[发明专利]一种基于双正交载体的网络水印标记方法及系统

权利要求书

1.一种基于双正交载体的网络水印标记方法，步骤包括：

捕获网络数据流，从中提取基本信息和特征信息，该基本信息为源IP地址、目的IP地址、源端口号、目的端口号、协议号的五元组流信息，该特征信息包括时间间隔重心特征和包间时延特征；

根据所述基本信息生成水印信息；

将所述时间间隔重心特征和包间时延特征分别作为时间间隔重心载体和包间时延载体，对该两种载体进行正交化处理；

利用基于时间间隔重心和包间时延的水印嵌入算法，给所述时间间隔重心载体和包间时延载体嵌入所述水印信息，发送数据包，完成网络水印标记；

基于时间间隔重心的水印嵌入算法包括以下步骤：

提取数据流的基本信息和时间间隔重心特征信息，获得时间间隔重心；

根据时间间隔重心得到基重心属性值，利用基重心属性值随机选取待嵌入的时间间隔重心；

利用基重心属性值对应的随机数，随机选出多个时间间隔，将前若干个时间间隔作为嵌入水印的位置；

将作为嵌入水印位置的时间间隔按顺序分组，每一组包括两个时间间隔，对每一组内的两个时间间隔重心分别进行调制；

基于包间时延的水印嵌入算法包括以下步骤：

提取数据流的基本信息和包间时延特征信息，获得平均包间时延特征值；

将平均包间时延特征值进行映射；

计算包间时延并进行量化，根据量化步长对包间时延进行调制。

2.根据权利要求1所述的方法，其特征在于，根据所述基本信息生成水印信息时，还加入时间、安全级别、范畴类别作为流身份信息，通过共享加密密钥的方式生成水印编码。

3.根据权利要求1所述的方法，其特征在于，正交化处理时，先调制所述时间间隔重心载体，再调制所述包间时延载体；嵌入水印信息时，先给所述时间间隔重心载体嵌入水印信息，再给所述包间时延载体嵌入水印信息。

4.根据权利要求1所述的方法，其特征在于，利用基于时间间隔重心的水印嵌入算法，随机选取所述时间间隔重心载体，对所述时间间隔重心载体分组后嵌入所述水印信息；利用基于包间时延的水印嵌入算法，随机选取所述包间时延载体，对所述包间时延载体进行量化索引调制后嵌入所述水印信息。

5.根据权利要求1所述的方法，其特征在于，如果所述时间间隔重心载体或包间时延载体无法嵌入完整的水印信息，则根据所述获取的数据流大小重新生成水印信息；如果嵌入完整水印信息后还有剩余的待嵌入载体，则给该待嵌入载体循环嵌入水印信息。

6.一种网络水印检测方法，该网络水印由权利要求1所述的方法标记，该检测方法的步骤包括：

获取含水印信息的数据流，从中提取基本信息和特征信息，该特征信息包括时间间隔重心特征和/或包间时延特征；

利用基于时间间隔重心和/或包间时延的水印检测算法，提取基于所述时间间隔重心特征和/或包间时延特征的水印信息；

根据所述基本信息，请求并获取原始水印信息；

将所述水印信息和所述原始水印信息进行比对，对正确率高于设定阈值的数据流进行认证，对于认证通过的数据流，允许其通过网络节点；对正确率低于设定阈值的和认证未通过的数据流进行丢弃，并上报预警信息。

7.一种网络水印追踪方法，该网络水印由权利要求1所述的方法标记，该追踪方法的步骤包括：

收集预警信息，根据基本信息和预警信息，对可疑数据流传输路径进行溯源；

提取所述可疑数据流传输路径，根据时间顺序对可疑数据流的转发路径进行重构及显示。

8.一种基于双正交载体的网络水印标记系统，基于权利要求1所述的方法，该系统包括一个水印追踪服务器和多个水印代理节点，所述水印追踪服务器建立于云平台控制节点上，所述水印代理节点建立于云平台每个计算节点和边界网关上；

所述水印代理节点包括：

一数据流采集模块，用于捕获网络数据流，收集数据流基本信息、时间间隔重心特征和包间时延特征信息，并生成数据流特征统计数据；

一水印生成模块，用于根据数据流基本信息生成水印信息；

一水印嵌入模块，用于调制数据流，给载体嵌入水印信息；

一水印检测模块，用于解调含水印信息的数据流，对提取的水印信息进行鉴别；

一缓存空间维护模块，用于通过数据缓存队列的方式存储数据流和水印信息；

一时间窗维护模块，用于实现时间窗机制，具体为：维护一定宽度时间间隔的时间窗，该时间窗在所述缓存队列上向时序增加的方向滑动，所述缓存队列上的滑出时间窗的数据被删除，队列空间被释放；

所述水印追踪服务器包括：

一缓存空间维护模块，用于存储上报的预警信息、数据流与水印映射关系信息；

一安全策略模块，用于生成基于水印信息的访问控制策略；

一水印追踪模块，以网络拓扑为基础，根据基本信息和预警信息对可疑数据流的传输路径进行提取，并根据时间顺序对可疑数据流的转发路径进行重构及显示。