[发明专利]针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法

摘要

本发明公开一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，首先捕获正常数据和待测数据，分别提取正常数和待测数据的信息熵、ε相似度以及方差三个特征，以正常数据作为训练数据，待测数据作为测试数据输入贝叶斯分类器，由贝叶斯分类器判别待测数据与正常数据是否相似，相似则判断为正常，否则就判断为异常。本发明采用数据流的多特征检测，可有效克服单一特征带来的虚警率高的问题，给出可靠的检测结果。

主权项

一种针对BitTorrent文件共享过程中基于Have消息编码的隐蔽通信检测方法，其特征在于：包括以下流程：步骤1：设置数据捕获器，利用数据捕获器捕获正常数据，并筛选出其中的Have消息；步骤2：设置数据处理器，利用数据处理器提取每个正常数据Have消息中的负载，该Have消息中负载为一个正整数且呈不断上升的趋势，计算每两个相邻负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组含N个元素；步骤3：设置窗口分割器，利用窗口分割器将正常数据分割为L个窗口，每个窗口包含w个正常数据；步骤4：设置特征提取器，提取每个窗口数据的信息熵H、ε＝0.9时的ε相似度、方差三种特征，其中信息熵H可由公式(1)计算：H=-Σi=1kPilogPi---(1)]]>将正常数据的包间时延分为大小相等的k块，计算时延信息落在每个块中的概率Pi，Pi＝n/w，n为落入第i个小块时延个数，再由Pi求得信息熵H，此处，取自然常数e为log的底数；首先对原始数据的包间时延按照由小到大进行排序，由公式(2)计算排序后第i个包间时延ti与第i+1个包间时延ti+1的差异率difi，其中w为窗口大小，差异率小于ε的包间时延所占的百分比称为ε‑相似度，由公式(3)计算ε‑相似度，其中num(dif<ε)为差异率小于ε的包间时延总数；difi＝|ti‑ti+1|/ti，1≤i≤w‑1   (2)E＝num(dif<ε)/(w‑1)   (3)方差可由公式(4)得出：s2＝[(t1‑A)2+(t2‑A)2+…+(tw‑A)2]/w   (4)A为该窗口包间时延的均值，一个窗口内有w个包间时延且分别用t1～tw表示，将所有窗口的三种特征提取完毕，可以得到两个维数为L*3的特征矩阵，其中一个为正常数据的特征矩阵，一个为含密数据的特征矩阵；步骤5：设置数据捕获器，利用数据捕获器捕获待测数据，并筛选出其中的Have消息；步骤6：设置数据处理器，利用数据处理器提取Have消息中的负载，计算每相邻两个负载数字之间的差值，并将计算结果组成一个一维数组，该一维数组包含N+个元素；步骤7：设置窗口分割器，利用窗口分割器将待测数据分割为L+个窗口，每个窗口包含w个数据；步骤8：设置特征提取器，提取每个窗口数据的信息熵、ε＝0.9时的ε相似度、方差三种特征，组成一个L+*3的特征矩阵；步骤9：设置贝叶斯分类器，将正常数据的特征矩阵分为两部分，一部分作为样本数据，另一部分作为训练数据，由公式(5)计算训练数据和样本数据3种特征的后验概率之积h，并得到求得若干个h的均值m、方差v和检测阈值Th＝m+αv，其中α为自定义的常量函数，用于调整检测阈值；h=Πi=13P(xi|c)---(5)]]>其中c为样本包含种类且c为正常数据，xi为待测数据的特征，P(xi|c)表示当确定样本为正常数据时特征为xi的后验概率；同时把待测数据的特征矩阵输入贝叶斯分类器，由公式(5)计算待测数据和样本数据的后验概率之积得到h+同阈值Th作比较，若大于Th可认为该窗口数据为正常数据，反之，则认为该窗口数据为含密数据。