網(wǎng)絡(luò)安全之IP隱通道探究_優(yōu)秀論文

1、 網(wǎng)絡(luò)安全之IP隱通道探究摘要：目前網(wǎng)絡(luò)安全的形勢日益嚴(yán)峻, 網(wǎng)絡(luò)安全領(lǐng)域中的攻擊手段層出不窮, 目前利用隱通道傳輸信息也是網(wǎng)絡(luò)攻擊與防御中使用的一種方法。在包交換網(wǎng)絡(luò)中, IP隱通道的實(shí)現(xiàn)方式主要是IP存儲(chǔ)隱通道與IP時(shí)間隱通道, 其中IP時(shí)間隱通道利用數(shù)據(jù)包的時(shí)間屬性隱蔽的特點(diǎn)傳輸信息, 難于檢測與消除, 是現(xiàn)在IP隱通道技術(shù)的主流。關(guān)鍵詞：存儲(chǔ)隱通道；時(shí)間隱通道；IP隱通道0引言網(wǎng)絡(luò)安全領(lǐng)域中攻擊手段、方式層出不窮, 對(duì)于信息的完整性、保密性、可用性、可控性和不可否認(rèn)性造成了嚴(yán)重的威脅。從網(wǎng)絡(luò)防御的角度如何保護(hù)信息或數(shù)據(jù)的安全, 一種有效方式就是實(shí)現(xiàn)隱蔽通信。隱蔽通信是指采取了隱蔽措施的

2、通信, 使得竊密者無法感知到信息的傳輸或?qū)孬@到的信息無法解讀, 從而達(dá)到對(duì)傳輸信息的保護(hù)。目前隱蔽通信的方式大致有：傳輸信息的隱蔽、通信方式的隱蔽、傳輸信道的隱蔽、傳輸信號(hào)頻譜（或其他物理信息）的隱蔽。其中傳輸信道的隱蔽, 即隱通道信息傳輸更為隱秘, 更不易被感知與截獲, 在隱蔽通信中應(yīng)用越來越寬泛。1隱通道隱通道（CovertChannel）的概念形成于上世紀(jì)70年代初期, 美國國防部的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”把對(duì)隱通道的限制和分析納入了安全計(jì)算機(jī)系統(tǒng)的標(biāo)準(zhǔn)中。隱通道是一個(gè)能繞過系統(tǒng)制定好的安全機(jī)制的通信通道, 以違反信息安全策略的方式傳輸信息, 發(fā)送、接收雙方利用合法操作實(shí)現(xiàn)隱蔽傳輸信

3、息的目的, 具有抗截獲、抗檢測等特點(diǎn)。從嵌入隱蔽信息的方式進(jìn)行劃分, 隱通道分為存儲(chǔ)隱通道(CovertStorageChannel)和時(shí)間隱通道(CovertTimingChannel)。存儲(chǔ)隱通道是指發(fā)送方將信息直接或間接地寫入某些存儲(chǔ)位置（內(nèi)存單元、外存空間、網(wǎng)絡(luò)數(shù)據(jù)包等）, 而接收方通過讀取此存儲(chǔ)位置的信息, 按照雙方約定好的規(guī)則還原出來自發(fā)送方的信息。時(shí)間隱通道是指發(fā)送方將信息嵌入到與時(shí)間有關(guān)的參數(shù)中, 在信息交互中并不改變信息的內(nèi)容, 接收方通過預(yù)先定義好的規(guī)則將順序、間隔、周期變化等與時(shí)間有關(guān)的參數(shù)來還原信息, 達(dá)到隱蔽傳輸信息的目的。2IP隱通道因網(wǎng)絡(luò)隱通道與網(wǎng)絡(luò)協(xié)議密切相關(guān),

4、 TCP/IP作為事實(shí)上的網(wǎng)絡(luò)協(xié)議應(yīng)用廣泛, 其應(yīng)用場景為路由、交換等網(wǎng)絡(luò)設(shè)備所組成的包交換網(wǎng)絡(luò)中, 因此在包交換網(wǎng)絡(luò)中的網(wǎng)絡(luò)隱通道也稱為IP隱通道, IP隱通道通常分為IP存儲(chǔ)隱通道與時(shí)間隱通道。2.1IP存儲(chǔ)隱通道IP存儲(chǔ)隱通道主要是利用網(wǎng)絡(luò)協(xié)議漏洞, 利用協(xié)議報(bào)文的報(bào)頭中選項(xiàng)域字段, 將需要傳輸?shù)男畔⑶度肫渲? 達(dá)到隱蔽傳輸?shù)男Ч?。因某些選項(xiàng)域字段空閑不用, 而且其長度可變, 同時(shí)網(wǎng)絡(luò)中安全機(jī)制或者安全設(shè)備對(duì)此并不做檢測, 使通過該種方式建立隱通道成為可能。其中常見的實(shí)現(xiàn)途徑有：IP、ICMP、TCP、HTTP等。基于網(wǎng)絡(luò)的IP存儲(chǔ)隱通道, 一般是通過修改網(wǎng)絡(luò)包的包頭（協(xié)議冗余位）或載荷

5、數(shù)據(jù)（協(xié)議偽裝）傳輸信息。此種類型的隱通道利用現(xiàn)有協(xié)議報(bào)文中的冗余位, 非常容易實(shí)現(xiàn), 成本低廉。初期該種方式吸引了眾多科研工作者利用協(xié)議中的冗余位實(shí)現(xiàn)隱蔽通信。IP存儲(chǔ)隱通道網(wǎng)絡(luò)中常用的傳輸安全的檢測手段為防火墻, 目前防火墻中常見的是包過濾防火墻, 其主要依據(jù)源地址、目的地址、源端口號(hào)、目的端口、協(xié)議等五元組來完成對(duì)數(shù)據(jù)包的過濾, 不會(huì)檢查報(bào)文的內(nèi)容, 無法對(duì)隱通道進(jìn)行檢測與阻止。隨著技術(shù)發(fā)展, 防火墻技術(shù)引入了流量正規(guī)化技術(shù)（trafficnor-malization）, 即將進(jìn)出IP數(shù)據(jù)包的冗余位強(qiáng)制使用相同的格式改寫, 有效地限制了IP存儲(chǔ)隱通道的使用。2.2IP時(shí)間隱通道隨著防火墻

6、技術(shù)、入侵檢測防御系統(tǒng)的發(fā)展, 利用IP存儲(chǔ)隱通道傳輸信息越來越難以隱蔽, 因此又發(fā)展出利用時(shí)間屬性的IP時(shí)間隱通道, 由于包交換網(wǎng)絡(luò)的時(shí)延因素更為復(fù)雜, 因此IP時(shí)間隱通道很難被檢測與消除?；诰W(wǎng)絡(luò)的IP時(shí)間隱通道（IPCovertTimingChannel）, 不修改網(wǎng)絡(luò)包本身, 將隱蔽傳輸?shù)男畔⒄{(diào)制成與時(shí)間相關(guān), 發(fā)送方通過改變網(wǎng)絡(luò)包的間隔、速率、順序等方式將傳輸信息嵌入, 接收方按照相同規(guī)則檢測、度量這些網(wǎng)絡(luò)包的相應(yīng)時(shí)間屬性進(jìn)行解析獲得信息。依據(jù)不同時(shí)間類型, IP時(shí)間隱通道可以分為網(wǎng)絡(luò)包時(shí)間間隔、網(wǎng)絡(luò)包速率、網(wǎng)絡(luò)包順序、及其他可以利用時(shí)間屬性表達(dá)隱藏信息的隱通道。由于網(wǎng)絡(luò)環(huán)境復(fù)雜多變

7、, 網(wǎng)絡(luò)包間間隔時(shí)間序列具有復(fù)雜多變的特點(diǎn), 包間時(shí)延隱通道通過控制網(wǎng)絡(luò)包之間的延時(shí)間隔, 通過自主產(chǎn)生載體數(shù)據(jù)流（主動(dòng)式隱通道）或者操控其他載體數(shù)據(jù)流嵌入隱蔽信息（被動(dòng)式隱通道）來傳輸隱蔽信息, 其適用性最廣, 收發(fā)雙方可跨越本地物理網(wǎng)絡(luò), 可以部署在傳輸終端或網(wǎng)絡(luò)中間節(jié)點(diǎn), 是目前IP時(shí)間隱通道研究的主流。2.3包間時(shí)延IP時(shí)間隱通道包間時(shí)延IP時(shí)間隱通道是指發(fā)送方將秘密消息調(diào)制到網(wǎng)絡(luò)傳輸?shù)牡臄?shù)據(jù)包間時(shí)間間隔中, 接收方記錄網(wǎng)絡(luò)包到達(dá)的時(shí)間, 根據(jù)網(wǎng)絡(luò)包的時(shí)間間隔來還原出隱蔽消息。（1）包間時(shí)延IP隱通道的分類包間時(shí)延隱通道通過改變相鄰網(wǎng)絡(luò)包的時(shí)間間隔嵌入隱蔽消息, 按照對(duì)時(shí)間參數(shù)的定義不

8、同, 可分為以下幾類：IP網(wǎng)絡(luò)包隱通道：在設(shè)定時(shí)間段內(nèi), 發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸1, 不發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸0。擊鍵間隔隱通道：Telnet等應(yīng)用每次擊鍵都發(fā)送一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包, 設(shè)定時(shí)間間隔預(yù)設(shè)值x, 控制它們所發(fā)送的網(wǎng)絡(luò)包間隔t, 當(dāng)網(wǎng)絡(luò)包時(shí)間間隔tx時(shí)定義為1, 反之當(dāng)tx時(shí)定義為0。重放時(shí)間隱通道：與擊鍵間隔隱通道類似, 預(yù)先收集大量正常網(wǎng)絡(luò)發(fā)送行為的包間隔, 按間隔長短分為2個(gè)集合（較小的間隔歸入集合1、較大的歸入集合2）, 發(fā)送方要傳輸0時(shí)從集合1中選取一個(gè)時(shí)間間隔, 同理發(fā)送1時(shí)從集合2中選取一個(gè)間隔。（2）包間時(shí)延IP隱通道的檢測包間時(shí)延隱通道在包交換網(wǎng)絡(luò)中將隱蔽消息嵌入到IP

9、D中, 改變了IPD的分布統(tǒng)計(jì)規(guī)律。根據(jù)隱蔽通信和正常通信在IPD分布上的區(qū)別, 下面介紹常見的幾種包間時(shí)延隱通道的種檢測方法：形狀檢測。基于統(tǒng)計(jì)建模的思想, 對(duì)時(shí)間間隔序列執(zhí)行統(tǒng)計(jì), 計(jì)算樣本的分布規(guī)律, 檢測時(shí)統(tǒng)計(jì)實(shí)際網(wǎng)絡(luò)包的時(shí)間間隔序列與正常通信的統(tǒng)計(jì)樣本的差值, 充分考慮網(wǎng)絡(luò)抖動(dòng)及時(shí)延的情況下, 若兩者之間的差值超出預(yù)先設(shè)置好的閾值時(shí), 就可以初步判斷網(wǎng)絡(luò)通信中是否還有隱通道。由于實(shí)際網(wǎng)絡(luò)時(shí)延的不確定性, 閾值的選取非常困難, 實(shí)際的檢測結(jié)果也不盡如人意。規(guī)則檢測。正常網(wǎng)絡(luò)IPDs隨時(shí)間不斷變化, 而隱通道的IPDs由于其按照既定策略進(jìn)行調(diào)整導(dǎo)致其變化規(guī)律相對(duì)固定。將IPDs分段, 比較正常網(wǎng)絡(luò)IPDs與待檢測網(wǎng)絡(luò)IPDs每段的變化差值來檢測是否存在隱通道。由于包交換網(wǎng)絡(luò)的不穩(wěn)定性, 該種檢測方式誤差較大。熵檢測。主要以重復(fù)時(shí)間間隔為檢測對(duì)象, 在規(guī)則性檢測的基礎(chǔ)上, 使用高階熵率（熵率代表無窮序列的不確定性, 熵率小說明時(shí)間關(guān)聯(lián)度大, 反之說明關(guān)聯(lián)度小）檢測隱通道產(chǎn)生的重復(fù)間隔。統(tǒng)計(jì)正常網(wǎng)絡(luò)通信和檢測對(duì)象的相對(duì)熵, 計(jì)算它們概率分布之間的散度, 判斷隱通道的存在。3總結(jié)由于IP隱通道是利用IP網(wǎng)絡(luò)中正常的數(shù)據(jù)傳輸通道, 對(duì)其檢測及防御非常困難, 尤其是IP時(shí)間隱通道利用了包交換網(wǎng)絡(luò)中的時(shí)間屬性, 其隱蔽性更強(qiáng), 對(duì)其的檢測更加困難,