（计算机应用技术专业论文）基于包分类的网络隐蔽信道研究.pdf

硕士论文基于包分类的网络隐蔽信道研究 摘要 网络隐蔽信道是信息隐藏技术的一个分支，属于网络安全研究范畴。与正常通信不 同，网络隐蔽信道违反系统的安全控制策略，用本不用于通信的资源进行信息传输，将 机密信息毫无察觉地泄漏出去。网络隐蔽信道技术与木马等间谍软件相结合，给网络信 息安全带来了严重危害。以加密解密技术为基础的信息安全技术不足以解决这一问题。 研究网络隐蔽信道的机理及其防范措施成为了网络信息安全技术研究的重要课题。 自从隐蔽信道的研究从单机系统转入网络环境以来，已有许多学者研究过构建网络 隐蔽信道以及信道防御的方法；从当前研究的现状来看，网络隐蔽信道的构建方法一般 为利用协议首部、包排序以及时间等资源，也有少部分基于第三方系统资源的信道，但 完整的信道信息传输过程设计则较少；在信道控制方面，也有不少消除、限制和审计信 道的方法，而实际应用中则少有高效实用的防御系统。 本文先介绍了网络隐蔽信道的研究背景和相关概念，包括其定义、分类、机理描述、 评价参数及其对信息安全的影响等；然后介绍了网络隐蔽信道研究的现状。在对现有网 络隐蔽信道构建方法总结和分析的基础上，本文通过分析通信系统的构成要素，提出了 一种构建网络隐蔽信道的新方法- 基于包分类( p a c k e t sc l a s s i f i c a t i o n ) 的网络隐蔽信 道，详细阐述了基于包分类方法构建隐蔽信道的基本思想、信道载体选择、信息隐藏方 法和通信过程。根据包分类思路对网络隐蔽信道进行了相关分析，提出了一种新的网络 隐蔽信道分类方法。为实现可靠的隐蔽通信，本文设计了一个基于分层结构的网络隐蔽 通信系统模型；研究了两种同步控制方法来解决信道译码边界的不同步问题。在此基础 上，运用s h a n n o n 信息理论分析并量化了信道的容量和传输速率。最后，在w i n d o w $ 平台下实验实现了一种基于i c m p 协议的包分类网络隐蔽信道，构建了一个简单的隐蔽 通信系统，并详细分析了其各种性能。实验表明了基于包分类方法构建网络隐蔽信道的 可行性，指出了该隐蔽信道的危害不可忽视。 关键词：网络隐蔽信道，信息安全，包分类，同步控制，信道容量 硕士论文 a b s t r a c t n e t w o r kc o v e r tc h a n n e li sab r a n c ho fi n f o r m a t i o nh i d i n gt e c h n o l o g ya n di tb e l o n g st o n e t w o r ks e c u r i t yr e s e a r c h c o v e r tc h a n n e lv i o l a t e ss e c u r i t yr u l e sa n dl e a ki n f o r m a t i o n i m p e r c e p t i b l y t h ec o m b i n a t i o no ft r o j a nh o r s ea n dc o v e r tc h a n n e lh a sm a d eas e r i o u st h r e a t t on e t w o r ki n f o r m a t i o ns e c u r i t yt h a tt r a d i t i o n a ls e c u r i t yt e c h n o l o g yb a s e do ne n c r y p t i o n c a n i l tc o n q u e r i th a sb e e na ni m p o r t a n ta r e at of i g u r eo u tt h em e c h a n i s mo fn e t w o r kc o v e r t c h a n n e l sa n dt h e i rc o u n t e rm e a s u r e s m a n yr e s e a r c h e r sh a v eb e e ns t u d y i n gh o wt oc o n s t r u c tn e t w o r kc o v e r tc h a n n e l sa n d t h e i rc o u n t e rm e a s u r e ss i n c et h e yw e r ei n t r o d u c e d f r o mc u r r e n tr e s e a r c hs t a t u s ，t h eb a s i c m e t h o d st oc o n s t r u c tn e t w o r kc o v e r tc h a n n e l sa r ee x p l o i t i n gp a c k e t sh e a d ，p a c k e t ss o r t i n g a n dp a c k e t st i m ee t c a n dt h e r ea r ea l s oo t h e rw a y so fe x p l o i t i n gt h et h i r dp a r tr e s o u r c e s t h e r ei sl i t t l ec o m p l e t ed e s i g no fc o v e r tc o m m u n i c a t i o ns y s t e m s e v e nt h o u g ht h e r ea r es o m e w a y st oe l i m i n a t e ，l i m i to ra u d i tn e t w o r kc o v e r tc h a n n e l s ，t h e r ea r e l i t t l ep r a c t i c a la n d e f f e c t i v es y s t e m ss of a r sd i s s e r t a t i o nf i r s t l yi n t r o d u c e dc o r r e l a t i v ec o n c e p t i o n so fn e t w o r kc o v e r tc h a n n e l ， i n c l u d i n gi t sd e f i n i t i o n ，c l a s s i f i c a t i o n ，m e c h a n i s ma n ds o m ep a r a m e t e r s ，a n dt h e nt h ec u r r e n t r e s e a r c hs t a t u si si n t r o d u c e d a f t e rt h ea n a l y s i so fe x s i t e dw a y st oc o n s t r u c tn e t w o r kc o v e r t c h a n n e l s ，w eo f f e ran e ww a y p a c k e t sc l a s s i f i c a t i o n , w h i c hi sb a s e do nt h ea n a l y s i so f c o m p o s i t i o no fc o m m u n i c a t i o ns y s t e m s w ee x p a t i a t eo nt h e b a s i ci d e a , c o m m u n i c a t i o n p r o c e s sa n dt h ea l g o r i t h mo fi n f o r m a t i o nh i d i n gb a s e do i lp a c k e t sc l a s s i f i c a t i o n w eo f f e ra n e ww a yt oc l a s s i f yn e t w o r kc o v e r tc h a n n e l sb a s e do no u ra n a l y s i s a n dt h e nw ed e s i g n e da r e l i a b l en e t w o r kc o v e r tc o m m t m i c a t i o ns y s t e mm o d e l t oc o n c e r l lw i t ht h eu n r e l i a b i l i t y , w e o f f e rt w os y n c h r o n i z a t i o nc o n t r o lw a y sa n da n a l y z ec o r r e l a t i v ec h a n n e lc a p a c i t yw i t h s h a n n o ni n f o r m a t i o nt h e o r ya sw e l la sc h a n n e lr e l i a b i l i t ya n dc o n c e a l m e n t f i n a l l y , w e i m p l e m e n tan e t w o r kc o v e r tc h a n n e lb a s e do np a c k e t sc l a s s i f i c a t i o ne x p l o i t i n gi c m pa n d c o n s t r u c tas i m p l ec o v e r tc o m m u n i c a t i o ns y s t e mb a s e do no u rm o d e lo nw i n d o w s p l a t f o r m 硼1 ee x p e r i m e n t sa n da n a l y s i si n d i c a t e t h a tc o v e r tc h a n n e l sb a s e do np a c k e t s c l a s s i f i c a t i o na r ew o r k a b l ea n de f f e c t i v e ，a n dt h e i rh a r m n e s st on e t w o r ki n f o r m a t i o ns e c u r i t y c a n n tb ei g n o r e d k e yw o r d s ：c o v e r tn e t w o r kc h a n n e l ，i n f o r m a t i o ns e c u r i t y ，p a c k e t sc l a s s i f i c a t i o n ， s y n c h r o n i z a t i o nc o n t r o l ， c h a n n e l c a p a c i t y 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：雄 年乞r 出 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：辫 可嘭胁 硕士论文基于包分类的网络隐蔽信道研究 1 绪论 随着信息技术的发展，计算机及由计算机和其他数字终端构成的通信网络深入到社 会的每一个角落，社会的发展和秩序对网络的依赖性越来越强。以i p 为基础i n t e m e t 网络作为一个开放的可扩展的互连体系，在安全上存在一定的脆弱性。对机密信息的存 取控制是网络安全的基础内容，由单机系统发展而来的网络隐蔽信道，可以未经授权， 在用户无法觉察的情况下将机密信息传播出去。隐蔽信道结合木马等间谍技术，对用户 机密信息安全构成了极大的威胁。从2 0 世纪7 0 年代隐蔽信道的提出以来，对隐蔽信道 的研究一直是计算机安全领域研究的一个重要课题。 本文研究了一种新的i n t c r n c t 环境下构建隐蔽信道的方法，建立了相应的信道模型， 并做了相应的通信设计、分析和实现，证明了这种隐蔽信道存在的可能性和可行性，为 相应的网络安全对策的研究奠定了基础。 1 1 研究背景 1 1 1 网络信息安全与隐蔽信道 随着全球一体化的发展和计算机网络的普及与深化，企业和政府的大部分机密信息 甚至个人敏感资料都由传统纸质材料变成了数字媒体资料，并通过计算机网络进行传 输，以实现实时( 或准实时) 的信息存取、处理和共享。信息化的网络给人们带来了便 利，大幅度提高了社会生产率，但网络信息的安全问题成为了不得不面对的重要问题。 每年由网络信息安全问题给社会带来的损失达数百亿。间谍软件、病毒和网络攻击等问 题层出不穷，如在2 0 0 3 年这一年间仅网络病毒感染一项给全球企业造成的损失就高达 5 5 0 亿美元【9 】。各种间谍软件和特洛伊木马能够在用户浏览网页或者下载安装软件产品 时神不知鬼不觉地进入用户的系统中，并收集系统敏感信息，通过网络发送出去，以达 到获利或泄漏机密信息等危害性目的。很多依赖于信息技术传输机密信息的企业如银 行，构建高安全性的网络是其重中之重。 从上世纪7 0 年代开始，许多国家就陆续制订了信息安全的评价标准，如美国的 t c s e c 、德国的c e t i t 、英国的s s c l 和欧盟的i t s e c 等标准，以及国际的信息安全 c c 标准【l0 1 。这些标准对信息系统的安全管理和技术保障程度都做了明确的规定。抛开 安全管理不谈，计算机信息安全技术基本上以加密技术为核心。防御者与攻击者之间加 密与解密的技术博弈，始终如火如荼。一方面是加密、摘要、认证等技术，另一方面是 攻击、截取、破解等手段，这种博弈促进了网络信息安全技术的发展。但同时我们考虑 另外一种情况：机密信息泄漏。传统的以加密技术为基础的防御措施在这样的攻击面前 遇到了难题，这种攻击就是隐蔽信道。 1 l 绪论硕士论文 自1 9 7 3 年b l a m p s o n 提出隐蔽信道的概念【2 】以来，国内外的相关研究人员已对其 做了许多的研究和扩展。顾名思义，隐蔽信道是一种利用系统中本不用于通信的某些资 源来秘密地传送信息的信道，其目的就是获取系统的机密信息。木马等间谍技术与隐蔽 信道技术的结合对网络信息安全造成严重的威胁。正因为如此，1 9 8 3 年美国国防部在 其发布的可信计算机系统评估准则f f c s e c ) 中，十分明确地提出隐蔽信道问题，并规 定在b 2 级及以上的高可信系统设计和开发中，必须进行隐蔽信道的相关分析。我国的 国标g b t 1 8 3 3 6 、欧洲i s o i e c1 5 4 0 8 等都把隐蔽信道分析度作为评估一个高等级 可信系统的不可缺少的指标。 隐蔽信道首先在单机系统下出现( 因为网络是后来才产生的) ，它被认为是多级安 全操作系统中高安全级别进程向低安全级别进程泄漏机密信息的一种重要手段。随着 i n t e m e t 网络的发展，隐蔽信道被引入网络环境中。为便于说明，本文将网络环境下的 隐蔽信道称为网络隐蔽信道，将隐蔽信道传送的机密或敏感信息称为隐蔽信息。 网络隐蔽信道由于其本身的特点( 特殊应用以及隐蔽等) ，不为一般人所知，就算 是熟悉计算机网络安全知识而且能熟练操作相关安全软件的人也可能意识不到，这就进 一步加剧了隐蔽信道对信息安全危害的可能性。用户浏览网页，就可能通过j a v a s c r i p t 等小程序引入了木马等恶意和间谍代码；安装未经安全检测的第三方软件也可能引入间 谍或恶意程序，这些代码和程序在未经用户授权甚至是觉察时就已经轻易获取了系统的 控制权，搜集系统的机密信息。然后通过网络隐蔽信道，绕过防火墙或相关i d s 的检测， 将机密信息发送出去，造成信息泄漏；而且整个过程都可能避开管理员的视线。据统计， 假如一个数据包只携带一个b i t 的信息，一个大型网站每年就可能遭受到2 6 g b 的信息 泄漏损失【l2 1 。因此，网络隐蔽信道研究是网络信息安全的重要课题。 1 1 2 研究的意义与目的 网络隐蔽信道作为机密信息泄漏的一种重要方式，具有传统以加密为基础的安全技 术所不能防御的特殊性。它能绕过系统安全策略并避开防火墙或i d s 的安全检测。众所 周知，无论多么安全的系统，其内部仍然是脆弱的而不安全的。外在的安全攻击容易抵 挡，但由间谍程序所造成的内部攻击，使传统的保护信息安全的加密等技术失去作用。 从网络隐蔽信道的产生原因来看，它利用的基本上都是网络数据包的首部特征、时 间特性和包的数目特性等，这些特性有的是由设计本身缺陷而产生的问题，有的是系统 固有的不可消除的特征，我们知道，i n t e r n e t 是一个以口为基础的发展的开放的应用着 的网络体系结构，设计之初便因开放性和扩展性的要求考虑而较少考虑其安全特性，而 现在要修改这些已经得到广泛应用的系统( 协议和结构等) 的代价太大；而一些系统固 有的特征是系统应用所必须的，取消这些特征，将导致系统的低效率，大多数情况下完 全消除隐蔽信道需要将很多自动化的过程改成手动运行 1 ，这大大损失了系统效率，也 硕士论文基于包分类的网络隐蔽信道研究 偏离了运行系统的初衷，这也是不可行的。 由于但不止于以上原因，目前对于网络隐蔽信道的防御并没有一个完善的万能方 法，也没有好的实际可应用的工具，一些特殊的入侵检测系统也只能检测部分已知的隐 蔽信道，对新的网络隐蔽信道仍然没有免疫和检测能力，网络信息安全仍处于网络隐蔽 信道的威胁之下。因此研究网络隐蔽信道的构建特征，知己知彼地研究相应对策，是隐 蔽信道领域研究的重要内容。要从根本上分析网络隐蔽信道的产生原因、机理和过程， 并量化其危害的大小。网络隐蔽信道是网络攻击的一种重要手段，也是评估防火墙和入 侵检测系统的防御性能和技术指标的一种十分重要的途径。本文着力于分析一类新的网 络隐蔽信道的构建机理、信息传输过程以及相应的隐蔽通信系统设计，并分析其信道特 性，评估其危害，指出了相关应对措施的可能研究方向。 1 2 本文的主要研究内容 本文借鉴通信系统中信号编码的思想，提出了一种新的网络隐蔽信道构建方法一 基于包分类( p a c k e t sc l a s s i f i c a t i o n ) 的网络隐蔽信道。我们详细阐述了基于包分类方法 构建网络隐蔽信道的基本思想、信道载体选择、信息隐藏方法和通信过程，对相应的网 络隐蔽通信系统进行了研究，并在w i n d o w s 平台下实现了一种实验信道。具体来说， 本文的主要研究内容如下： ( 1 ) 提出了一种构建网络隐蔽信道的新方法包分类，研究了基于包分类方法 构建网络隐蔽信道的基本思想、包分类的基本理论、载体的选择和信息隐藏与识别过程： 根据包分类思路提出了一种新的网络隐蔽信道分类方法，对网络隐蔽信道的不可消除性 进行了理论分析。 ( 2 ) 研究了基于包分类的网络隐蔽信道的不可靠性，设计了一个基于分层结构的 可靠网络隐蔽通信系统模型。 ( 3 ) 为解决因信道不同步所带来的译码错误问题，设计了两种同步控制方法，并 分析了相应的信道性能。 ( 4 ) 运用s h a n n o n 信息理论，分析并量化了信道的容量；在理论上对信道可靠性 和隐蔽性进行了分析；对信道的性能进行了评估。 ( 5 ) 在w i n d o w s 平台下实验实现了一种基于包分类的网络隐蔽信道，构建了一个 简单的隐蔽通信系统，并进行了相关分析。实验证明了这种信道的实际可行性，并指出 了信道的危害程度。 1 3 文章内容的安排 本文一共分为六章，各章节安排如下： l 绪论硕士论文 第一章，简要介绍了网络信息安全以及隐蔽信道对信息安全的影响，阐述了本文研 究的意义和目的，介绍了本文的主要研究内容及文章的组织结构。 第二章，讨论网络隐蔽信道的基本知识和研究现状，包括其概念、存在条件、分类 方法和评估参数等，对目前网络隐蔽信道的研究进展、研究思路及研究方向等做了相应 的分析。 第三章，研究了基于包分类方法构建网络隐蔽信道的基本思想和包分类方法的基本 理论；分析了包分类网络隐蔽信道的信道模型和信息隐藏与识别过程。同时基于包分类 理论，提出了一种新的网络隐蔽信道分类方法，对网络隐蔽信道的不可消除性进行了理 论说明。 第四章，分析了包分类网络隐蔽信道的不可靠性，设计了一种实现可靠通信的网络 隐蔽通信系统模型；设计了两种解决译码边界不同步问题的同步控制方法，并分析了其 性能；运用s h a n n o n 信息理论对信道的容量进行了分析：对隐蔽通信的安全性进行了相 关分析，在理论上对信道隐蔽性和可靠性进行了研究。 第五章，研究了在w i n d o w s 平台下一种基于包分类的网络隐蔽信道的实现，构建 了一个简单的隐蔽通信系统。介绍了相关实验环境，根据包分类方法，选取了合适的信 道载体，根据设计实现了这种信道，并根据理论分析和实际数据，给出了该信道的容量 和传输速率。在实验基础上，对信道危害程度进行了相应的分析。 第六章，总结了本文所做的主要工作，对未来网络隐蔽信道的研究方向提出了几点 建议。 1 4 本章小结 本章简要介绍了网络信息安全以及隐蔽信道对信息安全的影响，分析了本文研究的 意义与目的；说明了本文的主要研究内容，对文章内容的安排和组织结构进行了介绍。 硕士论文基于包分类的网络隐蔽信道研究 2 相关知识和研究现状 从隐蔽信道的引入以来，其研究在不断地深化。在隐蔽信道的概念、分类方法等问 题上不同研究成果有一定的差别。由于网络隐蔽信道是从单机隐蔽信道演化而来，对网 络隐蔽信道的定义和分类等一些方面都沿用了单机隐蔽信道的相关知识，同时部分问题 仍存在网络环境下隐蔽信道的特殊性。本文着力于研究网络隐蔽信道，必要的时候也引 进单机环境下隐蔽信道的相关研究成果。 在本章中，我们先分析网络隐蔽信道的相关知识，然后分别从网络隐蔽信道的构建、 检测、评估和防御措施等方面，对国内外相关研究现状做一个介绍，并介绍当前该领域 的研究热点，以及研究趋势。 2 1 相关知识 2 1 1网络隐蔽信道的定义和存在的条件 对所要研究的对象的本质进行准确而恰当的定义是深入研究该对象的第一环节。 b l a m p s o n 首次将隐蔽信道( c o v e r tc h a n n e l ) 定义为：利用某些本来不用于通信的资 源或服务来泄漏信息的信道【2 】。随后，m a r v i ns c h a e f e r 、h u s k a m p 和r i c h a r da k e m m e r e r 都各自先后从不同的角度提出隐蔽信道的定义【1 3 】【1 4 】l5 1 ，这些定义都是从隐蔽信道实现 的载体、方法或通信双方的位置特点等角度来分析的，在一定程度上并没有指出隐蔽信 道的本质；t s a i 、g l i g o r 和c h a n d e r s e k a r a n 提出与强制访问控制安全策略有关的隐蔽信 道定义【1 6 】，这个定义着重描述了隐蔽信道危害信息安全的本质，这是该定义的突出点。 但上述一些定义都是针对单机系统中的隐蔽信道而言的，在网络环境下则可能需要重新 审视和评估。s e r d a rc a b u k 等【l7 】提到：“网络隐蔽信道是一种通过网络将机密信息泄漏 出去的方式，该方式违反了系统的安全策略并很难被系统检测到 。文献【7 】对上述定义 的详细情况进行了说明。 许多研究人员并没有提及定义，而直接进行研究。不同的定义都从某一方面来刻画 隐蔽信道的内涵；如b l a m p s o n 的定义指出隐蔽信道是本不用于通信的信道，m a r v i n s c h a e f e r 等的定义侧重隐蔽信道的实现方法或结构，t s a i 等的定义突出操作系统的强制 访问策略；对网络环境下的隐蔽信道，s e r d a rc a b u k 等的定义强调通信违反系统安全策 略且不易检测。本文认为，较为切实的网络隐蔽信道的定义应该包括以下两点： ( 1 ) 网络隐蔽信道利用某些本不用于通信( 传送信息) 的资源( 数据包等) ，来传 输信息，这一点是网络隐蔽信道的本质；它指出了该信道本来是不用于通信的，突出隐 蔽信道危害性这一本质特性； ( 2 ) 该信道违反了系统的安全策略，且不易被防火墙或i d s 检测到。网络隐蔽信 5 2 相关知识和研究现状硕士论文 道必然与一定的安全策略相关。如果安全策略不限制正常通信，就无需使用隐蔽信道了。 上述两点对于网络隐蔽信道的定义是缺一不可的，如果没有特性( 1 ) ，违反安全策 略的通信不一定都是隐蔽通信，某些正常通信也可能违反安全策略：同样如果没有特性 ( 2 ) ，系统安全策略不限制，用某些不用于通信的资源进行通信，若对系统安全无害， 则隐蔽信道失去了研究的意义。本文对于网络隐蔽信道的研究建立在这两点认识上，我 们研究包首部和包状态等本不用于通信的资源来传递信息( 不考虑包数据负载等正常通 信资源) ，同时考虑系统安全策略的限制，在此基础上研究隐蔽信道的设计及其性能。 在实际网络环境中，也并非任何场合都可以形成网络隐蔽信道。文献 7 等分析了 网络隐蔽信道存在的条件，并归类为如下几点： ( 1 ) 发送进程和接收进程都有对客体( 资源) 的访问权限； ( 2 ) 发送进程必须能改变客体( 网络数据包等) 的属性。由于网络隐蔽信道多利 用数据包的首部和包状态等特征，发送进程( 木马程序等) 必须在获得系统控制权后才 能实现网络隐蔽信道； ( 3 ) 接收进程能检测到客体的变化，将信息解读出来； ( 4 ) 发送进程与接收进程之间必须有一定的同步机制以完成通信过程。 根据定义，网络隐蔽信道必然与多级安全策略( m l s ) 相关，其存在的条件也必然与 一定的分布式多级安全策略关联。因此，从构建网络隐蔽信道的角度来看，其存在条件 还应该包含以下两点： ( 1 ) 发送进程的安全级别高于接收进程，但受多级安全策略的限制，发送进程无 法将隐蔽信息直接发送给接收进程，即正常的通信资源无法使用； ( 2 ) 构建的数据包能通过基本安全控制系统( 如防火墙) 的检查，高安全等级的 网络必然有相应的安全控制系统，任何通信都在其监控之下，如果不能通过安全控制系 统的检查，网络隐蔽信道就无法形成；如某防火墙限制除8 0 外的所有端口通信，则基 于这些端口构建隐蔽信道就无法形成，因为它不满足透过基本安全控制系统的条件。 2 1 2网络隐蔽信道的形式化描述和研究范围 图2 1 2 1 是网络隐蔽信道的概念图，其中隐蔽信息m 从发送方经过加密和编码后， 构成数据包由网络发送，接收方接收这些数据包并提取相应的特征，经解码后还原相应 的隐蔽信息m 。之所以是m 是因为信道噪声的影响，接收端所获得的隐蔽信息可 能出现差错。从图中可以看出，网络隐蔽信道包括以下元素： ( 1 ) 隐蔽信息发送方s s ( 2 ) 信道载体c a ( 3 ) 隐藏算法灿( 含编码和解码) ( 4 ) 系统安全策略s e 硕士论文 基于包分类的网络隐蔽信道研究 ( 5 ) 隐蔽信息接收方s r 因此，我们把网络隐蔽信道定义为五元组 。图2 1 2 1 所 示的信息流从发送方s s 经过一系列变换后到达接收方s r ，这是单向流，也是主要的信 息流。许多情况下，也会有一个反馈的信息流，作信道控制用途。 图2 1 2 1网络隐蔽信道概念图 网络隐蔽信道属于一个多学科知识交叉的研究领域，从所包含的学科来看，它包括 信息隐藏技术在网络环境下的研究、网络协议与网络体系结构的研究、网络安全机制和 计算机通信方面的研究。如图2 1 2 2 中划线的阴影区域所示，网络隐蔽信道的研究涉 及多个相关研究领域。 图2 1 2 2网络隐蔽信道的研究范围( 图中划线区域) 2 1 3 网络隐蔽信道的分类 从不同的角度，网络隐蔽信道可以分成不同的类型。l i p n e r 提出，根据场景的不同， 可以将隐蔽信道划分为存储隐蔽信道和时间隐蔽信道两大类。一个进程直接或间接地写 一个存储单元，另一个进程直接或间接地读该存储单元，称这种隐蔽信道为隐蔽存储信 道。一个进程通过调节它对系统资源的使用，影响另外一个进程观察到的真实响应时间， 实现个进程向另一个进程传递信息，称这种隐蔽信道为隐蔽时间信道 1 刖。这是一种经 典分类方法，虽然这个分类是基于单机系统提出的，但仍适合网络隐蔽信道，并且这种 分类方法是完备的。许多研究人员则直接在此分类的基础上进行研究。为便于说明，本 7 2 相关知识和研究现状 硕士论文 文将网络环境下的这两种分类分别称为存储型网络隐蔽信道和时间型网络隐蔽信道。 从通信理论的角度，根据信道特征，可以将网络隐蔽信道分为有噪声信道( 不可靠 信道) 和无噪声信道( 可靠信道) 。在网络隐蔽信道中，如果任何一个字符从发送方发 出后都能以概率为1 的可能性在接收方正确接收，且字符不存在错误，也就是“所收即 所发”，则该信道为无噪声信道，否则为有噪声信道。网络隐蔽信道中，有无噪声取决 于所选择的信道载体和安全控制系统。如果信道建立在可靠的数据连接上，则该信道一 般为无噪声；一般情况下，由于网络状况的不确定，信道载体( 网络数据包) 可能出现 丢失、乱序到达甚至载体特征值被安全控制系统更改等现象。这些信道往往是有噪声的。 从网络隐蔽信道的通用性角度可分为： ( 1 ) 局域网隐蔽信道，如t h a n d e l 和m s a n d f o r d 提出的基于以太网帧碰撞调制 的网络隐蔽信道 19 1 ，可以看出该信道通信范围局限于一个局域网内；一般在口层之下 实现的网络隐蔽信道属于这类，这类信道信息传播范围局限在某一个子网或局域网内。 ( 2 ) i n t e m e t 隐蔽信道，i n t e m e t 以p 为基础，基于p 或口层以上协议的隐蔽信 道均能负载信息通过整个i n t e m e t ，具有较好的通用性。 还有基于通信双方在网络中的位置的分类方法，这种方法很好地展示了网络隐蔽 信道的结构，在诸多文献中均有提及，是一种经典的分类方法，如图2 1 3 1 所示。 图2 1 3 1由通信对象的位置对网络隐蔽信道分类 其中，发送方和接收方分别表示隐蔽信息的来源和去处，发送进程和接收进程则分 别表示隐蔽信道的发送端和接收端，中间人表示隐蔽信息可能中转的网络节点。其中虚 线表示正常通信，实线表示隐蔽信道。由隐蔽信道发送进程和接收进程的位置不同可分 为四种类型，分别如图2 1 3 1 中的四条实线箭头所示。 根据信道同步变量或信息所影响的数据变量的数目，可以分为聚集隐蔽信道和非聚 集隐蔽信道：如果多个数据变量( 可能相互独立) 形成一组以减少同步开销，则相应信 道称为聚集隐蔽信道；否则，称为非聚集隐蔽信道【6 9 1 。聚集信道的多个数据变量可以并 行或串行的被读写，模拟多条信道同时运行，提高了信道的带宽，同时也增加了控制的 复杂性。 硕士论文基于包分类的网络隐蔽信道研究 另外，根据w a r d e n ( 监控系统) 类型的不同可分为主动型网络隐蔽信道和被动型网 络隐蔽信道，某些文献也提出划分为有害信道和无害信道【| 7 1 ，等等。本文3 4 1 节中根 据包分类理论提出一种新的网络隐蔽信道的分类方法。 2 1 4 从攻击者角度评估隐蔽信道优劣的参数 评估一种隐蔽信道的优劣需要一定的标准。从构建网络隐蔽信道的角度看，这个标 准可用来评价所构建信道的性能优劣；从网络隐蔽信道的防御角度看，可用来评估甚至 量化隐蔽信道的危害。 许多文献都分析过评估信道性能的相关参数，网络隐蔽信道的评估主要有以下几个 参数：信道容量、隐蔽性和鲁棒性。 网络隐蔽信道的容量概念来源于s h a n n o n 信息论，指的是该信道能够隐蔽传送的信 息数量，这个值与时间无关。隐蔽性，类似于多媒体信息隐藏技术中的不可感知性，指 隐蔽信道数据包通过网络时，在( 专业的) 检测系统下不被发现的可能性，是信道安全 性的保障。鲁棒性即可靠性，指隐蔽信道在有噪声或遭受攻击时，在能还原始隐蔽信息 的前提下可忍受损坏信息的数量。 一 网络隐蔽信道容量的估计已有许多研究成果，包括利用s h a n n o n 信息理论和其他非 信息论方法，详见2 2 节。对于隐蔽性，可具体细化其评判标准，文献 2 0 提出语法保 持和语义保持的概念。语法保持保证信道所发送的数据包符合标准协议的语法规定，符 合协议所定义的状态等要求，而其实际意义则与标准协议规定所定义的不同。语义保持 意味着，在信道路径上的任何一点( 或沿着信道路径) 观察，信道所发送的数据包完全 符合协议规定的状态和规则，且实际意义与标准协议所定义的一样。语义保持比语法保 持更严格，达到语义保持必然是语法保持。语义保持提高了信道的鲁棒性，降低了隐蔽 通信因遭受检测系统拦截或损害而中断的可能性。 良好的隐蔽信道首先应具有较好的隐蔽性，本文把隐蔽性作为首要的要素是因为如 果一条信道很容易被系统检测到或被破坏的话，这种隐蔽信道就是具有再大的信道容量 也是无法应用的；在这个前提下，应尽可能地提高信道的容量或信息传输速率；同时需 要设计某些方案来提高信道抵御噪声或其他破坏的能力。在实际通信中，这三者不可能 同时兼得的，当然这样的信道也将具有极大的危害性。 2 2 研究现状 隐蔽通道的研究可以用著名的“囚犯模型 来说明：a l i c e 和b o b 是两个被关押的 囚犯，看管人w a r d e n 监视着他们的一言一行。两个囚犯必须交流商量出一个办法以逃 出监狱，但越狱的想法绝不能被w a r d e n 知道，否则他们就会被分开，永远也逃不出去 了。所以，a l i c e 和b o b 必须通过正常的通信来交流其越狱的计划，隐藏这个信息的正 - 9 2 相关知识和研究现状硕士论文 常通信能通过w a r d e l l 的检测。从a l i c e 和b o b 的角度来看，研究隐蔽信道就是要研究 如何利用已有的合法的通信来隐式地传递机密信息，而且要使该隐通道尽可能地隐蔽、 尽可能地可靠和具有更大的信道容量。从w a r d e n 的角度来看，隐蔽信道的研究就是要 研究出较好的隐蔽信道检测方法或模型，尽可能地在貌似正常的通信过程中发现隐蔽信 道。同时，研究相应的对策，来尽可能地消除隐蔽信道。本节从这三个方面来介绍国内 外研究领域的成果。 2 2 1网络隐蔽信道的构建 网络隐蔽信道属于信息隐藏技术在网络环境下的延伸，协议数据包首部以及与之相 关的数据包状态是可利用的良好载体。 利用协议首部未使用或模糊的字段以及首部扩展和填充位：h a n d e l 等提出了使用 口( 版本4 ) 首部中未使用的服务类型字段( t o s ) 和t c p 首部中的标志字段来编码隐 蔽信信息以构成隐蔽信道【l9 】：k u n d u r 提出使用p 首部中分片标志( d f ) 字段【3 】。因为如 果攻击者知道网络中的m t u ，则d f 可为任意的值，这时该字段可填入任意信息；h i n t z 研究使用t c p 中的紧急指针位【2 1 1 ，这个位在u r g 没有被设置时是不被使用的，因为它 是隐藏信息的良好位置。等等。国内也有一些学者提出使用u d p 、i p 和t c p 的一些未 用字段构建隐蔽信道的方法。g r a f 提出利用i p v 6 的目的地选项位置进行隐蔽通信l z 3 1 ； l u c e n a 等人提出了使用i p v 6 的h o p - b y - h o p 、r o u t i n g 、f r a g m e n t 、 a u t h e n t c a t i o n 和 e n c a p s u l a t i n gs e c u r i t yp a y l o a d 等扩展首部来实现隐蔽信趔2 2 1 ，这些字段具有较多的比 特，在一定程度上可认为是构建信道的良好载体；t r a b e l s i 等人提出将隐蔽信息伪装成 i p 协议的r o u tr e c o r do p t i o n 的地址来隐藏信息【冽；等等。 利用协议首部必须字段：r o w l a n d 提出通过将要发送的字节乘以2 5 6 来直接替换口 包的d 字段的方法【2 5 1 ，这个实现简单，但隐蔽性可能不够好；a h s a n 等人提出利用口 包的d 字段的高八位来隐含地传输信息的网络隐蔽信道【3 】，这种方法的隐蔽性取决于 高八位的隐藏算法；r o w l a n d 提出将每个待发送的字节乘以2 5 6 来直接替换i s n 字段的 网络隐蔽信道构建方法【2 5 】：r u t k o w s k a 基于i s n 设计了一个用于l i n u x 系统的网络隐 蔽信道【2 8 】；a b a d 给出了一种利用口首部的校验和字段间接来实现网络隐蔽信道的方法 【3 0 】；q u 和l u c e n a 等人提出在t t l 和i p v 6h o pl i m i tf i e l d 字段中实现网络隐蔽信道【3 1 】【2 0 】； 等等。 利用包速率、包长度、包丢失和包排序等：p a d l i p s k y 等人提出在一定的时间间隔 内或发送数据或不发送数据的方式来编码0 和1 ，通过发送网络数据包来实现时间型网 络隐蔽信道【3 2 】；k u n d u r 等人提出在包发送过程中不同的排列和重组方式可以用来编码 隐蔽信息【3 】，其可能的载体本身需要有序列号等信息，如i p s e c 协议包；等等。 利用应用层协议：应用层协议丰富，且首部一般有较大的空间，是可利用的载体， 硕士论文基于包分类的网络隐蔽信道研究 如h t r p ，d n s ，f t p 等协议。d y a t l o w h 等人以及k w e , c h a 和v a nh r e n b e e c k 提出很多种 不同的利用h 1 p 协议首部构建网络隐蔽信道的方法【3 3 0 5 1 ；孙圣和等人提出利用h t t p 协议的基于多维随机参数插入的信息隐藏方法【3 6 】和基于h t t p 协议的参数排序的信息 隐藏方法【3 7 1 ，这种方式构建的网络隐蔽信道是可靠信道：i o m i n s k y 和伍1 分别独立实 现了利用基于d n s 协议构建的d 隧道工列3 8 】 3 9 】；z o u 等人提出t n 用f t p 协议来构 建网络隐蔽信道【删，之后有其他一些研究人员也研究了基于f t p 协议的网络隐蔽信道 的方法；等等。 综上所述，实现网络隐蔽信道的方式是多种多样的，既有包的首部字段( 必填字段 和扩展或模糊字段) 也有包的行为特征( 如包速率、时间和排序等) 。不同的隐蔽信道 一般在信道容量、隐蔽性和可靠性方面都具有较大的差别。不同的隐蔽信道构建方法都 是从某一侧面发掘隐藏信息的载体，目前并没有一个通用的隐蔽信道模型。而网络隐蔽 信道的发展基本朝着两个方向进行，一是寻找可能实现网络隐蔽信道的新方法和新可能 等；二是增加现有方法的隐蔽性、鲁棒性或信道容量。同时，现有文献大多只分析了信 道的可行性以及信息隐藏方法，而缺乏实际的隐蔽通信控制机制；网络隐蔽信道作为一 种通信方式，研究信息的隐藏方法只是第一步，高效的信道通信控制过程也是值得研究 的。从检测和消除隐蔽信道上看，研究隐蔽通信过程，可以发掘更多的隐蔽信道特征， 为消除隐蔽信道奠定基础。 2 2 2 网络隐蔽信道的搜索与评估 在隐蔽信道的研究中，一个很重要的研究思路就是如何去发现和检测一个潜在的隐 蔽信道，即对隐蔽信道的搜索和标识。由当前的研究现状看出，在单机系统中，对隐蔽 信道的标识和搜索主要有共享资源矩阵法、语义信息流法和语法信息流法等等。这些方 法对单机系统隐蔽信道的搜索是有效的。在网络环境中，很少有形式化的标识网络隐蔽 信道的方法，许多单机环境下有效的方法不适合网络隐蔽信道。d o n a l d s o n 等研究了将 共享资源矩阵法用于标识和分析网络隐蔽信道【4 1 1 ，但其他很多方法仍没有在网络环境下 得到应用，这是由于网络隐蔽信道的特殊性造成的。在对网络隐蔽信道的研究中，研究 人员一般是通过对特定的网络协议的报文的相关特性进行分析，进而发现可能的网络隐 蔽信道。s o l l l l 等提出利用s v m 来检测口的i d 字段和t c p 协议的i s n 字段中潜在的 网络隐蔽信道的方法【4 2 1 ；t u m o i a n 利用神经网络研究t c p 协议的i s n 的检测问题，并 对相关结果进行可靠性分析【4 3 1 1 4 4 ；b o r d e r s 等利用基于相似的方法研究并开发了一个工 具用来检测h r r p 协议中的网络隐蔽信道【删。网络隐蔽信道的检测研究当前还只局限于 对t c p i p 协议字段型隐蔽信道的发现，对其他一些应用层协议的检测，以及对类似于 包速率和包间隔隐蔽信道的实现没有有效的研究结果，另外当前的研究在很大程度上是 “就事论事”，对已有的信道进行检测，而很少能能检测新的网络隐蔽信道。较好的检 2 相关知识和研究现状硕士论文 测方法应该是基于统计学特征的，但这种统计需要大量的数据且计算复杂而效果不很明 显，大多只具有理论意义；而且很多都是针对某种特定信道而设计的，缺少较通用性和 扩展性。 对网络隐蔽信道的评估最主要的是估计信道的容量，并以此量化该信道的危害。主 要研究方法为基于s h a n n o n 信息理论，另外也常用直观意义上的概念，如每个包携带多 少个二进制位等。m i l l e n 利用s h a n n o n 信息论的有噪声的记忆信道模型估计了一种时间 信道的容量 4 8 】；m o s k o w i t z 分析了无噪声离散无记忆时间型隐蔽信道容量 4 9