泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道關(guān)鍵技術(shù)研究綜述

李鳳華，李超洋，郭超，李子孚，房梁，郭云川

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網(wǎng)絡(luò)空間安全學院，北京 100049；3.北京電子科技學院電子與通信工程系，北京 100070）

0 引言

隱蔽通道是指惡意通信雙方通過修改共享資源的數(shù)值、特性或狀態(tài)等屬性，編碼和傳輸隱蔽信息的通道，以此繞開系統(tǒng)安全策略[1-2]。隨著網(wǎng)絡(luò)環(huán)境日益復雜及隱蔽通信技術(shù)的不斷發(fā)展，各種隱蔽通道頻繁出現(xiàn)，包括面向物理層（CVE-ID:CVE-2019-13270）、數(shù)據(jù)鏈路層（CVE-ID:CVE-2019-13271）、操作系統(tǒng)（CVE-ID:CVE-2020-0550）和網(wǎng)絡(luò)層（CVE-ID:CVE-2019-13264）等的隱蔽通道。特別地，亞馬遜云計算服務(wù)研究人員Pawel 發(fā)現(xiàn)了一種名為Snoop 的新型隱蔽通道攻擊，該隱蔽通道可竊取Intel 處理器內(nèi)部緩存中的數(shù)據(jù)。

隨著互聯(lián)網(wǎng)及隱蔽通信技術(shù)的發(fā)展，隱蔽通道對泛在網(wǎng)絡(luò)（如物聯(lián)網(wǎng)、云計算和衛(wèi)星互聯(lián)網(wǎng)絡(luò)等）產(chǎn)生了更嚴重的安全威脅。如在云環(huán)境中，由于其共享計算資源，具有較高權(quán)限的程序可通過隱蔽通道將數(shù)據(jù)泄露給具有較低權(quán)限的程序，從而打破邏輯隔離，這會給云安全帶來巨大的挑戰(zhàn)。攻擊者可以通過路由器（CVE-ID:CVE-2019-13268）等基礎(chǔ)網(wǎng)絡(luò)設(shè)備中的隱蔽通道，竊取互聯(lián)設(shè)備中的隱蔽信息，給物聯(lián)網(wǎng)等網(wǎng)絡(luò)環(huán)境帶來巨大的安全威脅。

隱蔽通道的潛在威脅引起了研究者的廣泛關(guān)注，多年以來，相關(guān)研究者通過對隱蔽通道的不斷深入研究，使該領(lǐng)域有了實質(zhì)性的研究進展。隱蔽通道研究可大致分為3 個階段。

1) 早期隱蔽通道的研究主要是利用操作系統(tǒng)中的共享資源，如硬件隨機數(shù)生成器[3]、處理器緩存[4]、分支預(yù)測器[5]和I/O 設(shè)備[6]等，構(gòu)建時間或存儲隱蔽通道[1]，即操作系統(tǒng)隱蔽通道。例如在Sun Solaris系統(tǒng)中，Solaris 內(nèi)核允許2 個非特權(quán)本地用戶處理程序建立一個隱蔽通道來繞過系統(tǒng)安全策略（CVE-ID:CVE-2008-3875）。

2) 隨著互聯(lián)網(wǎng)的不斷發(fā)展，研究重點逐漸轉(zhuǎn)移到了網(wǎng)絡(luò)隱蔽通道，網(wǎng)絡(luò)隱蔽通道主要有存儲隱蔽通道（CSC,covert storage channel）、時間隱蔽通道（CTC,covert timing channel）、混合隱蔽通道（CHC,covert hybrid channel）、行為隱蔽通道（CBC,covert behavior channel）4 種[1]。典型的網(wǎng)絡(luò)隱蔽通道多數(shù)是基于TCP/IP 協(xié)議棧來構(gòu)建的[7]，這些隱蔽通道往往通過使用網(wǎng)絡(luò)協(xié)議[8]或數(shù)據(jù)包[9-10]的協(xié)議字段[11]和時間特征[12-15]，進行隱蔽通信。

3) 近年來，物聯(lián)網(wǎng)、云環(huán)境、移動通信網(wǎng)絡(luò)、區(qū)塊鏈等各種新型網(wǎng)絡(luò)不斷興起，逐漸形成了泛在、復雜的網(wǎng)絡(luò)環(huán)境，這使隱蔽通道有了更多的可乘之機。泛在網(wǎng)絡(luò)環(huán)境下的隱蔽通道利用不同場景下共享資源的不同特性（如通過物聯(lián)網(wǎng)協(xié)議[16-17]、云中的內(nèi)存重復刪除[18-19]、移動通信網(wǎng)絡(luò)中的語音流數(shù)據(jù)[20]、Air-gap 系統(tǒng)中的磁信號[21]等）構(gòu)建隱蔽通道，以達到提高隱蔽通道容量或者增強穩(wěn)健性等目的，給日益復雜的網(wǎng)絡(luò)環(huán)境帶來了更大的安全挑戰(zhàn)。

面對各種隱蔽通道產(chǎn)生的威脅，研究者提出了一系列消除或限制技術(shù)，以降低隱蔽通道的攻擊風險，但是，隨著隱蔽通信技術(shù)的不斷發(fā)展，想要完全消除隱蔽通道非常困難。常見的隱蔽通道限制方案主要體現(xiàn)在2 個方面。

1) 通過對通信環(huán)境施加限制策略，以破壞隱蔽通信，如對存儲隱蔽通道添加噪聲、對時間隱蔽通道和混合隱蔽通道增加時延和噪聲、對Air-gap 系統(tǒng)中的隱蔽通道還可以對隱蔽通信雙方實施隔離[1]等。

2) 根據(jù)隱蔽通道的規(guī)律或特征，設(shè)計檢測方法，以識別隱蔽通道，主要包括基于統(tǒng)計、基于機器學習、基于信息論、基于信息流分析等技術(shù)的檢測方法。

通過干擾通信環(huán)境的隱蔽通道限制策略雖然可以降低隱蔽通信的風險，但是也會影響正常的通信質(zhì)量。近年來，為限制隱蔽通道，研究者主要集中于隱蔽通道檢測方法的研究。

在泛在網(wǎng)絡(luò)環(huán)境下，用于構(gòu)建隱蔽通道的共享資源和通信環(huán)境變得更加復雜多樣。在不同網(wǎng)絡(luò)環(huán)境下利用各種共享資源構(gòu)建的隱蔽通道存在泛在性、差異性，難以用統(tǒng)一的框架或方法對其進行有效度量及準確檢測。由于網(wǎng)絡(luò)環(huán)境的特殊性，隱蔽通道構(gòu)建研究也面對諸多困難，如由于區(qū)塊鏈自有的加密屬性和去中心化等特點，使區(qū)塊鏈成為天然的隱蔽通信場景，但是由于其具有可追溯和抗篡改等特性，節(jié)點間交易信息會被區(qū)塊鏈中的所有節(jié)點感知，這對構(gòu)建具備抗檢測性強的隱蔽通道帶來了巨大的挑戰(zhàn)；在云環(huán)境中，可以利用多種共享資源構(gòu)建隱蔽通道，如CPU、緩存或共享內(nèi)存等，利用共享內(nèi)存等資源構(gòu)建的隱蔽通道雖然會有較大的隱蔽容量，但是往往易被檢測；Air-gap 系統(tǒng)中的隱蔽通道多是利用電磁信號、功率等物理介質(zhì)作為共享資源，此種隱蔽通道往往容量很小。

近年來，研究者針對泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的度量、構(gòu)建和檢測問題，進行了深入研究，但是缺乏對此類隱蔽通道研究的綜述分析。與已有的隱蔽通道研究綜述相比，本文在分析已有研究成果的基礎(chǔ)上，總結(jié)了隱蔽通道的常用度量指標及度量方法，重點對物聯(lián)網(wǎng)、云環(huán)境、移動通信網(wǎng)絡(luò)、Air-gap系統(tǒng)、區(qū)塊鏈和車載自組網(wǎng)（VANET,vehicular ad-hoc network）等網(wǎng)絡(luò)環(huán)境下的隱蔽通道構(gòu)建技術(shù)進行了多維對比分析，系統(tǒng)分析了泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的檢測技術(shù)，并展望了未來的研究方向。

1 隱蔽通道度量

隱蔽通道度量是構(gòu)建和檢測隱蔽通道的基礎(chǔ)，典型的隱蔽通道度量指標包括容量、穩(wěn)健性、抗檢測性、規(guī)律性和形狀。容量指單位時間內(nèi)隱蔽通道能夠無差錯傳輸?shù)淖畲笮畔ⅲ环€(wěn)健性指隱蔽通道存在干擾（如噪聲和丟包等）時，準確傳輸數(shù)據(jù)的能力；抗檢測性（也稱隱蔽性）指隱蔽通道保持隱蔽通信且不被識別的能力；規(guī)律性和形狀分別指時間隱蔽通道中包間時延（IPD,inter-packet delay）分布的規(guī)律和形狀。

各度量指標存在如下影響與關(guān)聯(lián)。容量、穩(wěn)健性和抗檢測性主要用于評估隱蔽通道的構(gòu)建方法。一般情況下，當隱蔽通道的容量很大時，會表現(xiàn)出較強的穩(wěn)健性；當穩(wěn)健性差時也會降低隱蔽通道的容量。容量與抗檢測性通常存在相互抑制的關(guān)系，容量增大會導致抗檢測性降低；反之，若要提高抗檢測性往往要降低容量。規(guī)律性和形狀主要用于隱蔽通道的檢測，規(guī)律性和形狀的度量也能在一定程度上反映抗檢測性，如對于時間隱蔽通道，當IPD 分布的規(guī)律性或形狀很明顯時，會降低抗檢測性。

1.1 隱蔽通道容量度量

在隱蔽通道容量的度量方面，面對復雜多樣的信道環(huán)境，隱蔽通道容量度量可以分為：經(jīng)典信道中的隱蔽通道容量度量[22-24]、量子信道中的隱蔽通道容量度量[25-27]、離散無記憶信道中的隱蔽通道容量度量[28-29]、噪聲信道中的隱蔽通道容量度量[30-31]和其他信道中的隱蔽通道容量度量[32]。在經(jīng)典信道中隱蔽通道容量的度量方面，多數(shù)研究者基于香農(nóng)信息論對其進行度量[22-23,33]，如Epishkina 等[22]利用互信息度量隱蔽通道的容量。El-Atawy 等[23]將基于數(shù)據(jù)包排序的隱蔽通道容量定義為每個數(shù)據(jù)包內(nèi)編碼隱藏信息的比特數(shù)，即

其中，k表示每個碼字所包含的排序數(shù)據(jù)包個數(shù)；PL表示碼字的概率分布；H(PL)表示PL的熵，代表每個碼字的平均信息；β表示一個數(shù)據(jù)包所包含的比特數(shù)。

Zhang 等[24]將基于編碼語音數(shù)據(jù)流的隱蔽通道容量定義為單位時間內(nèi)隱蔽信息的大小，即

其中，NC表示隱藏消息的位置數(shù)，lb表示每個位置隱蔽信息的長度，TC表示語音靜默周期。當lb不同時，NC也不同，因為并不是所有的靜默期都可以延遲和擴展。

在量子信道和離散無記憶信道中的隱蔽通道容量度量方面，經(jīng)典無記憶信道和量子有損噪聲玻色子信道（具有量子強噪聲）的隱蔽通信的基本極限是平方根定律[25-27]，即在n個信道中可以可靠地傳輸高達bit 的隱蔽信息。Bloch 等[28]研究表明，在離散無記憶信道中，如果發(fā)送方和接收方共享個密鑰位，則可以在n個信道上實現(xiàn)容量達bit 的可靠隱蔽通信。對于復合離散無記憶信道中的隱蔽通道，Ahmadipour 等[29]考慮2 個覆蓋率度量。在第一個度量中，使用具有固定分布的每個狀態(tài)的通道輸出邊緣的K-L 散度（KLD,Kullback-Leibler divergence）來度量覆蓋度，根據(jù)不同分布，建立對應(yīng)的最大容量。在第二個度量中，通過使用2 種狀態(tài)的通道輸出邊緣的總變化距離來度量覆蓋率，給出了最優(yōu)傳輸隱蔽率的上下界。

在噪聲環(huán)境下隱蔽通道的容量度量方面，在加性白高斯噪聲（AWGN,additive white Gaussian noise）的隱蔽通道中，發(fā)送方可以可靠地將bit 信息發(fā)送給n個預(yù)期接收方，該過程有極低的被檢測概率，接收方通過單獨的AWGN 信道接收發(fā)送方的隱蔽信息[30]。離散無記憶信道和加性高斯白噪聲信道的最大隱蔽編碼速率隨著消息塊長度的減小而減慢，Bendary 等[31]研究表明，多輸入多輸出（MIMO,multiple-input multiple-output）AWGN 信道的隱蔽容量在一定條件下收斂到MIMO AWGN 信道的容量。

此外，對于非相干快速瑞利衰落無線信道（NCFRFWC,non-coherent fast Rayleigh-fading wireless channel），Tahmasbi 等[32]研究表明，隱蔽容量是由有限個質(zhì)點（包括一個質(zhì)點）組成的振幅約束輸入分布來實現(xiàn)的，并給出了數(shù)值邊界。Ta 等[34]研究表明，信道衰落是隱蔽信號傳輸?shù)年P(guān)鍵，噪聲不確定性越大，信道不確定性對檢測誤差平均概率和隱蔽容量的影響越顯著。

1.2 隱蔽通道穩(wěn)健性度量

穩(wěn)健性已被廣泛應(yīng)用于隱蔽通道的度量。度量隱蔽通道穩(wěn)健性的相對統(tǒng)一的指標是誤碼率[24,35]。

Zhang 等[24]利用誤碼率來評估長期演進語音承載（VoLTE,voice over long-term evolution）中隱蔽通道的穩(wěn)健性，定義為

其中，Rl表示VoLTE 流量的丟包率，NspRl表示在靜默期結(jié)束時丟失的數(shù)據(jù)包數(shù)。

Zhang 等[36]基于誤碼率討論了隱蔽通道的穩(wěn)健性，穩(wěn)健增益γ（γ∈R+）定義為

其中，表示不編碼的直接調(diào)制的誤碼率，Pe表示在相同的網(wǎng)絡(luò)條件下用特定的編碼方案進行編碼和調(diào)制后的誤碼率，N表示靜默期的數(shù)目，Rl表示丟包率，ej表示第j次丟包導致的錯誤隱藏信息比特數(shù)，L(ni)表示第i個靜默周期中靜默插入描述符（SID,silence insertion descriptor）數(shù)據(jù)包數(shù)目的碼長。當γ→∞時，可以認為隱蔽通道是完全穩(wěn)健的。

1.3 隱蔽通道抗檢測性度量

在隱蔽通道抗檢測性度量方面，研究者主要利用基于多項式時間統(tǒng)計檢驗的度量方法，即對于隱蔽流量的數(shù)據(jù)流樣本n和合法流量的數(shù)據(jù)流樣本n′，若存在一個任意小的函數(shù)f(δ)，使不等式成立，則隱蔽通道相對于安全參數(shù)δ是多項式不可檢測的[37]，其中，T表示多項式時間統(tǒng)計檢驗。基于多項式時間統(tǒng)計檢驗的抗檢測性度量方法包括K-L 散度[37-38]和K-S 檢驗（KST,Kolmogorov-Smirnov test）等[37-39]。

Archibald 等[38]使用K-L 散度（又稱相對熵）和K-S檢驗來度量隱蔽通道的抗檢測性。K-S檢驗和K-L散度都是用來比較合法流量和隱蔽流量的IPD 分布差異的方法。K-L 散度具有非對稱性，定義為

其中，P和G分別表示隱蔽流量和合法流量的IPD分布。

Wang 等[39]利用K-S 檢驗度量隱蔽通道的抗檢測性，定義為

其中，F(xiàn)(x)和G(x)分別表示隱蔽通信和合法通信的IPD 分布。K-S 檢驗是一種穩(wěn)健的非參數(shù)檢驗方法，對尺度變化不敏感而對分布函數(shù)的位置和形狀參數(shù)敏感，該方法是比較兩樣本差異的常用方法。

此外，李彥峰等[40]使用熵率（ER,entropy rate）度量區(qū)塊鏈隱蔽通道的抗檢測性，定義為

其中，CCE 是修正條件熵（CCE,corrected conditional entropy）。熵率是對無窮序列不確定性的度量，熵率越小越能表現(xiàn)出序列規(guī)律。在實際中，可采用有限采樣的方式，利用CCE 計算熵率[40]。

K-L 散度、K-S 檢驗和熵率均可用于度量隱蔽通道的抗檢測性。其中，K-L 散度和K-S 檢驗都是基于合法流量IPD 分布和隱蔽流量IPD 分布的差異來評估隱蔽通道的抗檢測能力。但是兩者也有區(qū)別：與K-S 檢驗相比，K-L 散度對樣本的尺度變化更敏感。基于熵率的抗檢測性度量依賴于大量正常通信的樣本來確定檢測對象的檢測閾值[40]，與K-L散度和K-S 檢驗相比，熵率更適用于通信樣本量較大的情況。

1.4 隱蔽通道規(guī)律性度量

規(guī)律性的度量是指采用統(tǒng)計特征對網(wǎng)絡(luò)流量變化的規(guī)律性進行度量。通過度量網(wǎng)絡(luò)流量的規(guī)律性，統(tǒng)計合法流量和隱蔽流量的差異，以區(qū)分出合法流量和隱蔽流量。

Cabuk 等[13]通過統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)流的網(wǎng)絡(luò)數(shù)據(jù)包間隔時間的標準差的變化，來度量隱蔽數(shù)據(jù)流的規(guī)律性。具體地，將流量分成固定大小的非重疊窗口，統(tǒng)計每對窗口間的標準差變化，定義為

其中，σi表示第i個時間窗口內(nèi)網(wǎng)絡(luò)數(shù)據(jù)包間隔時間的標準差，StdDev 表示標準差函數(shù)（計算標準差）。Chow 等[41]利用K-L 散度來度量隱蔽通道的不規(guī)律性。Cabuk 等[42]將分組數(shù)據(jù)流劃分為非重疊窗口，并計算每個窗口的IPD 的標準差，通過計算流量中窗口的標準差的差異來度量規(guī)律性。

1.5 隱蔽通道形狀度量

形狀度量是將隱蔽IPD 分布與合法IPD 分布中的已知指紋進行比較，度量2 個分布之間的形狀差異。常用的形狀度量方法是基于計算描述合法流量和隱蔽流量的密度函數(shù)進行度量的，如基于K-S 檢驗的形狀度量[37]和基于韋爾奇t檢驗（WTT,Welch’s t-test）的形狀度量[43]。

K-S 檢驗通過取所有流量數(shù)據(jù)x的絕對差的上確界來區(qū)分隱蔽IPD 分布F(x)和合法IPD 分布G(x)[37]。因為K-S 檢驗對2 種分布的形狀參數(shù)敏感，所以也被用于隱蔽通道形狀的度量。

Archibald 等[43]提出了一種基于韋爾奇t 檢驗的形狀度量方法，即

其中，xi、si和Ni(i=1,2)分別是2 種分布的樣本均值、標準差和樣本大小。為了生成p值（表示假設(shè)被接受或拒絕的概率）度量，從合法的網(wǎng)絡(luò)流量中創(chuàng)建一個綜合樣本，并從觀察到的網(wǎng)絡(luò)流量中提取一個相對較小的樣本。使用這些樣本，在p值上創(chuàng)建閾值，p值低于閾值的樣本被歸類為隱蔽流量。

K-S 檢驗和韋爾奇t 檢驗的相同之處在于兩者都是基于隱蔽IPD 分布和合法IPD 分布之間的差異來度量隱蔽流量的形狀，區(qū)別在于基于K-S 檢驗的形狀度量方法直接根據(jù)合法IPD 分布與隱蔽IPD 分布的差值上界來區(qū)分合法流量與隱蔽流量，而基于韋爾奇t 檢驗的形狀度量方法基于合法IPD 的先驗分布先建立p值假設(shè)，再基于閾值對隱蔽流量進行歸類，該方法可基于更多的合法IPD 樣本建立先驗分布以創(chuàng)建更完整的流量指紋。當樣本大小不均衡時，基于韋爾奇t 檢驗的形狀度量效果優(yōu)于基于K-S檢驗的形狀度量效果。

2 隱蔽通道構(gòu)建

2.1 物聯(lián)網(wǎng)隱蔽通道構(gòu)建

物聯(lián)網(wǎng)中的大多數(shù)設(shè)備都不具備由經(jīng)驗引發(fā)的抵御入侵和破壞攻擊的能力；相反，它們表現(xiàn)出相當程度的脆弱性。物聯(lián)網(wǎng)脆弱的安全表現(xiàn)為隱蔽通道的構(gòu)建提供了可能。

在物聯(lián)網(wǎng)隱蔽通道的構(gòu)建方面，Velinov 等[17]將消息隊列遙測傳輸（MQTT,message queuing telemetry transport）協(xié)議應(yīng)用于物聯(lián)網(wǎng)中，描述了7 個直接和6 個間接的隱蔽通道，并使用網(wǎng)絡(luò)信息隱藏技術(shù)對它們進行評估和分類。信息隱藏技術(shù)被廣泛用于構(gòu)建物聯(lián)網(wǎng)隱蔽通道[44]，如Mileva 等[45]提出了一種利用約束應(yīng)用協(xié)議（COAP,constrained application protocol）構(gòu)建的物聯(lián)網(wǎng)隱蔽通道。COAP是一種用于約束設(shè)備和網(wǎng)絡(luò)的專用Web 傳輸協(xié)議，通過將秘密數(shù)據(jù)隱藏在COAP 的協(xié)議數(shù)據(jù)單元（PDU,protocol data unit）中實現(xiàn)隱蔽通信。Tan 等[46]提出了一種物聯(lián)網(wǎng)時間隱蔽通道的系統(tǒng)模型（如圖1 所示），并分析了基于分組間時延的時間隱蔽通道在4G/5G 網(wǎng)絡(luò)中的應(yīng)用。Ho 等[47]將序貫概率比檢驗（SPRT,sequential probability ratio test）應(yīng)用于物聯(lián)網(wǎng)中的隱蔽通道，能夠在隱蔽通道中實現(xiàn)快速的編碼和解碼。物聯(lián)網(wǎng)應(yīng)用程序通過連接各種其他未連接的服務(wù)來授權(quán)用戶。這些應(yīng)用程序由外部信息源觸發(fā)，以在外部信息接收器上執(zhí)行操作。流行的物聯(lián)網(wǎng)應(yīng)用平臺，包括 IFTTT、Zapier 和Microsoft Flow 都容易受到惡意Applet 制造商的攻擊，包括過濾私人照片、泄露用戶位置和竊聽用戶輸入語音控制助理的消息等隱蔽通道攻擊[48]。

圖1 物聯(lián)網(wǎng)時間隱蔽通道系統(tǒng)模型

2.2 移動通信網(wǎng)絡(luò)隱蔽通道構(gòu)建

在移動通信網(wǎng)絡(luò)中，為了保護用戶隱私，許多智能手機系統(tǒng)采用了一種基于許可的機制，用戶可以在安裝手機應(yīng)用程序之前評估來自該應(yīng)用程序的隱私信息請求的風險。然而，基于許可的機制很容易受到應(yīng)用程序的合謀攻擊，因為2 個獨立的應(yīng)用程序可以建立一個隱蔽通道，并使用它來泄露機密信息。Qi 等[49]在安卓智能手機上構(gòu)建了基于用戶行為的隱蔽通道，如圖2 所示，該隱蔽通道不易被檢測。

圖2 基于用戶行為的智能手機隱蔽通道

Aloraini 等[20]提出了一種智能手機網(wǎng)絡(luò)隱蔽通道，通過接收的蜂窩語音流來研究智能手機中的應(yīng)用程序泄露信息的能力。Zhang 等[24]通過延遲或延長語音流量的靜音周期來調(diào)節(jié)隱蔽信息，使用灰度編碼對隱藏消息進行編碼，能夠?qū)崿F(xiàn)良好的隱蔽性和穩(wěn)健性。Zhang 等[36]提出了一種適應(yīng)移動網(wǎng)絡(luò)環(huán)境的雙向VoLTE 隱蔽通道，它包括發(fā)送方到接收方的時間隱蔽通道，以及一個反向存儲隱蔽通道。其中，時間隱蔽通道通過在靜默期內(nèi)主動丟棄分組來調(diào)制隱蔽消息，反向存儲隱蔽通道將秘密消息作為反饋信息隱藏到實時傳輸控制協(xié)議（RTCP,real-time transport control protocol）的反饋控制信息字段中。該方案不僅可以保持語音質(zhì)量，也能同時保持隱蔽通道的抗檢測性和穩(wěn)健性。Tan 等[50]提出了一種基于視頻流的時間隱蔽通道，通過故意丟棄視頻數(shù)據(jù)包來調(diào)制隱蔽消息，基于二維映射矩陣將隱蔽消息塊映射為丟包序列號，接收方檢索丟失數(shù)據(jù)包的序列號，并將其翻譯成隱藏的信息。Novak等[51]設(shè)計了一種移動設(shè)備信息泄露軟件，通過聲音或光線等媒介構(gòu)建隱蔽通道，能夠繞過系統(tǒng)的特權(quán)升級和信息泄露的防御機制。Schulz 等[52]在智能手機中構(gòu)建了一個隱蔽通道，該隱蔽通道先對Wi-Fi幀進行預(yù)過濾，然后在2 個設(shè)備之間秘密交換隱蔽信息。

Android 等移動操作系統(tǒng)通過限制設(shè)備內(nèi)應(yīng)用程序之間的通信來提供數(shù)據(jù)保護機制。然而，惡意應(yīng)用仍然可以通過各種方式克服這些限制，如利用系統(tǒng)中的軟件漏洞或使用隱蔽通道進行數(shù)據(jù)傳輸。在Android 系統(tǒng)中，電池和電話等資源可以用于隱蔽通信，惡意應(yīng)用程序利用這些資源可以實現(xiàn)高容量的隱蔽數(shù)據(jù)傳輸[53-54]。

基于物理行為的隱蔽通道可以通過改變應(yīng)用程序的內(nèi)部狀態(tài)或用戶的行為來實現(xiàn)信息泄露。Wu等[55]使用全球定位系統(tǒng)（GPS,global positioning system）欺騙技術(shù)設(shè)計了一種基于物理行為的智能移動設(shè)備隱蔽通道，該設(shè)計充分考慮了非握手、離線傳輸和低懷疑等特性，具有良好的隱蔽性。

2.3 云環(huán)境下隱蔽通道構(gòu)建

云環(huán)境下的隱藏通道規(guī)避了云中多方之間的隔離機制。在不同虛擬機上的非特權(quán)用戶程序可以通過隱蔽通道傳輸隱蔽信息。

Clementine 等[4]通過共享處理器的最后一級緩存在不同內(nèi)核上的虛擬機之間建立了更快速的隱蔽通道C5，C5 能夠通過同一處理器的任一內(nèi)核傳輸硬件上的信息。內(nèi)存重復數(shù)據(jù)刪除技術(shù)已被廣泛應(yīng)用于各種虛擬化管理程序。雖然這種技術(shù)提高了內(nèi)存效率，但它對系統(tǒng)安全性有影響。內(nèi)存重復刪除通常使用寫時復制技術(shù)的一種變體來實現(xiàn)，與寫入非共享頁面相比，寫入共享頁面會導致更長的訪問時延[18]。基于此特性，Rong 等[19]設(shè)計了一種高效、可靠的基于內(nèi)存重復數(shù)據(jù)刪除的云隱蔽通道（CCCMD,cloud covert channel based on memory deduplication）協(xié)議，建立了一個名為WindTalker的隱蔽通道模型，在低誤碼率的情況下，WindTalker具有更好的性能，并能實現(xiàn)在噪聲環(huán)境下的合理自適應(yīng)傳輸速度。

Maurice 等[56]基于無線傳輸協(xié)議建立了一個穩(wěn)健的高容量隱蔽通道，該隱蔽通道能夠?qū)崿F(xiàn)錯誤糾正，并可以在2 個虛擬機之間建立安全外殼（SSH,secure shell）連接。Sullivan 等[57]提出了一種基于處理器內(nèi)存順序緩沖（MOB,memory order buffer）的微體系結(jié)構(gòu)時間隱蔽通道。Wu 等[58-59]利用內(nèi)存總線作為隱蔽通道傳輸介質(zhì)，在云環(huán)境中實現(xiàn)了高帶寬和可靠的隱蔽數(shù)據(jù)傳輸。Lipinski 等[60]提出了一種名為CloudSteg 的隱寫方法，該方法基于駐留在同一物理機器上的2 個云實例之間的硬盤爭用，創(chuàng)建一個隱蔽通道。跨虛擬機攻擊使惡意租戶能夠利用各種形式的隱蔽通道竊取受害者的敏感信息，如圖3 所示。Tahir 等[61]提出了一個跨虛擬網(wǎng)絡(luò)的時間隱蔽通道，它依賴于數(shù)據(jù)中心網(wǎng)絡(luò)的底層共享網(wǎng)絡(luò)資源在邏輯隔離的虛擬網(wǎng)絡(luò)之間傳輸數(shù)據(jù)，該隱蔽通道有很大的隱蔽容量。

圖3 跨虛擬機隱蔽通道示例

隨著云現(xiàn)場可編程門陣列（FPGA,field programmable gate array）的廣泛應(yīng)用，云計算基礎(chǔ)設(shè)施中的FPGA 可以通過轉(zhuǎn)換通道發(fā)生信息泄露。云FPGA 利用用戶之間FPGA 資源的臨時共享，使一個用戶產(chǎn)生的熱量可以被后來使用同一FPGA 的另一個用戶觀察到，其通過簡單的開關(guān)鍵控（OOK,on-off keying）可以實現(xiàn)隱蔽的數(shù)據(jù)傳輸，并且并行使用多個FPGA 板可以顯著提高數(shù)據(jù)吞吐量[62]。

2.4 Air-gap 系統(tǒng)隱蔽通道構(gòu)建

系統(tǒng)的物理實現(xiàn)（如電磁鐵）產(chǎn)生的電磁信號、功率、聲音和溫度等也可以作為信息傳輸?shù)慕橘|(zhì)，利用這些通信介質(zhì)，攻擊者可以設(shè)計間諜軟件向外部傳輸敏感數(shù)據(jù)，給系統(tǒng)帶來安全威脅。

在Air-gap系統(tǒng)隱蔽通道的構(gòu)建方面，Guri等[21]通過調(diào)節(jié)CPU 內(nèi)核上的工作負載來控制計算機發(fā)出的磁場，利用磁信號編碼并傳輸隱蔽信息。對于多核計算平臺，即使是基于專用核的強大隔離技術(shù)也可以被熱通道繞過，即使在系統(tǒng)具有很強的時間和空間分塊能力的情況下，處理器的內(nèi)核溫度也可以作為一個隱蔽通道[63]。Guri 等[64]通過使用計算機的熱發(fā)射和內(nèi)置的熱傳感器來創(chuàng)建一個隱蔽通道以彌合相鄰受損計算機之間的氣隙。該方法支持雙向通信，并且它不需要額外的專用外圍硬件。Krishnamurthy 等[65]利用網(wǎng)絡(luò)物理系統(tǒng)（CPS,cyber physical system）中控制器的動態(tài)特性和閉環(huán)特性，將模擬信號作為隱蔽通道發(fā)送到遠程接收器，在程序邏輯控制器（PLC,programmable logic controller）的驅(qū)動下，實現(xiàn)了2 個反饋回路。

2.5 其他網(wǎng)絡(luò)隱蔽通道構(gòu)建

區(qū)塊鏈作為一種新型的分散式公共網(wǎng)絡(luò)，它的開放性和強大的抗篡改能力使其成為構(gòu)建隱蔽通道的天然平臺。

為在區(qū)塊鏈上實現(xiàn)隱蔽通信，李彥峰等[40]構(gòu)建了一種區(qū)塊鏈網(wǎng)絡(luò)隱蔽通道模型，并研究了其抗干擾、抗篡改等特性。Partala 等[66]提出了區(qū)塊鏈隱蔽通道（BLOCCE,blockchain covert channel），該方案將區(qū)塊鏈使用的加密哈希函數(shù)建模為一個隨機預(yù)言機，并制定一個簡化的理想?yún)^(qū)塊鏈，使用提交給區(qū)塊鏈的支付為每個塊嵌入一個比特的隱蔽信息，以實現(xiàn)可靠的隱蔽通道。Tian 等[67]提出了DLchain，該方案使用動態(tài)標簽代替固定標簽，并設(shè)計了一種基于實際事務(wù)數(shù)據(jù)統(tǒng)計分布的動態(tài)標簽生成算法，以保證動態(tài)標簽的隱蔽性。DLchain具有不可檢測性、抗跟蹤性和穩(wěn)健性強等特點。Gao等[68]利用竊密技術(shù)設(shè)計了一種區(qū)塊鏈隱蔽數(shù)據(jù)傳輸方案，在開放網(wǎng)絡(luò)條件下，該隱蔽傳輸機制具有很強的隱蔽性和兼容性，可以實際應(yīng)用于許多流行的區(qū)塊鏈系統(tǒng)。

車載自組網(wǎng)使高速車輛能夠相互通信，也為隱蔽通道提供了新的通信介質(zhì)。Taheri 等[69]在VANET中開發(fā)了一種混合（時間和存儲）隱蔽通道，通過改變服務(wù)和控制包的時間模式來傳輸隱蔽消息，同時設(shè)計了一種用于隱蔽數(shù)據(jù)嵌入的編碼算法，該編碼算法具有較高的嵌入容量。

綜合上述通信環(huán)境下隱蔽通道的構(gòu)建方法特點，可將其劃分成基于信息編解碼、基于時間模式調(diào)節(jié)、基于協(xié)議擴展填充、基于惡意軟件行為、基于流媒體調(diào)制、基于系統(tǒng)資源共享和基于物理介質(zhì)調(diào)節(jié)七大類方法，如表1 所示。表1 中，在物聯(lián)網(wǎng)環(huán)境下，主流的隱蔽通道構(gòu)建方法包括基于信息編解碼和基于協(xié)議擴展填充的方法；在移動通信網(wǎng)絡(luò)中，主流的隱蔽通道構(gòu)建方法包括基于流媒體調(diào)制和基于信息編解碼的方法；在云環(huán)境下，主流的隱蔽通道構(gòu)建方法為基于系統(tǒng)資源共享的方法；在Air-gap 系統(tǒng)中，主流的隱蔽通道構(gòu)建方法為基于物理介質(zhì)調(diào)節(jié)的方法；在車載自組網(wǎng)中，主流的隱蔽通道構(gòu)建方法包括基于信息編解碼和基于時間模式調(diào)節(jié)的方法。表2 展示了隱蔽通道構(gòu)建方法的細粒度對比分析結(jié)果，主要從隱蔽通道的共享資源、容量、穩(wěn)健性、抗檢測性和優(yōu)缺點6 個方面進行比較，通過對現(xiàn)有研究的綜合分析，將穩(wěn)健性和抗檢測性都分為弱、較弱、較強和強4 個等級。穩(wěn)健性等級主要是基于文獻中給出的誤碼率來劃分的，具體地，誤碼率小于5%定為強，5%～10%定為較強，10%～20%定為較弱，其余定為弱，對于部分文獻的構(gòu)建方法，也會考慮隱蔽通道在噪聲環(huán)境下的丟包率（抗噪性）變化，對穩(wěn)健性綜合定級。抗檢測性主要是基于文獻中給出的檢測精度結(jié)果來劃分的，具體地，檢測精度小于50%定為強，50%～65%定為較強，65%～80%定為較弱，其余為定為弱，對于部分文獻的檢測方法，也會結(jié)合檢測開銷對抗檢測性綜合定級。

表1 各類隱蔽通道構(gòu)建方法特點

表2 隱蔽通道構(gòu)建方法細粒度對比分析

3 隱蔽通道的檢測方法

3.1 基于統(tǒng)計的檢測方法

基于統(tǒng)計的檢測方法通常利用統(tǒng)計學的特征規(guī)律來分析合法數(shù)據(jù)流和隱蔽數(shù)據(jù)流的分布差異或異常，從而檢測出非法數(shù)據(jù)流。

Cabuk 等[13]采用數(shù)據(jù)流變化的統(tǒng)計特征規(guī)律作為隱蔽通道的檢測指標，量化了網(wǎng)絡(luò)數(shù)據(jù)包間隔時間的標準差的變化。Archibald 等[43]提出了一種基于韋爾奇t 檢驗的形狀檢測方法，該方法具有相對較低的計算成本，而且韋爾奇t 檢驗在檢測基于時延的時間隱蔽通道方面優(yōu)于修正條件熵檢驗。Nafea等[70]提出了一種包含連續(xù)數(shù)據(jù)監(jiān)控、閾值等元素的新框架和一種基于統(tǒng)計測度的隱蔽數(shù)據(jù)泄露檢測模型，特別是針對非線性混沌數(shù)據(jù)，該模型能夠更有效地提供具有容差/閾值的結(jié)果。Rezaei 等[71]提出了一種基于網(wǎng)絡(luò)流量IPD 分布的時間隱蔽通道實時檢測方法，并利用3 種不同的非參數(shù)統(tǒng)計測試，為合法和隱蔽網(wǎng)絡(luò)流量IPD 生成不同的統(tǒng)計測試分數(shù)，該方法能夠可靠地檢測出實時網(wǎng)絡(luò)流量中的隱蔽通道。

基于統(tǒng)計的檢測方法主要是通過統(tǒng)計學分析隱蔽通道的形狀或規(guī)律指標，以檢測出隱蔽通道。表3 展示了部分基于統(tǒng)計的檢測效果，分別從隱蔽通道類型、準確率、是否能盲檢、形狀指標和規(guī)律指標5 個方面對檢測方法進行對比分析。表3 中，Jitterbug 是一種典型的基于時延的時間隱蔽通道，以被動的方式提供可靠的隱蔽通信。TR-CTC-HTTP 和TR-CTC-SSH 分別是基于時間重放的時間隱蔽通道（TR-CTC,time replay covert timing channel）中的HTTP 和SSH 流量，MB-CTC-HTTP 和MB-CTC-SSH 分別是基于模型的時間隱蔽通道（MB-CTC,model-based covert timing channel）中的HTTP流量和SSH 流量。

表3 基于統(tǒng)計的檢測效果

3.2 基于機器學習的檢測方法

目前，機器學習方法被廣泛應(yīng)用于隱蔽通道的檢測研究中，主要通過發(fā)現(xiàn)網(wǎng)絡(luò)流量的規(guī)律或異常來檢測隱蔽通道。通過提取正常流量和隱蔽流量的特征，對網(wǎng)絡(luò)流量進行分類識別，從而實現(xiàn)隱蔽通道的檢測。基于機器學習的時間隱蔽通道檢測的復雜性取決于流量樣本的可用性，以及攻擊者改變隱蔽通道參數(shù)的可能性[72]。

Mohammed 等[73]基于隨機森林算法對物聯(lián)網(wǎng)設(shè)備在不同操作模式下的功率分布數(shù)據(jù)進行分類，以檢測隱蔽通道和功率耗盡攻擊。該算法有良好的檢測結(jié)果，分類準確率為95.5%。Vzquez 等[74]從統(tǒng)計的角度挖掘了包含時間隱蔽通道的數(shù)據(jù)流的形狀，使用監(jiān)督和非監(jiān)督的機器學習算法，揭示了構(gòu)建檢測方法的推薦特征。Shrestha 等[75]提出了一種基于支持向量機（SVM,support vector machine）的隱蔽通道檢測框架，該框架將從網(wǎng)絡(luò)流量中提取的指紋分為顯性和隱性，有較強的盲檢能力和穩(wěn)健性，即使是在隱藏消息大小減小的情況下，也有良好的檢測效果。Wang 等[76]提出了一種基于機器學習的域名生成算法（DGA,domain generation algorithm）和域名系統(tǒng)（DNS,domain name system）隱蔽通道檢測系統(tǒng)，其利用改進的TF-IDF（term frequency-inverse document frequency）、特異度評分等算法檢測惡意域名，有良好的檢測效果。Darwish 等[77]提出了一種基于層次結(jié)構(gòu)的時間隱蔽通道檢測模型。該模型的檢測過程包括：在到達時間流的連續(xù)層次上進行統(tǒng)計分析，創(chuàng)建合法通道和隱蔽通道的數(shù)據(jù)集實例，構(gòu)建5 層神經(jīng)網(wǎng)絡(luò)分類模型對隱蔽通道進行識別。與基于支持向量機的檢測模型相比，該深度神經(jīng)網(wǎng)絡(luò)模型獲得了更好的精度水平，模型訓練時間明顯縮短。Han 等[78]提出了一種基于K 近鄰（KNN,k-nearest neighbor）的時間隱蔽通道檢測方法。該方法使用與時間間隔和有效載荷長度相關(guān)的一系列統(tǒng)計數(shù)據(jù)作為特征來訓練模型，檢測精度為0.96。Alam 等[79]通過提取流量特征來構(gòu)建簽名，并通過統(tǒng)計測試分數(shù)來分析數(shù)據(jù)的分布差異，然后將上下文添加到簽名中，最后構(gòu)建支持向量機模型，對云中的隱蔽流量進行分類。該方法的檢測成本低且準確率較高。

基于機器學習的檢測方法，主要通過機器學習算法分析流量數(shù)據(jù)的特征以檢測出隱蔽通道，該類檢測方法的評估指標與傳統(tǒng)機器學習算法類似，包括召回率、精確率、準確率和F1 指標，表4展示了部分基于機器學習的檢測效果。表4 中所有檢測方法均是針對時間隱蔽通道進行檢測的方法，其中，決策樹[74]的檢測結(jié)果是該類方法的最佳測試結(jié)果，支持向量機[75]的結(jié)果是ON-OFF 隱蔽通道（2 000 個樣本）的最佳檢測結(jié)果（根據(jù)混淆矩陣計算得出）。

表4 基于機器學習的檢測效果

3.3 基于信息論的檢測方法

基于信息論的檢測方法通常是比較合法流量和隱蔽流量之間的熵的差異。當將熵作為檢測指標時，主要利用熵來衡量IPD 分布的隨機性。隱蔽流量往往比合法的顯性流量有更高的熵水平[70]。

針對利用TCP/IP 網(wǎng)絡(luò)數(shù)據(jù)包中的6 位TCP 標志頭部傳輸秘密消息的存儲隱蔽通道，Chow 等[41]提出了一種基于K-L 散度的檢測方法，使用K-L 散度來描述隱蔽流量與合法流量之間的不規(guī)則性，同時使用了不同的數(shù)據(jù)處理方法：一種方法是將一對IP 地址的所有數(shù)據(jù)包總結(jié)為一個流，另一種方法是使用在這樣一個流上的滑動窗口來生成多幀數(shù)據(jù)包。在檢測過程中，計算每個唯一IP 對的網(wǎng)絡(luò)流量的TCP 標志頻率分布，K-L 散度可以揭示不同頻率分布與這種正態(tài)分布的差異，利用這種差異可以區(qū)分出合法流量和隱蔽流量。

針對Jitterbug，Wang 等[80]提出了一種基于部分熵檢驗的檢測方法。該方法采用無訓練樣本的固定箱策略來獲得箱的分布特征，計算幾組部分連續(xù)箱的一階熵，并利用加權(quán)均值計算最終熵值，以區(qū)分Jitterbug 和合法流量。該方法有較好的檢測效果，且受網(wǎng)絡(luò)抖動的影響較小。針對IP 時間隱蔽通道（IPCTC,IP covert timing channel）、基于重傳的時間隱蔽通道（TRCTC,time replay covert timing channel）和Jitterbug 隱蔽通道，Gianvecchio 等[81]和張宇飛等[82]分別提出了基于修正條件熵和基于差分信息熵的檢測方法。其中，Gianvecchio 等[81]對HTTP 和SSH 中的上述時間隱蔽通道有良好的檢測結(jié)果，張宇飛等[82]也能有效檢測出上述3 種時間隱蔽通道。

針對利用分組數(shù)據(jù)匯聚協(xié)議（PDCP,packet data convergence protocol）和無線鏈路控制層（RLC,radio link control）的序列號（SN,sequence number）字段構(gòu)建的存儲隱蔽通道，Wang 等[83]提出了一種基于熵的CSC 檢測方法。該方法對PDCP 和RLC層的SN 中的隱藏信息敏感，有很好的檢測效果，并且可以實時在線和離線存儲檢測。Darwish 等[84]利用基于MapReduce 技術(shù)的層次熵算法檢測大數(shù)據(jù)中的時間隱蔽通道，該方法的檢測速度很快，隨著時延的增加，檢測精度和準確率也會明顯提高。基于信息論的檢測方法主要是基于熵理論對隱蔽通道進行識別。表5 展示了部分基于信息論的檢測效果，分別從隱蔽通道類型、真陽率、假陽率和是否能盲檢4 個方面對檢測方法進行比較。表5 中，基于K-L 散度[41]、基于修正條件熵[81,83]和基于香農(nóng)熵[83]的真陽率及假陽率均是文獻中所給出的最優(yōu)檢測結(jié)果。

表5 基于信息論的檢測效果

3.4 基于信息流分析的檢測方法

在基于信息流分析的檢測方面，早期研究主要通過分析系統(tǒng)的無干擾性來發(fā)現(xiàn)隱蔽通道。無干擾性是指當系統(tǒng)中低安全級數(shù)據(jù)的輸出不對高安全級的信息產(chǎn)生干擾時，系統(tǒng)是安全的。在基于無干擾性分析系統(tǒng)安全性時，可以將隱蔽通道的概率特性[85]和時間特性[86]加入信息流安全屬性當中，通過分析信息流安全屬性來檢測隱蔽通道。

針對Applet 對物聯(lián)網(wǎng)應(yīng)用平臺發(fā)起的隱蔽通道攻擊，Bastys 等[48]開發(fā)了一個用于物聯(lián)網(wǎng)應(yīng)用程序中信息流跟蹤的框架。該框架對Applet 的反應(yīng)性和計時行為進行建模，同時有效地捕捉到了由applet 輸出引起的攻擊者行為的差異。Song 等[87]提出了一種利用信息流圖（IFG,information flow graph）的圖結(jié)構(gòu)檢測存儲隱藏通道的技術(shù)。IFG 可以為隱蔽通道檢測提供系統(tǒng)的信息流。通過搜索IFG 的路徑，可以得到操作序列，有助于分析者發(fā)現(xiàn)隱蔽通道。Wu 等[88]提出了一種基于有向信息流圖的源代碼分析方法。該方法將整個系統(tǒng)劃分為若干獨立的模塊并分別進行分析。從源代碼中找出所有共享變量及其調(diào)用函數(shù)，并將其建模為有向信息流圖。當信息流分支在外部接口可見且可修改時，則存在一個潛在的隱蔽通道。該方案在Linux 內(nèi)核源代碼中識別了30 多個隱蔽通道。基于信息流分析的檢測方法通過分析系統(tǒng)中的信息流，以識別潛在的隱蔽通道。表6 分別從隱蔽通道類型、是否能盲檢和優(yōu)缺點4個方面對基于信息流分析的檢測方法進行定性分析。其中，偽通信路徑會影響檢測的效率和效果。

表6 基于信息流分析的檢測方法分析

3.5 其他檢測方法

針對利用共享硬件資源等技術(shù)構(gòu)建的隱蔽通道，還沒有形成統(tǒng)一的分析檢測方法，通常是針對某一隱蔽通道的具體構(gòu)建技術(shù)進行分析，建立檢測機制。如云環(huán)境中基于緩存的隱蔽通道，因為其構(gòu)建技術(shù)不同，不能用統(tǒng)一的方法進行檢測。

針對傳統(tǒng)網(wǎng)絡(luò)隱蔽通道，Wendzel 等[89]提出了一種不受協(xié)議約束的消息排序通道檢測方法。該方法基于一個修正的可壓縮性分數(shù)，分析了消息排序通道的可檢測性，結(jié)果表明，消息排序通道的檢測依賴于所使用的協(xié)議數(shù)據(jù)單元的數(shù)量。

針對云環(huán)境中的隱蔽通道威脅，Liu 等[90]實現(xiàn)了一種名為觀測器的實時隱蔽通道檢測系統(tǒng)。與其他檢測系統(tǒng)不同，該觀測器不需要歷史數(shù)據(jù)來構(gòu)建模型，觀察者能夠以較低的時延和開銷來檢測隱蔽通道。Wang 等[91]提出了一種隱蔽通道自動檢測方法，設(shè)計了一種從行為角度準確定位和分析惡意隱蔽通道的全局檢測方法。與目前流行的針對單一隱蔽通道的統(tǒng)計檢驗方法相比，該方法能夠?qū)崟r識別和檢測更多的隱蔽通道。Wu 等[92]提出了一種名為C2 檢測器的隱蔽通道檢測系統(tǒng)。C2 檢測器包括位于管理程序中的捕獲器和基于馬爾可夫及貝葉斯檢測實現(xiàn)的兩階段合成算法。Betz 等[93]提出了一個名為C3-Sched 的級聯(lián)云調(diào)度器，該調(diào)度器的目的是通過阻止進程交替訪問緩存線路來減少客戶數(shù)據(jù)通過C3 緩存隱蔽通道泄露的威脅，在維護云的性能的同時最小化全局調(diào)度開銷。Liu[94]提出了一種基于小波的時間隱蔽通道實時檢測方法，該方法利用一個安全的虛擬機來模擬易受攻擊的虛擬機，它的主要優(yōu)點是不需要歷史流量數(shù)據(jù)，并且具有較高的檢測精度。

基于緩存的隱蔽通道攻擊使用高度調(diào)優(yōu)的共享緩存沖突將信息從木馬傳遞給間諜進程。檢測這樣的攻擊是非常具有挑戰(zhàn)性的。為檢測基于緩存的隱蔽通道攻擊，Yan 等[95]提出了一種基于重放混淆的檢測方法。該方法基于記錄和確定性重放（RnR,record and deterministic replay）技術(shù)，在程序的執(zhí)行被記錄下來之后，使用不同的地址到緩存的映射來重新播放，再分析兩次運行的緩存丟失率間的時間差。如果該差異是相當大的，并且表現(xiàn)出周期性的模式，則表示存在隱蔽通道攻擊。

表7 展示了各類隱蔽通道檢測方法的特點總結(jié)，表8 展示了典型隱蔽通道檢測方法的細粒度對比分析。表8 中，基于機器學習的檢測方法[74]的準確率是該類方法的最佳測試準確率；基于支持向量機的檢測方法[75]的準確率是ON-OFF 隱蔽通道（2 000 個樣本）的最佳檢測準確率，和基于行為分析的檢測方法[91]的準確率結(jié)果均是根據(jù)混淆矩陣計算得出的；基于重放混淆[95]的檢測方法的準確率是根據(jù)最低誤檢率計算得出的。云環(huán)境下隱蔽通道主要基于CPU 負載、緩存和共享內(nèi)存等共享資源實現(xiàn)，鑒于云環(huán)境下隱蔽通道共享資源相對統(tǒng)一，表9 單獨展示了部分云環(huán)境下隱蔽通道檢測方法的細粒度對比，主要從檢測方法的檢測通道類型、準確率、是否具有自動盲檢功能（檢測多隱通道）和優(yōu)缺點5 個方面對隱蔽通道檢測方法進行對比分析。

表7 各類隱蔽通道檢測方法特點

表8 典型隱蔽通道檢測方法細粒度對比分析

表9 云環(huán)境下隱蔽通道檢測方法細粒度對比分析

4 未來發(fā)展趨勢

隱蔽通道雖然已有多年的研究歷史，但是，國內(nèi)外關(guān)于隱蔽通道的研究還不夠深入，尚有很多挑戰(zhàn)和研究方向需要繼續(xù)探討，主要包括以下幾個方面。

1) 隱蔽通道的度量方法

隱蔽通道的度量作為隱蔽通道研究的關(guān)鍵技術(shù)，是評估隱蔽通道性能的重要方法。隱蔽通道的度量指標也是隱蔽通道的構(gòu)建與檢測的重要參考。但是目前關(guān)于不同網(wǎng)絡(luò)及信道環(huán)境下的隱蔽通道的度量尚未形成完全統(tǒng)一、合理有效的度量指標。

具體來講，雖然隱蔽通道的容量和穩(wěn)健性的度量方法已經(jīng)相對統(tǒng)一，但是抗檢測性、規(guī)律性和形狀的度量方法尚未統(tǒng)一，主要是因為各類隱蔽通道的差異較大，不僅通信環(huán)境不同，隱蔽通道利用的共享資源也不盡相同，而且隱蔽通道的規(guī)律性和形狀主要是時間隱蔽通道的度量指標，因此，如何用統(tǒng)一的方法對隱蔽通道的抗檢測性、規(guī)律性和形狀進行度量是該領(lǐng)域的一項重要挑戰(zhàn)。

針對該挑戰(zhàn)，可以從2 個方面開展更深入的研究：一方面可以將隱蔽通道根據(jù)通信環(huán)境和共享資源的共性進行分類，針對相同網(wǎng)絡(luò)環(huán)境下共享資源構(gòu)建的同類隱蔽通道建立統(tǒng)一的度量標準；另一方面可以依賴隱蔽通道的分析與檢測技術(shù)，結(jié)合共享資源的具體特性，增強度量指標的適用性，如在度量抗檢測性時，除了評估隱蔽通道的檢測效果還可以結(jié)合檢測開銷。

2) 隱蔽通道的構(gòu)建方法

在隱蔽通道的構(gòu)建方面，構(gòu)建一個高容量、穩(wěn)健且抗檢測性強的隱蔽通道一直是研究者的重要目標。現(xiàn)有的隱蔽通道構(gòu)建技術(shù)研究尚難以同時實現(xiàn)多個高性能指標，往往是在各個指標之間進行權(quán)衡，比如雖然修改硬件共享資源可以提高隱蔽通道的容量，但是往往會降低抗檢測性；若要提高抗檢測性，通常要減小容量。因此，如何構(gòu)建同時具備多個高性能指標的隱蔽通道也是該領(lǐng)域亟須解決的重要問題。

若要提高隱蔽通道性能，一方面，通信雙方可以同時利用多種共享資源進行隱蔽通信或者發(fā)掘更多高質(zhì)量的共享資源；另一方面，可以利用網(wǎng)絡(luò)環(huán)境的特點構(gòu)建高性能隱蔽通道，如利用區(qū)塊鏈固有的加密屬性，選擇高效的信息隱藏或加密算法，提高隱蔽通道的抗檢測性。

3) 隱蔽通道的檢測方法

在隱蔽通道的檢測方面，因為各種隱蔽通道的差異較大，尚未形成相對統(tǒng)一的檢測方法，現(xiàn)有的檢測技術(shù)多為針對某一具體隱蔽通道的特性進行檢測。如何實現(xiàn)一個高檢測精度、抗噪且具備盲檢功能的檢測方法仍然是一個艱巨的挑戰(zhàn)。

若想克服該挑戰(zhàn)，可以針對具有相同或相似的共享資源的隱蔽通道，通過分析該共享資源的特點，建立通用的檢測框架。如針對利用網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)包字段等共享資源建立的時間或存儲隱蔽通道，可以基于熵、統(tǒng)計和機器學習方法分析協(xié)議或數(shù)據(jù)包字段的特征檢測潛在的隱蔽通道。

5 結(jié)束語

隱蔽通道的存在是計算機系統(tǒng)和網(wǎng)絡(luò)空間面臨的一個巨大的安全挑戰(zhàn)。隨著網(wǎng)絡(luò)的泛在化及隱蔽通信技術(shù)的發(fā)展，隱蔽通道給多種網(wǎng)絡(luò)環(huán)境均帶來了巨大的安全風險，泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的研究變得尤為重要。本文首先介紹了泛在網(wǎng)絡(luò)環(huán)境下的隱蔽通道的容量、穩(wěn)健性、抗檢測性、規(guī)律性和形狀5 個典型指標的度量方法；其次，系統(tǒng)分析了物聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)、云環(huán)境、Air-gap 系統(tǒng)、區(qū)塊鏈和車載自組網(wǎng)中隱蔽通道的構(gòu)建技術(shù)，并從共享資源、容量、穩(wěn)健性、抗檢測性、優(yōu)點和缺點6 個方面對隱蔽通道構(gòu)建技術(shù)進行了對比分析；再次，從基于統(tǒng)計、基于機器學習、基于信息論、基于信息流分析和其他檢測方法5 個方面對泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的檢測技術(shù)進行歸納和多角度對比分析；最后，指出了現(xiàn)有技術(shù)的優(yōu)缺點和存在的問題，針對隱蔽通道的構(gòu)建和檢測技術(shù)的不足，給出了具體建議，分析了隱蔽通道的未來研究方向。