星星PPT免费下载
热门搜索:
首页 > PPT > PPT课件 > 答辩PPT

硕士研究生开题报告PPT

  • 时间:2017-03-18
  • 版本:powerpoint
  • 模板大小:517.5 KB
  • 授权:免费下载
  • 屏幕比例:宽屏:16:9 / 16:10
  • 分享者:ppt
  • 所属栏目:答辩PPT
  • 推荐星级:4 颗星

硕士研究生开题报告PPT

硕士研究生开题报告PPT

简介:这是一个硕士研究生开题报告PPT,主要介绍了ICMP协议下的隐蔽通道、基于信息熵的样本缩减策略、支持向量机模型的选择、信息熵SVM模型、总结等内容。 毕业论文答辩是一种有组织、有准备、有计划、有鉴定的比较正规的审查论文的重要形式。

硕士研究生开题报告PPT是由星星PPT用户ppt上传提供的答辩PPT类型素材,上传时间为2017-03-18,本页面网址为http://www.cnd8.com/ppt/2016102895179.html

基于信息熵SVM的ICMP隐蔽通道 检测研究
指导老师: ***                     汇报人:***
   主 要 内 容:
绪论
ICMP协议下的隐蔽通道
基于信息熵的样本缩减策略
支持向量机模型的选择
信息熵SVM模型
总结
一、绪 论
1.研究背景
           隐蔽通道(Covert Channel)是指用非正常的途径来达到获取或传输信息的目的。随着网络技术的飞速发展,整个网络可以被看作一个巨大的计算机系统,这种在网络环境下与网络协议密切相关的隐蔽通道,通常被称作网络隐蔽通道,它利用非正常手段在网络中传递信息。隐蔽通道是信息隐藏的一个主要分支。
          据英国网站theregister报道,目前很多新的木马程序通过ICMP(互联网控制信息协议)将盗取的数据传给攻击者,而不采用较为普遍使用的邮件或HTTP信息包裹的方式,因此极具隐蔽性。因此,研究ICMP的安全性就显得尤为重要。
2.国内外研究现状
国外研究现状
       03年Taeshik Sohn[1]等人先对ICMP负载进行特征提取,作为输入向量,利用支持向量机(SVM)检测ICMP隐蔽通道。
      07年Steven Gianvecchio和王海宁[2]将熵和条件熵理论用于检测网络隐蔽时间通道,根据文献[3]的隐蔽信道分类,以ICMP有效负载隐蔽信息的通道属于网络存储通道,因此该方法不适用于本研究,但其将信息熵用于检测隐蔽通道的思想值得借鉴。
     08年Zouheir Trabelsi等[4]研究了ICMP协议下的文件和信息隐蔽传输,构造了可以绕过防火墙的ICMP隐蔽通道,但未提出如何检测。
2.国内外研究现状
国内研究现状
     目前国内专门针对ICMP网络隐蔽通道检测的研究很少,大部分研究都是对网络隐蔽通道的检测。
        02年薛晋康[5]等人设计了一种基于流量分析的网络隐蔽通道检测模型,它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法,开辟了一条检测信息暗流的新途径。
       06年中国科学院的华元彬[6]等人,提出了基于数据融合思想的链路分析法来检测网络隐蔽通道,该方法存在误报,且实时性较差。
       09年南京工业大学林小进[7]等人,提出了基于 ICMP协议的木马通信技术,不但能穿越防火墙,还构建了ICMP隐蔽通道 。
3.主要研究内容
在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上,提出了基于信息熵的训练样本集缩减策略 。
对核函数的选取问题进行了一些探索,并尝试建立若干选取规则,分别解决了核函数的类型及核参数选取的问题,构造出一种有效的混合核函数
构造可用于大规模数据集下ICMP隐蔽通道检测模型—信息熵支持向量机模型
二、 ICMP协议下的隐蔽通道
2. ICMP报文类型
许多网络设备考虑ICMP流量是良性,对其负载部分不进行检测,因此,攻击者可以将生成的任意信息隐藏在ICMP的有效负载中 。这样,我们可以建立隐蔽通道,把要发送的数据隐藏在ICMP数据包包头的选项域(Optional Data)中 。下图1表示出:在利用ICMP协议实现的Ping命令中,秘密数据隐藏的地方:
利用 ICMP进行通讯,构建隐蔽通道首先要加载 winsock库 ,创建 ICMP原始套接字 ,使用原始套接字可以自已设定 ICMP数据包的格式 ,然后填写 ICMP数据包的信息,具体流程见下图2:
1.ICMP数据流熵值分布特征分析
       信息熵是Shannon于1948年提出,用于解决对信息的量化度量问题。信息的随机性越大,熵值也就越大。本文信息熵用来度量ICMP回送请求/应答数据包负载中数据信息量的大小,公式:
其中:Pn为ICMP数据包负载中字符n出现的概率,n为任一ASCII字符。根据熵值公式对采集到的为期10天的ICMP数据流(type 0/8)的有效负载进行熵值计算,其熵值分布如图3:
在介绍熵标准差之前先引入一个定义:
        定义1:在给定的单位时间内流经同一对目的地址和源地址的ICMP数据流,我们称之为一个IP流对。
    熵标准差的计算公式为:
其中:n为一IP流对内样本个数(ICMP数据包个数),j为变量(j=0,1,…,n),Hj为样本j的熵值,为样本熵值平均数. 
为了进一步分析ICMP数据流的熵值分布特性,我们分别选取500对不含隐蔽通道的正常IP流对和500对含有隐蔽通道的异常IP流对,计算其熵标准差,熵标准差分布情况见上图4、5所示。
从图4中看出正常IP流对的熵标准差值分布很集中,且近95%的IP流对的熵标准差为0。但相对正常的IP流对,含有隐蔽通道的IP流对的熵标准差分布则大相径庭,如上图5所示。虽然从IP流对的熵标准差分布,我们也很难确定哪些IP流对中肯定存在隐蔽通道,但我们发现在500对正常IP流对中, 有474对熵标准差为0的IP流对,那么在不影响分类精度的情况下,我们能不能将熵标准差为0的IP流对作为正常数据筛选掉呢?基于这样的思想,我们提出了基于信息熵的训练样本集缩减策略,具体缩减步骤如下:
      (1)对采集到的ICMP数据流进行IP流对统计
        (2)计算每个IP流对熵标准差
        (3)筛选掉熵标准差为0的 IP流对
        (4)将筛选后得缩减样本集作为最终训练集
为了证明该缩减策略的有效性,我们从两个方面稍加验证:
    (1)理论分析:攻击者建立ICMP隐蔽通道,其目的就是将隐蔽信息或者恶意数据通过该通道一点点传递出去,对任意一个熵标准差为0的IP流对而言,意味着在检测时间内该IP流对内的所有ICMP数据负载内容完全相同,那么这样的ICMP数据包内肯定不会存在隐蔽通道。
     (2)实验:为了验证提出的缩减策略的正确性,我们将筛选掉的熵标准差为0的某一IP流对内的样本数据(100个),作为T. Sohn等提出的检测ICMP隐蔽通道方法的试验数据集,进行ICMP隐蔽通道检测的实验,实验结果见下表3 。
采用SVM求解问题需要选择一个核函数。尽管只要满足Mercer条件的函数在理论上都可选为核函数,但不同的核函数,其性能完全不同。核函数类别及其参数选择、二次规划参数选择统称为模型选择。
1.核函数及其方法特点 
         核函数的定义并不困难,根据泛函的有关理论,只要一种函数满足Mercer条件,它就对应某一变换空间的内积。对于判断哪些函数是核函数到目前为止也取得了重要的突破,得到了Mercer定理和以下常用的核函数类型:
核函数方法的广泛应用,与其特点是分不开的:
(1)核函数的引入避免了“维数灾难”,大大减小了计算量。而输入空间的维数二对核函数矩阵无影响,因此,核函数方法可以有效处理高维输入;
(2)无需知道非线性变换函数的形式和参数;
(3)核函数的形式和参数的变化会隐式地改变从输入空间到特征空间的映射,进而对特征空间的性质产生影响,最终改变各种核函数方法的性能;
(4)核函数方法可以和不同的算法相结合,形成多种不同的基于核函数技术的方法,且这两部分的设计可以单独进行,并可以为不同的应用选择不同的核函数和算法;
(5)核函数的确定比较容易,只要满足Mercer条件的任意对称函数都可以。
2.混合核函数SVM的构建
      RBF核函数、多项式核函数和傅立叶核函数各自都有突出的优点且有很强的互补性,自然地可以想象到用RBF核函数和比较简单的多项式核函数、傅立叶核函数的混合形式能够针对不同的实际问题构造出更为理想的核函数。为了叙述方便,我们先引入如下符号:
其中为   权参数,代表着这三类核函数在混合核函数中占的比重。d, ,q称为核参数。
在前人对于核函数的研究基础上,对核函数的选取问题进行了一些探索,并尝试建立若干如下选取规则:
   规则1:取核函数:
   规则2:
   规则3:
   规则4:
   由选取规则,我们得到最终混合核函数为:
为了将信息熵方法引入到支持向量机建模中,对ICMP隐蔽通道进行检测,本文设计了一个基于信息熵SVM 的ICMP隐蔽通道检测模型,见下图6:
(1)数据采集模块
     本研究中的数据采集实际的校园网中进行的,使用数据包嗅探器—Tcpdump ,采集试验数据,采集环境见下图7:
环境的具体配置下表4:
实验选取的数据所采用的数据集由训练数据集和测试数据集组成,见表5 。
数据集1,正类数据集(Tcpdump packets)。该数据集由网络数据采集分析工具Tcpdump在教育主干网上采集到的20000个样本组成,暂作为正类数据集,其中6000个作为训练数据,14000个作为测试数据。
            数据集2,负类数据集(Loki2 packets,VNCC packets)。该数据集由两部分数据组成:隐蔽通道工具Loki2[37,38]构造的2000个样本,其中1000个作为训练数据,1000个作为测试数据;由VNCC产生的500个样本全部作为测试数据。这两部分数据暂作为负类数据集。
1.主要功能模块介绍
(2)数据预处理模块
      ICMP数据包中的负载数据长度可能会不尽相同,而且有可能不是数字类型,所以必须要将量化后数据转换为支持向量机能够识别的数字向量形式。首先对采集到的ICMP数据包负载分别抽取13维数据和15维数据(13维+4字节包头数据),见下图8,其中每维数据由ICMP数据包中2个字节数据构成。然后进行归一化处理,作为输入向量。归一化范围是在0到1之间。
1.主要功能模块介绍
(3)样本缩减模块
      该模块的主要工作是根据本文提出的IP流对的概念,先计算IP流对内ICMP数据包负载的信息熵,然后根据熵标准差公式计算该IP流对的熵标准差,由本研究提出的训练样本集缩减策略,筛选掉熵标准差为0的样本,最后将剩余的样本集作为训练样本集进行训练。
1.主要功能模块介绍
(4)SVM分类器
      该模块也是ICMP隐蔽通道检测的核心部分,其性能将直接影响到整个系统的精度和效率。其工作过程分为两个阶段:训练阶段和检测阶段,训练阶段用于确定支持向量机分类器的参数及核函数的选取,在本研究中选用我们构建的混合核函数。检测阶段对实际需要检测的ICMP样本数据(这些样本数据也是从数据预处理模块中得到的)进行预测。
2.试验结果验证
(1)基于信息熵的样本缩减策略的有效性证明
     为了验证该策略的有效性,下面就分类精度和训练时间上,对本文提出的信息熵SVM检测方法与T. Sohn等人提出的SVM检测方法进行比较,结果列于下表6,图9,核函数都分别采用多项式核函数和RBF核函数。
(1)基于信息熵的样本缩减策略的有效性证明
2.试验结果验证
(2)选取混合核函数的实验结果
      为了考察采用混合核核函数的应用效果,这里将采用三种核函数的分类结果、训练时间列于下表7,图10进行对比分析:
(2)选取混合核函数的实验结果
从表7,图10试验结果,并综合分类精度和训练时间两方面因素考虑,总体上来说采用本文构建的作为核函数分类效果较好。
六、总  结
1.主要工作
   (1)在分析ICMP数据流负载熵值和IP流对熵标准差分布特征的基础上 ,提出了基于信息熵的训练样本集缩减策略。
   (2)在前人对于核函数的研究基础上,对核函数的选取问题进行了一些探索,并尝试建立若干选取规则,分别解决了核函数的类型及核参数选取的问题,构造出一种有效的混合核函数。
   (3)构造出可用于大规模数据集下的ICMP隐蔽通道检测模型—信息熵SVM模型
六、总 结
2.不足与下一步工作
     (1) 试验中仅限于对采集到的部分样本进行试验,还不能完全排除使用该缩减策略筛选掉的样本中存在隐蔽通道的可能性。
     (2)在支持向量机的训练过程中,混合核函数及其参数的选择是经验的,没有经过严格的数学证明。
      本研究提出得基于信息熵SVM的检测方法,只对ICMP协议下的隐蔽通道进行检测,能否将该检测方法应用到其他协议下的隐蔽通道检测,比如TCP/IP协议下的隐蔽通道检测,将是下一步的研究重点。
参考文献
[1] T. Sohn, T. Noh, J. Moon. Covert Channel Detection in the ICMP Payload Using Support Vector Machine. In Second International Workshop on Mathematical Methods, Models, and Architectures for Computer Networks, pages 828-835, September 2005
[2] S. Gianvecchio, H. Wang. Detecting Covert Timing Channels: An Entropy-Based Approach. In Proceedings of 14th ACM Conference on Computer and Communication Security (CCS), November 2007.
[3] D. Llamas, C. Allison, A. Miller. Covert Channels in Internet Protocols: A Survey. In Proceedings of the 6th Annual Postgraduate Symposium about the Convergence of Telecommunications, Networking and Broadcasting, PGNET 2005, June 2005.
[4] Zouheir Trabelsi, Wassim El-Hajj, and Safuat Hamdy.Implementation of an ICMP-Based Covert Channel for File and Message Transfer. Electronics, Circuits and Systems, 2008. ICECS 2008. 15th IEEE International Conference.2008,11:894~897
[5] 薛晋康,许士博等. 基于流量分析的网络隐蔽通道检测模型 [J]. 计算机工程, 2002(12): 46~48.
[6] 华元彬,蒋建春等. 基于链路分析法的复合隐蔽通道检测[J]. 计算机应用, 2006(1): 81~83.
[7]林小进 ,钱江.基于 ICMP的木马通信技术研究[J].计算机应用,2009,5(1):102 ~104
感  谢!

相关PPT

计算机软件毕业答辩PPT范例:这是一个计算机软件毕业答辩PPT范例主要介绍了需求分析、整个系统的分析、具体开发、总结等内容。 毕业论文答辩是一种有组织、有准备、有计划、有鉴定的比较正规的审查论文的重要形式。

塑料注塑模具设计与制造答辩PPT:这是一个塑料注塑模具设计与制造答辩PPT,主要介绍了产品信息、模架选择、浇注系统设计、冷却系统设计、顶出系统设计、注射机的选择等内容。 毕业论文答辩是一种有组织、有准备、有计划、有鉴定的比较正规的审查论文的重要形式。

本科毕业设计(论文)答辩PPT:这是一个本科毕业设计(论文)答辩PPT,主要介绍了原始资料统计及负荷统计及计算、主接线设计、短路电流的计算及稳定性校验等内容。 毕业论文答辩是一种有组织、有准备、有计划、有鉴定的比较正规的审查论文的重要形式。

标签
下载地址

与硕士研究生开题报告PPT还有↓

热门ppt图表
五四红旗团支部申报答辩模板.ppt03-16 大小:9.71 MB
介绍积极分子转为预备员答辩PPT03-16 大小:3.2 MB
【精品】优秀团支部答辩PPT03-16 大小:8.71 MB
介绍大学生创新创业项目答辩PPT03-16 大小:360.5 KB
挑战杯课赛答辩ppt03-16 大小:6.11 MB
有關入黨发展对象答辩PPT03-16 大小:2.96 MB
PPT色系 >
  • 红色
  • 黄色
  • 蓝色
  • 绿色
  • 粉红色
  • 黑色
  • 紫色
  • 橙色
  • 灰色
  • 棕色
  • 白色
  • 彩色
  • 金色
  • 巧克力色
  • 亮色
  • 浅色
主题PPT >
通用PPT >
  • 浪漫爱情
  • 经典模板
  • 古典模板
  • 时尚模板
  • 卡通动漫
  • 自然风景
  • 商务模板
  • 韩国模板
  • 艺术设计
  • 植物模板
  • 动物模板
  • 中国风
  • 现代
  • 酷炫
  • 时尚
  • 潮流
  • 英文
行业模板 >
  • 汽车
  • 教育
  • 经济金融
  • 房地产
  • 医药卫生
  • 通信
  • 能源
  • 服务
  • 建筑
  • 城市旅游
  • 餐饮
  • 交通运输
  • 体育运动
  • 餐饮美食
  • 科技
  • 工业
  • 机械
  • 美容
  • 工作
PPT课件 >
  • 语文
  • 数学
  • 英语
  • 物理
  • 化学
  • 生物
  • 地理
  • 历史
  • 科学
  • 美术
  • 班会
  • 体育
  • 品德
  • 大学
  • 中学
  • 小学
  • 幼儿园
  • 人物
  • 影视动画
  • 疾病
节日PPT >
  • 元旦
  • 新年
  • 春节
  • 情人节
  • 元宵节
  • 妇女节
  • 植树节
  • 愚人节
  • 清明
  • 劳动节
  • 母亲节
  • 儿童节
  • 端午
  • 父亲节
  • 七夕
  • 教师节
  • 中秋
  • 国庆节
  • 重阳
  • 万圣节
  • 圣诞节
  • 生日
  • 其他节日
PPT背景 >
  • 简约背景
  • 淡雅背景
  • 商务背景
  • 艺术背景
  • 风景背景
  • 动物背景
  • 植物背景
  • 卡通背景
  • 爱情背景
  • 节日背景
  • 爱情背景
  • 边框背景
  • 谢谢背景
  • 中国风背景