前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全之IP隱通道探究范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
摘要:目前網(wǎng)絡(luò)安全的形勢(shì)日益嚴(yán)峻,網(wǎng)絡(luò)安全領(lǐng)域中的攻擊手段層出不窮,目前利用隱通道傳輸信息也是網(wǎng)絡(luò)攻擊與防御中使用的一種方法。在包交換網(wǎng)絡(luò)中,ip隱通道的實(shí)現(xiàn)方式主要是IP存儲(chǔ)隱通道與IP時(shí)間隱通道,其中IP時(shí)間隱通道利用數(shù)據(jù)包的時(shí)間屬性隱蔽的特點(diǎn)傳輸信息,難于檢測(cè)與消除,是現(xiàn)在IP隱通道技術(shù)的主流。
關(guān)鍵詞:存儲(chǔ)隱通道;時(shí)間隱通道;IP隱通道
0引言
網(wǎng)絡(luò)安全領(lǐng)域中攻擊手段、方式層出不窮,對(duì)于信息的完整性、保密性、可用性、可控性和不可否認(rèn)性造成了嚴(yán)重的威脅。從網(wǎng)絡(luò)防御的角度如何保護(hù)信息或數(shù)據(jù)的安全,一種有效方式就是實(shí)現(xiàn)隱蔽通信。隱蔽通信是指采取了隱蔽措施的通信,使得竊密者無(wú)法感知到信息的傳輸或?qū)孬@到的信息無(wú)法解讀,從而達(dá)到對(duì)傳輸信息的保護(hù)。目前隱蔽通信的方式大致有:傳輸信息的隱蔽、通信方式的隱蔽、傳輸信道的隱蔽、傳輸信號(hào)頻譜(或其他物理信息)的隱蔽。其中傳輸信道的隱蔽,即隱通道信息傳輸更為隱秘,更不易被感知與截獲,在隱蔽通信中應(yīng)用越來(lái)越寬泛。
1隱通道
隱通道(CovertChannel)的概念形成于上世紀(jì)70年代初期,美國(guó)國(guó)防部的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”把對(duì)隱通道的限制和分析納入了安全計(jì)算機(jī)系統(tǒng)的標(biāo)準(zhǔn)中。隱通道是一個(gè)能繞過(guò)系統(tǒng)制定好的安全機(jī)制的通信通道,以違反信息安全策略的方式傳輸信息,發(fā)送、接收雙方利用合法操作實(shí)現(xiàn)隱蔽傳輸信息的目的,具有抗截獲、抗檢測(cè)等特點(diǎn)。從嵌入隱蔽信息的方式進(jìn)行劃分,隱通道分為存儲(chǔ)隱通道(CovertStorageChannel)和時(shí)間隱通道(CovertTimingChannel)。存儲(chǔ)隱通道是指發(fā)送方將信息直接或間接地寫(xiě)入某些存儲(chǔ)位置(內(nèi)存單元、外存空間、網(wǎng)絡(luò)數(shù)據(jù)包等),而接收方通過(guò)讀取此存儲(chǔ)位置的信息,按照雙方約定好的規(guī)則還原出來(lái)自發(fā)送方的信息。時(shí)間隱通道是指發(fā)送方將信息嵌入到與時(shí)間有關(guān)的參數(shù)中,在信息交互中并不改變信息的內(nèi)容,接收方通過(guò)預(yù)先定義好的規(guī)則將順序、間隔、周期變化等與時(shí)間有關(guān)的參數(shù)來(lái)還原信息,達(dá)到隱蔽傳輸信息的目的。
2IP隱通道
因網(wǎng)絡(luò)隱通道與網(wǎng)絡(luò)協(xié)議密切相關(guān),TCP/IP作為事實(shí)上的網(wǎng)絡(luò)協(xié)議應(yīng)用廣泛,其應(yīng)用場(chǎng)景為路由、交換等網(wǎng)絡(luò)設(shè)備所組成的包交換網(wǎng)絡(luò)中,因此在包交換網(wǎng)絡(luò)中的網(wǎng)絡(luò)隱通道也稱(chēng)為IP隱通道,IP隱通道通常分為IP存儲(chǔ)隱通道與時(shí)間隱通道。
2.1IP存儲(chǔ)隱通道
IP存儲(chǔ)隱通道主要是利用網(wǎng)絡(luò)協(xié)議漏洞,利用協(xié)議報(bào)文的報(bào)頭中選項(xiàng)域字段,將需要傳輸?shù)男畔⑶度肫渲校_(dá)到隱蔽傳輸?shù)男Ч?。因某些選項(xiàng)域字段空閑不用,而且其長(zhǎng)度可變,同時(shí)網(wǎng)絡(luò)中安全機(jī)制或者安全設(shè)備對(duì)此并不做檢測(cè),使通過(guò)該種方式建立隱通道成為可能。其中常見(jiàn)的實(shí)現(xiàn)途徑有:IP、ICMP、TCP、HTTP等?;诰W(wǎng)絡(luò)的IP存儲(chǔ)隱通道,一般是通過(guò)修改網(wǎng)絡(luò)包的包頭(協(xié)議冗余位)或載荷數(shù)據(jù)(協(xié)議偽裝)傳輸信息。此種類(lèi)型的隱通道利用現(xiàn)有協(xié)議報(bào)文中的冗余位,非常容易實(shí)現(xiàn),成本低廉。初期該種方式吸引了眾多科研工作者利用協(xié)議中的冗余位實(shí)現(xiàn)隱蔽通信。IP存儲(chǔ)隱通道網(wǎng)絡(luò)中常用的傳輸安全的檢測(cè)手段為防火墻,目前防火墻中常見(jiàn)的是包過(guò)濾防火墻,其主要依據(jù)源地址、目的地址、源端口號(hào)、目的端口、協(xié)議等五元組來(lái)完成對(duì)數(shù)據(jù)包的過(guò)濾,不會(huì)檢查報(bào)文的內(nèi)容,無(wú)法對(duì)隱通道進(jìn)行檢測(cè)與阻止。隨著技術(shù)發(fā)展,防火墻技術(shù)引入了流量正規(guī)化技術(shù)(trafficnor-malization),即將進(jìn)出IP數(shù)據(jù)包的冗余位強(qiáng)制使用相同的格式改寫(xiě),有效地限制了IP存儲(chǔ)隱通道的使用。
2.2IP時(shí)間隱通道
隨著防火墻技術(shù)、入侵檢測(cè)防御系統(tǒng)的發(fā)展,利用IP存儲(chǔ)隱通道傳輸信息越來(lái)越難以隱蔽,因此又發(fā)展出利用時(shí)間屬性的IP時(shí)間隱通道,由于包交換網(wǎng)絡(luò)的時(shí)延因素更為復(fù)雜,因此IP時(shí)間隱通道很難被檢測(cè)與消除?;诰W(wǎng)絡(luò)的IP時(shí)間隱通道(IPCovertTimingChannel),不修改網(wǎng)絡(luò)包本身,將隱蔽傳輸?shù)男畔⒄{(diào)制成與時(shí)間相關(guān),發(fā)送方通過(guò)改變網(wǎng)絡(luò)包的間隔、速率、順序等方式將傳輸信息嵌入,接收方按照相同規(guī)則檢測(cè)、度量這些網(wǎng)絡(luò)包的相應(yīng)時(shí)間屬性進(jìn)行解析獲得信息。依據(jù)不同時(shí)間類(lèi)型,IP時(shí)間隱通道可以分為網(wǎng)絡(luò)包時(shí)間間隔、網(wǎng)絡(luò)包速率、網(wǎng)絡(luò)包順序、及其他可以利用時(shí)間屬性表達(dá)隱藏信息的隱通道。由于網(wǎng)絡(luò)環(huán)境復(fù)雜多變,網(wǎng)絡(luò)包間間隔時(shí)間序列具有復(fù)雜多變的特點(diǎn),包間時(shí)延隱通道通過(guò)控制網(wǎng)絡(luò)包之間的延時(shí)間隔,通過(guò)自主產(chǎn)生載體數(shù)據(jù)流(主動(dòng)式隱通道)或者操控其他載體數(shù)據(jù)流嵌入隱蔽信息(被動(dòng)式隱通道)來(lái)傳輸隱蔽信息,其適用性最廣,收發(fā)雙方可跨越本地物理網(wǎng)絡(luò),可以部署在傳輸終端或網(wǎng)絡(luò)中間節(jié)點(diǎn),是目前IP時(shí)間隱通道研究的主流。
2.3包間時(shí)延IP時(shí)間隱通道
包間時(shí)延IP時(shí)間隱通道是指發(fā)送方將秘密消息調(diào)制到網(wǎng)絡(luò)傳輸?shù)牡臄?shù)據(jù)包間時(shí)間間隔中,接收方記錄網(wǎng)絡(luò)包到達(dá)的時(shí)間,根據(jù)網(wǎng)絡(luò)包的時(shí)間間隔來(lái)還原出隱蔽消息。(1)包間時(shí)延IP隱通道的分類(lèi)包間時(shí)延隱通道通過(guò)改變相鄰網(wǎng)絡(luò)包的時(shí)間間隔嵌入隱蔽消息,按照對(duì)時(shí)間參數(shù)的定義不同,可分為以下幾類(lèi):①I(mǎi)P網(wǎng)絡(luò)包隱通道:在設(shè)定時(shí)間段內(nèi),發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸1,不發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包代表傳輸0。②擊鍵間隔隱通道:Telnet等應(yīng)用每次擊鍵都發(fā)送一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包,設(shè)定時(shí)間間隔預(yù)設(shè)值x,控制它們所發(fā)送的網(wǎng)絡(luò)包間隔t,當(dāng)網(wǎng)絡(luò)包時(shí)間間隔t>x時(shí)定義為1,反之當(dāng)t<x時(shí)定義為0。③重放時(shí)間隱通道:與擊鍵間隔隱通道類(lèi)似,預(yù)先收集大量正常網(wǎng)絡(luò)發(fā)送行為的包間隔,按間隔長(zhǎng)短分為2個(gè)集合(較小的間隔歸入集合1、較大的歸入集合2),發(fā)送方要傳輸0時(shí)從集合1中選取一個(gè)時(shí)間間隔,同理發(fā)送1時(shí)從集合2中選取一個(gè)間隔。(2)包間時(shí)延IP隱通道的檢測(cè)包間時(shí)延隱通道在包交換網(wǎng)絡(luò)中將隱蔽消息嵌入到IPD中,改變了IPD的分布統(tǒng)計(jì)規(guī)律。根據(jù)隱蔽通信和正常通信在IPD分布上的區(qū)別,下面介紹常見(jiàn)的幾種包間時(shí)延隱通道的種檢測(cè)方法:①形狀檢測(cè)?;诮y(tǒng)計(jì)建模的思想,對(duì)時(shí)間間隔序列執(zhí)行統(tǒng)計(jì),計(jì)算樣本的分布規(guī)律,檢測(cè)時(shí)統(tǒng)計(jì)實(shí)際網(wǎng)絡(luò)包的時(shí)間間隔序列與正常通信的統(tǒng)計(jì)樣本的差值,充分考慮網(wǎng)絡(luò)抖動(dòng)及時(shí)延的情況下,若兩者之間的差值超出預(yù)先設(shè)置好的閾值時(shí),就可以初步判斷網(wǎng)絡(luò)通信中是否還有隱通道。由于實(shí)際網(wǎng)絡(luò)時(shí)延的不確定性,閾值的選取非常困難,實(shí)際的檢測(cè)結(jié)果也不盡如人意。②規(guī)則檢測(cè)。正常網(wǎng)絡(luò)IPDs隨時(shí)間不斷變化,而隱通道的IPDs由于其按照既定策略進(jìn)行調(diào)整導(dǎo)致其變化規(guī)律相對(duì)固定。將IPDs分段,比較正常網(wǎng)絡(luò)IPDs與待檢測(cè)網(wǎng)絡(luò)IPDs每段的變化差值來(lái)檢測(cè)是否存在隱通道。由于包交換網(wǎng)絡(luò)的不穩(wěn)定性,該種檢測(cè)方式誤差較大。③熵檢測(cè)。主要以重復(fù)時(shí)間間隔為檢測(cè)對(duì)象,在規(guī)則性檢測(cè)的基礎(chǔ)上,使用高階熵率(熵率代表無(wú)窮序列的不確定性,熵率小說(shuō)明時(shí)間關(guān)聯(lián)度大,反之說(shuō)明關(guān)聯(lián)度?。z測(cè)隱通道產(chǎn)生的重復(fù)間隔。統(tǒng)計(jì)正常網(wǎng)絡(luò)通信和檢測(cè)對(duì)象的相對(duì)熵,計(jì)算它們概率分布之間的散度,判斷隱通道的存在。
3總結(jié)
由于IP隱通道是利用IP網(wǎng)絡(luò)中正常的數(shù)據(jù)傳輸通道,對(duì)其檢測(cè)及防御非常困難,尤其是IP時(shí)間隱通道利用了包交換網(wǎng)絡(luò)中的時(shí)間屬性,其隱蔽性更強(qiáng),對(duì)其的檢測(cè)更加困難,目前是IP隱通道中的主流技術(shù),不過(guò)總體來(lái)說(shuō)IP時(shí)間隱通道對(duì)于網(wǎng)絡(luò)抖動(dòng)異常敏感,目前的實(shí)現(xiàn)方式魯棒性不強(qiáng)、傳輸速率不高、抗干擾不強(qiáng),另外無(wú)論在檢測(cè)技術(shù)方面還是實(shí)現(xiàn)技術(shù)方面都還有很多難點(diǎn)需要攻克,隨著人工智能的發(fā)展,其基于IP時(shí)間隱通道的滲透與防御將會(huì)更加錯(cuò)綜復(fù)雜,也將是網(wǎng)絡(luò)安全領(lǐng)域未來(lái)持續(xù)研究的熱點(diǎn)。
作者:張博 單位:北京政法職業(yè)學(xué)院信息技術(shù)系
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:北大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)