網絡安全之IP隱通道探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網絡安全之IP隱通道探究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：目前網絡安全的形勢日益嚴峻，網絡安全領域中的攻擊手段層出不窮，目前利用隱通道傳輸信息也是網絡攻擊與防御中使用的一種方法。在包交換網絡中，ip隱通道的實現方式主要是IP存儲隱通道與IP時間隱通道，其中IP時間隱通道利用數據包的時間屬性隱蔽的特點傳輸信息，難于檢測與消除，是現在IP隱通道技術的主流。

關鍵詞：存儲隱通道；時間隱通道；IP隱通道

0引言

網絡安全領域中攻擊手段、方式層出不窮，對于信息的完整性、保密性、可用性、可控性和不可否認性造成了嚴重的威脅。從網絡防御的角度如何保護信息或數據的安全，一種有效方式就是實現隱蔽通信。隱蔽通信是指采取了隱蔽措施的通信，使得竊密者無法感知到信息的傳輸或對截獲到的信息無法解讀，從而達到對傳輸信息的保護。目前隱蔽通信的方式大致有：傳輸信息的隱蔽、通信方式的隱蔽、傳輸信道的隱蔽、傳輸信號頻譜（或其他物理信息）的隱蔽。其中傳輸信道的隱蔽，即隱通道信息傳輸更為隱秘，更不易被感知與截獲，在隱蔽通信中應用越來越寬泛。

1隱通道

隱通道（CovertChannel）的概念形成于上世紀70年代初期，美國國防部的“可信計算機系統評估準則”把對隱通道的限制和分析納入了安全計算機系統的標準中。隱通道是一個能繞過系統制定好的安全機制的通信通道，以違反信息安全策略的方式傳輸信息，發送、接收雙方利用合法操作實現隱蔽傳輸信息的目的，具有抗截獲、抗檢測等特點。從嵌入隱蔽信息的方式進行劃分，隱通道分為存儲隱通道(CovertStorageChannel)和時間隱通道(CovertTimingChannel)。存儲隱通道是指發送方將信息直接或間接地寫入某些存儲位置（內存單元、外存空間、網絡數據包等），而接收方通過讀取此存儲位置的信息，按照雙方約定好的規則還原出來自發送方的信息。時間隱通道是指發送方將信息嵌入到與時間有關的參數中，在信息交互中并不改變信息的內容，接收方通過預先定義好的規則將順序、間隔、周期變化等與時間有關的參數來還原信息，達到隱蔽傳輸信息的目的。

2IP隱通道

因網絡隱通道與網絡協議密切相關，TCP/IP作為事實上的網絡協議應用廣泛，其應用場景為路由、交換等網絡設備所組成的包交換網絡中，因此在包交換網絡中的網絡隱通道也稱為IP隱通道，IP隱通道通常分為IP存儲隱通道與時間隱通道。

2.1IP存儲隱通道

IP存儲隱通道主要是利用網絡協議漏洞，利用協議報文的報頭中選項域字段，將需要傳輸的信息嵌入其中，達到隱蔽傳輸的效果。因某些選項域字段空閑不用，而且其長度可變，同時網絡中安全機制或者安全設備對此并不做檢測，使通過該種方式建立隱通道成為可能。其中常見的實現途徑有：IP、ICMP、TCP、HTTP等。基于網絡的IP存儲隱通道，一般是通過修改網絡包的包頭（協議冗余位）或載荷數據（協議偽裝）傳輸信息。此種類型的隱通道利用現有協議報文中的冗余位，非常容易實現，成本低廉。初期該種方式吸引了眾多科研工作者利用協議中的冗余位實現隱蔽通信。IP存儲隱通道網絡中常用的傳輸安全的檢測手段為防火墻，目前防火墻中常見的是包過濾防火墻，其主要依據源地址、目的地址、源端口號、目的端口、協議等五元組來完成對數據包的過濾，不會檢查報文的內容，無法對隱通道進行檢測與阻止。隨著技術發展，防火墻技術引入了流量正規化技術（trafficnor-malization），即將進出IP數據包的冗余位強制使用相同的格式改寫，有效地限制了IP存儲隱通道的使用。

2.2IP時間隱通道

隨著防火墻技術、入侵檢測防御系統的發展，利用IP存儲隱通道傳輸信息越來越難以隱蔽，因此又發展出利用時間屬性的IP時間隱通道，由于包交換網絡的時延因素更為復雜，因此IP時間隱通道很難被檢測與消除。基于網絡的IP時間隱通道（IPCovertTimingChannel），不修改網絡包本身，將隱蔽傳輸的信息調制成與時間相關，發送方通過改變網絡包的間隔、速率、順序等方式將傳輸信息嵌入，接收方按照相同規則檢測、度量這些網絡包的相應時間屬性進行解析獲得信息。依據不同時間類型，IP時間隱通道可以分為網絡包時間間隔、網絡包速率、網絡包順序、及其他可以利用時間屬性表達隱藏信息的隱通道。由于網絡環境復雜多變，網絡包間間隔時間序列具有復雜多變的特點，包間時延隱通道通過控制網絡包之間的延時間隔，通過自主產生載體數據流（主動式隱通道）或者操控其他載體數據流嵌入隱蔽信息（被動式隱通道）來傳輸隱蔽信息，其適用性最廣，收發雙方可跨越本地物理網絡，可以部署在傳輸終端或網絡中間節點，是目前IP時間隱通道研究的主流。

2.3包間時延IP時間隱通道

包間時延IP時間隱通道是指發送方將秘密消息調制到網絡傳輸的的數據包間時間間隔中，接收方記錄網絡包到達的時間，根據網絡包的時間間隔來還原出隱蔽消息。（1）包間時延IP隱通道的分類包間時延隱通道通過改變相鄰網絡包的時間間隔嵌入隱蔽消息，按照對時間參數的定義不同，可分為以下幾類：①IP網絡包隱通道：在設定時間段內，發送網絡數據包代表傳輸1，不發送網絡數據包代表傳輸0。②擊鍵間隔隱通道：Telnet等應用每次擊鍵都發送一個網絡數據包，設定時間間隔預設值x，控制它們所發送的網絡包間隔t，當網絡包時間間隔t>x時定義為1，反之當t<x時定義為0。③重放時間隱通道：與擊鍵間隔隱通道類似，預先收集大量正常網絡發送行為的包間隔，按間隔長短分為2個集合（較小的間隔歸入集合1、較大的歸入集合2），發送方要傳輸0時從集合1中選取一個時間間隔，同理發送1時從集合2中選取一個間隔。（2）包間時延IP隱通道的檢測包間時延隱通道在包交換網絡中將隱蔽消息嵌入到IPD中，改變了IPD的分布統計規律。根據隱蔽通信和正常通信在IPD分布上的區別，下面介紹常見的幾種包間時延隱通道的種檢測方法：①形狀檢測。基于統計建模的思想，對時間間隔序列執行統計，計算樣本的分布規律，檢測時統計實際網絡包的時間間隔序列與正常通信的統計樣本的差值，充分考慮網絡抖動及時延的情況下，若兩者之間的差值超出預先設置好的閾值時，就可以初步判斷網絡通信中是否還有隱通道。由于實際網絡時延的不確定性，閾值的選取非常困難，實際的檢測結果也不盡如人意。②規則檢測。正常網絡IPDs隨時間不斷變化，而隱通道的IPDs由于其按照既定策略進行調整導致其變化規律相對固定。將IPDs分段，比較正常網絡IPDs與待檢測網絡IPDs每段的變化差值來檢測是否存在隱通道。由于包交換網絡的不穩定性，該種檢測方式誤差較大。③熵檢測。主要以重復時間間隔為檢測對象，在規則性檢測的基礎上，使用高階熵率（熵率代表無窮序列的不確定性，熵率小說明時間關聯度大，反之說明關聯度小）檢測隱通道產生的重復間隔。統計正常網絡通信和檢測對象的相對熵，計算它們概率分布之間的散度，判斷隱通道的存在。

3總結

由于IP隱通道是利用IP網絡中正常的數據傳輸通道，對其檢測及防御非常困難，尤其是IP時間隱通道利用了包交換網絡中的時間屬性，其隱蔽性更強，對其的檢測更加困難，目前是IP隱通道中的主流技術，不過總體來說IP時間隱通道對于網絡抖動異常敏感，目前的實現方式魯棒性不強、傳輸速率不高、抗干擾不強，另外無論在檢測技術方面還是實現技術方面都還有很多難點需要攻克，隨著人工智能的發展，其基于IP時間隱通道的滲透與防御將會更加錯綜復雜，也將是網絡安全領域未來持續研究的熱點。

作者：張博 單位：北京政法職業學院信息技術系