時間式網絡隱信道技術綜述

◆許 江

（陜西省質量技術監督信息中心 陜西 710006）

時間式網絡隱信道技術綜述

◆許 江

（陜西省質量技術監督信息中心 陜西 710006）

隨著現代網絡信息技術的快速發展和廣泛應用，網絡技術給人們的生活、工作等各方面帶來很大了的便捷和舒適，但也帶來了日益嚴重的網絡安全問題。本文將介紹一種信息隱藏技術—時間式網絡隱信道技術，并從它的實現原理、檢測算法等方面進行闡述。

時間式網絡隱信道；網絡安全；檢測

0 引言

隨著網絡技術的不斷發展，信息安全問題變得越來越突出。為了提高信息系統及數據的安全性和保密性，防止秘密數據被外部破解，數據加密技術是所采用的主要技術手段之一。同加密技術不同，信息隱藏技術[1]可在不對載體(圖像、文本、音，視頻以及網絡數據流等)信號產生較為明顯影響的前提下，將隱蔽信息(或稱秘密信息)嵌入到載體數據中以實現對秘密信息內容及其存在進行保護。信息隱藏技術既可用于保證國家政治、軍事、經濟信息在公共網絡中安全、可靠地傳遞，也可以被敵對份子用于機密信息的竊取。網絡隱信道利用網絡通信數據作為信息隱藏的載體技術取得了快速發展，根據隱信道所依托的載體不同，隱信道可分為存儲式網絡隱信道和時間式網絡隱信道兩大類，其中存儲式網絡隱信道通過對網絡通信數據的協議頭部或負載部分進行修改完成隱秘信息的嵌入；時間式網絡隱信道利用網絡數據包的時間特性以實現隱秘通信。

1 時間式網絡隱信道技術原理

最早對時間式網絡隱信道的研究可追溯到Venkatraman等人[2]，他當時指出了時間式網絡隱信道的基本通信特征，但沒有給出具體的實現時間式網絡隱信道的方法，時間式網絡隱信道的技術通信框架如下圖1所示，發送端將隱藏信息通過編碼隱藏到數據包的發送時間中，而接收端通過對數據包的到達時間進行分析，從而對隱藏信息進行解碼。

圖1 時間式隱信道技術通信框架

Padlipsky等人[3]提出了通過控制一定時間間隔內的網絡數據包是否發送來嵌入編碼信息。Girling[4]提出了通過通信過程中加入延時達到嵌入隱蔽信息的目的。文獻[5]提出了將二進制編碼加入到包間時延的方法，該方法首先對隱藏信息進行編碼，然后對流出的網絡數據的包間時間間隔(T)進行調節：如果編碼為0就加入一個小數值T1，編碼為1的話就用較大數值T2，這樣接收端就可以根據包間時間間隔對隱藏信息進行解碼，但是包間時間間隔種類不能太多，不然會降低信息傳輸的效率。

上述提到的研究成果偏向于利用網絡數據包的時間特性構造時間式網絡隱信道，忽略了時間式網絡隱信道產生是網絡數據流與正常網絡的數據流模式之間的差異，降低了時間式網絡隱信道的安全性。Gianvecchio等人[6]首先對正常時間信道進行建模，提出了一種基于模型的隱信道構建算法HTTP-MB，異常數據基于此模型進行發送，從而規避檢測，有良好的隱蔽性。Yao等人[7]提出了ON-OFF隱信道算法，該算法在正常網絡延時分布基礎上構造隱信道，使其更加接近正常的通信模式，提高了隱信道的隱蔽性。Robert等人[8]提出了一種針對數據包包間時間間隔形狀的抗檢測的時間式隱信道，若正常網絡數據流的包間時間間隔服從獨立同分布時，其所提出的隱信道構建算法將無法被檢測出來。

在構建時間式網絡隱信道進行隱藏信息的嵌入時，通信雙方考慮的因素有很多，影響時間式隱信道性能的幾種主要因素如下[9]：

（1）網絡環境：時間式網絡隱信道的性能受到通信雙方之間網絡環境的影響，當網絡擁塞時，可能會造成數據包的延時、失序、丟包，而且網絡抖動還會影響同步問題。

（2）發送端/接收端處理能力：在高負載的情況下，發送者和接收者的處理單元可能會超負荷(如web服務器在高峰時間的高流量)，在這情況下，數據包的處理會有延時，此時的瓶頸可能是網卡或其它引起包延時的處理資源。

（3）隱信道算法的復雜度：在實際構造網絡隱信道過程中，往往要降低時間間隔值到毫秒級精度，故用于實現隱信道的算法應該要有效率。

（4）編程語言的可移植性：信道的同步實現最終僅僅依賴于程序有關子函數和庫函數的正確的使用，如可用于精確控制時序的nanosleep函數，在不同的操作系統下作用效果應該是一樣的。

以上的四個因素會影響到數據包的同步、最大允許的帶寬、甚至可能會引入噪聲到信道中。但有些因素還是可以通過良好的設計及方法來減少它們對信道的影響，如算法的復雜度、可移植性。

2 時間式網絡隱信道檢測技術

2.1 網絡隱信道檢測

由于網絡隱信道技術可被滲入計算機中的木馬或其他惡意程序使用而進行隱蔽的數據偷取，亦可被間諜人員用于重要情報信息的數據傳輸。因此，對網絡隱信道的檢測是一項非常重要的網絡安全防護技術，已經引起了研究者的廣泛關注，而且取得了很多的研究成果。

從原理上說，對網絡隱信道的檢測本質上是通過分析流過某個檢測節點（路由器或其他網絡中間設備）所有網絡數據包中潛在的“異常”特性，做出隱信道的檢測判斷。時間式隱信道的檢測，由于通常只能基于數據包的時間戳信息進行隱信道的研判，所以需要更大的檢測窗口和較為復雜的統計分析方法。

不同于傳統的基于五元組或者特定字段的網絡數據監測技術，網絡隱信道檢測技術無法使用簡單的規則從大量的數據流中過濾小部分可疑的數據進行分析，往往需要無差別地對所有的數據進行一致的分析，這必將給檢測系統帶來巨大的存儲和計算負擔，因此在對計算能力有更高要求之外還需要盡可能地降低檢測算法的復雜度。

網絡隱信道檢測的核心思想是通過比較網絡隱信道產生的數據流與正常網絡通信數據流之間的差異實現檢測。但由于網絡環境本身的復雜性及隱信道類型的多樣性，導致沒有一種網絡隱信道檢測技術適用于所有的網絡隱信道，目前只能針對某一類網絡隱信道有效，并且其中大部分算法有很多的局限性。

2.2 時間式隱信道的干擾

對于時間式隱信道，在傳輸過程中易受到各種網絡設備（尤其是路由器等的存儲轉發設備）的影響而使其通信雙方的同步、解碼較為困難。故早期人們把更多的研究重心放在如何對時間隱蔽信道進行干擾上[10]，Hu等人[11]提出了一種針對時間式隱信道的干擾機制，其所提方法通過在通信過程中隨機產生的中斷干擾系統時鐘，擾亂發送者和接收方之間的時鐘同步。與Hu等人的方法較為相似，Kang和Moskovisk等人[12]提出一種類似“泵”的時間式隱信道干擾設備—Pump，通過將該設備安裝在路由端，從而可對路由上存儲轉發的發送端數據添加一個隨機的延時，有效地打亂隱秘通信雙方的通信機制，但同樣也會給自身網絡效率帶來影響。而最近更多的研究偏向于時間隱蔽信道的檢測[13]。

2.3 時間式隱信道的檢測

目前傳統的時間式網絡隱信道的檢測方法幾乎分為兩類：（1）利用異常數據和正常數據的固有特性差異進行判斷，如基于方差變化率的固有特性，因為正常信道的時間間隔不斷隨網絡環境變化，故相對方差不斷變化，而隱信道的時間間隔一般固定在幾個時間間隔，方差變化幾乎很小。Cabuk等人[14]提出了通過使用統計排序的方法對較為簡單的基于ON-OFF形式或延遲的時間式隱信道進行檢測。（2）基于模型匹配的方法，事先對正常數據建立特征模型，然后分析待測數據的特征，通過與事先建立好的特征模型進行匹配，判斷是否存在隱信道。如Givanvecchio等人[15]提出了使用熵與帶修正的條件熵檢測算法。Qian等提出通過密度聚類的方法對時間式隱信道進行檢測。

3 總結

本文在對時間式網絡隱信道的概念及相關技術做了詳細介紹，包括它的構造原理及相關的檢測技術，由于網絡環境中同時存在大量網絡通信數據，時間式網絡隱信道比傳統的基于靜態多媒體的隱秘通信技術更難追蹤和取證，這種隱信道一旦被用于信息的竊取和泄露，將會危害到國家及企業的信息安全。時間式網絡隱信道相應的信息對抗手段中最重要的一環就是時間式網絡隱信道的檢測技術。

[1]Cox I J,Miller M L,and Bloom J A.Digital watermarking [M].San Francisco,Calif:Morgan Kaufmann, 2002.

[2]Hassan Khan, Yousra Javed, Fauzan Mirza and Syed Ali Khayam.Embedding a Covert Channel in Active Network Connections[R].Honolulu:in GlobalTelecommunicat ions Conference, 2009.

[3]M.A.Padlipsky,D.W.Snow,P.A.Karger.Limitations of End-to-End Encryption in Secure Computer Networks[M]. Mitre Corporation, 1978.

[4]Girling C.G..Covert Channels in LAN's[M]. IEEE Transactions on Software Engineering, 1987.

[5]翟江濤.基于模型的網絡隱信道檢測算法研究[D].江蘇：南京理工大學，2012.

[6]Steven Gianvecchio, H.W., Duminda Wijesekera. Model-Based Covert Timing Channels: Automated Modeling and Evasion[M]. Lecture Notes in Computer Science, 2008.

[7]Lihong Yao, Xiaochao Zi, Li Pan and Jianhua Li. A study of on/off timing channel based on packet delay distribution[J]. Computers & Security, 2009.

[8]Robert J.Walls,K.K.,Matthew Wright ,Baishakhi Ray, Shivakant Mishra. Liquid: A detection-resistant covert timing channel based on IPD shaping[J].computer networks,2010.

[9]張壽文.包間時延隱信道的檢測和參數估計研究[D].江蘇南京理工大學，2014.

[10]Fisk G,Fisk, M,Papadopoulos C,Neil J.Eliminating steganography in internet traffic with active wardens[R].In: Proc. of the 2002 International Workshop on Information Hiding, 2002.

[11]Weiming Hu. Reducing Timing Channels with Fuzzy Time[J]. Journal of computer Security, 1992.

[12]Kang,Myong H.,Moskowitz,Ira S.A Data Pump for Communication[M].NAVAL RESEARCH LAB WASHINGTO N DC, 1995.

[13]Berk V, Giani A, Cybenko G. Detection of covert channel encoding in network packet delays[R]. Technical Report TR2005-536, Department of Computer Science, Dartmouth College, Hanover, NH., USA，2005.

[14]Serdar Cabuk, Carlar E. Brodley, Clay Shields. IP Covert Timing Channels: Design and Detection[R]. NewYork: in 11th ACM conference on computer and communications security，2004.

[15]Steven Gianvecchio,Haining Wang.An Entropybased Approach to Detecting Covert Timing Channels[J]. Dependable and Secure Computing, 2011.