浅谈互联网上信息隐匿检测和攻击.docVIP

浅谈互联网上信息隐匿检测和攻击 　　摘要：本文针对信息掩密技术，分析信息掩密技术的各种检测方法和攻击方法，这不仅对改进和设计信息隐匿的算法具有重要的理论意义，而且对设计安全性高的掩密通信系统具有重要的指导意义和实际意义。 关键词：互联网 掩密通信 信息隐匿 鲁棒性 中图分类号：TP393文献标识码： A 文章编号： 1．引言 随着网络化程度的日益提高，各种信息隐匿技术应运而生并迅速被用于网络系统中进行掩密通信，如利用网络协议报文结构在公告处于、聊天室等网络系统中进行掩密通信，利用IP电话、视频会议系统进行实时秘密信息的隐蔽传输等。因此，如何实时地检测攻击网络上传输的隐匿信息已经成为重要的研究方向。 2．基于网络传输的信息隐匿的特点 现有的网络协议不仅为秘密信息的隐蔽传输提供传输机制，如事先将秘密信息隐匿于载体文件（掩护信息）中，然后通过底层的文件传输协议传输；而且协议本身的体系结构也可极好地作为秘密信息传输的载体。这些以实时掩密通信为目的的数据包与正常传输数据比较起来有以下几方面的特点。 1）秘密信息的安全性极高。一方面，由于各种隐匿软件利用人体感官、网络系统的缺陷以及通信信息的统计特性进行隐匿，使得秘密信息对于人类的感官可觉察性、对于各种网络应用系统的一般应用可觉察性、统计可觉察性极低；另一方面，秘密信息在嵌入载体信息之前采用了安全的加密算法，即使得到秘密信息也很难获得其明文信息。 2）秘密信息鲁棒性较差，抗攻击能力不是很强。实时的掩密通信对于鉴别区分隐匿有秘密信息的数据包和其他数据包的时间要求很高，所以不可能像水印检测那样，构造一个检测算子，经过分析运算得出结论。含有隐匿信息的数据通常在底层包结构中有特殊的标识，数据包中类似这样的标识容易被发现，并且一旦被发现就可以采用各种攻击手段进行破坏，甚至阻断秘密信息的传输。 3）秘密信息不是均匀地分布在通信的整个时间段。对于实时的掩密通信，通信的双方为了达到隐蔽的目的而不能在秘密信息传送完毕之后马上结束整个通信过程，也就是说，在通信快结束的过程，数据包没有隐匿秘密信息。同样，在通信开始阶段，秘密信息传输需要建立连接等过程，嵌入的信息量不是很多，嵌入算法考虑到安全性，并不是在相邻的一系列数据包中连续嵌入秘密信息。以上这些情况表现为秘密信息隐匿的非均匀性。 4）掩密通信的时间一般很长。根据信息隐匿中隐蔽性、隐匿量和鲁棒性的关系，以及网络实时传输的特点，秘密信息量直接影响载体文件大小，相应地增加了通信量和通信时间。 5）掩密通信时刻有其特有的规律性。这与实际使用隐匿软件的人员有很大关系。使用这种软件的人员根据任务的要求、本身的心理素质和个人喜好选择通信时间，这些都反映在网络流量统计数据中。 3．实时传输的掩密通信检测攻击 与密码攻击类似，针对信息隐匿系统的攻击可以直接攻击系统协议中所用的隐匿算法，或用来实现该算法和协议的隐匿技术，或攻击协议本身。这里假设系统采取的隐匿算法是安全的，只关注对实现算法和协议的隐匿技术和协议的攻击。 1）互联网上实时传输的掩密通信检测 攻击者首先要判断隐匿信息是否存在，检测技术可以分为两类：异常检测和特征检测。 （1）异常检测 异常检测是指根据网络用户的行为和包数据的统计特殊性来判断是否进行了掩密通信，而不依赖于具体行为是否出现来检测，检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的隐匿方法，不像基于特征的检测那样受已知隐匿模式的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高，尤其在用户数据众多，或工作目的经常改变的环境中；其次，如果应用层数据如话音、图像混有环境噪声，将对这些数据的统计模型产生很大的影响，从而带来高的误检率和漏检率；再次，由于统计简表要不断更新，隐匿者如果知道某系统在检测的监视之下，他们能慢慢地训练检测系统，以至于最初认为是异常的行为，经过一段时间的训练后也认为是正常的了。异常检测主要用到概率统计的方法，检测器根据网络用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征来判断是否是异常行为。用户特征表需要根据两个方面分析结果不断地加以更新，首先是分析新近出现信息隐匿工具的隐匿方式和隐匿数据的统计特征得出的结果，其次就是审计记录。 （2）特征检测 特征检测指运用已知隐匿方法，根据已定义好的隐匿模式，通过判断这些隐匿模式是否出现来检测。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为分析管理人员做出相应措施提供了方便。其主要缺陷在于与具体系统依赖性太强，维护工作量大，而且