◆許 江

（陜西省質(zhì)量技術(shù)監(jiān)督信息中心 陜西 710006）

時(shí)間式網(wǎng)絡(luò)隱信道技術(shù)綜述

◆許 江

（陜西省質(zhì)量技術(shù)監(jiān)督信息中心 陜西 710006）

隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)技術(shù)給人們的生活、工作等各方面帶來(lái)很大了的便捷和舒適，但也帶來(lái)了日益嚴(yán)重的網(wǎng)絡(luò)安全問題。本文將介紹一種信息隱藏技術(shù)—時(shí)間式網(wǎng)絡(luò)隱信道技術(shù)，并從它的實(shí)現(xiàn)原理、檢測(cè)算法等方面進(jìn)行闡述。

時(shí)間式網(wǎng)絡(luò)隱信道；網(wǎng)絡(luò)安全；檢測(cè)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息安全問題變得越來(lái)越突出。為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破解，數(shù)據(jù)加密技術(shù)是所采用的主要技術(shù)手段之一。同加密技術(shù)不同，信息隱藏技術(shù)[1]可在不對(duì)載體(圖像、文本、音，視頻以及網(wǎng)絡(luò)數(shù)據(jù)流等)信號(hào)產(chǎn)生較為明顯影響的前提下，將隱蔽信息(或稱秘密信息)嵌入到載體數(shù)據(jù)中以實(shí)現(xiàn)對(duì)秘密信息內(nèi)容及其存在進(jìn)行保護(hù)。信息隱藏技術(shù)既可用于保證國(guó)家政治、軍事、經(jīng)濟(jì)信息在公共網(wǎng)絡(luò)中安全、可靠地傳遞，也可以被敵對(duì)份子用于機(jī)密信息的竊取。網(wǎng)絡(luò)隱信道利用網(wǎng)絡(luò)通信數(shù)據(jù)作為信息隱藏的載體技術(shù)取得了快速發(fā)展，根據(jù)隱信道所依托的載體不同，隱信道可分為存儲(chǔ)式網(wǎng)絡(luò)隱信道和時(shí)間式網(wǎng)絡(luò)隱信道兩大類，其中存儲(chǔ)式網(wǎng)絡(luò)隱信道通過(guò)對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的協(xié)議頭部或負(fù)載部分進(jìn)行修改完成隱秘信息的嵌入；時(shí)間式網(wǎng)絡(luò)隱信道利用網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)間特性以實(shí)現(xiàn)隱秘通信。

1 時(shí)間式網(wǎng)絡(luò)隱信道技術(shù)原理

最早對(duì)時(shí)間式網(wǎng)絡(luò)隱信道的研究可追溯到Venkatraman等人[2]，他當(dāng)時(shí)指出了時(shí)間式網(wǎng)絡(luò)隱信道的基本通信特征，但沒有給出具體的實(shí)現(xiàn)時(shí)間式網(wǎng)絡(luò)隱信道的方法，時(shí)間式網(wǎng)絡(luò)隱信道的技術(shù)通信框架如下圖1所示，發(fā)送端將隱藏信息通過(guò)編碼隱藏到數(shù)據(jù)包的發(fā)送時(shí)間中，而接收端通過(guò)對(duì)數(shù)據(jù)包的到達(dá)時(shí)間進(jìn)行分析，從而對(duì)隱藏信息進(jìn)行解碼。

圖1 時(shí)間式隱信道技術(shù)通信框架

Padlipsky等人[3]提出了通過(guò)控制一定時(shí)間間隔內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包是否發(fā)送來(lái)嵌入編碼信息。Girling[4]提出了通過(guò)通信過(guò)程中加入延時(shí)達(dá)到嵌入隱蔽信息的目的。文獻(xiàn)[5]提出了將二進(jìn)制編碼加入到包間時(shí)延的方法，該方法首先對(duì)隱藏信息進(jìn)行編碼，然后對(duì)流出的網(wǎng)絡(luò)數(shù)據(jù)的包間時(shí)間間隔(T)進(jìn)行調(diào)節(jié)：如果編碼為0就加入一個(gè)小數(shù)值T1，編碼為1的話就用較大數(shù)值T2，這樣接收端就可以根據(jù)包間時(shí)間間隔對(duì)隱藏信息進(jìn)行解碼，但是包間時(shí)間間隔種類不能太多，不然會(huì)降低信息傳輸?shù)男省?/p>

上述提到的研究成果偏向于利用網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)間特性構(gòu)造時(shí)間式網(wǎng)絡(luò)隱信道，忽略了時(shí)間式網(wǎng)絡(luò)隱信道產(chǎn)生是網(wǎng)絡(luò)數(shù)據(jù)流與正常網(wǎng)絡(luò)的數(shù)據(jù)流模式之間的差異，降低了時(shí)間式網(wǎng)絡(luò)隱信道的安全性。Gianvecchio等人[6]首先對(duì)正常時(shí)間信道進(jìn)行建模，提出了一種基于模型的隱信道構(gòu)建算法HTTP-MB，異常數(shù)據(jù)基于此模型進(jìn)行發(fā)送，從而規(guī)避檢測(cè)，有良好的隱蔽性。Yao等人[7]提出了ON-OFF隱信道算法，該算法在正常網(wǎng)絡(luò)延時(shí)分布基礎(chǔ)上構(gòu)造隱信道，使其更加接近正常的通信模式，提高了隱信道的隱蔽性。Robert等人[8]提出了一種針對(duì)數(shù)據(jù)包包間時(shí)間間隔形狀的抗檢測(cè)的時(shí)間式隱信道，若正常網(wǎng)絡(luò)數(shù)據(jù)流的包間時(shí)間間隔服從獨(dú)立同分布時(shí)，其所提出的隱信道構(gòu)建算法將無(wú)法被檢測(cè)出來(lái)。

在構(gòu)建時(shí)間式網(wǎng)絡(luò)隱信道進(jìn)行隱藏信息的嵌入時(shí)，通信雙方考慮的因素有很多，影響時(shí)間式隱信道性能的幾種主要因素如下[9]：

（1）網(wǎng)絡(luò)環(huán)境：時(shí)間式網(wǎng)絡(luò)隱信道的性能受到通信雙方之間網(wǎng)絡(luò)環(huán)境的影響，當(dāng)網(wǎng)絡(luò)擁塞時(shí)，可能會(huì)造成數(shù)據(jù)包的延時(shí)、失序、丟包，而且網(wǎng)絡(luò)抖動(dòng)還會(huì)影響同步問題。

（2）發(fā)送端/接收端處理能力：在高負(fù)載的情況下，發(fā)送者和接收者的處理單元可能會(huì)超負(fù)荷(如web服務(wù)器在高峰時(shí)間的高流量)，在這情況下，數(shù)據(jù)包的處理會(huì)有延時(shí)，此時(shí)的瓶頸可能是網(wǎng)卡或其它引起包延時(shí)的處理資源。

（3）隱信道算法的復(fù)雜度：在實(shí)際構(gòu)造網(wǎng)絡(luò)隱信道過(guò)程中，往往要降低時(shí)間間隔值到毫秒級(jí)精度，故用于實(shí)現(xiàn)隱信道的算法應(yīng)該要有效率。

（4）編程語(yǔ)言的可移植性：信道的同步實(shí)現(xiàn)最終僅僅依賴于程序有關(guān)子函數(shù)和庫(kù)函數(shù)的正確的使用，如可用于精確控制時(shí)序的nanosleep函數(shù)，在不同的操作系統(tǒng)下作用效果應(yīng)該是一樣的。

以上的四個(gè)因素會(huì)影響到數(shù)據(jù)包的同步、最大允許的帶寬、甚至可能會(huì)引入噪聲到信道中。但有些因素還是可以通過(guò)良好的設(shè)計(jì)及方法來(lái)減少它們對(duì)信道的影響，如算法的復(fù)雜度、可移植性。

2 時(shí)間式網(wǎng)絡(luò)隱信道檢測(cè)技術(shù)

2.1 網(wǎng)絡(luò)隱信道檢測(cè)

由于網(wǎng)絡(luò)隱信道技術(shù)可被滲入計(jì)算機(jī)中的木馬或其他惡意程序使用而進(jìn)行隱蔽的數(shù)據(jù)偷取，亦可被間諜人員用于重要情報(bào)信息的數(shù)據(jù)傳輸。因此，對(duì)網(wǎng)絡(luò)隱信道的檢測(cè)是一項(xiàng)非常重要的網(wǎng)絡(luò)安全防護(hù)技術(shù)，已經(jīng)引起了研究者的廣泛關(guān)注，而且取得了很多的研究成果。

從原理上說(shuō)，對(duì)網(wǎng)絡(luò)隱信道的檢測(cè)本質(zhì)上是通過(guò)分析流過(guò)某個(gè)檢測(cè)節(jié)點(diǎn)（路由器或其他網(wǎng)絡(luò)中間設(shè)備）所有網(wǎng)絡(luò)數(shù)據(jù)包中潛在的“異?！碧匦?，做出隱信道的檢測(cè)判斷。時(shí)間式隱信道的檢測(cè)，由于通常只能基于數(shù)據(jù)包的時(shí)間戳信息進(jìn)行隱信道的研判，所以需要更大的檢測(cè)窗口和較為復(fù)雜的統(tǒng)計(jì)分析方法。

不同于傳統(tǒng)的基于五元組或者特定字段的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)技術(shù)，網(wǎng)絡(luò)隱信道檢測(cè)技術(shù)無(wú)法使用簡(jiǎn)單的規(guī)則從大量的數(shù)據(jù)流中過(guò)濾小部分可疑的數(shù)據(jù)進(jìn)行分析，往往需要無(wú)差別地對(duì)所有的數(shù)據(jù)進(jìn)行一致的分析，這必將給檢測(cè)系統(tǒng)帶來(lái)巨大的存儲(chǔ)和計(jì)算負(fù)擔(dān)，因此在對(duì)計(jì)算能力有更高要求之外還需要盡可能地降低檢測(cè)算法的復(fù)雜度。

網(wǎng)絡(luò)隱信道檢測(cè)的核心思想是通過(guò)比較網(wǎng)絡(luò)隱信道產(chǎn)生的數(shù)據(jù)流與正常網(wǎng)絡(luò)通信數(shù)據(jù)流之間的差異實(shí)現(xiàn)檢測(cè)。但由于網(wǎng)絡(luò)環(huán)境本身的復(fù)雜性及隱信道類型的多樣性，導(dǎo)致沒有一種網(wǎng)絡(luò)隱信道檢測(cè)技術(shù)適用于所有的網(wǎng)絡(luò)隱信道，目前只能針對(duì)某一類網(wǎng)絡(luò)隱信道有效，并且其中大部分算法有很多的局限性。

2.2 時(shí)間式隱信道的干擾

對(duì)于時(shí)間式隱信道，在傳輸過(guò)程中易受到各種網(wǎng)絡(luò)設(shè)備（尤其是路由器等的存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備）的影響而使其通信雙方的同步、解碼較為困難。故早期人們把更多的研究重心放在如何對(duì)時(shí)間隱蔽信道進(jìn)行干擾上[10]，Hu等人[11]提出了一種針對(duì)時(shí)間式隱信道的干擾機(jī)制，其所提方法通過(guò)在通信過(guò)程中隨機(jī)產(chǎn)生的中斷干擾系統(tǒng)時(shí)鐘，擾亂發(fā)送者和接收方之間的時(shí)鐘同步。與Hu等人的方法較為相似，Kang和Moskovisk等人[12]提出一種類似“泵”的時(shí)間式隱信道干擾設(shè)備—Pump，通過(guò)將該設(shè)備安裝在路由端，從而可對(duì)路由上存儲(chǔ)轉(zhuǎn)發(fā)的發(fā)送端數(shù)據(jù)添加一個(gè)隨機(jī)的延時(shí)，有效地打亂隱秘通信雙方的通信機(jī)制，但同樣也會(huì)給自身網(wǎng)絡(luò)效率帶來(lái)影響。而最近更多的研究偏向于時(shí)間隱蔽信道的檢測(cè)[13]。

2.3 時(shí)間式隱信道的檢測(cè)

目前傳統(tǒng)的時(shí)間式網(wǎng)絡(luò)隱信道的檢測(cè)方法幾乎分為兩類：（1）利用異常數(shù)據(jù)和正常數(shù)據(jù)的固有特性差異進(jìn)行判斷，如基于方差變化率的固有特性，因?yàn)檎Ｐ诺赖臅r(shí)間間隔不斷隨網(wǎng)絡(luò)環(huán)境變化，故相對(duì)方差不斷變化，而隱信道的時(shí)間間隔一般固定在幾個(gè)時(shí)間間隔，方差變化幾乎很小。Cabuk等人[14]提出了通過(guò)使用統(tǒng)計(jì)排序的方法對(duì)較為簡(jiǎn)單的基于ON-OFF形式或延遲的時(shí)間式隱信道進(jìn)行檢測(cè)。（2）基于模型匹配的方法，事先對(duì)正常數(shù)據(jù)建立特征模型，然后分析待測(cè)數(shù)據(jù)的特征，通過(guò)與事先建立好的特征模型進(jìn)行匹配，判斷是否存在隱信道。如Givanvecchio等人[15]提出了使用熵與帶修正的條件熵檢測(cè)算法。Qian等提出通過(guò)密度聚類的方法對(duì)時(shí)間式隱信道進(jìn)行檢測(cè)。

3 總結(jié)

本文在對(duì)時(shí)間式網(wǎng)絡(luò)隱信道的概念及相關(guān)技術(shù)做了詳細(xì)介紹，包括它的構(gòu)造原理及相關(guān)的檢測(cè)技術(shù)，由于網(wǎng)絡(luò)環(huán)境中同時(shí)存在大量網(wǎng)絡(luò)通信數(shù)據(jù)，時(shí)間式網(wǎng)絡(luò)隱信道比傳統(tǒng)的基于靜態(tài)多媒體的隱秘通信技術(shù)更難追蹤和取證，這種隱信道一旦被用于信息的竊取和泄露，將會(huì)危害到國(guó)家及企業(yè)的信息安全。時(shí)間式網(wǎng)絡(luò)隱信道相應(yīng)的信息對(duì)抗手段中最重要的一環(huán)就是時(shí)間式網(wǎng)絡(luò)隱信道的檢測(cè)技術(shù)。

[1]Cox I J,Miller M L,and Bloom J A.Digital watermarking [M].San Francisco,Calif:Morgan Kaufmann, 2002.

[2]Hassan Khan, Yousra Javed, Fauzan Mirza and Syed Ali Khayam.Embedding a Covert Channel in Active Network Connections[R].Honolulu:in GlobalTelecommunicat ions Conference, 2009.

[3]M.A.Padlipsky,D.W.Snow,P.A.Karger.Limitations of End-to-End Encryption in Secure Computer Networks[M]. Mitre Corporation, 1978.

[4]Girling C.G..Covert Channels in LAN's[M]. IEEE Transactions on Software Engineering, 1987.

[5]翟江濤.基于模型的網(wǎng)絡(luò)隱信道檢測(cè)算法研究[D].江蘇：南京理工大學(xué)，2012.

[6]Steven Gianvecchio, H.W., Duminda Wijesekera. Model-Based Covert Timing Channels: Automated Modeling and Evasion[M]. Lecture Notes in Computer Science, 2008.

[7]Lihong Yao, Xiaochao Zi, Li Pan and Jianhua Li. A study of on/off timing channel based on packet delay distribution[J]. Computers & Security, 2009.

[8]Robert J.Walls,K.K.,Matthew Wright ,Baishakhi Ray, Shivakant Mishra. Liquid: A detection-resistant covert timing channel based on IPD shaping[J].computer networks,2010.

[9]張壽文.包間時(shí)延隱信道的檢測(cè)和參數(shù)估計(jì)研究[D].江蘇南京理工大學(xué)，2014.

[10]Fisk G,Fisk, M,Papadopoulos C,Neil J.Eliminating steganography in internet traffic with active wardens[R].In: Proc. of the 2002 International Workshop on Information Hiding, 2002.

[11]Weiming Hu. Reducing Timing Channels with Fuzzy Time[J]. Journal of computer Security, 1992.

[12]Kang,Myong H.,Moskowitz,Ira S.A Data Pump for Communication[M].NAVAL RESEARCH LAB WASHINGTO N DC, 1995.

[13]Berk V, Giani A, Cybenko G. Detection of covert channel encoding in network packet delays[R]. Technical Report TR2005-536, Department of Computer Science, Dartmouth College, Hanover, NH., USA，2005.

[14]Serdar Cabuk, Carlar E. Brodley, Clay Shields. IP Covert Timing Channels: Design and Detection[R]. NewYork: in 11th ACM conference on computer and communications security，2004.

[15]Steven Gianvecchio,Haining Wang.An Entropybased Approach to Detecting Covert Timing Channels[J]. Dependable and Secure Computing, 2011.