[发明专利]一种针对NTP协议隐蔽通信的检测方法

权利要求书

1.一种NTP协议隐蔽通信的检测方法，其特征在于：以利用数据包时间戳的最低有效位进行隐秘信息传送的含密数据样本与用户进行时间同步请求的正常数据样本，共同构成新的测试样本作为实验对象，通过检测算法将含密数据从测试样本中区分开来，并对产生的指标结果进行分析。

2.根据权利要求1所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述检测过程至少包括：含密数据仿真、正常数据采集、特征提取、检测算法构建、实验仿真和指标结果分析。

3.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述含密数据是使用MATLAB根据基于时间戳的最低有效位构建隐蔽信道方式的规则进行仿真得到，生成40000个含密数据样本。

4.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述正常数据是利用wireshark捕获用户进行时间同步请求的数据包，并使用python提取pcap文件中NTP请求报文中时间戳的最低有效位，生成40000个正常数据样本。

5.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述特征提取，是为了有效区分含密数据和正常数据，本文选取以下三种特征：信息熵、平均值和转移概率；三种特征的定义如下：

(1)信息熵可以理解为某种特定信息的出现概率(离散随机事件的出现概率)，一个系统越是有序，信息熵就越低；反之，一个系统越是混乱，信息熵就越高；

(2)平均值指的是一组数据之和除以改组数据的个数；

(3)转移概率指的是：由m个状态所组成的序列，从任意一个状态出发，经过任意一次转移，结果到达的点一定是状态1、2...,m中的一个，这种状态之间的转移称为转移概率。

6.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述检测算法构建，即本文构建了基于贝叶斯分类器的检测方法，贝叶斯分类器是根据统计学原理，首先计算某个事件发生的先验概率(指的是根据经验和对时间的分析得到该时间发生的概率)，然后通过贝叶斯公式来得到后验概率(该事件的发生属于那个类别)，从而实现分类，确定事件发生所属的类别，基于贝叶斯分类器的检测算法包括以下步骤：

(1)利用python，通过正则表达式筛选出样本中时间戳的最低有效位，得到一个二进制数组；

(2)根据步骤(1)中建立的数据，将其分为训练部分和测试部分，分别利用MATLAB对训练部分和测试部分进行如下操作：首先把数据分割成长度长度为w的窗口，提取每个窗口的三种特征，包括信息熵、均值、转移概率，最后分别用标识符标记正常数据和含密数据，正常数据标记为1，含密数据标记为2，将标记后的正常数据和含密数据送入贝叶斯分类器进行训练；

(3)实验中把三个特征都标记到一起，只有一个样本，因而先验概率为1；利用MATLAB里面的ksdensity()函数进行核心平滑密度估计作为计算后验概率的方法；

(4)利用贝叶斯公式输出分类结果并标记。

7.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述实验仿真就是将标记后的正常数据和含密数据送入贝叶斯分类器进行训练，利用贝叶斯公式输出分类结果，对比实验前后标记，计算检测率。

8.根据权利要求2所述的基于NTP协议隐蔽通信的检测方法，其特征在于：所述指标结果分析就是对实验仿真得到的指标结果进行分析，并选取合适的参数，优化算法，提高检测率。