地地研究生开题报告范文.pptVIP

基于信息熵SVM的ICMP隐蔽通道检测研究 报告内容 研究背景 国内外研究现状 研究内容与目标 可行性分析 论文进度安排 参考文献 研究背景 研究背景 ICMP工作原理 ICMP协议主要是用来进行错误信息和控制信息的传递，它属于TCP/IP协议报中的网络层协议。ICMP消息在以下几种情况下发送:①数据报不能到达目的地时，②网关己经失去缓存功能，③网关能够引导主机在更短路由上发送。 ICMP有多种类型的报文，例如Ping和Trace工具都是利用ICMP协议中的EChoRequest和EchoReply报文进行工作的【 l 】 ，ICMP常用的报文类型如表1所示。 研究背景 ICMP隐蔽通道的实现原理 ping（利用0x0和0x8 这两种类型报文来完成工作）向远程主机发送一个ICMP_ ECHO请求数据包，其选项部分可以填写数据，当目标主机收到ICMP请求报文以后，在ICMP响应报文中填写标识域和序号域回应请求应答，并且把请求数据包中选项域的东西原封不动的返回去。在通常情况下，很少有设备检查这个字段中实际的内容，这就给隐蔽通道的建立提供理想的场所。如图1所示： 国内外研究现状 国外研究现状 03年Taeshik Sohn【2】等人先对IMCP负载进行特征提取，然后利用支持向量机(SVM)检测ICMP隐蔽通道。 07年Steven Gianvecchio和王海宁【3】将熵和条件熵理论用于检测网络隐蔽时间通道，根据文献【4】的隐蔽信道分类，以IMCP有效负载隐蔽信息的通道属于网络存储通道，因此该方法不适用于本研究，但其将信息熵用于检测隐蔽通道的思想值得借鉴。 国内外研究现状 国内研究现状 目前国内专门针对ICMP网络隐蔽通道检测的研究很少，大部分研究都是对网络隐蔽通道的检测。 02年薛晋康【5】等人设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。该方法存在着准确性差、实时性差等不足。 06年中国科学院的华元彬【6】等人，提出了基于数据融合思想的链路分析法来检测网络隐蔽通道，该方法存在误报，且实时性较差。 研究内容及目标 本研究在使用SVM模型【2】检测ICMP隐蔽通道的基础上，将信息熵引入到支持向量机建模中, 分析数据的信息熵分布规律和支持向量数据及其熵值的关系,进一步构造一个用于检测ICMP隐蔽通道的信息熵支持向量机模型。 研究内容及目标 可行性分析 本研究是基于SVM模型检测ICMP隐蔽通道的基础上，将信息熵引入到支持向量机建模中。因此SVM的可行性在此不需分析。主要分析使用信息熵过滤掉数据包的可行性。 1.从经验上分析 由隐通道的定义：隐通道是指违背设计者的原意和初衷，被用来传送非法信息的通道 ，我们可知如果一个IP流的SH=0,那么所有ICMP数据包内的负载数据肯定是相同的ASCII码字符集合，也既是所有数据包的熵值相同 。我们可以肯定的断定它不存在ICMP隐蔽通道。 2.从已有理论上进行分析： 可行性分析 SVM二分类中,起决定性作用的数据(即支持向量)一般分布在两类数据的边界上,在这里两类数据相距很近或混合在一起。从信息熵角度来看,越混乱的数据其熵值就越大,我们是否可以断言,熵值越高的点是支持向量的可能性越大。 SVM的训练过程就是寻找最大分类边界上支持向量的过程,若信息熵值的大小与支持向量有一定的相关,就可以通过数据的信息熵值来预先确定一个较小的且包含绝大多数支持向量的数据子集。 具体见参考文献【4】 可行性分析 3、与标准SVM相比较 标准的SVM间复杂度为O(n3),空间复杂度为O(n2)，求信息熵的时间复杂度为O(n2),空间复杂度为O(n)。因此从时间和空间角度考虑,该方法都是可行的。 论文进度安排 论文进度安排 五、参考文献 [1] 江嘉.传输协议ICMP的安全性解析.昆明理工大学学报(理工版)，2003，25(1):102 一104 [2] T. Sohn, T. Noh, J. Moon. Support Vector Machine Based ICMP Covert Channel Attack Detection. In Second International Workshop on M