網(wǎng)絡安全之IP隱通道探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡安全之IP隱通道探究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：目前網(wǎng)絡安全的形勢日益嚴峻，網(wǎng)絡安全領域中的攻擊手段層出不窮，目前利用隱通道傳輸信息也是網(wǎng)絡攻擊與防御中使用的一種方法。在包交換網(wǎng)絡中，ip隱通道的實現(xiàn)方式主要是IP存儲隱通道與IP時間隱通道，其中IP時間隱通道利用數(shù)據(jù)包的時間屬性隱蔽的特點傳輸信息，難于檢測與消除，是現(xiàn)在IP隱通道技術的主流。

關鍵詞：存儲隱通道；時間隱通道；IP隱通道

0引言

網(wǎng)絡安全領域中攻擊手段、方式層出不窮，對于信息的完整性、保密性、可用性、可控性和不可否認性造成了嚴重的威脅。從網(wǎng)絡防御的角度如何保護信息或數(shù)據(jù)的安全，一種有效方式就是實現(xiàn)隱蔽通信。隱蔽通信是指采取了隱蔽措施的通信，使得竊密者無法感知到信息的傳輸或對截獲到的信息無法解讀，從而達到對傳輸信息的保護。目前隱蔽通信的方式大致有：傳輸信息的隱蔽、通信方式的隱蔽、傳輸信道的隱蔽、傳輸信號頻譜（或其他物理信息）的隱蔽。其中傳輸信道的隱蔽，即隱通道信息傳輸更為隱秘，更不易被感知與截獲，在隱蔽通信中應用越來越寬泛。

1隱通道

隱通道（CovertChannel）的概念形成于上世紀70年代初期，美國國防部的“可信計算機系統(tǒng)評估準則”把對隱通道的限制和分析納入了安全計算機系統(tǒng)的標準中。隱通道是一個能繞過系統(tǒng)制定好的安全機制的通信通道，以違反信息安全策略的方式傳輸信息，發(fā)送、接收雙方利用合法操作實現(xiàn)隱蔽傳輸信息的目的，具有抗截獲、抗檢測等特點。從嵌入隱蔽信息的方式進行劃分，隱通道分為存儲隱通道(CovertStorageChannel)和時間隱通道(CovertTimingChannel)。存儲隱通道是指發(fā)送方將信息直接或間接地寫入某些存儲位置（內存單元、外存空間、網(wǎng)絡數(shù)據(jù)包等），而接收方通過讀取此存儲位置的信息，按照雙方約定好的規(guī)則還原出來自發(fā)送方的信息。時間隱通道是指發(fā)送方將信息嵌入到與時間有關的參數(shù)中，在信息交互中并不改變信息的內容，接收方通過預先定義好的規(guī)則將順序、間隔、周期變化等與時間有關的參數(shù)來還原信息，達到隱蔽傳輸信息的目的。

2IP隱通道

因網(wǎng)絡隱通道與網(wǎng)絡協(xié)議密切相關，TCP/IP作為事實上的網(wǎng)絡協(xié)議應用廣泛，其應用場景為路由、交換等網(wǎng)絡設備所組成的包交換網(wǎng)絡中，因此在包交換網(wǎng)絡中的網(wǎng)絡隱通道也稱為IP隱通道，IP隱通道通常分為IP存儲隱通道與時間隱通道。

2.1IP存儲隱通道

IP存儲隱通道主要是利用網(wǎng)絡協(xié)議漏洞，利用協(xié)議報文的報頭中選項域字段，將需要傳輸?shù)男畔⑶度肫渲校_到隱蔽傳輸?shù)男Ч?。因某些選項域字段空閑不用，而且其長度可變，同時網(wǎng)絡中安全機制或者安全設備對此并不做檢測，使通過該種方式建立隱通道成為可能。其中常見的實現(xiàn)途徑有：IP、ICMP、TCP、HTTP等?；诰W(wǎng)絡的IP存儲隱通道，一般是通過修改網(wǎng)絡包的包頭（協(xié)議冗余位）或載荷數(shù)據(jù)（協(xié)議偽裝）傳輸信息。此種類型的隱通道利用現(xiàn)有協(xié)議報文中的冗余位，非常容易實現(xiàn)，成本低廉。初期該種方式吸引了眾多科研工作者利用協(xié)議中的冗余位實現(xiàn)隱蔽通信。IP存儲隱通道網(wǎng)絡中常用的傳輸安全的檢測手段為防火墻，目前防火墻中常見的是包過濾防火墻，其主要依據(jù)源地址、目的地址、源端口號、目的端口、協(xié)議等五元組來完成對數(shù)據(jù)包的過濾，不會檢查報文的內容，無法對隱通道進行檢測與阻止。隨著技術發(fā)展，防火墻技術引入了流量正規(guī)化技術（trafficnor-malization），即將進出IP數(shù)據(jù)包的冗余位強制使用相同的格式改寫，有效地限制了IP存儲隱通道的使用。

2.2IP時間隱通道

隨著防火墻技術、入侵檢測防御系統(tǒng)的發(fā)展，利用IP存儲隱通道傳輸信息越來越難以隱蔽，因此又發(fā)展出利用時間屬性的IP時間隱通道，由于包交換網(wǎng)絡的時延因素更為復雜，因此IP時間隱通道很難被檢測與消除?；诰W(wǎng)絡的IP時間隱通道（IPCovertTimingChannel），不修改網(wǎng)絡包本身，將隱蔽傳輸?shù)男畔⒄{制成與時間相關，發(fā)送方通過改變網(wǎng)絡包的間隔、速率、順序等方式將傳輸信息嵌入，接收方按照相同規(guī)則檢測、度量這些網(wǎng)絡包的相應時間屬性進行解析獲得信息。依據(jù)不同時間類型，IP時間隱通道可以分為網(wǎng)絡包時間間隔、網(wǎng)絡包速率、網(wǎng)絡包順序、及其他可以利用時間屬性表達隱藏信息的隱通道。由于網(wǎng)絡環(huán)境復雜多變，網(wǎng)絡包間間隔時間序列具有復雜多變的特點，包間時延隱通道通過控制網(wǎng)絡包之間的延時間隔，通過自主產生載體數(shù)據(jù)流（主動式隱通道）或者操控其他載體數(shù)據(jù)流嵌入隱蔽信息（被動式隱通道）來傳輸隱蔽信息，其適用性最廣，收發(fā)雙方可跨越本地物理網(wǎng)絡，可以部署在傳輸終端或網(wǎng)絡中間節(jié)點，是目前IP時間隱通道研究的主流。

2.3包間時延IP時間隱通道

包間時延IP時間隱通道是指發(fā)送方將秘密消息調制到網(wǎng)絡傳輸?shù)牡臄?shù)據(jù)包間時間間隔中，接收方記錄網(wǎng)絡包到達的時間，根據(jù)網(wǎng)絡包的時間間隔來還原出隱蔽消息。（1）包間時延IP隱通道的分類包間時延隱通道通過改變相鄰網(wǎng)絡包的時間間隔嵌入隱蔽消息，按照對時間參數(shù)的定義不同，可分為以下幾類：①IP網(wǎng)絡包隱通道：在設定時間段內，發(fā)送網(wǎng)絡數(shù)據(jù)包代表傳輸1，不發(fā)送網(wǎng)絡數(shù)據(jù)包代表傳輸0。②擊鍵間隔隱通道：Telnet等應用每次擊鍵都發(fā)送一個網(wǎng)絡數(shù)據(jù)包，設定時間間隔預設值x，控制它們所發(fā)送的網(wǎng)絡包間隔t，當網(wǎng)絡包時間間隔t>x時定義為1，反之當t<x時定義為0。③重放時間隱通道：與擊鍵間隔隱通道類似，預先收集大量正常網(wǎng)絡發(fā)送行為的包間隔，按間隔長短分為2個集合（較小的間隔歸入集合1、較大的歸入集合2），發(fā)送方要傳輸0時從集合1中選取一個時間間隔，同理發(fā)送1時從集合2中選取一個間隔。（2）包間時延IP隱通道的檢測包間時延隱通道在包交換網(wǎng)絡中將隱蔽消息嵌入到IPD中，改變了IPD的分布統(tǒng)計規(guī)律。根據(jù)隱蔽通信和正常通信在IPD分布上的區(qū)別，下面介紹常見的幾種包間時延隱通道的種檢測方法：①形狀檢測?；诮y(tǒng)計建模的思想，對時間間隔序列執(zhí)行統(tǒng)計，計算樣本的分布規(guī)律，檢測時統(tǒng)計實際網(wǎng)絡包的時間間隔序列與正常通信的統(tǒng)計樣本的差值，充分考慮網(wǎng)絡抖動及時延的情況下，若兩者之間的差值超出預先設置好的閾值時，就可以初步判斷網(wǎng)絡通信中是否還有隱通道。由于實際網(wǎng)絡時延的不確定性，閾值的選取非常困難，實際的檢測結果也不盡如人意。②規(guī)則檢測。正常網(wǎng)絡IPDs隨時間不斷變化，而隱通道的IPDs由于其按照既定策略進行調整導致其變化規(guī)律相對固定。將IPDs分段，比較正常網(wǎng)絡IPDs與待檢測網(wǎng)絡IPDs每段的變化差值來檢測是否存在隱通道。由于包交換網(wǎng)絡的不穩(wěn)定性，該種檢測方式誤差較大。③熵檢測。主要以重復時間間隔為檢測對象，在規(guī)則性檢測的基礎上，使用高階熵率（熵率代表無窮序列的不確定性，熵率小說明時間關聯(lián)度大，反之說明關聯(lián)度小）檢測隱通道產生的重復間隔。統(tǒng)計正常網(wǎng)絡通信和檢測對象的相對熵，計算它們概率分布之間的散度，判斷隱通道的存在。

3總結

由于IP隱通道是利用IP網(wǎng)絡中正常的數(shù)據(jù)傳輸通道，對其檢測及防御非常困難，尤其是IP時間隱通道利用了包交換網(wǎng)絡中的時間屬性，其隱蔽性更強，對其的檢測更加困難，目前是IP隱通道中的主流技術，不過總體來說IP時間隱通道對于網(wǎng)絡抖動異常敏感，目前的實現(xiàn)方式魯棒性不強、傳輸速率不高、抗干擾不強，另外無論在檢測技術方面還是實現(xiàn)技術方面都還有很多難點需要攻克，隨著人工智能的發(fā)展，其基于IP時間隱通道的滲透與防御將會更加錯綜復雜，也將是網(wǎng)絡安全領域未來持續(xù)研究的熱點。

作者：張博 單位：北京政法職業(yè)學院信息技術系