Real-Time Timing Channel Detection in a Software-Defined Networking Virtual Environment

Despite extensive research, timing channels (TCs) are still known as a principal category of threats that aim to leak and transmit information by perturbing the timing or ordering of events. Existing TC detection approaches use either signature-based approaches to detect known TCs or anomaly-based approach by modeling the legitimate network traffic in order to detect unknown TCs. Un-fortunately, in a software-defined networking (SDN) environment, most existing TC detection approaches would fail due to factors such as volatile network traffic, imprecise timekeeping mechanisms, and dynamic network topology. Furthermore, stealthy TCs can be designed to mimic the legitimate traffic pattern and thus evade anomalous TC detection. In this paper, we overcome the above challenges by presenting a novel framework that harnesses the advantages of elastic re-sources in the cloud. In particular, our framework dynamically configures SDN to enable/disable differential analysis against outbound network flows of different virtual machines (VMs). Our framework is tightly coupled with a new metric that first decomposes the timing data of network flows into a number of using the discrete wavelet-based multi-resolution transform (DWMT). It then applies the Kullback-Leibler divergence (KLD) to measure the variance among flow pairs. The appealing feature of our approach is that, compared with the existing anomaly detection approaches, it can detect most existing and some new stealthy TCs without legitimate traffic for modeling, even with the presence of noise and imprecise timekeeping mechanism in an SDN virtual environment. We implement our framework as a prototype system, OBSERVER, which can be dynamically deployed in an SDN environment. Empirical evaluation shows that our approach can efficiently detect TCs with a higher detection rate, lower latency, and negligible performance overhead compared to existing approaches.

HMM特征提取结合感知哈希匹配的网络时间隐蔽信道检测

针对传统网络隐蔽信道检测识别率低和鲁棒性差的问题,利用正常信道和隐蔽信道在网络流量时间序列特性的差异,提出一种隐马尔科夫链(HMM)和感知哈希匹配的网络隐蔽信道检测方法。实验表明:所提方法能准确检测隐蔽信道的网络流量,且整体区分水平在70%~85%之间;在信号噪声干扰下能够保持较高的识别率,具有较好的鲁棒性;所提方法在感知特征提取花费的时间要明显少于传统的频谱域感知特征提取,且复杂度低。

一种基于Web的可靠网络隐蔽时间信道的研究

针对隐蔽时间信道在广域网上无法稳定工作的问题,提出了一种可靠隐蔽时间信道的模型.这种信道利用HTTP协议的网络包的时间间隔作为载体传输隐蔽信息.通过抗干扰处理、接收方确认等方法,设计了可靠的通信协议.采用队列理论对这种可靠隐蔽时间信道进行建模,并推导出了该信道的容量.为了获取该信道的性能指标,在Internet网络中实现了这种可靠隐蔽时间信道,进行了隐蔽信息的数据传输实验.实验结果表明,这种可靠隐蔽时间信道的传输率约为传统隐蔽时间信道的传输率的11倍,在相同的干扰下,可靠隐蔽时间信道的稳定性远好于传统的隐蔽时间信道.

基于DNS的隐蔽通道流量检测

为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。提出的检测方法在校园网流量实际部署中成功检出了多个DNS隧道的存在。

基于扩频Manchester码的可靠自同步网络隐蔽时间通信模型

针对包间延迟网络隐蔽时间信道存在的鲁棒性差、同步机制脆弱问题,提出了一种基于M anchester编码的可靠自同步网络隐蔽时间通信模型.首先,对秘密消息进行扩频操作,得到扩频码.然后,将流持续时间划分为若干相同长度时隙,每相邻两时隙构成一对,通过调整时隙对内包数量来模拟扩频码对应的Manchester编码中0和1的编码过程,以实现扩频码在流中的嵌入.同时,采用时间偏移量指示同步位置,使得调制后的流呈现自同步性,以便接收端准确恢复秘密消息.实验结果表明,与包间延迟方法相比,该模型能使收发双方更快速准确地保持同步,在不同网络负载下,秘密消息检测错误率最大值降低约85%,显著提升了对网络干扰因素的抵抗能力,且在网络流量较大时呈现出更好的隐蔽性.

基于HTTP协议的网络隐蔽通道研究

网络数据流中利用隐蔽通道来进行非法通信已逐渐成为威胁网络信息安全的一种重要手段。该文从攻击者的角度研究隐蔽通道,针对利用低层协议构建隐蔽通道的不足,提出了使用HTTP协议构建隐蔽通道的方法,有效地提高了隐蔽通道的隐蔽性、抗屏蔽性。

基于校正熵的网络行为隐蔽信道的检测算法

为解决传统检测方法检测隐蔽行为信道检测率较低的问题,提出了基于校正熵的隐蔽行为信道检测算法。所提算法利用向用户操作序列中嵌入隐蔽信息后,必然会引起其条件熵变化的原理进行检测。校正熵的引入,有效克服了利用条件熵进行检测会产生误报问题。基于校正熵对行为信道进行检测实验,检测结果表明,基于校正熵的隐蔽行为信道检测算法能够较好地在有噪声的环境中检测出几种常见的隐蔽时间信道,检测率约为96%。

基于BHO的网络隐蔽通道研究

针对现有网络隐蔽通道在流量隐藏和代理穿透方面的不足,提出一种基于浏览器帮助对象(BHO)构建网络隐蔽通道的方法。BHO自身的"合法性"和"寄生性"不仅为躲避杀毒软件和防火墙提供天然屏障,而且能为流量隐藏和代理穿透提供有利条件。该文给出详细方案设计和代码框架,通过测试验证该隐蔽通道的有效性。针对其可能带来的危害,提出防御建议。

一种基于网络隐蔽时间信道的网络指纹模型研究

为解决基于隐蔽时间信道的网络指纹系统的不稳定、低效率等问题,提出了一种新型的网络指纹模型。在该模型中,客户端的物理信息被编码成指纹信息,利用隐蔽时间信道将指纹信息随正常数据一起发送到指纹服务器上,服务器通过提取指纹信息验证客户端的合法性;引入了基于几何编码的信息编码方式以及跨多个网络包冗余嵌入的信息隐藏方式,提高了网络指纹系统的效率,增强了网络指纹系统的鲁棒性和安全性。按照该模型建立了仿真系统,仿真结果表明该仿真系统具有较好的鲁棒性、安全性,且在网络欺骗攻击下,准确地辨别网络欺骗的概率超过99%.

基于聚类分析的网络存储隐蔽信道检测算法

在包含巨大通信量和多种通信协议的网络环境下,隐蔽信道允许进程以危害系统安全的方式传输信息,对安全信息系统构成威胁。为此,提出一种基于聚类分析的隐蔽信道检测算法,根据正常通信数据和隐蔽通信数据聚类的差别判断通信流中是否存在网络存储隐蔽信道。实验结果表明,该算法可根据通信量大小和待检测字段特点灵活调整实现算法,具有较高的实时性和准确率。

针对RSA算法的踪迹驱动数据Cache计时攻击研究

Cache计时攻击是旁路攻击领域的研究热点.针对滑动窗口算法实现模幂运算的RSA算法,分析了RSA算法访问驱动Cache计时攻击的难点,建立了踪迹驱动数据Cache计时攻击模型.在攻击模型与原有踪迹驱动计时攻击算法的基础上,利用幂指数与操作序列的相关性、窗口大小特征和预计算表索引值与窗口值的映射关系,提出了一种改进的幂指数分析算法,并给出了利用幂指数dp和dq的部分离散位恢复出私钥d的格攻击过程.利用处理器的同步多线程能力实现了间谍进程与密码进程的同步执行,针对OpenSSL v0.9.8b中的RSA算法,在真实环境下执行攻击实验.实验结果表明:新的分析算法大约能够获取512位幂指数中的340位,比原有算法进一步降低了密钥恢复的复杂度;同时对实际攻击中的关键技术以及可能遇到的困难进行分析,给出相应的解决方案,进一步提高了攻击的可行性.

一种新型可靠网络隐蔽信道的研究

针对传统IP时间隐蔽信道传输速率低,在广域网中缺少一种稳定的时间同步机制,难以实现收发双方间可靠、稳定传输隐蔽信息的问题,提出了一种可靠网络隐蔽信道的模型。这种信道利用在固定时间窗口内发送的IP数据包数量作为载体传输隐蔽信息。通过引入一种新的信息编码机制,显著提高了网络隐蔽信道的传输带宽。进一步提出了一种比特块定界方法,解决了传统IP时间隐蔽信道的时间同步问题。实验结果表明,提出的可靠网络隐蔽信道的传输速率和稳定性均好于传统的IP时间隐蔽信道。

一种基于扩频编码的可靠网络隐蔽信道设计方法

针对网络隐蔽信道在强噪声环境中信息传递错误率高的问题,该文提出一种基于CDMA扩频编码的可靠网络隐蔽信道设计方法。该方法利用数据包在传输过程中的包际时延传递隐蔽信息,发送方采用散列扩频编码,接收方采用信道噪声预测消除等技术进行信道抗干扰处理,提高了强噪声环境中隐蔽信道通信的可靠性。针对信道抗干扰性与信道传输率两个主要衡量指标互斥、综合性能难以达到最优的问题,提出了基于选定传输率的抗干扰能力最优化方法。在TCP/IP网络中构建了该隐蔽信道,并进行了隐蔽信息传输实验,结果表明该文方法与解决同类问题的其他方法相比隐蔽信道数据传输的综合抗干扰能力提高20%左右。

网络包长度隐蔽信道的建模与仿真

隐蔽信道既是网络中进行隐蔽通信的重要工具,也是黑客窃取信息的手段,因而对它的研究具有重要的意义。提出了将网络包长度作为载体进行隐蔽通信的模型。为了评估隐秘信道,提出了信道容量、抗检测性、鲁棒性及安全性等评估指标。由于隐蔽长度信道发送数据时不受网络包发送时延的限制,隐蔽长度信道的容量远大于传统隐蔽时间信道的容量;且该信道受网络结构、网络流量的影响较小,因而具有较好的鲁棒性。通过仿真实验可知,包长度隐蔽信道的抗检测性、安全性都比传统的时间信道好。因此,隐蔽长度信道克服了传统隐蔽信道不稳定、易被干扰的缺点,是一种可靠、稳定的隐蔽通信方式。另外,使用的基于神经元网络的隐蔽信道检测法也可有效地解决隐蔽长度信道带来的危害。

基于多智能体的网络信息隐藏系统研究

为加强网络信息安全,该文提出了一种基于m-序列的多智能体协作的信息隐藏模型,并提出以鲁棒性、安全性和通信容量作为评价信息隐藏系统的性能指标。实现了基于多智能体协作的信息隐藏系统,该系统通过多智能体协作加强信息隐藏的鲁棒性,使用多智能体发送信息,加大了隐蔽通信的容量。仿真结果表明:基于多智能体的信息隐藏算法未对特殊位进行处理,因而没有网络包被防火墙过滤,隐藏的信息未丢失;防火墙类产品对于使用包填充类算法隐藏的信息的安全性影响非常大,对于使用基于多智能体算法隐藏的信息的安全性几乎没有任何影响。

一种基于时间隐蔽信道的WSN认证算法

为解决无线传感器网络(WSN)内节点与网关及网关与终端之间的数据安全传输问题,针对WSN节点受到严格时空资源限制的特点,提出了一种在WSN节点之间、节点与网关之间利用时间隐蔽通信来进行身份认证的算法,被认证方可通过调整发送的数据包间隔特征来携带认证信息,认证方则从接收的数据包间隔特征中提取认证信息以进行验证。仿真结果表明,在阈值选取适当的情况下,基于时间隐蔽通信的认证算法能在WSN环境下稳定地工作,获得正确可靠的编解码结果,可以以较低的时空开销保证WSN节点之间、节点与网关之间数据传输的安全性。

复杂网络隐蔽信道的检测算法研究

为解决某一种隐蔽信道检测算法只能检测某种特定的隐蔽信道而无法检测其它种类隐蔽信道的问题,分析了隐蔽信道的工作方式、数据特征,提出了基于密度聚类的隐蔽信道检测算法。该算法不但能够检测出不同种类的隐蔽信道,也可以检测出这些隐蔽信道合成的复杂隐蔽信道。构建了复杂隐蔽信道的仿真系统,并进行了隐蔽信道检测实验。检测结果表明:在噪声低于20%的环境中,该算法可以快速、准确地检测到复杂隐蔽信道。

一种基于源IP地址的信息隐藏技术

网络隐通道借助网络协议首部隐藏具有特殊用途的信息,可以绕过防火墙或其他入侵检测系统等安全防护系统。基于中间网络设备不关注源IP地址信息的特点,考虑到一般局域网的最小地址范围为255以内,提出一种新的基于源IP地址域的隐通道构建方法,把隐秘信息映射到源IP地址域的低8 bit,具有较高的传输带宽和隐蔽性。研究内容涉及到:源IP地址信息隐藏的研究思路,实现方法和过程描述,结果分析。并给出进一步开展工作的考虑。

一种基于NDIS驱动程序实现隐蔽通道的方法

提出一种基于网络驱动程序(NDIS)来实现隐蔽通道的方法。通过在Windows系统内核中实现自定义网络协议来建立一个隐蔽通道,使应用程序可利用该协议绕开防火墙监控实现与外界通信。实验证明该方法实现的网络协议层次低,隐蔽效果好。

基于TCP协议首部的网络隐蔽通道技术研究

通过研究网络隐蔽通道建立的机制,提出了一种基于TCP协议首部实现网络隐蔽通道的方法,通过将秘密信息经AES加密后嵌入TCP协议首部的序列号和确认号字段,模拟访问Web服务器的行为生成TCP数据包,以达到穿透防火墙和躲避入侵检测系统的目的,并利用此隐蔽通道进行信息传递和远程控制。设计并实现了该原型系统。实验结果表明,该系统的隐蔽性高、传输速度快、可扩展性强,可以实现隐秘信息的传输,也为解决网络隐蔽通道的安全策略问题提供了理论依据和技术支持。