1.一種針對BitTorrent文件共享過程中基于Have消息編碼的隱蔽通信檢測方法，其特征在于：包括以下流程：

步驟1：設置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲正常數(shù)據(jù)，并篩選出其中的Have消息；

步驟2：設置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取每個正常數(shù)據(jù)Have消息中的負載，該Have消息中負載為一個正整數(shù)且呈不斷上升的趨勢，計算每兩個相鄰負載數(shù)字之間的差值，并將計算結果組成一個一維數(shù)組，該一維數(shù)組含N個元素；

步驟3：設置窗口分割器，利用窗口分割器將正常數(shù)據(jù)分割為L個窗口，每個窗口包含w個正常數(shù)據(jù)；

步驟4：設置特征提取器，提取每個窗口數(shù)據(jù)的信息熵H、ε＝0.9時的ε相似度、方差三種特征，其中信息熵H可由公式(1)計算：

將正常數(shù)據(jù)的包間時延分為大小相等的k塊，計算時延信息落在每個塊中的概率P_i，P_i＝n/w，n為落入第i個小塊時延個數(shù)，再由P_i求得信息熵H，此處，取自然常數(shù)e為log的底數(shù)；

首先對原始數(shù)據(jù)的包間時延按照由小到大進行排序，由公式(2)計算排序后第i個包間時延t_i與第i+1個包間時延t_i+1的差異率dif_i，其中w為窗口大小，差異率小于ε的包間時延所占的百分比稱為ε-相似度，由公式(3)

計算ε-相似度，其中num(dif<ε)為差異率小于ε的包間時延總數(shù)；

dif_i＝|t_i-t_i+1|/t_i，1≤i≤w-1 (2)

E＝num(dif<ε)/(w-1) (3)

方差可由公式(4)得出：

s²＝[(t₁-A)²+(t₂-A)²+…+(t_w-A)²]/w (4)

A為窗口包間時延的均值，一個窗口內(nèi)有w個包間時延且分別用t₁～t_w表示，將所有窗口的三種特征提取完畢，可以得到兩個維數(shù)為L*3的特征矩陣，其中一個為正常數(shù)據(jù)的特征矩陣，一個為含密數(shù)據(jù)的特征矩陣；

步驟5：設置數(shù)據(jù)捕獲器，利用數(shù)據(jù)捕獲器捕獲待測數(shù)據(jù)，并篩選出其中的Have消息；

步驟6：設置數(shù)據(jù)處理器，利用數(shù)據(jù)處理器提取Have消息中的負載，計算每相鄰兩個負載數(shù)字之間的差值，并將計算結果組成一個一維數(shù)組，該一維數(shù)組包含N⁺個元素；

步驟7：設置窗口分割器，利用窗口分割器將待測數(shù)據(jù)分割為L⁺個窗口，每個窗口包含w個數(shù)據(jù)；

步驟8：設置特征提取器，提取每個窗口數(shù)據(jù)的信息熵、ε＝0.9時的ε相似度、方差三種特征，組成一個L⁺*3的特征矩陣；

步驟9：設置貝葉斯分類器，將正常數(shù)據(jù)的特征矩陣分為兩部分，一部分作為樣本數(shù)據(jù)，另一部分作為訓練數(shù)據(jù)，由公式(5)計算訓練數(shù)據(jù)和樣本數(shù)據(jù)三種特征的后驗概率之積h，并得到求得若干個h的均值m、方差v和檢測閾值Th＝m+αv，其中α為自定義的常量函數(shù)，用于調(diào)整檢測閾值；

其中c為樣本包含種類且c為正常數(shù)據(jù)，x_i為待測數(shù)據(jù)的特征，P(x_i|c)表示當確定樣本為正常數(shù)據(jù)時特征為x_i的后驗概率；

同時把待測數(shù)據(jù)的特征矩陣輸入貝葉斯分類器，由公式(5)計算待測數(shù)據(jù)和樣本數(shù)據(jù)的后驗概率之積得到h⁺同閾值Th作比較，若大于Th可認為該窗口數(shù)據(jù)為正常數(shù)據(jù)，反之，則認為該窗口數(shù)據(jù)為含密數(shù)據(jù)。