基于聚类分析的网络存储隐蔽信道检测算法

袁 健，王 涛

（上海理工大学光电信息与计算机工程学院，上海200093）

基于聚类分析的网络存储隐蔽信道检测算法

袁 健，王 涛

（上海理工大学光电信息与计算机工程学院，上海200093）

在包含巨大通信量和多种通信协议的网络环境下，隐蔽信道允许进程以危害系统安全的方式传输信息，对安全信息系统构成威胁。为此，提出一种基于聚类分析的隐蔽信道检测算法，根据正常通信数据和隐蔽通信数据聚类的差别判断通信流中是否存在网络存储隐蔽信道。实验结果表明，该算法可根据通信量大小和待检测字段特点灵活调整实现算法，具有较高的实时性和准确率。

聚类分析；网络隐蔽信道；隐蔽信道检测；网络安全；安全检测

1 概述

隐蔽信道的概念最早由Lampson于1973年提出，其给出的定义为：不是被设计或本意不是用来传输信息的通信信道。美国国防部1985年发布的“可信计算机系统评测标准”（TCSEC）对隐蔽信道给出的定义是：允许进程以违背系统安全策略的形式传送信息的通信信道。隐蔽信道存在于多个领域，本文将着重研究存在于网络通信中的网络隐蔽信道。

隐蔽信道的存在使得恶意主体能够以危害系统安全策略的方式传输信息，从而绕开安全策略的控制范围。隐蔽信道是传统单机和网络系统以及数据库系统等的重要威胁，即使在云计算这种新型计算环境下仍然存在。美国TCSEC，国际标准化组织ISO发布的CC标准［1］，以及我国发布的“信息安全技术操作系统安全技术要求”［2］等标准都要求对高等级的安全信息系统进行隐蔽信道分析。

网络隐蔽信道的分类方法有很多，其中学术界认可度最高、使用频率最高的分类方法是根据共享资源划分，分为存储隐蔽信道和时间隐蔽信道。本文主要针对网络存储隐蔽信道的检测算法进行研究。

2 相关研究

1996年，Handel提出了如图1所示的网络隐蔽信道模型。网络用户A lice和Bob使用2台联网的计算机用于通信，模型之间可以建立一条看似无害的公开的通信信道，但实际上在这条通信信道中隐藏着非法信息。A lice和Bob共享一套用于加密解密隐蔽信息的机制，从而得到信道中所隐藏的隐蔽信息。黑客可以控制一台已被攻破的主机，利用该模型给自己传递受限的信息，虽然防火墙等安全措施能实时监控通信信道，但并不一定能察觉出非法信息。

图1 网络隐蔽信道模型

网络存储隐蔽信道主要利用网络数据包的协议控制部分或扩展数据部分加载信息，而不是直接利用协议的常规数据部分保存隐蔽信息［3］。常被用于传输隐蔽信息的字段包括：未用的IP头字段如TOS（Type of Service）、DF（Don't Fragment）；IP头的扩展和填充段如ID（Identifier）、CheckSum等；TCP头的标志位字段如初始序列号、时间戳等；由于网络数据包大都有较多的不常用数据字段，因此这类隐蔽信道比较容易实现。由于因特网的巨大通信量和多种通信协议的存在，使得网络隐蔽信道有了理想的高带宽传输媒介，进而对网络安全构成很大的威胁。网络存储隐蔽信道由于其较容易实现、传输载体丰富、鲁棒性高等特点，也成为网络安全中不可忽视的隐患之一。对隐蔽信道的分析工作主要包括信道的检测、度量和处置。其中隐蔽信道的检测作为分析工作的首要任务显得极为重要。

当前网络存储隐蔽信道的检测技术已经相对成熟，几乎每当有新的隐蔽信道提出之后，都会有相应的检测算法实现对其的检测［4］。现有的网络隐蔽信道检测方法可大致分为4类：

（1）特征检测，是指针对网络数据包的固定字段或属性进行监听，一旦该字段或属性具有异常特征或异于正常特征，则视为具有隐蔽信道威胁。这种检测机制适合检测已知的隐蔽信道，而对于未知甚至新型的隐蔽信道并不能有效的检测。例如IP协议报文中的TOS、DF等字段，一般只要对每个数据包的特殊位进行监听，若该数据位的取值有异常，可初步认为该数据位是经过篡改含有了隐蔽信息。文献［5］针对复合隐蔽信道具有跨越多主机的特点，提出了基于链路分析的复合隐蔽信道检测方法，通过监测网络通信流的链路长度来识别通信中是否含有隐蔽信息。该检测方法可有效的检测跨主机多的、链路较长的隐蔽信道，但检测对象单一，且有较高的误报率。

（2）行为检测，是指利用某种方式，建立起正常网络通信下的特征模型，并利用该模型对通信流中的网络行为进行匹配检测，根据网络行为的阈值差异判断通信流中是否含有隐蔽信息。这种检测机制对于简单隐蔽信道具有较好的检测效果，但其检测对象相对单一，且模型训练过程通常较长。例如Sohn、吴传伟等人，利用SVM训练出正常网络行为与异常网络行为的检测模型，从而实现网络隐蔽信道的检测［6-7］，该模型的训练复杂度随检测维度成指数增长，对复合型隐蔽信道检测检测效果较差，且鉴于支持向量机（Support Vector Machine，SVM）算法特点，其对异常点过于敏感，且对多分类隐蔽信道检测有一定的局限。

（3）统计检测，是指利用统计学理论，分析概括网络通信流中某些属性的概率分布，由于数据包在嵌入隐蔽信息后其统计特性通常会发生改变，据此可检测出含有隐蔽信息的通信流。例如文献［8］提出的基于流量分析的检测方法认为，正常的通信流会服从泊松分布，当采集到的通信流不服从泊松分布时，就可以认为通信流中被嵌入了隐蔽信息。这种检测方法由于需要采集大量统计数据，实时性较差，且误报率较高。

（4）人工智能检测，是指利用如神经网络等学习算法，将隐蔽信道的特征、规律及效用等信息通过神经元之间的连接构成模式图来学习理解，经过一定的训练形成较为准确的检测模型。例如Tumonian、唐彰国等人提出的基于神经网络［9-10］的网络隐蔽信道检测模型虽然有较高的准确度，但其训练过程中的收敛时间较长，导致检测的实时性较差，不使用于网络通信的实时检测。

从以上论述可以看出，隐蔽信道为避免被检出，往往设计和采用新型的隐蔽方式，检测者因为不了解未知的和新型的隐蔽信道特征，基于原有的特征检测方法很难对不断出现的新隐蔽信道类型进行有效的检测，因此，该类方法的实际检测意义不大。采用智能方法既能检测已有类型的隐蔽信道，也能检测出未知的新型隐蔽信道，因此，人工智能检测方法是目前较有效的检测方法。

综上所述，目前隐蔽信道检测算法有以下问题：

（1）检测算法大都针对某一种或几种隐蔽信道，而隐蔽信道种类繁多，需要跨种类检测算法的出现；

（2）检测算法效率较低，影响网络实时检测的效果；

（3）检测的准确率有待提高，有误检、错检现象存在。

针对上述问题，本文根据网络存储隐蔽信道的特点，利用数据挖掘中聚类分析技术，提出一种基于聚类分析的网络隐蔽信道检测算法（detection algorithm of Network Covert Storage Channel based on Cluster Analysis，NCSCCA）。NCSCCA检测算法较已有算法具有以下优点：（1）聚类分析算法的聚类时间较神经网络、SVM等算法的训练时间更短，提高了检测效率，更适用于网络隐蔽信道的实时检测。（2）该检测算法能够检测多种类型的网络存储隐蔽信道，具有一定的自适应性。（3）经过实验验证，该检测方法能够有效的检测出网络中的隐蔽信道，且误报率较低。NCSCCA检测算法有着很高的实用性，适用于网络通信量大、安全性实时性要求较高的应用平台。

3 NCSCCA算法

聚类分析又称为群分析，是根据“物以类聚”的道理对样品或指标进行分类的一种多元统计分析方法［11］。

3.1 基于聚类的隐蔽信道检测

网络存储隐蔽信道的本质是恶意篡改网络协议中已有字段值，用以传输隐蔽信息，而网络协议中的每一个字段都有其原本的意义。例如IP协议中的标识符（Identifier）通常与标记字段（Flags）和分片字

段一起用于数据包的分段。报头校验和（Header CheckSum）是针对IP报头的纠错字段等。由于每个字段本身所具有的含义，大多协议字段都有其自身的特点。另一方面，隐蔽信息通常经编码之后嵌入到协议字段中，根据编码方式的不同，所得到的嵌入信息的特点也随之不同。

由上述分析可知，对隐蔽信息进行聚类分析，可能得到2种结果：一种是鉴于所使用的加密方式有其明显的特点，会得到某些特征明显的聚类簇；另一种结果是由于加密产生的结果比较随机，得不到明显的聚类特征，直观上表现为出现大量散列的随机点。也就是说，对嵌入了隐蔽信息的数据进行聚类分析，要么得到该隐蔽信息所特有的聚类特征，要么因为得不到聚类簇而得不到到任何聚类特征（没有聚类特征本身也是一种特征）。而对于正常通信数据的聚类，只要对协议字段值根据字段自身特点进行相应的数据预处理，再对预处理过的数据进行聚类分析，就一定能得到符合字段本身特点的聚类特征，只是不同字段有难易程度的区别。若嵌入了隐蔽信息的通信数据和正常数据都能得聚类特征，则正常信息的聚类簇中心与隐蔽信息的聚类簇中心距离较远，据此可判别出隐蔽通信流中含有隐蔽信息。若嵌入了隐蔽信息的通信流不能得到有效的聚类特征，表现为散列的随机点，则由于距正常信息聚类簇中心较远的可疑点数量达到一定阈值，可据此认为通信流中含有隐蔽信息。得到正常数据和隐蔽数据的聚类特征后，对比特征差异，就能判断数据流中是否含有隐蔽数据。例如某些协议字段设有默认值，对此类字段聚类分析就能得到默认值附近的聚类特征。在IP协议中，同源同目的报文的标识符（Identif-ier）字段在一段时间内变化范围不会太大，在聚类结果上表现为形成一个聚类簇，如果某一时间段内该字段值变化较大，则可怀疑有隐蔽信息存在。

3.2 算法流程

NCSCCA算法的流程如图2所示。

图2 NCSCCA算法流程

NCSCCA隐蔽信道检测算法由3个步骤组成：数据预处理、待检测字段值聚类和聚类中心对比。数据预处理将根据待检测字段特点将字段值处理成适合聚类分析的格式，不同字段有不同的处理方式，数据预处理的优劣决定聚类的准确性。K-means聚类算法［12］是基于划分聚类算法中的一个典型算法。该聚类算法具有操作简洁、采用误差平方和的准则函数、对大数据集的处理上有较高的可伸缩性和高效性，所以本文将使用经典的K-means聚类算法进行聚类分析。

聚类中心对比算法的主要思路为：首先得到样本数据点与聚类中心的距离dist，然后通过dist与聚类簇半径rK的比对，得出该点是否为异常点。最后就可以得到样本数据集中异常数据点的占比，若该占比大于预设阈值ξabnormal，就可以断定，该样本数据集极有可能是由隐蔽信息构成的。

若给定一个数据集X=｛χ1，χ2，…，χn｝，将其划分为K个相似的子集｛C1，C2，…，CK｝。每一个子集类中的对象都彼此相似，具有同一聚类中心点。设存在正整数m表示观测空间的维数。对于任何i，j=1，2，…，n，有χi，χj可看作高维空间的两个点，它们之间的相似度可以用它们之间的距离r（i，j）来度量，如式（1）所示。其中，K表示m维空间上一点在某一维上的投影值。

NCSCCA算法的具体步骤如下：

SteP1 从数据源中取出K个中心点μK作为初始值，关于K初始值的选取需要根据字段特点决定，或多次选取初值找到最合适的初始值。

SteP2 按式（1）计算每个数据点与初始中心点的距离r（i，j），将距离中心点最近的数据点归类到该中心点所代表的簇中。

SteP3 用式（2）计算出每个簇的中心点：

其中，NK表示簇CK中数据点的个数；χi∈CK表示聚类簇CK中所有的数据点。

SteP4 重复Step2，直到达到某阈值或终止条件。就得到了数据源每个簇的聚类中心点μK和簇半径rK。

SteP5 计算要对比的数据点到聚类簇CK的聚类中心点的距离dist，其中i=1，2，…，K。若dist与该聚类簇的簇半径相似度小于阈值εr，则认为样本数据点属于聚类簇CK。若该数据点不属于任何聚类簇，则认为该数据点为异常数据，异常点个数Nabnormal自加1。

SteP6 若样本数据中还有未对比的数据点，重复Step 5。

SteP7 计算样本数据中异常数据点的占比ρi=其中，N是样本集X中异常数据点的个abnormal数；Ntotal是样本集中数据点的总个数；ρi则是样本集中异常数据点的占比。

NCSCCA隐蔽信道检测算法将检测过程分为3个步骤的主要优点为：（1）根据数据量的大小，可以灵活地选择聚类算法；聚类算法得到的聚类特征可用于其他检测检测算法，使得数据可以充分利用，提高效率；（2）根据检测字段的特点，可灵活地选择不同的数据预处理方式和聚类中心对比算法；（3）可使整个检测算法更容易实现模块化设计。

4 实验结果与分析

为实验该检测算法的效果，本文实验将构造2种隐蔽信道：以IP协议报头中Identifier字段和Header checksum字段为载体的网络存储隐蔽信道，以这2种隐蔽信道的检测为例，测试NCSCCA隐蔽信道检测算法的优劣。实验的主要思想是：采集网络通信数据包，获取IP协议头的Identifier字段和Header checksum字段，将这2个字段作为2个维度进行2维的聚类分析，检测网络通道中是否含有以这2个字段为载体的隐蔽通道。最后将本文提出的聚类分析检测算法与已有的神经网络方法和SVM方法进行比对分析。

4.1 实验内容

实验将利用2台接入Internet的2台PC机：PC1和PC2，分别模拟通信过程中的恶意入侵者和受害者。实验中，收集PC1与PC2通信过程中所产生的通信数据，并通过本文所提出的NCSCCA隐蔽信道检测方法对其进行检测，从而验证NCSCCA隐蔽信道检测方法的可行性及准确性。

检测过程中所需要的通信数据将通过Wireshark软件进行采集，Wireshark是一个网络封包分析软件，通过Wireshark，可以采集到指定IP之间的所有网络通信数据。检测中需要正常的通信数据以获得正常数据集的聚类簇，同时需要含有隐蔽信息的非正常数据以验证检测方法的可行性。在本实验中，将利用PC2向PC1发起一系列正常HTTP连接，模拟受害机的正常通信过程，并截取其数据报文作为正常通信数据集。利用网络报文构造软件（如xcap）构造含有隐蔽信息的网络报文，并通过PC2向PC1发送大量含有此类隐蔽信息的HTTP连接，模拟受害机被劫持后发送隐蔽信息的通信过程，此状况下截取到的数据报文作为非正常通信数据集。数据采集软件的界面如图3所示。

图3 Wireshark采集过程界面

实验所采用的数据集如下：

（1）正常数据：由Wireshark采集到的12 000个正常通信数据包的Identifier字段和Header Checksum字段组成，其中8 000个样本对作为训练数据，4 000个样本对作为正常数据样本。

（2）非正常数据：由Wireshark采集到的4 000个非正常通信数据包的Identifier字段和Header Checksum字段组成，作为非正常数据样本。

获取到正常与非正常数据集后，需要对数据集进行适当的数据预处理，并利用本文所提出的NCSCCA隐蔽信道检测方法对通信数据进行检测。实验首先对正常数据集进行聚类分析，从而得到正常通信数据的聚类特征。然后将非正常数据点与正常数据聚类特征进行对比，得出通信数据的异常率，依据异常率的大小来判断通信过程中是否存在隐蔽信息。

4.2 结果分析

实验首先需要对采集到的数据进行预处理，数据预处理的步骤主要包括数据清理、数据集成、数据变换和数据规约［13］。数据清理主要处理缺失数据、噪声数据，识别删除孤立点，保证数据的有效性。数据集成则是将多个数据源中的数据合并存放在一个统一数据存储位置的过程，确保没有数据冗余的前提下，集成所有采集到的数据。数据变换是指采用线性或非线性的数学变换方法，将多维数据压缩成较少维度的数据，消除其在空间、时间、属性及精确度等特征表现方面的差异。经过变换后的数据各指标处于同一数量级，使数据规范化，更好地对其进行数据分析。数据规约技术可以用来得到数据集的规约表示，该技术在减小数据量的基础上，接近于保持原数据的完整性。检测不同的字段需要根据其特点进行适合的数据预处理方式，好的数据预处理会给后续的数据分析过程带来便利。

数据预处理后，对正常数据集进行聚类分析，从而得到正常数据的聚类中心和簇半径。K-means聚类算法具有直观、快速特点，是一种广泛使用的聚类算法，所以本文使用Matlab中K-means聚类分析函数对正常数据集进行K-means聚类分析，将采集到的数据用标准分数（Matlab中为zscore函数）进行标准化处理之后得到的结果。8 000个正常数据样本的聚类结果如图4所示。

图4 聚类结果

从聚类结果可以直观的看到，8 000个正常数据集的样本被聚类为8个簇，说明在一段时间内，IP报文的Identifier和Header Checksum字段值是有一定聚类特征的，聚类结果的详细数据如表1所示。

表1 聚类数据

得到正常通信数据的聚类特征后，就可以利用对比算法用来判断样本数据点是否属于某一特征簇。若数据点属于以上8个簇中的任意一个，则认为是正常数据点，若数据点距所有簇的簇中心距离都较远，则可认为是异常数据点。本文认为若检测样本中异常点的占比，也就是异常率在规定阈值以上即可认为该样本中含有隐蔽信息。阈值的大小根据系统的安全等级确定，对安全要求越高表示对隐蔽信道的检测要求越高，需要适当降低阈值的大小。本文将阈值定为30%，异常率高于20%则认为数据中可能存在隐蔽信息，而低于该值则认为是正常通信数据。将每相邻200个数据分为1组，则4 000个正常数据样本被分为20组。同样将4 000个非正常数据样本分为20组。分析每组数据的异常率来判断是否出现隐蔽信息，并与实际情况进行比对，用正常数据来分析得到表2的结果，用构造的非正常信息进行比对，得到表3的结果。

由实验结果可得出：正常数据样本的异常率较低，表示正常数据样本的数据点大部分在已知聚类中心附近，可视为正常数据。而非正常数据样本的异常率很高，表示在非正常数据样本中有大量可能含有隐蔽信息的异常点。由表2可以看出，20个正常数据组的异常率最大值为18.5%，远小于阈值30%，均被检测为正常数据，其检测成功率为100%。从表3可以看出，20个非正常数据组中有3组的异常率小于阈值30%，被判定为正常数据，因此检测的成功率为85%。从以上分析得出，采用该算法，正常数据一般不会被误判，但非正常数据会漏判，但漏判的比例不高。

现有的大部分检测算法如基于SVM的检测算法、基于BP神经网络的检测算法和本文提出的NCSCCA检测算法在进行检测之前都需要一定的训练时间。将之前的8 000个样本数据分别用上述3种算法训练，得到表4所示的训练时间与复杂度对比。

表2 正常数据样本分析结果

表3 非正常数据分析结果

表4 训练时间与复杂度对比

由实验结果可以明显看出，NCSCCA检测算法较其他两种传统方法在训练时间上具有明显优势，其根本原因是因为NCSCCA算法的时间复杂度是线性增加的，而另外2种算法的时间复杂度较高，是指数型增长的。数据量越大，聚类算法的效率越高。隐蔽信道的检测势必要由离线检测向实时在线检测发展，而在线检测的瓶颈之一就是检测算法的时间复杂度，经对比分析可以得出NCSCCA检测算法鉴于其线性的时间复杂度，适用于大通信量的网络隐蔽信道实时检测，实用性较高。

5 结束语

本文针对网络存储隐蔽信道的检测方法进行研究，提出了NCSCCA网络存储隐蔽信道检测算法。该算法先采用聚类分析得到聚类特征，再对比聚类特征得到数据异常率，然后判断出当前通信流中是否含有隐蔽信息。实验结果表明，该检测算法具有准确度高、算法简单、时间复杂度低、实时性好的特点，且可以根据通信量和字段特点改变聚类算法和对比算法，具有较好的灵活性，适合用于大通信量的快速网络隐蔽信道检测。

［1］ ISO/IEC.ISO/IEC 15408-2005 Common Criteria for Information Technology.Security Evaluation［S］. Geneva，Switzerland：ISO Press，2005.

［2］ 中国国家标准化管理委员会.GB/T 20272-2006信息安全技术操作系统安全技术要求［S］.北京：中国标准出版社，2006.

［3］ 王永吉，吴敬征.隐蔽信道研究［J］.软件学报，2010，21（9）：2262-2288.

［4］ 吴小进.网络隐蔽信道检测技术的研究［D］.南京：南京理工大学，2012.

［5］ 华元彬，蒋建春，卿斯汉.基于链路分析法的复合隐蔽通道检测［J］.计算机应用，2006，26（1）：81-83.

［6］ 吴传伟，孙 瑞，罗 敏.基于SVM的Telnet隐蔽信道检测［J］.信息安全与通信保密，2012，（9）：97-98.

［7］ Sohn T，Seo J T，Moon J.A Study on the Covert Channel Detection of TCP/IP Header Using Support Vector Machine［C］//Proceedins of ICICS'03.Berlin，Germany：Springer，2003：313-324.

［8］ Porras P A，Kemmerrer R A.Covert Flow Trees：A Technique for Identifying and Analyzing Covert Channels［C］//Proceedings of IEEE Computer Society Symposium on Security and Privacy.Washington D.C.，USA：IEEE Press，1991：36-51.

［9］ 周爱武，于亚飞.K-M eans聚类算法的研究［J］.计算机技术与发展，2011，21（2）：62-65.

［10］ Tumonian E，Anikeev M.Network Based Detection of Passive Covert Channels in TCP/IP［C］//Proceedings of the 30th IEEE Conference on Local Computer Networks Anniversary.Washington D.C.，USA：IEEE Press，2005：802-809.

［11］ Han Jiawei，Kamber M.Data Mining：Concepts and Techniques［M］.San Francisco，USA：Morgan Kaufmann Publishers，2001.

［12］ 唐彰国，李焕洲，钟明全，等.基于量子神经网络的启发式网络隐蔽信道检测模型［J］.计算机应用研究，2012，29（8）：3033-3035，3038.

［13］ 安淑芝.数据仓库与数据挖掘［M］.北京：清华大学出版社，2005.

编辑 金胡考

Detection Algorithm of Network Storage Covert Channel Based on Clustering Analysis

YUAN Jian，WANG Tao
（School of Optical-Electrical and Computer Engineering，University of Shanghai for Science and Technology，Shanghai200093，China）

The huge communication traffic and vast of communication protocol turn to be perfect medium for covert channel.As a kind of communication channel which allows a process to transfer information in amanner that violates the system's security，the covert channel is becoming amajor threat to the secure information system s.A detection algorithm of Network Covert Storage Channel based on Cluster Analysis（NCSCCA）is proposed in this paper to detect covert storage channel，which is widely existed in network.This new method can identify whether a covert storage channel is existed in the communicating，depending on cluster analysis difference between normal and abnormal communication and has a high-speed feature.W hat's more，this method has the ability to detect several kinds of covert storage channel. Preliminary experiment results show that the method is real-time and accurate.

clustering analysis；network covert channel；covert channel detection；network security；security detection

袁 健，王 涛.基于聚类分析的网络存储隐蔽信道检测算法［J］.计算机工程，2015，41（9）：168-173.

英文引用格式：Yuan Jian，W ang Tao.Detection Algorithm of Network Storage Covert Channel Based on Cluster Analysis［J］.Computer Engineering，2015，41（9）：168-173.

1000-3428（2015）09-0168-06

A

TP393

10.3969/j.issn.1000-3428.2015.09.031

国家自然科学基金资助项目（61202376）；上海市教育发展基金会晨光计划基金资助项目（10CG49）；上海市教委科研创新基金资助项目（13YZ075）。

袁 健（1971-），女，副教授、博士，主研方向：网络安全，数据分析与挖掘，智能交通；王 涛，硕士研究生。

2014-08-14

2014-10-07 E-m ail：yuanjianwq@163.com