浅析网络隐蔽信道的原理与阻断技术

摘要：隐蔽信道可以在不违反系统安全策略的情况下进行信息泄露，该文解释了网络隐蔽信道的概念，介绍了网络隐蔽信道的分类和一般工作原理。然后，针对计算机网络各层次分别介绍了常见的隐蔽通道，并对各种隐蔽通道的工作原理和实现方法做了详细的分析，在此基础上给出了一些检测和阻断网络隐蔽信道的方法和思路。

关键词：隐蔽信道；计算机网络；隐蔽信道检测

中***分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）22-5198-03

1942年，英国***方截获一封“休伯特”写给“珍妮特阿姨”的信，这封内容看似普通的家信引起了英***的怀疑，但他们一直百思不得其解。直到后来抓获了两名德国间谍后，据这两名间谍介绍，把信的每个字的首字母组合在一起，就是情报的内容。英***照间谍所说的方法读出了一条重大***情：14架“波音堡垒”战斗机昨日飞抵伦敦，准备进攻德国。

这里间谍采用“藏头信”的方式秘密传输信息，实质为隐蔽信道的传送信息思想。隐蔽信道主要就是完成从受保护的网络传输数据出来，近年来，“棱镜门”事件等信息安全事件的发生，已经暴露了网络数据窃密的冰山一角，网络隐蔽信道安全防范不容忽视。

1 隐蔽信道的定义

1973年Lampson最初提出隐蔽信道概念，将其定义为：不是被设计或本意不是用来传输信息的通信信道。Lampson最初主要关注操作系统中程序的限制问题，他的这个定义没能完全反映隐蔽信道实质，其后来Tsai、Gligor等人给出一个较为全面的定义：给定一个强制安全策略模型M和它在一个操作系统中的解释I（M），I（M）中两个主体I（Si）和I（Sj）之间的任何潜在通信都是隐蔽的，当且仅当模型M中的相应主体Si和Sj之间的任何通信在M中都是非法的[2]。

隐蔽信道广泛存在于部署了强制访问控制机制的安全操作系统、安全数据库和完全网络中。当研究计算机网络中的隐蔽信道，更为公认的观点认为：隐蔽通道是一个将信息隐藏在公开通讯媒介中通讯信道。信道中公开的、有意义的信息仅仅充当了秘密信息的载体，秘密信息通过它进行传输，这个定义更为直观。

2 网络隐蔽信道的分类和工作原理

2.1 网络隐蔽信道的分类

1987年，Girling发现了3种局域网上的隐蔽信道，开启了对普通网络中隐蔽信道的研究[1]。1996年，Handel对OSI网络模型进行了深入分析，提出了许多理论上潜在的隐蔽信道。同年，Rowland在TCP/IP协议部分找到了许多隐蔽信道实例。此后，网络信道的威胁得到了广泛的认识，网络隐蔽信道的识别、度量和处置也成为隐蔽信道研究领域的热点之一。从不同角度出发，可对一定范围内的网络隐蔽通道进行归类。

从网络安全等级角度出发，一般可分为以下两类：一是多级安全网络隐蔽信道。安全等级不同的主机被隔离在不同安全等级的安全域中，入侵者往往从高安全级别主机获取信息，并传递给低安全级别主机。二是普通网络隐蔽信道。普通网络中主机没有安全级别的定义，信道的两端主机是可以被允许通信的，需要在公开被允许的通信链路上建立一层隐蔽信道实现隐密通信。这种信道更加接近我们的生活网络，涉及更广泛的安全环境和安全策略，如互联网、基于TCP/IP的局域网和城域网等网络环境，该文也主要讨论此种网络信道[4]。

借用传统操作系统中隐蔽信道的划分，网络隐蔽信道也包括存储隐蔽信道和时间隐蔽信道两种类型。网络存储隐蔽信道主要是在各种协议的数据包中加载信息，为实现隐蔽传输，一般将信息附加在不常用的数据字段中，包括未用的IP头字段（TOS字段、DF和URG位）、IP头的扩展和填充段、IP标识和碎片偏移等。也有的网络存储隐蔽信道将信息隐藏在应用层编码中。网络世界隐蔽信道则一般利用网络中传输数据包的时间特殊性来表示信息，这些时间特性包括数据包的发送/到达时刻、时间间隔等。

2.2 网络隐蔽通信一般工作原理

如***1所示，网络隐蔽通信中有两个角色：发送者和接受者。发送者将消息按照事先约定好的某种编码规则进行变换，将需要隐蔽传输的消息转化成网络对象的某种属性，从而实现对消息的隐藏（即嵌入过程），然后通过公开信道将隐蔽消息发送给位于被保护网络之外的接受者。网络对象可以使TCP/IP封包、应用层请求等，而对象的属性可以是网络数据包的某些字段、包间隔时间、数据包序列等。接受者从公开信道里接受信息，根据事先约定的解码方式对数据包进行分析，抽取所隐藏的信息（即监测过程），从而实现隐密通信。

3 计算机网络常见的隐蔽通道

任何一个隐蔽信道都依托于一个公开信道。网络模型主要的OSI七层参考模型和TCP/IP参考模型。现实中的网络基本遵循TCP/IP模型，TCP/IP模型分数据链路层（PPP、SLIP）、网络层（IPv4、IPv6） 、传输层（TCP、UDP）和应用层（HTTP、***TP、FTP等），这些都可以选择作为公开通道。由于TCP/IP协议族自身的复杂性和灵活性，几乎所有协议都有一些字段属于很少用到或者可选和可扩展的。因此，理论上隐蔽信道可以选择任何网络层（IP、ICMP等）、传输层（TCP、UDP等）及应用层（HTTP、FTP、DNS、TELNET、RTP、P2P、SKYPE等）协议作为公开信道使用。

网络层隐蔽信道。以IPv4协议为例（IPv6和IPv4具有很多相似性，其实现隐蔽通信的原理是差不多的），***2 IP数据报格式中加粗加下划线的字段（服务类型（TOS）、标识、片偏移、IP选项）都是可以用于编码隐蔽信息的字段。

服务类型（TOS）字段8位中的最后两位即CU部分和标志的最后一位始终没有被用到，可以用于构造携带额外的信息。

传输层隐蔽信道。传输层构建隐蔽信道与IP层原理相同，都是利用传输层的协议发送地址和接受地址的某些特定字段附加特定的信息。TCP Sequence Number字段被替换掉传输特定信息；利用checksum的选项域、填充域构造隐蔽信道的方法与IP协议的构造类似。

HTTP协议隐蔽信道。HTTP协议语法定义宽松，存在很多冗余信息，可以用来嵌入隐蔽信息，以方便地利用公开信道附加隐蔽信道在服务器和客户端进行隐蔽通信，并且可以传输较大量的数据。如可以利用URL携带附加信息，利用Cookie机制伪造一些参数，添加隐蔽信息，利用头域信息进行再编码以及Date头域时间值构造隐蔽信道等。基本的原理如***3所示：

4 隐蔽通道的实现方法

隐蔽消息因使用的编码对象不同而可以采用不同的编码方法。常见的方法有：

LSB位调制。IP包头中的IPID或TOS（服务类型）字段中最低有效位（LSB），任何其他宿主协议非关键传输位都可以用来编码隐蔽信息。这种基本二进制类型的字段调制会产生隐蔽通道带宽为1位每包，在实际环境中使用太过低效。

直接构造。对协议包头中罕用或可以扩展的字段进行精心构造，甚至直接增加新字段，可以用来传输隐蔽信息。如IPID在很多系统中是随机生成的，所以很适合用来构造隐蔽信息的编码。还有在HTTP包头中可以增添新字段。

重新排序。如发送者可以通过调换HTTP头包中Host和Connection两个字段的顺序，通过事先约定，Host在Connection前时表示1，Host在Connection后时表示0。

大小写变换。因为HTTP协议对大小写不敏感，所以通过对属性名称的大小写变换，用大写代表0，小写代表1。

对象映射。这种方法是直接将网络包头中的属性对象映射为二进制数位。例如可以将域名作为数位的标识。发送者与攻击者预先约定好8个没有使用的域名。假设为：、、、、、、、。发送者按照所要编码的内容去发送查询请求。例如，如果要发送的信息为10011000，则发送查询、、这三个域名的请求。由于这3个域名并不寻常，内网的本地DNS服务器肯定没有缓存，因此会向公网的DNS服务器发送递归查询请求，这样公网DNS服务器上也就缓存了这些域名的解析结果。接受者向公网的DNS服务器发送这8个域名查询请求，有解析结果的则该域名对应的位数为1。这样就实现了信息的隐蔽传输。

线性空白字符。HTTP将任何数据量的线性空白字符（可选换行，空格和制表符）都当作一个空格字符。在***TP协议中也有类似的情况。

时间间隔。产生时间间隔的方法很多，例如控制CPU负载变化来产生时间间隔，控制数据包的发送来产生不同到达目的地址的时间间隔等。发送者可以利用时间间隔对信息进行编码。

5 隐蔽信道的监测与阻断

从前面隐蔽信道工作机制的分析来看，建立隐蔽信道的方法非常多，而且对公开信道的改动非常小。因此对其进行彻底的检测非常困难。在实际环境中，考虑到性能、经济成本、技术可行性等因素，隐蔽信道的防护可以采用“广谱检测”和“精准阻断”的策略。所谓“广谱检测”就是设计的检测方法面向一大类隐蔽信道，而不是针对每一种检测通道设计一种检测规则，也就是检测方法不需要解析数据包某个具体字段的内容。“精准阻断”就是针对每一种隐蔽信道都有相应的阻断规则或措施来覆盖。

5.1 隐蔽信道的检测

尽管检测隐蔽信道的难度很大，但在一定的时空跨度上进行大量数据的关联分析，检测到隐蔽信道还是有可能的。比较通用的方法是对网络日志和主机日志的关联分析。常有以下一些思路：

1） 对异常的DNS查询的统计分析，需要在DNS服务器上开启记录查询日志。如查询的域名包括多个层级且各层级由16进制字符串组成；域名超过40字节；查询非常见的域名；DNS响应含有私有地址等。

2） 对ICMP的流量进行统计分析。如出现大量的ICMP流量；数据包字节数过大；ICMP流量来自无相应工作需要的终端；以及其它异常流量的统计分析。

3） 大量无相关工作需要的Skype流量包；单个终端上超量的HTTP协议流量；测量包到达时间间隔的规律性和固定规律偏差特性；

4） 关联分析主机的性能日志，因为隐蔽信道在传送信息时，主机CPU活动会异常频繁。

5.2 隐蔽通道的阻断

在网络设备上做一些设置，直接阻断可能的隐蔽，可以避免花费过多的精力在检测工作上。主要有：

1） 关闭DNS查询向可信范围以外转发。

2） 对HTTP访问，采用统一的服务器，将HTTP包头部分内容直接重新改写，避免用于信息编码。

3） 在安全网关上启用ICMP，限制包的大小，关闭部分ICMP流量。

4） 将ICMP、TCP、IP协议包头中未使用的部分清零，将可能用于编码的字段做合理的重写。

6 结束语

本文所讨论的隐蔽信道，限于利用网络层、传输层和应用层构建的隐蔽通信。随着云计算应用的普及、IPv6全面启用的临近，新的隐蔽信道将不断涌现，新环境下的隐蔽信道检测与阻断将是未来发展的方向和重点。

参考文献：

[1] Girling CG.Covert Channels in LAN’s.IEEE Trans.On Software Engineering， 1987，SE-13（2）：292-296.

[2] 夏耐，林志强.隐蔽通道发现技术综述[J].计算机科学，2006，33（12）.

[3] 刘文清，陈.隐蔽通道标识与处理[J].计算机工程，2006，32（8）.

[4] 王永吉，吴敬征.隐蔽信道研究[J].软件学报，2010，21（9）：2262-2288.

[5] 强亮，李斌征.基于HTTP协议的网络隐蔽通道研究[J].计算机工程，2005，31（15）.

[6] 张敏，张彤.TCP/IP网络中隐蔽信道的实现和特点[J].网络安全技术与应用，2007（11）：25-27.

[7] 卢大航.基于网络协议的隐蔽通道研究与实现[J].计算机工程与应用，2003（2）：183-186.

转载请注明出处学文网 » 浅析网络隐蔽信道的原理与阻断技术