時間式網(wǎng)絡(luò)隱信道技術(shù)綜述

◆許 江

（陜西省質(zhì)量技術(shù)監(jiān)督信息中心 陜西 710006）

時間式網(wǎng)絡(luò)隱信道技術(shù)綜述

◆許 江

（陜西省質(zhì)量技術(shù)監(jiān)督信息中心 陜西 710006）

隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)技術(shù)給人們的生活、工作等各方面帶來很大了的便捷和舒適，但也帶來了日益嚴重的網(wǎng)絡(luò)安全問題。本文將介紹一種信息隱藏技術(shù)—時間式網(wǎng)絡(luò)隱信道技術(shù)，并從它的實現(xiàn)原理、檢測算法等方面進行闡述。

時間式網(wǎng)絡(luò)隱信道；網(wǎng)絡(luò)安全；檢測

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息安全問題變得越來越突出。為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破解，數(shù)據(jù)加密技術(shù)是所采用的主要技術(shù)手段之一。同加密技術(shù)不同，信息隱藏技術(shù)[1]可在不對載體(圖像、文本、音，視頻以及網(wǎng)絡(luò)數(shù)據(jù)流等)信號產(chǎn)生較為明顯影響的前提下，將隱蔽信息(或稱秘密信息)嵌入到載體數(shù)據(jù)中以實現(xiàn)對秘密信息內(nèi)容及其存在進行保護。信息隱藏技術(shù)既可用于保證國家政治、軍事、經(jīng)濟信息在公共網(wǎng)絡(luò)中安全、可靠地傳遞，也可以被敵對份子用于機密信息的竊取。網(wǎng)絡(luò)隱信道利用網(wǎng)絡(luò)通信數(shù)據(jù)作為信息隱藏的載體技術(shù)取得了快速發(fā)展，根據(jù)隱信道所依托的載體不同，隱信道可分為存儲式網(wǎng)絡(luò)隱信道和時間式網(wǎng)絡(luò)隱信道兩大類，其中存儲式網(wǎng)絡(luò)隱信道通過對網(wǎng)絡(luò)通信數(shù)據(jù)的協(xié)議頭部或負載部分進行修改完成隱秘信息的嵌入；時間式網(wǎng)絡(luò)隱信道利用網(wǎng)絡(luò)數(shù)據(jù)包的時間特性以實現(xiàn)隱秘通信。

1 時間式網(wǎng)絡(luò)隱信道技術(shù)原理

最早對時間式網(wǎng)絡(luò)隱信道的研究可追溯到Venkatraman等人[2]，他當時指出了時間式網(wǎng)絡(luò)隱信道的基本通信特征，但沒有給出具體的實現(xiàn)時間式網(wǎng)絡(luò)隱信道的方法，時間式網(wǎng)絡(luò)隱信道的技術(shù)通信框架如下圖1所示，發(fā)送端將隱藏信息通過編碼隱藏到數(shù)據(jù)包的發(fā)送時間中，而接收端通過對數(shù)據(jù)包的到達時間進行分析，從而對隱藏信息進行解碼。

圖1 時間式隱信道技術(shù)通信框架

Padlipsky等人[3]提出了通過控制一定時間間隔內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包是否發(fā)送來嵌入編碼信息。Girling[4]提出了通過通信過程中加入延時達到嵌入隱蔽信息的目的。文獻[5]提出了將二進制編碼加入到包間時延的方法，該方法首先對隱藏信息進行編碼，然后對流出的網(wǎng)絡(luò)數(shù)據(jù)的包間時間間隔(T)進行調(diào)節(jié)：如果編碼為0就加入一個小數(shù)值T1，編碼為1的話就用較大數(shù)值T2，這樣接收端就可以根據(jù)包間時間間隔對隱藏信息進行解碼，但是包間時間間隔種類不能太多，不然會降低信息傳輸?shù)男省?/p>

上述提到的研究成果偏向于利用網(wǎng)絡(luò)數(shù)據(jù)包的時間特性構(gòu)造時間式網(wǎng)絡(luò)隱信道，忽略了時間式網(wǎng)絡(luò)隱信道產(chǎn)生是網(wǎng)絡(luò)數(shù)據(jù)流與正常網(wǎng)絡(luò)的數(shù)據(jù)流模式之間的差異，降低了時間式網(wǎng)絡(luò)隱信道的安全性。Gianvecchio等人[6]首先對正常時間信道進行建模，提出了一種基于模型的隱信道構(gòu)建算法HTTP-MB，異常數(shù)據(jù)基于此模型進行發(fā)送，從而規(guī)避檢測，有良好的隱蔽性。Yao等人[7]提出了ON-OFF隱信道算法，該算法在正常網(wǎng)絡(luò)延時分布基礎(chǔ)上構(gòu)造隱信道，使其更加接近正常的通信模式，提高了隱信道的隱蔽性。Robert等人[8]提出了一種針對數(shù)據(jù)包包間時間間隔形狀的抗檢測的時間式隱信道，若正常網(wǎng)絡(luò)數(shù)據(jù)流的包間時間間隔服從獨立同分布時，其所提出的隱信道構(gòu)建算法將無法被檢測出來。

在構(gòu)建時間式網(wǎng)絡(luò)隱信道進行隱藏信息的嵌入時，通信雙方考慮的因素有很多，影響時間式隱信道性能的幾種主要因素如下[9]：

（1）網(wǎng)絡(luò)環(huán)境：時間式網(wǎng)絡(luò)隱信道的性能受到通信雙方之間網(wǎng)絡(luò)環(huán)境的影響，當網(wǎng)絡(luò)擁塞時，可能會造成數(shù)據(jù)包的延時、失序、丟包，而且網(wǎng)絡(luò)抖動還會影響同步問題。

（2）發(fā)送端/接收端處理能力：在高負載的情況下，發(fā)送者和接收者的處理單元可能會超負荷(如web服務(wù)器在高峰時間的高流量)，在這情況下，數(shù)據(jù)包的處理會有延時，此時的瓶頸可能是網(wǎng)卡或其它引起包延時的處理資源。

（3）隱信道算法的復(fù)雜度：在實際構(gòu)造網(wǎng)絡(luò)隱信道過程中，往往要降低時間間隔值到毫秒級精度，故用于實現(xiàn)隱信道的算法應(yīng)該要有效率。

（4）編程語言的可移植性：信道的同步實現(xiàn)最終僅僅依賴于程序有關(guān)子函數(shù)和庫函數(shù)的正確的使用，如可用于精確控制時序的nanosleep函數(shù)，在不同的操作系統(tǒng)下作用效果應(yīng)該是一樣的。

以上的四個因素會影響到數(shù)據(jù)包的同步、最大允許的帶寬、甚至可能會引入噪聲到信道中。但有些因素還是可以通過良好的設(shè)計及方法來減少它們對信道的影響，如算法的復(fù)雜度、可移植性。

2 時間式網(wǎng)絡(luò)隱信道檢測技術(shù)

2.1 網(wǎng)絡(luò)隱信道檢測

由于網(wǎng)絡(luò)隱信道技術(shù)可被滲入計算機中的木馬或其他惡意程序使用而進行隱蔽的數(shù)據(jù)偷取，亦可被間諜人員用于重要情報信息的數(shù)據(jù)傳輸。因此，對網(wǎng)絡(luò)隱信道的檢測是一項非常重要的網(wǎng)絡(luò)安全防護技術(shù)，已經(jīng)引起了研究者的廣泛關(guān)注，而且取得了很多的研究成果。

從原理上說，對網(wǎng)絡(luò)隱信道的檢測本質(zhì)上是通過分析流過某個檢測節(jié)點（路由器或其他網(wǎng)絡(luò)中間設(shè)備）所有網(wǎng)絡(luò)數(shù)據(jù)包中潛在的“異?！碧匦?，做出隱信道的檢測判斷。時間式隱信道的檢測，由于通常只能基于數(shù)據(jù)包的時間戳信息進行隱信道的研判，所以需要更大的檢測窗口和較為復(fù)雜的統(tǒng)計分析方法。

不同于傳統(tǒng)的基于五元組或者特定字段的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測技術(shù)，網(wǎng)絡(luò)隱信道檢測技術(shù)無法使用簡單的規(guī)則從大量的數(shù)據(jù)流中過濾小部分可疑的數(shù)據(jù)進行分析，往往需要無差別地對所有的數(shù)據(jù)進行一致的分析，這必將給檢測系統(tǒng)帶來巨大的存儲和計算負擔(dān)，因此在對計算能力有更高要求之外還需要盡可能地降低檢測算法的復(fù)雜度。

網(wǎng)絡(luò)隱信道檢測的核心思想是通過比較網(wǎng)絡(luò)隱信道產(chǎn)生的數(shù)據(jù)流與正常網(wǎng)絡(luò)通信數(shù)據(jù)流之間的差異實現(xiàn)檢測。但由于網(wǎng)絡(luò)環(huán)境本身的復(fù)雜性及隱信道類型的多樣性，導(dǎo)致沒有一種網(wǎng)絡(luò)隱信道檢測技術(shù)適用于所有的網(wǎng)絡(luò)隱信道，目前只能針對某一類網(wǎng)絡(luò)隱信道有效，并且其中大部分算法有很多的局限性。

2.2 時間式隱信道的干擾

對于時間式隱信道，在傳輸過程中易受到各種網(wǎng)絡(luò)設(shè)備（尤其是路由器等的存儲轉(zhuǎn)發(fā)設(shè)備）的影響而使其通信雙方的同步、解碼較為困難。故早期人們把更多的研究重心放在如何對時間隱蔽信道進行干擾上[10]，Hu等人[11]提出了一種針對時間式隱信道的干擾機制，其所提方法通過在通信過程中隨機產(chǎn)生的中斷干擾系統(tǒng)時鐘，擾亂發(fā)送者和接收方之間的時鐘同步。與Hu等人的方法較為相似，Kang和Moskovisk等人[12]提出一種類似“泵”的時間式隱信道干擾設(shè)備—Pump，通過將該設(shè)備安裝在路由端，從而可對路由上存儲轉(zhuǎn)發(fā)的發(fā)送端數(shù)據(jù)添加一個隨機的延時，有效地打亂隱秘通信雙方的通信機制，但同樣也會給自身網(wǎng)絡(luò)效率帶來影響。而最近更多的研究偏向于時間隱蔽信道的檢測[13]。

2.3 時間式隱信道的檢測

目前傳統(tǒng)的時間式網(wǎng)絡(luò)隱信道的檢測方法幾乎分為兩類：（1）利用異常數(shù)據(jù)和正常數(shù)據(jù)的固有特性差異進行判斷，如基于方差變化率的固有特性，因為正常信道的時間間隔不斷隨網(wǎng)絡(luò)環(huán)境變化，故相對方差不斷變化，而隱信道的時間間隔一般固定在幾個時間間隔，方差變化幾乎很小。Cabuk等人[14]提出了通過使用統(tǒng)計排序的方法對較為簡單的基于ON-OFF形式或延遲的時間式隱信道進行檢測。（2）基于模型匹配的方法，事先對正常數(shù)據(jù)建立特征模型，然后分析待測數(shù)據(jù)的特征，通過與事先建立好的特征模型進行匹配，判斷是否存在隱信道。如Givanvecchio等人[15]提出了使用熵與帶修正的條件熵檢測算法。Qian等提出通過密度聚類的方法對時間式隱信道進行檢測。

3 總結(jié)

本文在對時間式網(wǎng)絡(luò)隱信道的概念及相關(guān)技術(shù)做了詳細介紹，包括它的構(gòu)造原理及相關(guān)的檢測技術(shù)，由于網(wǎng)絡(luò)環(huán)境中同時存在大量網(wǎng)絡(luò)通信數(shù)據(jù)，時間式網(wǎng)絡(luò)隱信道比傳統(tǒng)的基于靜態(tài)多媒體的隱秘通信技術(shù)更難追蹤和取證，這種隱信道一旦被用于信息的竊取和泄露，將會危害到國家及企業(yè)的信息安全。時間式網(wǎng)絡(luò)隱信道相應(yīng)的信息對抗手段中最重要的一環(huán)就是時間式網(wǎng)絡(luò)隱信道的檢測技術(shù)。

[1]Cox I J,Miller M L,and Bloom J A.Digital watermarking [M].San Francisco,Calif:Morgan Kaufmann, 2002.

[2]Hassan Khan, Yousra Javed, Fauzan Mirza and Syed Ali Khayam.Embedding a Covert Channel in Active Network Connections[R].Honolulu:in GlobalTelecommunicat ions Conference, 2009.

[3]M.A.Padlipsky,D.W.Snow,P.A.Karger.Limitations of End-to-End Encryption in Secure Computer Networks[M]. Mitre Corporation, 1978.

[4]Girling C.G..Covert Channels in LAN's[M]. IEEE Transactions on Software Engineering, 1987.

[5]翟江濤.基于模型的網(wǎng)絡(luò)隱信道檢測算法研究[D].江蘇：南京理工大學(xué)，2012.

[6]Steven Gianvecchio, H.W., Duminda Wijesekera. Model-Based Covert Timing Channels: Automated Modeling and Evasion[M]. Lecture Notes in Computer Science, 2008.

[7]Lihong Yao, Xiaochao Zi, Li Pan and Jianhua Li. A study of on/off timing channel based on packet delay distribution[J]. Computers & Security, 2009.

[8]Robert J.Walls,K.K.,Matthew Wright ,Baishakhi Ray, Shivakant Mishra. Liquid: A detection-resistant covert timing channel based on IPD shaping[J].computer networks,2010.

[9]張壽文.包間時延隱信道的檢測和參數(shù)估計研究[D].江蘇南京理工大學(xué)，2014.

[10]Fisk G,Fisk, M,Papadopoulos C,Neil J.Eliminating steganography in internet traffic with active wardens[R].In: Proc. of the 2002 International Workshop on Information Hiding, 2002.

[11]Weiming Hu. Reducing Timing Channels with Fuzzy Time[J]. Journal of computer Security, 1992.

[12]Kang,Myong H.,Moskowitz,Ira S.A Data Pump for Communication[M].NAVAL RESEARCH LAB WASHINGTO N DC, 1995.

[13]Berk V, Giani A, Cybenko G. Detection of covert channel encoding in network packet delays[R]. Technical Report TR2005-536, Department of Computer Science, Dartmouth College, Hanover, NH., USA，2005.

[14]Serdar Cabuk, Carlar E. Brodley, Clay Shields. IP Covert Timing Channels: Design and Detection[R]. NewYork: in 11th ACM conference on computer and communications security，2004.

[15]Steven Gianvecchio,Haining Wang.An Entropybased Approach to Detecting Covert Timing Channels[J]. Dependable and Secure Computing, 2011.