基于带宽估算的网络隐蔽时间通道威胁评估研究(正文)

1基于带宽估算的网络隐蔽时间通道威胁评估研究摘要：网络隐蔽时间通道通过控制报文传输的时间特征来实现信息秘密传递，基于该方式的信息泄露通常能绕过防火墙和入侵检测等安全系统的检测和控制，从而带来严重的安全威胁。本文试图从估算最大带宽的角度评估给定网络环境下网络隐蔽时间通道导致的安全威胁，首先分析各类网络隐蔽时间通道的带宽特点，确定出其中有望获得高带宽的两类通道；其次从信息论角度对这两类通道的最大带宽进行估算，进而评估出给定网络环境下的信息泄露威胁；最后通过实际构造隐蔽时间通道和信息传递过程验证所估算带宽的可实现性，并对实际网络进行信息泄露的威胁监控。关键字：网络隐蔽时间通道，信息论，带宽估算，安全威胁评估1、引言在防火墙等安全机制保护的网络中，当外网攻击者（或特洛伊木马）试图从所侵害或劫持的主机中窃取信息时，需要采用一些间接的通信机制，否则防火墙等会检测出这些信息泄露并加以阻止。作为一种秘密的信息传递机制，网络隐蔽通道[1][2]将信息隐藏在正常的网络流中进行传递，由于不生成额外报文，基于网络隐蔽通道的信息泄露通常能够绕过网络安全机制的检测和控制。近几年来，网络隐蔽通道逐渐引起人们重视。一方面它给网络信息安全带来了切实的威胁，这主要体现为：各种计算机病毒、木马等恶意软件几乎扩散到网络的各个角落，难以彻底杜绝这些恶意软件接触到机密信息，而网络隐蔽通道给这些恶意软件绕过网络安全机制（防火墙、安全网关等）向外传播信息提供了可行的技术手段。另一方面，随着全球信息化的发展，不同应用领域、不同密级网络间的网络互联需求越来越明显，也越来越受到重视，如我国的863计划开始立项支持不同密级网络互联相关的研究，而网络隐蔽通道的分析、检测及控制是实现不同密级网络互联所需关注的问题。隐蔽通道威胁评估是隐蔽通道相关研究的重要内容，目前业界和相关安全标准一般都从隐蔽通道的信道带宽角度来衡量隐蔽通道所带来的安全威胁，并依据带宽采取不同的处理方法[3][4]。隐蔽通道的带宽，即隐蔽通道所能达到的最大信息传递速率，体现了该隐蔽通道的信息扩散速度[5]。以往相关研究主要集中在主机隐蔽通道上，如Millen和Tsai等分别提出非形式化和形式化的带宽估算方法[6][7]。本文主要研究网络隐蔽通道的带宽估算方法，以揭示给定网络环境下网络隐蔽通道所带来的信息泄露威胁。网络隐蔽通道分为网络隐蔽存储通道和网络隐蔽时间通道[2]，本文研究主要集中通信过程较为复杂、也难以控制和消除的网络隐蔽时间通道上。本文剩余章节组织如下，第2节介绍了网络隐蔽通道的概念和类型，重点分析各种网络隐蔽时间通道的带宽特点；第3节研究特定通信参数下ON/OFF通道的信息传递速率计算方法，以及给定网络环境下ON/OFF通道最大带宽的估算方法；第4节提出了时间间隔通道在特定通信参数下的信息传递速率计算方法，并获得给定网络环境下时间间隔通道的最大带宽；第5节通过实际构造隐蔽时间通道和信息传递过程验证所估算带宽的可实现性，并对实际网络进行信息泄露的威2胁监控；结论和下一步工作在第6节中给出。2、相关工作和研究背景2.1网络隐蔽通道的概念和类型隐蔽通道由Lampson在1973年提出[8]，隐蔽通道最初局限于单个主机系统中，用于表示一个计算机系统中两个主体（进程或用户）间的通信信道[9]，该通信信道以非数据客体为载体实现主体间非法的、隐秘的信息传递。上世纪90年代以来，隐蔽通道的概念逐渐从单个系统扩展到网络上，即网络隐蔽通道。网络隐蔽存储通道（下文简称为存储通道）主要利用网络报文的协议头来实现信息传递。目前多数协议的报文头部中存在一些预留的协议字段[10]，或在特殊情况下才使用的协议字段（如IP分片相关的协议字段），在存储通道中，信息通常被隐藏在这些字段中进行传递。目前已有多种类型的存储通道相继被发现，具体涉及MAC、IP、ICMP、TCP、HTTP等多种网络协议[11-15]。同时相关学者也提出一些存储通道检测和消除方法，如在网关处观察相应协议字段的设置情况检测存储通道[16]、通过规范化网络报文中的预留或未用字段来消除存储通道[17]。2.2网络隐蔽时间通道的基本原理和相关研究网络隐蔽时间通道（下文简称为时间通道）基于报文传输的时间特征来秘密完成信息传递，具体原理为：发送端以报文的发送时间特征来表示或编码将要传递的信息，而接收者观察报文到达的时间特征，依据报文到达时间特征与报文发送时间特征间的联系，推测出报文发送时间特征，进一步从中解码出发送来的信息。对网络隐蔽通道而言，信息的接收者不一定要在报文到达的目标主机上，接收者只要在报文途经的网络路径上、能够获得报文的协议信息或传输时间特征即可[18]。近几年来，时间通道相关研究逐渐引起了人们的重视，多种形式的时间通道相继提出，目前这些时间通道全部对应离散无记忆信道[19]，即通过一个或一批报文的传递实现一次独立的信息符号传递，与前面和后面的符号传递没有联系。依据完成每次符号传递所需要的报文数量，这里将时间通道分为单报文时间通道、组报文时间通道和流量统计型通道三种类型。单报文时间通道中每个报文代表独立的信息符号，甚至能独立完成一次信息符号传递；组报文时间通道中，通过一组报文的传输来完成一次信息传递，每个报文自身不代表独立的信息符号，报文排序通道[20]就是一种典型的组报文时间通道；流量统计型通道通过统计一段时间内的报文流量获得所传递的信息符号[21]。相比而言，单报文时间通道的编码和解码过程相对简单，目前大部分的时间通道研究都集中在该类时间通道，而组报文时间通道和流量统计型时间通道的编解码过程相对复杂，目前研究较少，尤其是流量统计型时间通道，目前还只是停留在原理发现阶段。同时，单报文时间通道中完成每次符号传递所需的报文数量少，完成每次符号传递所要的时间短，在相同的网络环境下，单报文时间通道通常能获得比其它两类通道高得多的带宽。除时间通道的分析和构建外，一些学者还对时间通道的检测、带宽控制等展开研究，如Gianvecchio及Chauhan分别提出了时间通道检测方法[22][23]，以及Giles3提出时间通道的带宽限制方案[24]。2.3本文研究目标和思路本文目标是对给定网络环境下时间通道的最大带宽进行估算，以此评估该网络环境下时间通道的信息泄露威胁。单报文时间通道的带宽能代表已有类型时间通道的最大带宽，因此本文针对单报文时间通道进行时间通道的带宽评估。单报文时间通道主要有两类：ON/OFF通道和时间间隔通道(下文简称TIC通道)，前者基于预定时间段内是否发送报文来传递信息[25]，后者基于相邻报文的时间间隔完成信息传递[26]（详见3.1和4.1节）。本文考察给定网络环境下这两类时间通道的带宽，以此作为该网络环境下时间通道的最大带宽，来衡量该网络环境中所面临的信息泄露威胁。对时间通道对应的通信信道而言，信道输入对应报文发送时间特征，信道输出对应报文到达时间特征，该信道完成信息传递的关键在于发送时间特征和到达时间特征间的联系。不难理解，网络报文传输特征决定了报文发送特征和报文到达特征间的联系，进一步决定信道输入空间和信道输出空间的互信息量，以及最大带宽。鉴于此，本文的研究思路为：以给定网络环境中报文传输特征分析为基础，基于信息论对ON/OFF通道和TIC通道进行最大带宽的估算，以此来衡量该网络环境中所面临的信息泄露威胁。3、ON/OFF通道的带宽估算3.1ON/OFF通道的通信原理假定网络相连的两台主机HostA和HostB分别为机密信息的发送者和接收者。HostA从某时间点T0（HostA和HostB预定的同步点）开始每隔一段时间设置一个报文发送时间点（简称为SP），形成发送时间点序列SP1,…,SPn，相邻发送点间的时间距离称为发送间隔（简称为SI），其长度记作|SI|。HostA通过在报文发送点是否发送报文来表示所传递的信息符号是“0”还是“1”（不妨假定发送报文代表符号“1”，不发送代表符号“0”，下文同）。与HostA端的每个SP相对应，HostB将接收时间划分成一个个与|SI|等长的报文检测区间（简称为DR），不妨将SPi对应的DR记作DRi。在接收信息时，HostB根据DRi中是否收到报文来推测HostA在SPi是否发送报文，并进一步解码出所传递的第i个信息符号“1”或“0”。在网络状态平稳的情况下，HostA发送的报文经过一段延迟到达HostB，该延迟通常是变化的，这里将该报文到达HostB的可能时间范围称为该报文的潜在到达区间，记作PAR，将SPi对应的潜在到达区间记作PARi。为尽量保证符号传递的正确性，HostB要依据PARi合理确定DRi的起始位置，以保证在SPi发送的报文在DRi内到达的概率最大。当DRi不能覆盖整个PARi时，可能会出现解码错误，因为在SPi发送的报文可能在DRi外到达，而在其它发送点发送的报文也可能在DRi内到达。3.2ON/OFF通道下的带宽影响因素对离散无记忆信道而言，信道带宽由信道容量和传递每个信息符号所花费的4平均时间（简称平均传递时间）共同决定。信道容量表示每次符号传递所包含的信息量，而平均传递时间实际上就是报文发送间隔的大小，即|SI|。下面分别从信道容量和平均传递时间两方面讨论影响带宽的因素。网络报文延迟特征报文延迟特征是ON/OFF通道完成信息传递的基础，网络报文的延迟分布越集中，所能获得的信道带宽就越大，这一方面因为在SPi发送的报文在DRi内到达的可能性越大，误码率越低，信道容量就越大，另一方面适当减少|SI|也不带来误码率的明显增加，从而增大信道带宽。发送点间隔的大小|SI|对ON/OFF通道的带宽影响主要体现在两方面，一方面随着|SI|的减小，平均传递时间减少，另一方面随着|SI|的减小，|DR|也在减小，从而增大了误码率，降低了信道带宽。因此在确定|SI|时，需要平衡这两方面的影响。DR在PAR中的位置报文在PAR中的到达分布不均匀，为降低误码率，DR应尽可能覆盖PAR中报文到达概率大的区域，因此DR在PAR中的具体位置直接影响了误码率。本文用ST(DR)，即DR的起点距其对应SP的距离，来表示DR的具体位置。SP和DR的具体设置如图1所示。PN(t-SPi)|SI|ArrivalTimeDistributionST(DR)SPiArrivalTimeSendingTime…DRi-2SPi+2…SPi-1SPi+1SPi+3SPi+4……DRi-1DRiDRi+1DRi+2DRi+3图1SP和DR的设置示意图输入信息符号的分布即输入符号中“1”和“0”所占的比例。一般而言，均匀或接近均匀的输入符号分布有利于获得较高的信道容量。下文用pin1，即“1”所占的比例来表示输入符号分布。下文将|SI|、ST(DR)、pin1称为ON/OFF通道的通信参数，由网络运行环境决定的报文延迟特征不视为ON/OFF通道的通信参数。3.3特定通信参数下的带宽估算方法3.3.1给定网络环境下报文延迟特征的描述本节的讨论限于网络运行平稳、网络流量特征相似的一段时间内的报文延迟特征。因为在网络运行状态变化剧烈情况下，正常报文传递的质量难以保证，讨论时间通道的信息传递速率没有太多实际意义。以往研究和已有成果表明，在网络状态平稳时，网络报文的延迟概率呈类伽玛分布[27]。我们用报文延迟概率分布来表示给定网络下的报文延迟特征，即用分布函数PN(t)表示网络环境N下发送主机和接收主机间的报文延迟特征，在SPi发送的报文其到达时间分布为PN(t-SPi)，如图1所示。3.3.2特定通信参数下的符号转移概率5这里分别用00p、01p、10p、11p来表示ON/OFF通道的符号转移概率，如10p表示发送“1”而接收到“0”的概率，即在SPi发送了报文而在DRi内没有接收到报文的概率。我们先考虑在SPi发送的一个报文在DRj内到达的概率P(SPi,DRj)，具体如下：()(1)*||(1)*||()()()*||()*||()(,)()()iiSPSTDRjiSIjiSISTDRijNiNSPSTDRjiSI