網(wǎng)絡(luò)平安之IP隱通道探究

摘要：目前網(wǎng)絡(luò)平安的形勢(shì)日益嚴(yán)峻，網(wǎng)絡(luò)平安領(lǐng)域中的攻擊手段層出不窮，目前利用隱通道傳輸信息也是網(wǎng)絡(luò)攻擊與防御中使用的一種方法。在包交換網(wǎng)絡(luò)中，IP隱通道的實(shí)現(xiàn)方式主要是IP存儲(chǔ)隱通道與IP時(shí)間隱通道，其中IP時(shí)間隱通道利用數(shù)據(jù)包的時(shí)間屬性隱蔽的特點(diǎn)傳輸信息，難于檢測(cè)與消除，是如今IP隱通道技術(shù)的主流。

關(guān)鍵詞：存儲(chǔ)隱通道；時(shí)間隱通道；IP隱通道

0引言

網(wǎng)絡(luò)平安領(lǐng)域中攻擊手段、方式層出不窮，對(duì)于信息的完好性、保密性、可用性、可控性和不可否認(rèn)性造成了嚴(yán)重的威脅。從網(wǎng)絡(luò)防御的角度如何保護(hù)信息或數(shù)據(jù)的平安，一種有效方式就是實(shí)現(xiàn)隱蔽通信。隱蔽通信是指采取了隱蔽措施的通信，使得竊密者無(wú)法感知到信息的傳輸或?qū)孬@到的信息無(wú)法解讀，從而到達(dá)對(duì)傳輸信息的保護(hù)。目前隱蔽通信的方式大致有：傳輸信息的隱蔽、通信方式的隱蔽、傳輸信道的隱蔽、傳輸信號(hào)頻譜〔或其他物理信息〕的隱蔽。其中傳輸信道的隱蔽，即隱通道信息傳輸更為隱秘，更不易被感知與截獲，在隱蔽通信中應(yīng)用越來(lái)越廣泛。

1隱通道

隱通道〔CovertChannel〕的概念形成于上世紀(jì)70年代初期，美國(guó)國(guó)防部的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么〞把對(duì)隱通道的限制和分析納入了平安計(jì)算機(jī)系統(tǒng)的標(biāo)準(zhǔn)中。隱通道是一個(gè)能繞過(guò)系統(tǒng)制定好的平安機(jī)制的通信通道，以違背信息平安策略的方式傳輸信息，發(fā)送、接收雙方利用合法操作實(shí)現(xiàn)隱蔽傳輸信息的目的，具有抗截獲、抗檢測(cè)等特點(diǎn)。從嵌入隱蔽信息的方式進(jìn)展劃分，隱通道分為存儲(chǔ)隱通道(CovertStorageChannel)和時(shí)間隱通道(CovertTimingChannel)。存儲(chǔ)隱通道是指發(fā)送方將信息直接或間接地寫(xiě)入某些存儲(chǔ)位置〔內(nèi)存單元、外存空間、網(wǎng)絡(luò)數(shù)據(jù)包等〕，而接收方通過(guò)讀取此存儲(chǔ)位置的信息，按照雙方約定好的規(guī)那么復(fù)原出來(lái)自發(fā)送方的信息。時(shí)間隱通道是指發(fā)送方將信息嵌入到與時(shí)間有關(guān)的參數(shù)中，在信息交互中并不改變信息的內(nèi)容，接收方通過(guò)預(yù)先定義好的規(guī)那么將順序、間隔、周期變化等與時(shí)間有關(guān)的參數(shù)來(lái)復(fù)原信息，到達(dá)隱蔽傳輸信息的目的。

2IP隱通道

因網(wǎng)絡(luò)隱通道與網(wǎng)絡(luò)協(xié)議親密相關(guān)，TCP/IP作為事實(shí)上的網(wǎng)絡(luò)協(xié)議應(yīng)用廣泛，其應(yīng)用場(chǎng)景為路由、交換等網(wǎng)絡(luò)設(shè)備所組成的包交換網(wǎng)絡(luò)中，因此在包交換網(wǎng)絡(luò)中的網(wǎng)絡(luò)隱通道也稱(chēng)為IP隱通道，IP隱通道通常分為IP存儲(chǔ)隱通道與時(shí)間隱通道。

2.1IP存儲(chǔ)隱通道

IP存儲(chǔ)隱通道主要是利用網(wǎng)絡(luò)協(xié)議破綻，利用協(xié)議報(bào)文的報(bào)頭中選項(xiàng)域字段，將需要傳輸?shù)男畔⑶度肫渲校竭_(dá)隱蔽傳輸?shù)男Ч?。因某些選項(xiàng)域字段空閑不用，而且其長(zhǎng)度可變，同時(shí)網(wǎng)絡(luò)中平安機(jī)制或者平安設(shè)備對(duì)此并不做檢測(cè)，使通過(guò)該種方式建立隱通道成為可能。其中常見(jiàn)的實(shí)現(xiàn)途徑有：IP、ICMP、TCP、HTTP等?；诰W(wǎng)絡(luò)的IP存儲(chǔ)隱通道，一般是通過(guò)修改網(wǎng)絡(luò)包的包頭〔協(xié)議冗余位〕或載荷數(shù)據(jù)〔協(xié)議假裝〕傳輸信息。此種類(lèi)型的隱通道利用現(xiàn)有協(xié)議報(bào)文中的冗余位，非常容易實(shí)現(xiàn)，本錢(qián)低廉。初期該種方式吸引了眾多科研工作者利用協(xié)議中的冗余位實(shí)現(xiàn)隱蔽通信。IP存儲(chǔ)隱通道網(wǎng)絡(luò)中常用的傳輸平安的檢測(cè)手段為防火墻，目前防火墻中常見(jiàn)的是包過(guò)濾防火墻，其主要根據(jù)源地址、目的地址、源端口號(hào)、目的端口、協(xié)議等五元組來(lái)完成對(duì)數(shù)據(jù)包的過(guò)濾，不會(huì)檢查報(bào)文的內(nèi)容，無(wú)法對(duì)隱通道進(jìn)展檢測(cè)與阻止。隨著技術(shù)開(kāi)展，防火墻技術(shù)引入了流量正規(guī)化技術(shù)〔trafficnor-malization〕，即將進(jìn)出IP數(shù)據(jù)包的冗余位強(qiáng)迫使用一樣的格式改寫(xiě)，有效地限制了IP存儲(chǔ)隱通道的使用。

2.2IP時(shí)間隱通道

隨著防火墻技術(shù)、入侵檢測(cè)防御系統(tǒng)的開(kāi)展，利用IP存儲(chǔ)隱通道傳輸信息越來(lái)越難以隱蔽，因此又開(kāi)展出利用時(shí)間屬性的IP時(shí)間隱通道，由于包交換網(wǎng)絡(luò)的時(shí)延因素更為復(fù)雜，因此IP時(shí)間隱通道很難被檢測(cè)與消除。基于網(wǎng)絡(luò)的IP時(shí)間隱通道〔IPCovertTimingChannel〕，不修改網(wǎng)絡(luò)包本身，將隱蔽傳輸?shù)男畔⒄{(diào)制成與時(shí)間相關(guān)，發(fā)送方通過(guò)改變網(wǎng)絡(luò)包的間隔、速率、順序等方式將傳輸信息嵌入，接收方按照一樣規(guī)那么檢測(cè)、度量這些網(wǎng)絡(luò)包的相應(yīng)時(shí)間屬性進(jìn)展解析獲得信息。根據(jù)不同時(shí)間類(lèi)型，IP時(shí)間隱通道可以分為網(wǎng)絡(luò)包時(shí)間間隔、網(wǎng)絡(luò)包速率、網(wǎng)絡(luò)包順序、及其他可以利用時(shí)間屬性表達(dá)隱藏信息的隱通道。由于網(wǎng)絡(luò)環(huán)境復(fù)雜多變，網(wǎng)絡(luò)包間間隔時(shí)間序列具有復(fù)雜多變的特點(diǎn)，包間時(shí)延隱通道通過(guò)控制網(wǎng)絡(luò)包之間的延時(shí)間隔，通過(guò)自主產(chǎn)生載體數(shù)據(jù)流〔主動(dòng)式隱通道〕或者操控其他載體數(shù)據(jù)流嵌入隱蔽信息〔被動(dòng)式隱通道〕來(lái)傳輸隱蔽信息，其適用性最廣，收發(fā)雙方可跨越本地物理網(wǎng)絡(luò)，可以部署在傳輸終端或網(wǎng)絡(luò)中間節(jié)點(diǎn)，是目前IP時(shí)間隱通道研究的主流。

2.3包間時(shí)延IP時(shí)間隱通道

包間時(shí)延IP時(shí)間隱通道是指發(fā)送方將機(jī)密消息調(diào)制到網(wǎng)絡(luò)傳輸?shù)牡臄?shù)據(jù)包間時(shí)間間隔中，接收方記錄網(wǎng)絡(luò)包到達(dá)的時(shí)間，根據(jù)網(wǎng)絡(luò)包的時(shí)間間隔來(lái)復(fù)原出隱蔽消息。

〔1〕包間時(shí)延IP隱通道的分類(lèi)包間時(shí)延隱通道通過(guò)改變相鄰網(wǎng)絡(luò)包的時(shí)間間隔嵌入隱蔽消息，按照對(duì)時(shí)間參數(shù)的定義不同，可分為以下幾類(lèi)：①I(mǎi)P網(wǎng)絡(luò)包隱通道：在設(shè)定時(shí)間段內(nèi)，發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸1，不發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸0。②擊鍵間隔隱通道：Telnet等應(yīng)用每次擊鍵都發(fā)送一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包，設(shè)定時(shí)間間隔預(yù)設(shè)值x，控制它們所發(fā)送的網(wǎng)絡(luò)包間隔t，當(dāng)網(wǎng)絡(luò)包時(shí)間間隔tx時(shí)定義為1，反之當(dāng)tx時(shí)定義為0。③重放時(shí)間隱通道：與擊鍵間隔隱通道類(lèi)似，預(yù)先搜集大量正常網(wǎng)絡(luò)發(fā)送行為的包間隔，按間隔長(zhǎng)短分為2個(gè)集合〔較小的間隔歸入集合

1、較大的歸入集合2〕，發(fā)送方要傳輸0時(shí)從集合1中選取一個(gè)時(shí)間間隔，同理發(fā)送1時(shí)從集合2中選取一個(gè)間隔。

〔2〕包間時(shí)延IP隱通道的檢測(cè)包間時(shí)延隱通道在包交換網(wǎng)絡(luò)中將隱蔽消息嵌入到IPD中，改變了IPD的分布統(tǒng)計(jì)規(guī)律。根據(jù)隱蔽通信和正常通信在IPD分布上的區(qū)別，下面介紹常見(jiàn)的幾種包間時(shí)延隱通道的種檢測(cè)方法：①形狀檢測(cè)?；诮y(tǒng)計(jì)建模的思想，對(duì)時(shí)間間隔序列執(zhí)行統(tǒng)計(jì)，計(jì)算樣本的分布規(guī)律，檢測(cè)時(shí)統(tǒng)計(jì)實(shí)際網(wǎng)絡(luò)包的時(shí)間間隔序列與正常通信的統(tǒng)計(jì)樣本的差值，充分考慮網(wǎng)絡(luò)抖動(dòng)及時(shí)延的情況下，假設(shè)兩者之間的差值超出預(yù)先設(shè)置好的閾值時(shí)，就可以初步判斷網(wǎng)絡(luò)通信中是否還有隱通道。由于實(shí)際網(wǎng)絡(luò)時(shí)延的不確定性，閾值的選取非常困難，實(shí)際的檢測(cè)結(jié)果也不盡如人意。②規(guī)那么檢測(cè)。正常網(wǎng)絡(luò)IPDs隨時(shí)間不斷變化，而隱通道的IPDs由于其按照既定策略進(jìn)展調(diào)整導(dǎo)致其變化規(guī)律相對(duì)固定。將IPDs分段，比較正常網(wǎng)絡(luò)IPDs與待檢測(cè)網(wǎng)絡(luò)IPDs每段的變化差值來(lái)檢測(cè)是否存在隱通道。由于包交換網(wǎng)絡(luò)的不穩(wěn)定性，該種檢測(cè)方式誤差較大。③熵檢測(cè)。主要以重復(fù)時(shí)間間隔為檢測(cè)對(duì)象，在規(guī)那么性檢測(cè)的根底上，使用高階熵率〔熵率代表無(wú)窮序列的不確定性，熵率小說(shuō)明時(shí)間關(guān)聯(lián)度大，反之說(shuō)明關(guān)聯(lián)度小〕檢測(cè)隱通道產(chǎn)生的重復(fù)間隔。統(tǒng)計(jì)正常網(wǎng)絡(luò)通信和檢測(cè)對(duì)象的相對(duì)熵，計(jì)算它們概率分布之間的散度，判斷隱通道的存在。

3總結(jié)

由于IP隱通道是利用IP網(wǎng)絡(luò)中正常的數(shù)據(jù)傳輸通道，對(duì)其檢測(cè)及防御非常困難，尤其是IP時(shí)間隱通道利用了包交換網(wǎng)絡(luò)中的時(shí)間屬性，其隱蔽性更強(qiáng)，對(duì)其的檢測(cè)更加困難，目前是