Real-Time Timing Channel Detection in a Software-Defined Networking Virtual Environment

Despite extensive research, timing channels (TCs) are still known as a principal category of threats that aim to leak and transmit information by perturbing the timing or ordering of events. Existing TC detection approaches use either signature-based approaches to detect known TCs or anomaly-based approach by modeling the legitimate network traffic in order to detect unknown TCs. Un-fortunately, in a software-defined networking (SDN) environment, most existing TC detection approaches would fail due to factors such as volatile network traffic, imprecise timekeeping mechanisms, and dynamic network topology. Furthermore, stealthy TCs can be designed to mimic the legitimate traffic pattern and thus evade anomalous TC detection. In this paper, we overcome the above challenges by presenting a novel framework that harnesses the advantages of elastic re-sources in the cloud. In particular, our framework dynamically configures SDN to enable/disable differential analysis against outbound network flows of different virtual machines (VMs). Our framework is tightly coupled with a new metric that first decomposes the timing data of network flows into a number of using the discrete wavelet-based multi-resolution transform (DWMT). It then applies the Kullback-Leibler divergence (KLD) to measure the variance among flow pairs. The appealing feature of our approach is that, compared with the existing anomaly detection approaches, it can detect most existing and some new stealthy TCs without legitimate traffic for modeling, even with the presence of noise and imprecise timekeeping mechanism in an SDN virtual environment. We implement our framework as a prototype system, OBSERVER, which can be dynamically deployed in an SDN environment. Empirical evaluation shows that our approach can efficiently detect TCs with a higher detection rate, lower latency, and negligible performance overhead compared to existing approaches.

处理器时间侧信道攻防技术综述

现代处理器优化机制众多,设计人员在追求性能提升时,往往忽略背后的安全风险。时间侧信道攻击因其影响面广且隐蔽性好已成为最主要的安全威胁之一。随着瞬态执行攻击的出现,时间侧信道攻击的能力被进一步扩展,计算系统的安全基础被动摇。为此,处理器厂商及安全人员提出了大量防御机制。这些机制具有不同的防护能力及性能开销。与此同时,新的瞬态执行漏洞和隐蔽信道也不断被发现,已提出的防御机制被不断突破。围绕处理器时间侧信道攻防技术的博弈日益激烈。本文从基本攻击原理出发,对现有时间侧信道攻击进行了归纳总结,并在此基础上进一步分析了相关防御机制的保护能力和性能瓶颈,从而梳理出时间侧信道攻防技术的发展趋势,为未来软硬件系统开发和安全技术探索提供参考。

An Efficient Secure Real-Time Concurrency Control Protocol

Secure real-time databases must simultaneously satisfy two requirements in guaranteeing data security and minimizing the missing deadlines ratio of transactions. However, these two requirements can conflict with each other and achieve one requirement is to sacrifice the other. This paper presents a secure real-time concurrency control protocol based on optimistic method. The concurrency control protocol incorporates security constraints in a real-time optimistic concurrency control protocol and makes a suitable tradeoff between security and real-time requirements by introducing secure influence factor and real-time influence factor. The experimental results show the concurrency control protocol achieves data security without degrading real-time perform ance significantly.

基于灰度图像转化的时间型隐蔽信道检测方法

时间型网络隐蔽信道是一种隐蔽性极高的信息泄露方式.其作为APT攻击的主要通信手段,对网络安全产生了极大威胁.目前针对隐蔽信道的检测方法通用性不足、误检率高,且人工提取流量特征耗时耗力.本文提出了一种基于灰度图像转化的检测方法.该方法将报文到达时间间隔归一化,转换成像素值,再将其转为灰度图像,由此把一维序列分类问题转成二维图像分类问题.本文使用卷积神经网络自动获取图像特征,并利用卷积块注意力模块,从空间与通道两个维度进行特征自适应优化.本文用合法流量和隐蔽信道流量组成的数据集训练网络,所得到的二分类模型用于判别被检测流量是否为时间型隐蔽信道流量.最后将提出的方法与现有的4种检测方法做对比.实验结果表明,本文方法具有更高的精确率和召回率,所得模型的通用性更好且误检率更低.

基于扩频Manchester码的可靠自同步网络隐蔽时间通信模型

针对包间延迟网络隐蔽时间信道存在的鲁棒性差、同步机制脆弱问题,提出了一种基于M anchester编码的可靠自同步网络隐蔽时间通信模型.首先,对秘密消息进行扩频操作,得到扩频码.然后,将流持续时间划分为若干相同长度时隙,每相邻两时隙构成一对,通过调整时隙对内包数量来模拟扩频码对应的Manchester编码中0和1的编码过程,以实现扩频码在流中的嵌入.同时,采用时间偏移量指示同步位置,使得调制后的流呈现自同步性,以便接收端准确恢复秘密消息.实验结果表明,与包间延迟方法相比,该模型能使收发双方更快速准确地保持同步,在不同网络负载下,秘密消息检测错误率最大值降低约85%,显著提升了对网络干扰因素的抵抗能力,且在网络流量较大时呈现出更好的隐蔽性.

一种基于时间隐蔽信道的WSN认证算法

为解决无线传感器网络(WSN)内节点与网关及网关与终端之间的数据安全传输问题,针对WSN节点受到严格时空资源限制的特点,提出了一种在WSN节点之间、节点与网关之间利用时间隐蔽通信来进行身份认证的算法,被认证方可通过调整发送的数据包间隔特征来携带认证信息,认证方则从接收的数据包间隔特征中提取认证信息以进行验证。仿真结果表明,在阈值选取适当的情况下,基于时间隐蔽通信的认证算法能在WSN环境下稳定地工作,获得正确可靠的编解码结果,可以以较低的时空开销保证WSN节点之间、节点与网关之间数据传输的安全性。

IP时间隐通道通信协议的研究

针对现有IP时间隐通道通信工具之间因缺乏统一的协议约束而不能互联互通的问题,在OSI参考模型的基础上建立IP时间隐通道四层协议模型,分析了协议各分层的功能,给出了具体的设计方案,并实现了一个满足分层协议功能要求的IP时间隐通道实用通信软件。

一种基于并发冲突间隔时间的隐蔽信道检测方法

采用多级安全策略的信息系统中,事务的并发冲突会导致数据冲突隐蔽信道.现有的隐蔽信道检测方法存在以下问题:1)分析角度单一,入侵者可以通过分散记录的方式逃避检测;2)使用单一的检测指标,存在一定的误判和漏判.提出了一种基于冲突间隔时间的隐蔽信道检测方法CTIBDA.该方法解决了以上问题:1)从主体和客体2种角度对冲突记录进行划分,以防止入侵者通过分散冲突记录的方式逃避检测;2)使用冲突间隔时间分布和冲突间隔时间序列2种规律性特征指标作为检测依据.实验结果证实,该方法能够降低检测结果的误报率和漏报率,提高准确率.同时该方法结构简单适合在线实施,对于其他的并发冲突隐蔽信道场景具有普遍的适用性.

IP时间隐通道抗检测技术的研究

在任何一个网络系统中,时间作为发送方和接收方的共享资源是无法被割断的,这使得IP时间隐通道几乎不可能被根除。通过分析现有的多种IP时间隐通道的检测方法,提出一种不需要计算伪装分布函数反函数的新型抗检测方法,提高了IP时间隐通道的抗检测性。

一种新型可靠网络隐蔽信道的研究

针对传统IP时间隐蔽信道传输速率低,在广域网中缺少一种稳定的时间同步机制,难以实现收发双方间可靠、稳定传输隐蔽信息的问题,提出了一种可靠网络隐蔽信道的模型。这种信道利用在固定时间窗口内发送的IP数据包数量作为载体传输隐蔽信息。通过引入一种新的信息编码机制,显著提高了网络隐蔽信道的传输带宽。进一步提出了一种比特块定界方法,解决了传统IP时间隐蔽信道的时间同步问题。实验结果表明,提出的可靠网络隐蔽信道的传输速率和稳定性均好于传统的IP时间隐蔽信道。

一种基于扩频编码的可靠网络隐蔽信道设计方法

针对网络隐蔽信道在强噪声环境中信息传递错误率高的问题,该文提出一种基于CDMA扩频编码的可靠网络隐蔽信道设计方法。该方法利用数据包在传输过程中的包际时延传递隐蔽信息,发送方采用散列扩频编码,接收方采用信道噪声预测消除等技术进行信道抗干扰处理,提高了强噪声环境中隐蔽信道通信的可靠性。针对信道抗干扰性与信道传输率两个主要衡量指标互斥、综合性能难以达到最优的问题,提出了基于选定传输率的抗干扰能力最优化方法。在TCP/IP网络中构建了该隐蔽信道,并进行了隐蔽信息传输实验,结果表明该文方法与解决同类问题的其他方法相比隐蔽信道数据传输的综合抗干扰能力提高20%左右。

二维IP时间隐通道的构建方法研究

基于IP数据包传输间隔时间变化通信的IP时间隐通道具有较好的隐蔽性,但它易受网络延迟与时延抖动的干扰,且带宽较低。而基于数据包标识号传输顺序变化通信的IP时间隐通道,易受网络中路由选择等因素的干扰,又因为统计数据显示只有0.1%至3%的IP数据包在网络传输过程中会出现错序现象,这决定它可使用的带宽十分有限。在研究上述两类不同类型IP时间隐通道的基础上,提出二维IP时间隐通道的概念,理论分析和实验验证均表明,二维IP时间隐通道融合了两类不同IP时间隐通道的优点,具有隐蔽性高、鲁棒性好,以及相对较高的带宽。

面向Liquid时间隐通道的检测方法

IP时间隐通道严重威胁着网络用户的信息安全,基于熵的检测方法是目前最有效的时间隐通道检测方法,可以检测已知的IP时间隐通道。而近期提出的Liquid时间隐通道将包序列分为两部分,通过相互间的补偿来有效地躲避了熵的检测。针对Liquid方法的特点,提出了基于滑动窗口的熵检测方法。该方法先利用滑动窗口找出隐信息包序列和补偿包序列,然后再基于正常通信和Liquid通信在这两种包序列间存在熵差异性的特点实现检测,大量实验结果表明该方法能够有效地检测出Liquid时间隐通道。

一种基于乐观方法的安全实时并发控制协议

实时数据库通常应用在一些安全关键类应用中,如电子商务、股票交易、军事指挥系统等。在这样一些应用中,实时数据库系统需同时满足两方面的需求:确保数据安全和尽可能减低实时事务错过截止期的比率。然而,通常这两方面需求是相互冲突的,满足一方面是以牺牲另一方面为代价。本文提出了一种基于乐观方法的安全实时并发控制协议,该协议将安全约束整合到实时乐观并发控制协议中,并能根据应用的需求在安全性和实时性方面进行了适当的折中。性能测试结果显示,该协议在确保数据安全的同时并未明显地降低实时性能。

基于微博发表时间的隐蔽信道研究

隐蔽信道既是隐蔽通信的重要工具,也是黑客窃取信息的重要手段。鉴于微博已成为最流行的互联网应用之一,研究了基于微博发表时间的隐蔽信道模型。发送方把秘密信息编码为微博的发表时间,接收方获取发表时间并解码原信息,实现隐蔽通信。针对微博发表时间的三个典型特性,设计了四种编码方法,并对其信道容量和抗时延抖动能力进行了分析评价。结果表明,以时间间隔和条数特性组合的编码方法的性能最优。

使用容量指标的安全实时数据库信道限制方法

依据可信计算机系统评测标准(TCSEC)要求,提出一种使用信道容量指标的安全实时数据库中数据竞争信道的限制方法(CUCCMM),给出了限制过程中信道容量度量算法和限制参数计算方法。为了保证系统的信道容量限制标准的准确执行,提出了一种基于多概率的并发控制协议选择策略(MPBPSP)。实验结果证明CUCCMM方法可以有效地、准确地实施对隐蔽信道容量的限制,并且通过使用MPBPSP策略显著降低了信道限制操作对系统实时性能的影响。

短消息指标新定义及在事务信道限制中的应用

短消息指标可以度量隐蔽信道的短消息传输能力,是信道容量的必要补充.但指标现有定义中还存在着以下问题:消息长度参数在普通信息系统中不能定量分析;信道限制机制难以同时满足传输时间和保真度两个约束;没有包含消息的敏感度信息.针对这些问题,首先通过引入短消息传输价值的概念,给出了短消息指标的新定义.在该定义中,利用价值阈值统一表示系统对信道短消息传输能力的容忍程度,并且在所采用的价值函数中引入了消息的敏感度因素.其后,基于安全实时数据库应用场景给出了结合短消息指标和信道容量的事务隐蔽信道度量和限制机制.理论分析和模拟结果表明,基于短消息指标的新定义,系统可以对隐蔽信道威胁实施全面的度量和可调节的限制.

基于平滑估计算法的网络隐蔽时间信道同步

研究网络隐蔽时间信道,针对已有隐蔽时间信道同步方法的不足提出一种基于平滑估计算法的同步方法,使发送方以块为单位发送数据,接收方通过平滑估计算法估计接收下一个报文需要的时间间隔。实验结果证明,在一定环境下,与原有方法相比,该方法使无差错传输所需报文间的时间间隔较短,在相同的无差错情况下,其数据传输速率提高了33%。

IP时间隐通道的信息隐藏算法及其性能分析

隐通道(亦称隐蔽信道)是高等级可信系统评估的重要指标,而以时间作为信息传输载体的工作方式决定了IP时间隐通道在包交换网络中几乎不能被根除.目前,利用IP时间隐通道在网络中实施信息的隐蔽传输没有统一的数学模型,对其研究主要还是依靠实验方式.首先根据时间的物理定义,将IP时间隐通道按工作方式的差异分成不同类别;然后以随机过程为工具,建立了基于定长时隙与包间延迟2种IP时间隐通道的信息隐藏算法模型;最后在此基础上,推导出了其带宽和误码率与相关网络环境参数的函数关系,并对可获取的有效隐蔽通信带宽与网络噪声的影响进行了一般性的讨论.实验结果印证了提出的数学模型及其理论分析结果的正确性,由此IP时间隐通道的研究可以从主要依靠实验转化为形式化分析与实验验证相结合.

多级安全实时数据库系统安全性与实时性需求的冲突分析

一个多级安全实时数据库系统不仅需要有安全限制,同时也要有时间约束.由于安全性与实时性需求之间冲突的存在而不可避免地产生隐蔽通道和优先倒置问题,文中首先分析多级安全实时数据库系统中实时性与安全性需求之间的冲突,而后基于HP 2PL协议,结合安全因素给出了一种解决冲突的算法.