征提取單元的輸出結果才會輸入到特征分析模塊，各個層次的特征提取單元的計算結果均有可能作為該模塊的輸入，這樣就保證了提成分析模塊可以對待測數據多個不同的檢測窗口值下的特征進行全面分析.特征分析模塊的輸出層將直接給出最終的檢測結果.

4 檢測模型的實現

為了測試檢測模型的性能和檢測效果，這里利用Java和C語言編程實現檢測模型，其中特征提取模塊利用C語言編程實現，主要實現檢測算法；特征分析模塊則利用Java編程完成，二者的數據利用利用文本文件I/O進行傳送.

4.1 對照算法原理和參數設定

下文中筆者將采用對照實驗的方式對檢測模型的性能和效果進行評估.作為對照組的算法，筆者設定為部署在特征提取模塊中的兩個已知算法，這里的參數設定會同時應用于對照組和特征提取單元.這樣，對照組的數據處理方式和特征提取單元基本相同，進而便于分析BP神經網絡在隱信道檢測工作中的影響力和作用.

4.1.1ε相似度算法原理和參數設定

首先介紹ε相似度算法的基本原理：

1)對待測數據以遞增的順序排列，記排序后的序列為{p1，p2，…，pwinSize}.

其中winSize為檢測窗口的大小.

2)計算相鄰數據之間的相似度，得到相似度序列為{s1，s1，…，swinSize-1}，其中：

(2)

3)統計{s1，s1，…，swinSize-1}中小于參數ε的數值所占的比例，得到算法輸出結果similarity：

(3)

4)比較similarity和給定的閾值similarity0，如果similarity>similarity0，表明待測數據包含隱信道，否則，待測數據為正常數據.

算法部署至特征提取單元中后，算法中的步驟(4)將會略去，得到的結果similarity將輸入值特征分析模塊進行分析.

通過上述步驟可知，這里需要確定參數有篩選參數ε和閾值參數similarity0.Cabuk對相似度算法的測試中將參數ε設定為0.005、0.008、0.01、0.02、0.03和≥0.1共6種不同的值，并將算法檢測的閾值設定為μ+σ、μ+1.5σ、μ+2σ、Max共4種不同的值，其中μ、σ、Max分別表示相似度算法檢測合法數據所得結果的均值、標準差以及最大值.Cabuk對于上面每一種和閾值的組合進行了測試.根據作者給出的實驗結果，當檢測閾值設定為μ+σ和μ+1.5σ時，對于每一種參數的設定，檢測效果都比較好.此時，對于隱信道的檢測可以達到10%以下的漏檢率，對于正常信道的檢測則可以達到30%以下的誤檢率.我們的實驗設定參考Cabuk的實驗過程，將參數設定為0.02，閾值則設定為μ+1.5σ.通過對正常數據的測試，我們相似度算法的對照實驗中的測試閾值設定為0.973.測試結果高于此閾值時被認為可能包含隱信道.因此，這里的參數設定結果為

ε=0.02

(4)

similarity0=0.973

(5)

4.1.2 CCE算法原理和參數設定

CCE算法通過評估待測數據的熵率來判定其中是否包含隱信道.信息熵(Entropy)是一種對隨機變量隨機程度的度量，最初由Shannon于1948年提出[7].而熵率(Entropy Rate)則是一組隨機變量熵值的變化率，它反映了多個隨機變量之間的關聯程度.對于某個隨機變量X，其熵值記作EN(X)，對于一組隨機變量構成的一維向量X，其熵率記作：ER(X)，其計算公式分別是：

(6)

(7)

可以看到熵率是一個極限定義，為了能通過有限的測試數據得到熵率的估計值，Gianvecchio[2，11]提出了CCE算法，利用修正條件熵(Corrected Conditional Entropy)來對熵率進行估計，Gianvecchio提出的修正條件熵的計算公式如下：

CCE(Xn)=CE(X1，X2，…，Xn)+perc(Xn)·EN(X1)

(8)

其中，其中Xn表示長度為n的隨機變量的序列，CE(X1，X2，…，Xn)表示X1，X2，…，Xn的條件信息熵，perc(Xn)則表示測試數據中所有唯一的n長度序列占所有n長度序列的比例，EN(X1)就是隨機變量X的熵值.此時，對熵率的估計值，就是選擇不同的n值得到的CCE(Xn)的最小值.得到待測數據的熵率估計值后，和給定的閾值CCE0進行比較，測試結果低于CCE0表明待測數據中包含隱信道.

以上為CCE算法的基本原理.在算法實現過程中，我們僅僅選擇少數具有代表性的n值進行計算，進而對熵率進行粗略的估計.因此，對于CCE算法，需要確定的參數為檢測序列的長度n以及檢測閾值CCE0.筆者通過實驗發現，正常數據的CCE計算結果大約為0.439，同時，基于算法效率考慮，我們確定最長檢測序列的長度為10，即：

CCE0=0.439

(9)

n=10

(10)

4.2 特征提取模塊的實現

特征提取模塊讀取原始的待測數據，通過特征提取單元按照已有部署的檢測算法的計算規則提取不同檢測窗口下的特征數據.因此特征提取模塊的實現中涉及到了整個模塊檢測窗口大小(記作：winSize)和各個特征提取單元檢測窗口的大小以及多個特征提取單元的關聯關系的確定問題.筆者將通過相關實驗來得到特征提取模塊的最優實現方案.

首先，整個模塊的檢測窗口大小決定了整個檢測模型的計算開銷和結構的復雜程度，顯然，輸入數據的規模越大，特征提取模塊需要的特征提取單元的數目就越多，特征分析模塊中的神經元的數目也就越多；然而，檢測窗口如果過小則會有更大的特征丟失的可能性，影響檢測模型對于數據的特征學習.筆者參照隱信道檢測方面已有的相關文獻，并結合以上因素考慮，確定整個模型的檢測窗口大小為2000，即：

winSize=2000

(11)

對于特征提取單元的設定，涉及到了多個不同的檢測窗口的特征提取，首先，我們為特征提取單元確定檢測窗口，這里記作win={w1，w2，…，wcnt}，其中cnt為擁有不同檢測窗口大小的特征提取單元的數目，顯然，對于任意的窗口值wi，滿足：

wi≤winSize

(12)

筆者認為，為了避免冗余數據，這里對win的設定標準為：盡可能使的檢測算法對每個wi產生差別較大的結果，從而提取到更為完備的數據特征.

接下來通過實驗來確定特征提取單元的檢測窗口大小，這里筆者通過抓包程序抓取了10000條正常信道中的數據包間隔數據.設定窗口值為50，100，150，…，2000，統計這些窗口之下ε相似度算法和CCE算法的計算結果.實驗結果如圖2、圖3所示.

圖2 不同檢測窗口下的ε 相似度算法輸出結果 圖3 不同檢測窗口下的CCE算法輸出結果

觀察圖2可以發現，由于筆者所處的網絡環境較為穩定，網絡傳輸過程中的傳輸速率較為均勻，因此，數據包間隔數據的波動性很小.當檢測窗口大于600時，相似度小于參數ε的數據的比例已達到95%，此時再增加窗口大小，算法結果變化很小.

觀察圖3可以發現，檢測窗口小于1200時，改變檢測窗口大小將對CCE算法的計算結果產生較大的影響.相比圖2的結果，可以看出，CCE算法對于數據特征的變化更為敏感，相比之下，ε相似度算法在處理數據過程中對數據進行了排序處理，排序過程丟失了原有數據中相鄰數據之間的關聯關系，這也是造成圖2實驗結果的主要因素.

圖4 特征提取模塊體系結構設計Fig.4 Architecture of module of Feature collecting

綜合以上實驗結果，筆者認為，在設定特征提取單元的檢測窗口大小時，應該主要在[50，1200]范圍內選取，小于50的檢測窗口筆者也不建議選取，因為過小的窗口值將會使特征提取過程對于數據中的噪聲數據過于敏感.

最后，筆者決定，選擇的窗口大小有100、200、500、700、1000以及1200，其中，窗口值200部署在8個特征提取單元中，窗口值500部署在4個特征提取單元中，窗口值700部署在2個特征提取單元中，窗口值1000和1200也各部署在2個特征提取單元中，將窗口值100部署在4個特征提取單元中.其中窗口值為200的6個特征提取單元以及窗口值為500、700、1000、1200的所有特征提取單元作為當前模塊輸出結果的特征提取單元，共有16個.即：

win={100，200，500，700，1000，1200}

(13)

決定窗口值后，就可以決定特征提取單元之間的關聯關系，可以用圖4來描述.其中灰色的特征提取單元作為當前模塊的輸出結果.圖中的箭頭標明了各個特征提取單元之間的關聯關系，高層特征提取單元將調用低層特征提取單元的輸出結果進行計算.

4.3 特征分析模塊的實現

特征分析模塊利用BP神經網絡對提取到的特征進行分析，得到最終的檢測結果.該模塊在實現過程中涉及到的參數值有：輸入輸出數據規模、隱層數、各隱層節點數、以及各個邊權的初始權值.本節將詳細介紹以上參數的設定方案.

4.3.1 輸入與輸出

記輸入層和輸出層數據規模分別為cin和cout，這里輸入輸出數據規模即為輸入層和輸出層包含神經元的數目.特征分析模塊的輸入數據是特征提取模塊的輸出數據，前文中已經說明，特征提取模塊對原始數據的處理后，將得到數據規模為16的特征數據，因此，當前模塊輸入數據規模為16，即：

cin=16

(14)

輸出層得到的是檢測模型的最終輸出結果.前文中筆者已經提到，目前已有的檢測算法得到的檢測結果均為一個表示待測數據中是否包含隱信道的一個布爾值，而實際應用中，待檢測的數據往往是正常數據和隱信道數據的混合數據.因此，僅僅用單一的布爾值來表示檢測結果還不夠準確.這里將輸出結果設定為多維數據，表示當前檢測數據中包含隱信道的概率，筆者將輸出規模設定為10，即：

cout=10

(15)

此時，對于某次檢測，如果輸出數據中有k維數據表示當前數據包含隱信道，則當前待測數據包含隱信道的概率就是k/10，檢測結果可以精確到0.1.

4.3.2 隱層設定

隱層設定包括隱層層數的設定和各隱層包含的神經元數目的設定.這里記隱層數目為h，各隱層包含的神經元的數目為c={c1，c2，…，ch}.

從某種程度上，BP神經網絡包含的隱層層數決定了網絡對數據分類的精度.網絡層數越多，網絡模擬復雜分類情況的能力就越強，但網絡層數的增多還意味著網絡包含更多的神經元以及網絡計算中更多的時間開銷.已有研究表明，包含單隱層的三層BP神經網絡已經具備擬合任何一個閉區間內的連續函數的能力，包含兩個隱層的BP網絡可以適用于任何形式的分類問題[8].

這里筆者通過實驗來決定隱層數目，通過程序生成10000條包含IPCTC隱信道的數據包時間間隔數據，結合上文中抓取的正常信道數據，通過特征提取模塊得到對應的特征數據后，在給定隱層層數的情況下，對特征分析模塊訓練5000次，考察網絡在訓練后的準確率.從理論上講，增加隱層數目可以提高網絡分類的準確率.

實驗中考慮到輸入數據規模和網絡效率，筆者設定隱層數為1～10進行了實驗.在當前實驗中，各層神經元數目暫時按照Kolmogorov原理的標準：對于第i層隱層中包含的神經元數目Ni，其大小滿足如下的關系：

Ni=2Ni-1+1

(16)

同時，各個神經元關聯的初始權值暫定為0.

實驗結果如圖5所示.

圖5 不同隱層數下的檢測準確率Fig.5 Detecting rate in different hide layers number setting

觀察圖5可以看出，當隱層數大于3時，檢測率可以達到80%的水平，同時繼續增加隱層數時，檢測率將會繼續提升，但提升幅度明顯減小.因此，這里筆者將當前模塊中的隱層數設定為3，即

h=3

(17)

確定隱層數后，接下來確定各層包含的神經元數目.在上面的實驗中，我們已經根據Kolmogorov原理確定了各層的神經元數目，對于三隱層的網絡，各隱層神經元數目為33、67和135.然而，此結果未必是最優的設定方案，在這里筆者以一種動態調整的方式確定各層的最優神經元數目.具體思路為：通過訓練數據對網絡反復訓練，并動態地記錄每一次訓練后可以達到的檢測率，當檢測率低于某個閾值r1時，說明網絡中節點數目還不足以完美擬合當前的數據，此時，向包含神經元數目最少的隱層中添加一個神經元；當檢測率高于某個閾值r2時，說明當前網絡對數據擬合的程度較高，可以適當減少節點改善網絡計算效率，此時從包含神經元數目最多的隱層中減少一個神經元.對于閾值r1和r2的設定，由于上文實驗結果中隱層數為3時，檢測率大約為80%，這里的閾值以(80±10)%來確定，即

r1=70%

(18)

r2=90%

(19)

通過實驗，我們得到的各隱層包含的神經元數目為：64、72、98，即

c={64，72，98}

(20)

4.3.3 神經元關聯與初始權值

BP神經網絡以全互連接的方式進行關聯，即每一層中的每一個神經元都和下一層中的所有神經元進行關聯.而對于每條關聯的初始權值，已有研究表明，設定初始權值使得神經元在計算過程中從激活函數變化速率最快的位置開始可以達到較好的訓練效果，因為此時對網絡進行反饋調節時，神經元的狀態變化最為明顯，網絡的收斂速度也最快.

我們的BP網絡中采用的激活函數為sigmoid函數，該函數在坐標原點位置的斜率是最大的，因此合適的初始權值為0，這一點筆者前前文所述的實驗中已經得到了證實.另外，sigmoid函數的表達式前文中式(1)已經給出.該函數的值域為(-1，1)，特征數據輸入到當前模塊中時，首先要進行標準化處理，即基于以上值域范圍對數據進行等比例縮放.

5 實驗和結果分析

本節通過實驗檢驗本文提出的檢測模型的性能和檢測效果.我們首先將分析檢測模型在訓練階段的性能，然后通過對照實驗來評估檢測模型的檢測效果.

5.1 隱信道構建原理和實驗數據的收集

實驗該數據包括訓練數據和測數據.這里將通過程序模擬生成3種隱信道類型的數據：IPCTC、TRCTC、JitterBug同時通過抓包程序實時抓包獲取正常數據，結合參數設定的不同生成多組數據集，每種數據集包含20000條數據的訓練數據和包含100000條數據的測試數據.

5.1.1 IPCTC隱信道原理和實驗數據生成

IPCTC的構建原理是：發送方和接收方約定一個時間間隔t，信道建立后，發送發通過控制每一個大小為t的時間區間內是否有數據包發送來決定發送比特0或比特1.接收方對信道進行監控，如果在某個時間區間中抓取到發送方發送的數據包，接收方就接收到了比特1，否則，接收到的數據為比特0.結合筆者的網絡環境，這里選擇t值為100ms和500ms，構建2個IPCTC隱信道數據集如表1所示.

表1 IPCTC實驗數據Table 1 IPCTC testing data

5.1.2 TRCTC隱信道實驗數據生成

TRCTC通過模擬正常數據來構建隱信道.其基本原理是：首先對正常數據進行數值采樣，然后將采樣得到數據劃分為S0和S1兩個子集，通信過程中，如果需要發送比特0，就從S0中隨機選取一個時間間隔作為當前數據包和前一個數據包的時間間隔，否則從集合S1中選擇時間間隔數據.按照集合S0和S1線性劃分或非線性劃分的方式，可以生成不同的TRCTC隱信道數據，顯然，非線性劃分得到的TRCTC數據具有更強的隱蔽性，但與此同時，信道傳輸的準確率將會因集合S0和S1的差異變小而有所下降.結合筆者的實驗環境，這里以線性劃分和非線性劃分的方式各生成1組TRCTC數據集.

5.1.3 JitterBug隱信道實驗數據生成

JitterBug隱信道的構建原理是：發送方和接收方約定參數w，通過對正常數據進行微調來實現隱秘信息的編碼.具體來說，如果要發送比特1，就調整數據包間隔使其可以整除w，否則調整間隔使其不可以整除w，但可以整除w/2.這里筆者設定w值為2，10，50，生成三種JitterBug數據集：

5.2 檢測模型的訓練性能

得到實驗數據后，接下來利用生成的訓練數據對檢測模型進行訓練，上文中在確定隱層層數時進行過類似的實驗，而在這里，網絡結構已經通過前文所述過程調整至最優狀態后，我們再次通過實驗測試模型的訓練性能.得到的結果見圖6.

表3 JitterBug實驗數據Table 3 JitterBug testing data

圖6 檢測該模型訓練實驗結果Fig.6 Performance of detecting model in training

訓練工作共耗時97小時32分59秒，訓練次數為44325次.觀察圖6可以發現當訓練次數大于32500次后，網絡的檢測率開始趨于穩定.這里由于多種隱信道數據的引入，從而增加了訓練數據的復雜度，因而，這里實驗需要的訓練次數遠遠高于4.3.2節中的實驗.實驗表明，基于目前的訓練數據，檢測模塊在訓練30000次左右后可以基本達到80%的檢測率.

5.3 檢測模型的檢測能力

最后，我們通過對照實驗評估檢測模型的檢測效果，得到的實驗結果見表4.

表4 檢測率實驗結果Table 4 Results of covert channel testing using ε-similarity，CCE and our detecting model

觀察表4的實驗結果可以發現，本文提出的檢測模型在檢測率上明顯優于兩種已有算法.查看文獻[1]和文獻[2]可以發現，這兩種算法的原理均基于“正常信道數據隨機性高于隱信道”的假設，同時在進行判定時，均采用單閾值作為參照標準.關于單閾值標準對于非線性分類具有局限性的問題前文已經說明.筆者還在實驗中發現，ε相似度算法和CCE算法對于隱信道和正常信道的區分能力是可觀的，然而，得到的檢測結果卻和算法給定的判定標準完全相反，造成此現象的原因可能是筆者所處環境的網絡較為通暢，因此，這兩種算法所參照的假設也不完全成立，進而再利用算法原有的判定標準進行判定，檢測率就會降低.

本文提出的檢測模型利用神經網絡對已有算法輸出結果進行分析后得到檢測結果，省去了已有算法單閾值比對的過程，也就避免了已有算法對于非線性劃分情況的局限性.另外，本檢測模型中對于正常數據的特征通過網絡學習得到，而不基于任何假設條件，因此對于不同網絡環境具有更強的適應能力.

6 總 結

本文提出了一種基于BP神經網絡的時序型隱信道檢測方法.在檢測模型的設計過程中，結合了兩種已有的檢測算法，通過引入神經網絡模型充分結合并發揮了已有算法對于隱信道的識別能力，同時還克服了已有算法對于非線性分類情況的局限性.實驗表明，本文提出的檢測方法相比已有算法具有一定的優勢.未來的研究工作將主要集中在檢測模型結構改進訓練性能優化方面.

：

[1] Cabuk S，Brodley C E，Shields C.IP covert timing channels：Design and detection[C].Proc.of the 11th ACM Conf.on Computer and Communications Security，2004：178-187.

[2] Gianvecchio S，Wang H.Detecting covert timing channels：an entropy-based approach[C].Proceedings of the 14th ACM Conference on Computer and Communications Security(CCS′07)，ACM，New York，NY，USA，2007：307-316.

[3] Lampson B W.A note on the confinement problem[J].Communications of the ACM，1973，16(10)：613-615.

[4] Cabuk S.Network covert channels：design，analysis，detection and elimination[D].Dissertation，Purdue University，West Lafayette，IN.，USA，December，2006.

[5] Gianvecchio S，Wang H，Wijesekera D，et al.Model-based covert timing channels：automated modeling and evasion[J].International Symposium on Recent Advances in Intrusion Detection，2008，(5230)：211-230.

[6] Shah G，Molina A，Blaze M.Keyboards and covert channels[C].Conference on Usenix Security Symposium：Conference on Usenix Security Symposium，2006：59-75.

[7] Shannon C.A mathematical thoery of communication[J].Bell System Technical Journal，2014，27(3)：379-423.

[8] Yan Hong，Guan Yan-ping.Method to determine the quantity of internal nodes of back propagation neural networks and Its demonstration[J].Control Engineering of China，2009，16(S1)：100-102.

[9] Biswas A K，Ghosal D，Nagaraja S.A survey of timing channels and countermeasures[M].Acm Computing Surveys,2017,50(1):1-39.

[10] Wang C，Yuan Y，Huang L.Base communication model of covert timing channels[J].Frontiers of Computer Science，2016，10(6)：1130-1141.

[11] Shrestha P L，Hempel M，Frezaei.A support vector machine-based framework for detection of covert timing channels[J].IEEE Transactions on Dependable and Secure Computing，2016，13(2)：274-283.

[12] Zhang De-hui，Zhang De-yu，Liu Qing-yun，et al.BP neural network optimized by improved PSO[J].Computer Engineering and Design，2015，36(5)：1321-1326.

[13] Wei San-qiang，Yang Wei，Shen Yao.A covert communication method based on reliable packet ordering[J].Journal of Chinese Computer Systems，2016，37(1)：124-128.

附中文參考文獻：

[8] 嚴 鴻，管燕萍.BP神經網絡隱層單元數的確定方法及實例[J].控制工程，2009，16(S1)：100-102.

[12] 張德慧，張德育，劉清云，等.基于粒子群算法的BP神經網絡優化技術[J].計算機工程與設計，2015，36(5)：1321-1326.

[13] 魏三強，楊 威，沈 瑤.一種基于可靠包排序的隱秘通信方法[J].小型微型計算機系統，2016，37(1)：124-128.