网络隐蔽通道构建关键技术研究综述

网络隐蔽通道是指在网络环境下用于传输秘密信息的通道。传统网络隐蔽通道的构建主要基于信息内容隐写技术,而目前该领域的研究正逐渐转向通过隐蔽网络通信架构完成隐蔽传输。梳理了当前网络隐蔽通道构建研究领域的主流技术,总结了各网络层次隐蔽通道的构建技术,介绍了新型网络隐蔽通道,包括流媒体、区块链和IPv6,填补了现有工作的空白,为随后在这些新网络环境中设计隐蔽通道提供了研究思路。最后,提出了隐蔽通道构建面临的主要挑战,一是封锁技术降低了通道的可用性,二是使用机器学习和深度学习技术使得隐蔽通道更易被攻击,并指出了技术上的解决方向。

泛在网络环境下隐蔽通道关键技术研究综述

在泛在网络环境下,隐蔽通道通过修改系统共享资源,绕开系统的安全策略传输隐蔽信息,给计算机和网络系统造成了严重的安全威胁。针对此问题,主要从度量、构建和检测3个方面对泛在网络环境下的隐蔽通道相关研究进行归纳和分析。首先,总结归纳了典型的隐蔽通道度量指标,包括隐蔽通道的容量、稳健性、抗检测性、规律性和形状。其次,归纳整理了隐蔽通道的构建方法,并从共享资源、容量、稳健性、抗检测性、优点和缺点6个方面对隐蔽通道构建技术进行了对比分析。再次,从隐蔽通道类型、准确率、是否能盲检、优点和缺点5个方面对比分析了隐蔽通道的检测技术。最后,总结了隐蔽通道的发展趋势并展望了未来研究方向。

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。

基于链路分析法的复合隐蔽通道检测

在研究隐蔽通道的检测方法时,可以将隐蔽通道分成两大类:单一隐蔽通道和复合隐蔽通道。复合隐蔽通道具有了跨越多主机的特点,简单的主机入侵检测体系结构很难对此进行检测,而数据融合技术可以有效地解决这个问题。文中提出了基于数据融合思想的链路分析法,并对复合隐蔽通道的特点、链路分析法检测复合隐蔽通道的理论以及软件的设计进行描述。

数据库系统隐蔽通道分析的设计

从隐蔽通道概念入手,阐述了隐蔽通道分析在Oracle中的设计思想,讨论了隐蔽通道分析的内容与层次、隐蔽通道的标识方法、隐蔽通道带宽的计算与测量、隐蔽通道的处理,就如何提高Oracle9i安全性能提供了一种途径。

基于DNS的隐蔽通道流量检测

为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。提出的检测方法在校园网流量实际部署中成功检出了多个DNS隧道的存在。

可生存性MLS/DBMS中基于隐蔽通道的恶意事务检测

多级安全数据库系统(MLS/DBMS)中并发控制协议并不能彻底消除所有的隐蔽通道.在隐蔽通道无法避免的情况下,已渗透的恶意事务可以利用隐蔽通道泄漏和篡改机密信息.为提高数据库的可生存性,首先分析了MLS/DBMS系统中的隐蔽通道,通过对真实情况的参数模拟和实验分析,结合恶意事务特征和隐蔽通道带宽的异常改变,给出可生存DBMS中的同谋事务和恶意事务的检测,并提出了同谋用户造成隐蔽通道传递性的机理以及恶意噪声事务对其的影响.

基于HTTP协议的网络隐蔽通道研究

网络数据流中利用隐蔽通道来进行非法通信已逐渐成为威胁网络信息安全的一种重要手段。该文从攻击者的角度研究隐蔽通道,针对利用低层协议构建隐蔽通道的不足,提出了使用HTTP协议构建隐蔽通道的方法,有效地提高了隐蔽通道的隐蔽性、抗屏蔽性。

抗隐蔽通道的网络隔离通信方案

随着网络技术的发展,广泛互联互通的异构网络间的信息交互越来越频繁。为有效保障信息跨网安全实时交换,提出了一种抗隐蔽通道的网络隔离通信方案(NICS,network isolation communication scheme)。建立了NICS理论模型,基于信息论理论证明了该方案的正确性,并给出了具体的实施方案。安全特性分析表明,NICS可有效解决不同网络的通信协议均存在潜在的数据分组大小隐蔽通道与状态信息隐蔽通道的问题;在交互相同信息量的前提下,可实现与物理隔离等价的抗隐蔽通道的安全效果。

基于IP报头选项的网络隐蔽通道技术

为扩展和丰富协议隐写的载体,研究使用IP报头选项进行信息隐藏的可能性。通过对协议规范的分析,发现对选项指针字段的改写可以在选项字段中形成4种新的隐蔽通道。讨论这些隐蔽通道的原理,在模拟真实互联网的环境下实现防止路由器改写的IP选项通道,并结合网络隐蔽通道检测技术研究的最新进展分析对抗隐写分析应采取的措施。

安胜安全操作系统的隐蔽通道分析

安胜安全操作系统是自主研制的基于 Linux 的高安全等级安全操作系统,包括安全内核,安全架构与安全模型.总结了对该系统进行的隐蔽通道分析方法,首次报道基于 Linux 内核开发的安全操作系统的隐蔽通道分析结果.应用新型的“回溯方法”发现了某些新的隐蔽通道.对被标识的隐蔽通道,准确地计算了它们的带宽,并进行了适当的隐蔽通道处理.

隐蔽通道发现技术综述

本文首先解释了隐蔽通道的概念,介绍了隐蔽通道的分类。然后花主要精力,结合实例概述了当代国际上已经使用过的隐蔽通道的方法。并且对目前已有的这些方法从不同的方面给出了对比性的评价。在文章的讨论部分,作者基于目前的形势以及传统发现方法的限制给出了针对隐蔽通道发现方法建设性的见解和展望。

基于BHO的网络隐蔽通道研究

针对现有网络隐蔽通道在流量隐藏和代理穿透方面的不足,提出一种基于浏览器帮助对象(BHO)构建网络隐蔽通道的方法。BHO自身的"合法性"和"寄生性"不仅为躲避杀毒软件和防火墙提供天然屏障,而且能为流量隐藏和代理穿透提供有利条件。该文给出详细方案设计和代码框架,通过测试验证该隐蔽通道的有效性。针对其可能带来的危害,提出防御建议。

网络数据通信中的隐蔽通道技术研究

介绍了隐蔽通道技术的概念，讨论了在网络通信中隐蔽通道存在的技术基础和实现原理，对基于网络通信协议的隐蔽通道技术和基于隐写术的隐蔽通道技术进行了深入分析。在此基础上讨论了隐蔽通道技术的发展趋势并从网络安全的角度给出了对网络通信中隐蔽通道的防范措施。

基于概率干扰的概率隐蔽通道仿真研究

讨论了影响概率隐蔽通道带宽和传输错误率的因素,对不满足BSPNI(bi-simulation strong probabilistic non-interference)、PBNDC(probabilistic non-deducibility on composition)和SPBNDC(strong probabilistic BNDC)性质的系统概率隐蔽通道进行了仿真,仿真结果表明,概率隐蔽通道的带宽与硬/软件配置、概率调度因子和调度次数有密切关系,当硬/软件配置和概率调度因子固定时,概率隐蔽通道的带宽近似地反比于调度次数;传输错误率与概率调度因子和调度次数关系密切,调度次数越大,传输错误率越小。

IPv6中的网络隐蔽通道技术研究

为了扩展和丰富信息隐藏的载体,探讨了使用IPv6数据包进行信息隐藏的可能性.针对IPv6的不完善之处,对IPv6协议的数据包格式进行了详尽的分析,在此基础上发现了IPv6数据包中存在保留字段、转发时被节点忽略的字段、定义不完整字段和非关键字段等可隐匿信息的字段.这表明IPv6的冗余字段太多,协议设计时语法规则限定过宽,从而得出IPv6数据包是信息隐藏的良好载体的结论.上述字段构成了对象排序隐蔽通道等19种新的网络隐蔽通道,可用于特定目的的网络隐蔽通信.归纳了这些隐蔽通道的类型,对不同类型的隐蔽通道进行了阐述,最后对IPv6网络隐蔽通道的研究方向进行了展望.

基于信息熵SVM的ICMP负载隐蔽通道检测

许多网络设备考虑ICMP流量是良性,对其负载部分不进行检测,因此,攻击者可以将生成的任意信息隐藏在ICMP的有效负载中。将信息熵引入到支持向量机建模中,分析了高熵点与支持向量的关系,进一步构造出用于检测ICMP负载隐蔽通道的信息熵支持向量机模型,最后给出了相关实验,实验结果表明使用信息熵支持向量机检测ICMP负载隐蔽通道具有较快的分类速度和较高的分类精度。

TCP协议中隐蔽通道的研究

信息安全是目前最活跃的一个研究方向,在开放的网络环境中如何保证信息的安全成为人们关注的焦点。而信息安全的一个重要分支:隐写术的研究正越来越受到重视。论文给出了隐写术的主要框架、详细分析了TCP协议的包头;然后给出在TCP协议中实现隐蔽通道的方法,最后,分析了此项研究的广阔前景。

基于信息流分析的隐蔽通道分类与标志

基于安全操作系统SLinux的设计开发实践,采用信息流序列来描述信息流和隐蔽通道,阐述了基于信息流分析的隐蔽通道的分类,刻画了隐蔽通道信息流分类特性,探讨了隐蔽通道完备性处理方法。在此基础上,提出了基于信息流分析的隐蔽通道通用检查框架,设计了隐蔽通道信息流标志优化规则,通过实例验证分析,说明该方法能够有效地限制隐蔽通道信息流组合扩散、减少误报伪非法流,能有效简化隐蔽通道的分析过程。

一个安全操作系统SLinux隐蔽通道标识与处理

标识与处理隐蔽通道是美国橘皮书TCSEC对B2及以上级别安全产品的关键评估要求,也是国际标准CC评估EAL5及以上系统的关键指标.本文基于安全操作系统SLinux的设计开发实践,给出一个安全系统隐蔽通道的标识方案、分析流程、分析结果,论述了隐蔽通道带宽计算的关键点,探讨了隐蔽通道标识与处理方案.