基于带宽估算的网络隐蔽时间通道威胁评估研究(正文).docVIP

基于带宽估算的网络隐蔽时间通道威胁评估研究 摘要：网络隐蔽时间通道通过控制报文传输的时间特征来实现信息秘密传递，基于该方式的信息泄露通常能绕过防火墙和入侵检测等安全系统的检测和控制，从而带来严重的安全威胁。本文试图从估算最大带宽的角度评估给定网络环境下网络隐蔽时间通道导致的安全威胁，首先分析各类网络隐蔽时间通道的带宽特点，确定出其中有望获得高带宽的两类通道；其次从信息论角度对这两类通道的最大带宽进行估算，进而评估出给定网络环境下的信息泄露威胁；最后通过实际构造隐蔽时间通道和信息传递过程验证所估算带宽的可实现性，并对实际网络进行信息泄露的威胁监控。 关键字：网络隐蔽时间通道，信息论，带宽估算，安全威胁评估 1、引言 在防火墙等安全机制保护的网络中，当外网攻击者（或特洛伊木马）试图从所侵害或劫持的主机中窃取信息时，需要采用一些间接的通信机制，否则防火墙等会检测出这些信息泄露并加以阻止。作为一种秘密的信息传递机制，网络隐蔽通道[1][2]将信息隐藏在正常的网络流中进行传递，由于不生成额外报文，基于网络隐蔽通道的信息泄露通常能够绕过网络安全机制的检测和控制。 近几年来，网络隐蔽通道逐渐引起人们重视。一方面它给网络信息安全带来了切实的威胁，这主要体现为：各种计算机病毒、木马等恶意软件几乎扩散到网络的各个角落，难以彻底杜绝这些恶意软件接触到机密信息，而网络隐蔽通道给这些恶意软件绕过网络安全机制（防火墙、安全网关等）向外传播信息提供了可行的技术手段。另一方面，随着全球信息化的发展，不同应用领域、不同密级网络间的网络互联需求越来越明显，也越来越受到重视，如我国的863计划开始立项支持不同密级网络互联相关的研究，而网络隐蔽通道的分析、检测及控制是实现不同密级网络互联所需关注的问题。 隐蔽通道威胁评估是隐蔽通道相关研究的重要内容，目前业界和相关安全标准一般都从隐蔽通道的信道带宽角度来衡量隐蔽通道所带来的安全威胁，并依据带宽采取不同的处理方法[3][4]。隐蔽通道的带宽，即隐蔽通道所能达到的最大信息传递速率，体现了该隐蔽通道的信息扩散速度[5]。以往相关研究主要集中在主机隐蔽通道上，如Millen和Tsai等分别提出非形式化和形式化的带宽估算方法[6][7]。本文主要研究网络隐蔽通道的带宽估算方法，以揭示给定网络环境下网络隐蔽通道所带来的信息泄露威胁。网络隐蔽通道分为网络隐蔽存储通道和网络隐蔽时间通道[2]，本文研究主要集中通信过程较为复杂、也难以控制和消除的网络隐蔽时间通道上。 本文剩余章节组织如下，第2节介绍了网络隐蔽通道的概念和类型，重点分析各种网络隐蔽时间通道的带宽特点；第3节研究特定通信参数下ON/OFF通道的信息传递速率计算方法，以及给定网络环境下ON/OFF通道最大带宽的估算方法；第4节提出了时间间隔通道在特定通信参数下的信息传递速率计算方法，并获得给定网络环境下时间间隔通道的最大带宽；第5节通过实际构造隐蔽时间通道和信息传递过程验证所估算带宽的可实现性，并对实际网络进行信息泄露的威胁监控；结论和下一步工作在第6节中给出。 2、相关工作和研究背景 2.1 网络隐蔽通道的概念和类型 隐蔽通道由Lampson在1973年提出[8]，隐蔽通道最初局限于单个主机系统中，用于表示一个计算机系统中两个主体（进程或用户）间的通信信道[9]，该通信信道以非数据客体为载体实现主体间非法的、隐秘的信息传递。上世纪90年代以来，隐蔽通道的概念逐渐从单个系统扩展到网络上，即网络隐蔽通道。 网络隐蔽存储通道（下文简称为存储通道）主要利用网络报文的协议头来实现信息传递。目前多数协议的报文头部中存在一些预留的协议字段[10]，或在特殊情况下才使用的协议字段（如IP分片相关的协议字段），在存储通道中，信息通常被隐藏在这些字段中进行传递。目前已有多种类型的存储通道相继被发现，具体涉及MAC、IP、ICMP、TCP、HTTP等多种网络协议[11-15]。同时相关学者也提出一些存储通道检测和消除方法，如在网关处观察相应协议字段的设置情况检测存储通道[16]、通过规范化网络报文中的预留或未用字段来消除存储通道[17]。 2.2 网络隐蔽时间通道的基本原理和相关研究 网络隐蔽时间通道（下文简称为时间通道）基于报文传输的时间特征来秘密完成信息传递，具体原理为：发送端以报文的发送时间特征来表示或编码将要传递的信息，而接收者观察报文到达的时间特征，依据报文到达时间特征与报文发送时间特征间的联系，推测出报文发送时间特征，进一步从中解码出发送来的信息。对网络隐蔽通道而言，信息的接收者不一定要在报文到达的目标主机上，接收者只要在报文途经的网络路径上、能够获得报文的协议信息或传输时间特征即可[18]。 近几年来，时间通道相关研究逐渐引起了人们的重视，多种形式的时间通道相继提出，目前这些时