鄭 威 蘭少華 樹雅倩 朱書宏

(南京理工大學(xué)計算機(jī)科學(xué)與工程學(xué)院 江蘇 南京 210094)

?

基于HTTP請求行為的組合式隱蔽信道的構(gòu)造研究

鄭 威 蘭少華 樹雅倩 朱書宏

(南京理工大學(xué)計算機(jī)科學(xué)與工程學(xué)院 江蘇 南京 210094)

為了更好地使隱蔽信道在容量、可靠性、抗檢測性方面取得一個合適的平衡，提出一種基于HTTP請求行為的隱蔽信道HRCC(Combined Covert Channel Based on HTTP Requests)。將HTTP請求動態(tài)分配在多個HTTP流上，利用數(shù)學(xué)組合的方式傳輸隱蔽信息，且通過模擬正常的HTTP流使得信道的抗檢測性大大增強(qiáng)。同時TCP協(xié)議的可靠傳輸使得傳輸過程不會受到網(wǎng)絡(luò)狀況的影響，從而保證了信道的魯棒性。最后通過實驗結(jié)果證明了該新型隱蔽信道具有很強(qiáng)的實用性，而且在傳輸速率、傳輸正確率和抗檢測性方面均優(yōu)于傳統(tǒng)基于HTTP的隱蔽信道。

隱蔽信道 HTTP請求 數(shù)學(xué)組合

0 引 言

網(wǎng)絡(luò)隱蔽信道是一種在網(wǎng)絡(luò)中進(jìn)行非正常協(xié)議通信的手段，對網(wǎng)絡(luò)安全有極大危害。網(wǎng)絡(luò)隱蔽信道依據(jù)載體的不同分成存儲式隱蔽信道和時間式隱蔽信道，時間式隱蔽信道利用不同算法調(diào)整數(shù)據(jù)包的時序信息完成信息嵌入。文獻(xiàn)[1]提出利用時間間隔通信與否進(jìn)行隱蔽信息傳輸(IPCTC)，文獻(xiàn)[2]提出基于模擬正常數(shù)據(jù)流模型的構(gòu)建算法(MBCTC)，文獻(xiàn)[3]提出利用TCP重傳特性的算法(TRCTC),文獻(xiàn)[4,5]又相繼多種改進(jìn)的利用傳輸包時間間隔傳輸?shù)乃惴?。存儲式隱蔽信道大部分利用IP協(xié)議和TCP協(xié)議包頭中明顯規(guī)律的特性，包括IP包的IPID位、TTL位，TCP包的序列號位等都已經(jīng)在文獻(xiàn)[6-8]中被用來實現(xiàn)存儲式隱蔽信道。然而上述兩種信道傳輸速率比較低，而且很容易受到網(wǎng)絡(luò)抖動、丟包等網(wǎng)絡(luò)環(huán)境的影響，信道的可靠性表現(xiàn)較差。

近年來，多種利用HTTP協(xié)議首部的隱秘信道方法被提出。例如文獻(xiàn)[9]提出利用協(xié)議首部選項域排序的方法，文獻(xiàn)[10]利用HTTP不區(qū)分大小寫的特性，文獻(xiàn)[11]將隱蔽信息嵌入Cookie中，然而這些傳統(tǒng)構(gòu)造的方法信道容量并不是很高，而且很容易會被檢測出來。文獻(xiàn)[12,13]中進(jìn)一步提出基于模仿合法信道的方案以提高信道隱蔽性，然而先進(jìn)的檢測算法依然能夠檢測出這些隱蔽信道[14]。因此，設(shè)計一種兼顧可靠性與傳輸速率，同時具有高抗檢測性的HTTP隱蔽信道是非常具有實際意義的。

本文提出一種新的基于HTTP請求行為的組合式隱蔽信道HRCC。它利用正常網(wǎng)頁瀏覽時HTTP請求的分布規(guī)律來構(gòu)造隱蔽信道，將隱蔽信息轉(zhuǎn)換為二進(jìn)制符號，并利用特殊的數(shù)學(xué)分布調(diào)制到多個HTTP流的HTTP請求行為中，使得信道容量有所提高，利用模擬包間間隔和數(shù)據(jù)流特征的方法又提高其抗檢測性。

1 相關(guān)工作

1.1 FBD檢測算法

基于協(xié)議指紋的檢測技術(shù)(FBD)于2007年由Manuel等人提出[15]，這是一種針對行為特征的非常有效的檢測方法。HTTP協(xié)議有其特定的協(xié)議指紋，該方法指出，如果有協(xié)議封裝在HTTP中，傳輸?shù)男袨樘卣鞅囟ㄅc合法的行為特征有所不同。FBD主要關(guān)注于數(shù)據(jù)包序列中的某些統(tǒng)計特征，如包間間隔或數(shù)據(jù)包的大小，通過這些統(tǒng)計特征計算出HTTP指紋并設(shè)定閾值，檢測過程中將閾值與某次通信的協(xié)議指紋比較可判定出是否存在隱蔽通信。

1.2 HTTP請求行為

當(dāng)使用瀏覽器下載一個網(wǎng)頁時，首先會請求HTML文檔，然后接收其他相關(guān)的網(wǎng)絡(luò)對象。例如圖像和腳本，這些都稱為HTTP請求行為。同時我們發(fā)現(xiàn)通用瀏覽器在接收HTML文件的同時會對頁面中的一些引用對象進(jìn)行加載，所以HTTP請求可由多個端口發(fā)送，一個端口也可以發(fā)送多個請求，通用瀏覽器提供并能夠打開多條并行的連接，每條連接上可以有多個請求。需要注意的是，在不同時間段瀏覽同一個網(wǎng)站時端口開放數(shù)量和每個端口發(fā)送請求數(shù)量并不相同，而且HTTP請求和HTTP流之間的對應(yīng)關(guān)系也是不固定的。例如，一個網(wǎng)頁含有一個HTML文檔和四個相關(guān)對象，用戶通對這些對象HTTP請求設(shè)為(n1,n2,n3,n4,n5)，假設(shè)有兩個HTTP流(F1,F2)，當(dāng)我們第一次訪問時，F(xiàn)1上的請求為(n1,n2)，F(xiàn)2上的請求是(n3,n4,n5)，但是第二次訪問時F1上是請求對象(n2,n4,n5)，另一條上卻是(n1,n3)這兩個請求。

2 基于HTTP請求行為的隱蔽信道

2.1 通信模式

在傳統(tǒng)的HTTP隱蔽信道通信模型中，隱蔽信息發(fā)送方(Encoder)與遠(yuǎn)程服務(wù)器(Server)相連，發(fā)送方瀏覽網(wǎng)頁并發(fā)送請求數(shù)據(jù)包，隱蔽信息接收方(Decoder)只能在傳輸鏈路中任何一點(diǎn)截獲數(shù)據(jù)包并解碼出隱蔽信息，然而這樣的通信模型并不具有實際意義。因此，HRCC設(shè)計將接收方作為服務(wù)器接受發(fā)送方的請求數(shù)據(jù)包，接收方構(gòu)造網(wǎng)站并發(fā)布出去，發(fā)送方與其他用戶正常根據(jù)地址訪問該網(wǎng)站。當(dāng)發(fā)送方使用瀏覽器下載網(wǎng)頁瀏覽網(wǎng)頁對象時，利用發(fā)送的HTTP請求分布嵌入隱蔽信息，接收方接收到請求數(shù)據(jù)包解碼出信息，這樣的HTTP通信模型實用性更強(qiáng)。我們的通信模型如圖1所示。

圖1 通信模型

2.2 編解碼方案

假設(shè)某次發(fā)送過程中有5個請求包和3個流，數(shù)據(jù)流是可區(qū)分的，將請求分配到數(shù)據(jù)流中共有21種組合方式，每次可傳輸4比特數(shù)據(jù)，以組合方式中16種按順序構(gòu)造出編碼表，編碼表如圖1所示。每一種組合方式對應(yīng)著分布關(guān)系，即3條HTTP流中不同HTTP請求的個數(shù)，例如傳輸?shù)亩M(jìn)制隱蔽信息為“0010”，其對應(yīng)的十進(jìn)制數(shù)為‘2’，查表1可得HTTP請求數(shù)量的分布是F1=4，F(xiàn)2=0，F(xiàn)3=1。

表1 編碼表

由于上述編碼方式在編解碼的過程中共享碼表，這使得工作效率變得很低，而且在編碼器和解碼器之間交換明確的碼表也是不安全的。因此，我們利用文獻(xiàn)[16]中的兩個函數(shù)Rank()和Unrank()對隱蔽信息進(jìn)行編解碼，Rank()函數(shù)接收數(shù)據(jù)流中請求個數(shù)的分布F，返回F對應(yīng)的十進(jìn)制索引值，Unrank()函數(shù)有著相反的功能。

排列組合C(N+X-1,X-1)和R的關(guān)系如圖2所示，Unrank()和Rank()函數(shù)算法偽代碼由算法1和算法2給出。

圖2 排列組合與R關(guān)系圖

算法1

1:i=1;

2:while r>0 do

3:r=r-C(N+i-1,i-1)

4:i=i+1;

5:end while

6:i=i-1;

7:r=r+C(N+i-1,i-1);

8:return Unrank(r,N+i-1,i-1);

算法2

1:r=Rank(Arrange,N+X-1,X-1);

2:i=1;

3:while i

4:r=r+C(N+i-1,i-1);

5:end while

6:return r;

發(fā)送方策略如下：

首先，編碼器和解碼器事先約定選定的網(wǎng)頁對象的數(shù)目N和HTTP流數(shù)量X。編碼器譯碼器首先建立X個HTTP連接。

第二步，編碼器將隱蔽信息字符串劃分為多個L比特的字符塊(seg1,seg2,…,segi,…)。字符塊被轉(zhuǎn)換為十進(jìn)制狀態(tài)Ri。接著編碼器通過Unrank()函數(shù)將Ri映射為HTTP請求的分布F，并將ni個HTTP請求分布到ith流上。

最后，編碼器只有等收到每個流上所有請求包的ACKs，也就是N個ACKs，才進(jìn)行下次N個請求包的發(fā)送。如果沒有全部收到，依靠TCP的重傳機(jī)制發(fā)送方部分重傳HTTP請求，這樣可保證通信的可靠性。

解碼過程與編碼過程相類似。在解碼的第一步，接收方從HTTP請求流中獲取對應(yīng)的分布關(guān)系F?；谌蔚奈帐猪樞?，解碼器可以區(qū)分不同的HTTP請求流。同時解碼器只有全部收到N個請求包后才開始解碼過程，解碼器調(diào)用函數(shù)Rank()將請求數(shù)的分布映射成相應(yīng)的十進(jìn)制數(shù)Ri，最后轉(zhuǎn)換為隱蔽信息。需要注意的是，當(dāng)接收方收到發(fā)送方的HTTP請求后，同時需要返回相應(yīng)的ACK包。

2.3 傳輸速率提高方案

基于上述的編解碼方案，假設(shè)在一次傳輸過程中有N個HTTP請求包需要發(fā)送，而根據(jù)某種分布方式，可能會出現(xiàn)這樣的情況，N個包大部分被分布在一條或幾條HTTP流上，其他流只有很少或者沒有請求包。此時傳輸時間由傳輸最多數(shù)據(jù)包的那條數(shù)據(jù)流決定，從而導(dǎo)致傳輸時間大大增加。

為了解決這樣的問題，文獻(xiàn)[17,18]提出一種叫做上限d的傳輸方法。上限d的基本思想是限制每個HTTP流上的最多請求個數(shù)不超過d，即max{F1,F2,…,Fm}

因此，我們對編碼方式進(jìn)行一些調(diào)整。首先需要了解共軛的概念，假設(shè)n個數(shù)據(jù)包需要分配，每條數(shù)據(jù)流分配最多d個數(shù)據(jù)包和共d個數(shù)據(jù)流分配是共軛的分配方式，計算共軛則采用組合數(shù)學(xué)中Ferrers圖。圖3顯示了Ferrers圖計算共軛的一個例子。根據(jù)共軛原理，當(dāng)隱蔽通信需要發(fā)送x條數(shù)據(jù)流時，數(shù)據(jù)包的個數(shù)n需滿足n

圖3 Ferrers圖

2.4 抗檢測方案

1) 基于包間間隔的檢測

基于協(xié)議指紋的檢測技術(shù)主要關(guān)注包間間隔IPD的統(tǒng)計分布，為了提高HRCC隱蔽信道的抗檢測性，使它能夠躲避類似的檢測，我們通過模擬正常網(wǎng)站會話中統(tǒng)計的IPD，以構(gòu)造合法的HTTP行為請求。根據(jù)文獻(xiàn)[19]實際的統(tǒng)計和研究數(shù)據(jù)，合法HTTP請求包之間的正常包間間隔是服從泊松分布的，所以我們提出泊松產(chǎn)生器來構(gòu)造離散的時間序列，產(chǎn)生器由式(1)定義：

Tn=Possion(λ,n)

(1)

其中 Tn是包間間隔序列{t1,t2,…,tn}，λ是泊松分布的期望值，n+1是HTTP請求包的總個數(shù)。

模擬IPD的步驟如下：

(1) 統(tǒng)計正常HTTP請求的時間信息，根據(jù)泊松產(chǎn)生器產(chǎn)生包間間隔序列T，對應(yīng)HTTP流中包的個數(shù)n+1個；

(2) 發(fā)送方與接收方建立連接并發(fā)送數(shù)據(jù)包，如果是第一個請求包，直接傳輸，記錄數(shù)據(jù)包個數(shù)i=1；

(3) 當(dāng)發(fā)送第i+1個數(shù)據(jù)包時，選擇ti進(jìn)行延時發(fā)送，并使得 i=i+1；

(4) 如果i>n結(jié)束，否則轉(zhuǎn)到(3)。

經(jīng)過統(tǒng)計正常會話HTTP請求的包間間隔，將HTTP請求包進(jìn)行一定延時，使得HRCC能夠?qū)崿F(xiàn)包間間隔的偽裝，從而能夠躲避FBD的檢測。

2) 基于數(shù)據(jù)流特征的檢測

正常通信活動中HTTP請求的數(shù)據(jù)流比較短小，HRCC中利用多條混合的數(shù)據(jù)流不斷傳輸請求包會產(chǎn)生較長的數(shù)據(jù)流。這便會引起懷疑，檢測方可能會利用數(shù)據(jù)流容量大小的特性構(gòu)造檢測算法，并以此檢測出HRCC隱蔽信道。

因此，HRCC隱蔽信道需要躲避基于數(shù)據(jù)流特征的檢測，本文采用模擬正常HTTP數(shù)據(jù)流的大小來實現(xiàn)編碼過程。S為正常信道數(shù)據(jù)流的大小集合，s是其中元素，首先在ith數(shù)據(jù)流上的包個數(shù)ni和合法數(shù)據(jù)流大小之間建立映射關(guān)系，具體模擬方法如下：

(1) 將元素s對(N+1)取模使得合法數(shù)據(jù)流大小映射與[1，2，…，N]建立映射關(guān)系；

(2) 發(fā)送方根據(jù)上文編碼策略得出數(shù)據(jù)流上的HTTP請求包分布F，然后從合法數(shù)據(jù)集S中挑選s作為ith數(shù)據(jù)流的大小，并滿足ni等于s模(N+1)；

(3) 接收方接收到ith數(shù)據(jù)流，首先用數(shù)據(jù)流的大小對(N+1)取模得到數(shù)據(jù)包個數(shù)ni，再根據(jù)數(shù)據(jù)包個數(shù)的分布解碼出十進(jìn)制信息從而得出隱蔽信息。

經(jīng)過上述步驟，使得HRCC能夠模擬合法數(shù)據(jù)流的大小特性，從而躲避基于數(shù)據(jù)流特征的檢測。

3 實驗結(jié)果與分析

實驗驗證主要分為三個部分，主要針對誤碼率，信道容量和抗檢測性這三個方面，實驗結(jié)果對比其他傳統(tǒng)型隱蔽信道并驗證我們的隱蔽信道的高性能。

通信場景如圖4所示，實驗環(huán)境包括四臺主機(jī)和一臺交換機(jī)，其中兩臺主機(jī)分別作為隱蔽通信的發(fā)送端和接收端，另兩臺作為網(wǎng)絡(luò)環(huán)境模擬器和數(shù)據(jù)包采集器。數(shù)據(jù)包采集器采集發(fā)送端發(fā)出的數(shù)據(jù)包，實驗數(shù)據(jù)由采集的數(shù)據(jù)包統(tǒng)計計算，網(wǎng)絡(luò)環(huán)境模擬器搭載Netem，通過設(shè)置不同的丟包率來模擬實際復(fù)雜的網(wǎng)絡(luò)環(huán)境。

圖4 通信場景圖

3.1 可靠性實驗

本次實驗通過模擬正常網(wǎng)絡(luò)環(huán)境，設(shè)置丟包率為1%、5%、10%，在三種不同丟包率下，統(tǒng)計IPCTC、Jitterbug和HRCC的傳輸正確率。每類隱蔽信道分別從發(fā)送端發(fā)送20 KB的隱蔽信息，并且三種隱蔽信道分別做20組傳輸正確率實驗，三種隱蔽信道的平均傳輸正確率如表2所示。

表2 信道傳輸正確率

對于IPCTC和Jitterbug，它們都是利用網(wǎng)絡(luò)傳輸過程中的時序信息來進(jìn)行傳輸，網(wǎng)絡(luò)丟包、抖動、重傳等勢必會對其解碼造成一定影響。在一定網(wǎng)絡(luò)環(huán)境下傳輸正確率較差，與它們相比，TCP可靠傳輸協(xié)議使得HRCC的數(shù)據(jù)傳輸過程不受網(wǎng)絡(luò)環(huán)境影響。同時HRCC不利用時序信息的特性能夠保證在較差的網(wǎng)絡(luò)環(huán)境下仍能保證100%的正確解碼率，這樣的結(jié)果驗證了HRCC的可靠性。

3.2 信道容量實驗

在本次實驗中，分別用IPCTC、Jitterbug和HRCC隱蔽信道各發(fā)送l～5 KB的數(shù)據(jù)，實驗記錄傳輸速率，分別對三種隱蔽信道測試20次，得出三種隱蔽信道的傳輸時間，計算出平均傳輸速率如圖5所示。

圖5 各信道傳輸速率

根據(jù)圖5，HRCC的平均傳輸速率要優(yōu)于IPCTC和Jitterbug。因為IPCTC和Jitterbug每次傳輸一個數(shù)據(jù)包，最多只能攜帶1 bit的隱秘信息。而HRCC采用了數(shù)學(xué)組合的方式，將HTTP請求動態(tài)分配到HTTP流上，使得每個數(shù)據(jù)包嵌入更多的隱蔽信息，結(jié)果HRCC傳輸速率會相應(yīng)提高。

3.3 抗檢測性實驗

本次實驗利用形狀測試和規(guī)律性測試對HRCC進(jìn)行檢測測，對于前者，實驗統(tǒng)計正常通信信道和HRCC的HTTP請求數(shù)量的分布情況，兩種通信請求的分布如圖6所示。從圖中可看出，兩者請求分布數(shù)量基本重合，形狀測試無法區(qū)分，所以通過泊松發(fā)生器模擬正常的HTTP行為使得HRCC能夠躲避一般形狀測試。

圖6 HTTP請求數(shù)量分布

規(guī)律性檢測主要采用上文介紹的基于協(xié)議指紋的檢FBD檢測方法，其檢測內(nèi)容主要是數(shù)據(jù)流中HTTP包的IPD分布，實驗統(tǒng)計通信的IPD分布，得出異常分?jǐn)?shù)(協(xié)議指紋)并與設(shè)定的閾值比較來判斷隱蔽信道是否存在。

實驗檢測正常數(shù)據(jù)通信和HRCC通信的IPD分布，分別得出兩者的異常分?jǐn)?shù)，兩者異常分?jǐn)?shù)的累積分布函數(shù)CDF如圖7所示。從圖中可以看到，兩種信道的分?jǐn)?shù)非常接近，F(xiàn)BD很難將它們區(qū)分。結(jié)論是，基于協(xié)議指紋的檢測方法也很難檢測出HRCC。

圖7 信道異常分?jǐn)?shù)CDF

4 結(jié) 語

傳統(tǒng)隱蔽信道在可靠性、抗檢測性等方面依舊存在某些不足，在本文中提出了一種基于HTTP請求行為的新型隱蔽信道HRCC。HRCC基于瀏覽器應(yīng)用的HTTP請求行為，TCP可靠傳輸保證其可靠性，模擬正常包間間隔的分布保證其抗檢測性。實驗結(jié)果顯示，HRCC具有良好的傳輸能力、可靠性和高抗檢測性。本文并沒有將瀏覽器與服務(wù)器之間可能存在的代理服務(wù)器列入考慮，未來工作可基于代理服務(wù)器做進(jìn)一步研究。

[1] Cabuk S,Brodley C E,Shields C.IP covert timing channels:Design and detection[C]//Proc of the 11th ACM Conference on Computer and Communications Security,New York:ACM,2004:178-187.

[2] Cabuk S.Network Covert Channels:Design,Analysis,Detectionand Elimination[D].Lafayette:Purdue University,2006.

[3] Gianvecchio S,Wang H,Wijeslera D.Model-based covert timing channels:Automated modeling and evasion[C]//Proc of the 11th International Stmposium on Recent Advances in Intrusion Detection.Berlin:Springer-Verlag,2008:211-230.

[4] Archibald R,Ghosal D.A Covert Timing Channel Based on Fountain Codes[C]//Proc.of the IEEE 11th International Conference on Trust,Security and Privacy in Computing and Communications Liverpool:IEEE,2012:970-977.

[5] Dong P,Qian H,Lu Z,et al.A Network Covert Channel Based on Packet Classification[J].International Journal of Network Security,2012,14(1):147-154.

[6] Lou D C,Liu J L.Steganographic method for secure communications[J].Computers & Security,2002,21(5):449-460.

[7] Giffin J,Rachel G P.Covert Messaging Through TCP Timestamps[C]//Proceedings of the 6th Privacy Enhancing Technologies Workshop,San Francisco:Citeseer,2002:263-281.

[8] Zander S,Armitage G,Branch P.A survey of covert channels and countermeasures in computer network protocols[J].Communications Surveys and Tutorials,IEEE,2007,9(3):44-57.

[9] 吳其祥,李祖猛,馬華.基于HTTP協(xié)議的隱蔽信道研究[J].信息安全與通信保密,2009,31(1):73-75.

[10] Van M H.Deception on the Network:Thinking Differently About Covert Channels[C]//Information Warfare and Security,Australia:Citeseer,2006:114-120.

[11] Castro S,Gray Word Team.Cooking Channels[J].Hakin9 Magazine,2006,72(4):50-57.

[12] Liu Guangjie,Zhai Jiangtao,Dai Yuewei.Network Covert Timing Channel with Distribution Matching[J].Telecommunication Systems:Modeling,Analysis,Design and Management,2012,49(2):199-205.

[13] Liu Yali,Ghosal D,Armknecht F,et al.Robust and undetectable steganographic timing channels for i.i.d. traffic[C]//Proceedings of the 12th Information Hiding Conference. Canada:Calgary,2010:193-207.

[14] Qian Yuwen,Song Huaju,Song Chao,et al.Covert Channel Detection with Cluster based on Hierarchy and Density[J].Procedia Engineering,2012(29):4175-4180.

[15] Crotti M,Dusi M,Gringoli F.Detecting HTTP Tunnels with Statistical Mechanisms[C]//Proceedings of the 2007 IEEE International Conference on Communication.New York:IEEE,2007:263-280.

[16] Myrvold W,Ruskey F.Ranking and Unranking Permutations in Linear Time[J].Information Processing Letters,2001,79(6):281-284.

[17] Luo Xiaopu,Zhou Peng.Robust Network Covert Communications Based on TCP and Enumerative Combinatorics[J].IEEE Transaction on dependable and secure computing,2012,9(6):890-902.

[18] 石進(jìn),劉光杰.網(wǎng)絡(luò)隱信道Cloak的分析與檢測[D].南京:南京理工大學(xué),2013.

[19] Wang Fei,Huang Liusheng,Miao Haibo,et al.A novel distributed covert channel in http[J].Security and Communication Networks,2014,7(6):1031-1041.

ON STRUCTURE OF COMBINED COVERT CHANNEL BASED ON HTTP REQUEST BEHAVIOUR

Zheng Wei Lan Shaohua Shu Yaqian Zhu Shuhong

(School of Computer Science and Engineering,Nanjing University of Science and Technology,Nanjing 210094,Jiangsu,China)

To achieve a proper balance in capacity, reliability and undetectability of the covert channel better, we proposed an HTTP request behaviour-based covert channel. We dynamically assigned the HTTP requests onto multiple HTTP flows and transmitted the hidden information using a way of mathematics combination. Furthermore, by simulating normal HTTP flows we made the undetectability performance of the channel be greatly enhanced. At the same time, the reliable transmission of TCP protocol ensures the transmission process not to be affected by the influence of network status, which guarantees the robustness of the channel. At last we proved through experimental result that the new covert channel has high availability, and is superior to the traditional HTTP-based covert channels on the aspects of transmission rate, transmission accuracy and undetectability.

Covert channel HTTP requests Mathematical combination

2015-07-13。國家自然科學(xué)基金項目(61170250，6110 3201)；中央高?；緲I(yè)務(wù)費(fèi)專項資金項目(30920140121006)。鄭威，碩士，主研領(lǐng)域：計算機(jī)網(wǎng)絡(luò)和安全。蘭少華，教授。樹雅倩，碩士。朱書宏，碩士。

TP393.08

A

10.3969/j.issn.1000-386x.2016.11.062