教育厅自然科学研究项目结题报告.doc

《教育厅自然科学研究项目结题报告.doc》由会员分享，可在线阅读，更多相关《教育厅自然科学研究项目结题报告.doc（7页珍藏版）》请在三一文库上搜索。

1、安徽省教育厅课题结题报告（二0 一二年度）课题基本信息简表课题名称混合支持向量机结合信息熵的 TCP/IP隐蔽通道检测模型研 究课题来源教育厅计划类别自筹主持人起止时间2011.1-2012.12考核结果院科研处制内容要求一、计划任务书（合同书）确定的年度研究内容及目标（应与原任务书 内容一致）；二、课题研究工作进展情况（一）研究工作基本情况。（二）课题研究中取得的研究成果， 包括发表（或已撰写未发表） 论文、 著作，参加学术会议情况；凡未标注受本课题资助的论文不应计入课题 研究成果。（三）课题研究取得的实际成果与预期计划和目标比较存在的问题。（四）因课题研究而受到的奖惩。三、应提供的相关支撑

2、材料（一）课题研究工作志及其它研究原始记录。（二）课题研究成果附件。要求层次清晰，内容真实，数据可靠，总结内容一般不少于 2000汉字符。报告书封面格式不变，附件开本应与报告书规格一致（ A4 ）， 装订成册。一、计划任务书（合同书）确定的年度研究内容及目标1.研究内容首先对 TCP/IP 协议进行分析，提出使用 TCP/IP 协议构建隐蔽通道的方法，并在 C+Builder 6.0 下实现。针对 TCP/IP 隐蔽通道的检测， 目前通常采用标准支持向量机的 方法，但训练时间过高，不适于大规模数据集的检测。我们将对 TCP/IP 数据流熵标准 差和熵值分布特性进行深入研究，提出基于信息熵的训练

3、样本集缩减策略，并进一步构 造出可用于大规模数据集下 TCP/IP 隐蔽通道检测模型。核函数的选取问题也是我们的重点研究内容之一。 针对在求解实际问题时使用单一 核函数， SVM 学习能力与推广能力较弱等问题，我们将建立若干选取规则，分别解决 核函数的类型及核参数选取的问题，并构造出一种有效的混合核函数。2.研究目标（1）分析 TCP/IP 数据流熵标准差和熵值分布特性，在此基础上提出基于信息熵的 样本集缩减策略。（2）建立若干选取规则，构造出一种有效的混合核函数。（3）将混合 SVM 与信息熵相结合，构建出用于检测 TCP/IP 隐蔽通道的模型。在 三类以上期刊发表相关论文 3 篇，其中二类

4、期刊 1篇。二、课题研究工作进展情况（一）研究工作的基本情况1、研究思路2011年度本课题组在初步分析信息熵与支持向量关系的基础上，参照信息熵理论， 同时结合多次试验和测试确定合适的熵阈值。使用数据采集工具进行样本数据采集，从 采集到的全部样本中随机抽取一个小规模的初始样本集，利用混合 SVM 对初始样本集 训练获得初始分类超平面，同时结合信息熵公式对样本进行熵值运算，根据熵阈值进行 样本筛选，得到缩减的样本集，最后选择合适的混合核函数训练小规模支持向量机，检 测出潜在的 TCP/IP 隐蔽通道。2、研究步骤及分工本年度主要将信息熵与混合支持向量机相结合，构建出用于检测 TCP/IP 隐蔽通道

5、的信息熵混合支持向量机模型。具体研究过程如下:第一步：在实际的校园网环境下，采用数据采集工具（如Tcpdump）进行数据采集, 并进行相应的预处理，实验环境如下图所示：安徽科技学院校园网实验环境的具体参数配置见下表 1：表1环境配置表名称软件作用T1Red Hat Linux ,Tcpdump抓取教育网流经安徽科技学院总出入口 的TCP/IP数据包T2Red Hat Linux ,Tcpdump抓取由自己构建的隐蔽通道工具 （VNCC） 产生的TCP/IP数据包P1Red Hat Li nux,隐敝通道工具TCP/IP隐蔽通道客户端P2Win dows XP, VNCC:TCP/IP隐蔽通道客

6、户端（VNCC工具产生）1SRed Hat Lin uxTCP/IP隐蔽通道服务器端第二步：对TCP/IP数据流熵标准差和熵值分布特性进行深入研究，提出基于信息 熵的训练样本集缩减策略，并进一步构造出可用于大规模数据集下TCP/IP隐蔽通道检测模型。第三步：针对在求解实际问题时使用单一核函数，SVM学习能力与推广能力较弱等问题，建立若干选取规则，构造出一种有效的混合核函数。第四步：将信息熵与混合 SVM相结合，构建出用于检测TCP/IP隐蔽通道的模型。 其工作过程分为两个阶段：训练阶段和检测阶段，训练阶段用于确定支持向量机分类器 的参数，检测阶段对实际需要检测的 TCP/IP样本数据进行预测，

7、从而检测出可能存在 的隐蔽通道。在研究过程中，*主要负责算法的选取和项目设计协调工作，*负责算法性能分 析、*负责实验结果数据测试、其余项目组成员负责数据采集、代码编写等。（二）课题研究中取得的研究成果项目组成员在课题研究过程中，相互探讨，并定期召开研讨会，在全体成员的积极 努力下，我们取得了一定的成果，主要解决了大规模数据的采集、筛选等工作，同时对 核函数的选择做了大量的实验，构造出一种有效的混合核函数。主要研究成果是，公开发表多篇相关论文： “Intelligence Computing Strategy for Computer Network SecurityIntrusion Det

8、ection ”和“基于改进的候选组合频繁模式的 LDoS攻击检测”等，详见 附件 1。（三）课题研究取得的实际成果与预期计划和目标比较存在的问题我们虽然取得了一定的成绩，也获得了一些经验，但也碰到了一些问题，首先是实验过程中的问题：为了验证本研究中提出的检测 TCP/IP 隐蔽通道的方法，需要采集国 家骨干网数据进行实验，但目前对这种超大容量的数据存储还存在困难。本课题组为了 解决该问题，只能对原始数据进行抽样来，但抽样数据与原始数据对实验结果肯定会存 在一定的影响。其次是课题组成员理论研究水平不足，主要表现在对网络安全知识了解 不深厚、为具备采集大规模数据的经验和实验算法性能研究还不够深入

9、等。（四）下一步拟解决的关键问题在本研究提出的检测方法中，由于初始训练集选取的随机性，难以保证分类的准确度，此时采用信息熵的裁剪方法将导致部分本应该作为支持向量的样本被淘汰，可能会 使最终分类结果的精度大幅下降。为了解决这个潜在问题，下一步拟采取二次筛选的方 法：对每个被过滤掉的样本根据其对样本集的贡献程度进行二次筛选。三、应提供的相关支撑材料（一）课题研究工作志及其它研究原始记录1、课题研究工作日志2011年 1月：成立了课题研究小组， 并制定了定期召开研讨会制度。 科研小组学习 和探讨原始记录见附件 3。2012年3月-4月：在实际的校园网环境下，采用数据采集工具（如 Tcpdump）进

10、行数据采集，并进行相应的预处理。2012年 4 月-12月：对建立的选取规则进行严格的推理论证，根据实际问题中数据 分布的特点，研究选取最优核函数的某些规律，构造出更有效的混合SVM ;并攥写了相关论文。（二）课题研究成果课题研究成果主要为论文，见附件。7 / 7附件1研究过程记录如下面截图:研讨会记录如下面截图:研讨报告内容及讨论记录如下截图:附件2课题研究成果第一作者公开发表的论文序 号论文名称期刊名称期刊级别出版 年1In tellige nee Comput ing Strategy for ComputerNetwork Security In trusi on Detect ionIn tellige neeComputi ngStrategy for Computer NetworkSecurityIn trusi on Detect ion一类(EI)20122