隱蔽通信及安全檢測防護技術(shù)探究論文

　　1 緒論

　　惡意的隱蔽通信(也稱隱蔽信道)是網(wǎng)絡(luò)攻擊者進行網(wǎng)絡(luò)攻擊成功關(guān)鍵。通過攻擊者通過對受控主機的控制，通過使用惡意程序或修改正常程序， 在看似正常的網(wǎng)絡(luò)通信中嵌入消息并混合在正常的網(wǎng)絡(luò)流量中。這樣幫助攻擊者繞過傳統(tǒng)通過訪問控制列表、利用簽名、信譽列表及沙箱識別等傳統(tǒng)安全防護產(chǎn)品的檢測，從而進行控制指令執(zhí)行、惡意代碼傳播、敏感數(shù)據(jù)竊取等攻擊行為。隱蔽信道最早在1973 年由美國Lampson 提出。美國對隱蔽信道研究高度重視，在1993 年發(fā)布了可信系統(tǒng)的隱蔽信道分析的指南。隨著互聯(lián)網(wǎng)通信協(xié)議的廣泛使用和互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展， 隱蔽通信也得到了越來越廣泛的研究和利用。針對隱蔽通信的檢測和預(yù)防，信息安全界也展開了大量的研究和實踐工作。本文將針對隱蔽通信的攻擊和防護進行分析研究并根據(jù)現(xiàn)有方式的不足提出相應(yīng)的安全應(yīng)對措施。

　　2 隱蔽信道攻擊研究

　　互聯(lián)網(wǎng)協(xié)議版本(IPV4)報頭隧道是隱蔽信道在網(wǎng)絡(luò)層的第一個實例。因為IP 是廣泛使用的協(xié)議，因此利于目標協(xié)議的數(shù)據(jù)隱藏。IP 數(shù)據(jù)包包含一個協(xié)議報頭，它有23 個字段組成并用于各種目的，如攜帶的路由信息、服務(wù)質(zhì)量系統(tǒng)信息，分段信息的。但是這些信息可用來傳輸非網(wǎng)絡(luò)管理是信息。盡管這些報頭中的這些信息是公開且可被檢測， 但是里面的數(shù)據(jù)并不被認為是異常的。16bit 的IP 標示(ID)字段也是最常見的可用于隱蔽數(shù)據(jù)傳輸?shù)倪x擇。一個隱蔽信道可以將編碼數(shù)據(jù)分隔成16bit 字節(jié)并封裝于IP 的標示字段中進行隱蔽傳輸。此外，IP 協(xié)議還有許多通過操作利用IP 報頭進行隱蔽信道傳輸?shù)穆┒�，例�?4bit 的可選字段、8bit 的字段填充位、3bit的不分段標示(DF flag)以及生存時間字段(TTL)。IPV6 協(xié)議是IPV4 協(xié)議的增強版本，但是由于其更復(fù)雜，也更利于隱蔽信道進行利用。另一個隱蔽通信常用的協(xié)議是TCP 協(xié)議。例如在TCP 協(xié)議中，初始序列號(ISN)是隨機產(chǎn)生的并使用在TCP 會話的一個分段中(SYN 分段)，但是在ISN 中填充使用非隨機的值并不中斷TCP 協(xié)議， 因此惡意用戶可以每次傳輸32bit 的任意數(shù)據(jù)。由于ISN 本身就是隨機的，因此當其用作隱蔽信道傳輸?shù)妮d體時非常難以進行判斷分析。

　　除了對IP，TCP 數(shù)據(jù)包特定字段的利用，還有其它對協(xié)議的隱蔽信道攻擊利用方式， 包括ICMP Tunnel，HTTP Tunnel和DNS Tunnel。ICMP Tunnel 是利用IETF 組織RFC 792 中對ICMP 響應(yīng)數(shù)據(jù)報文中定義的缺陷，即允許包頭中類型為0 或8 的ICMP 數(shù)據(jù)包擁有任意長度。

　　HTTP Tunnel 是一種使用HTTP 協(xié)議封裝不同的網(wǎng)絡(luò)協(xié)議的技術(shù)。網(wǎng)絡(luò)協(xié)議一般指的是TCP/IP 族協(xié)議。HTTP 協(xié)議扮演了隧道包裝器的角色， 網(wǎng)絡(luò)協(xié)議則通過隧道來進行通信。HTTP tunnel 分為連接代理和無連接代理兩類。連接代理是HTTP client 和HTTP Proxy 進行通信， 由HTTP Proxy 來完成TCP 流的代理轉(zhuǎn)發(fā)。而無連接代理方式則是client 將經(jīng)由其出去的TCP 流封裝在HTTP 協(xié)議中發(fā)給HTTP server，HTTP sever解析出TCP 流后進行轉(zhuǎn)發(fā)。DNS Tunnel 的方式也是借由對DNS 數(shù)據(jù)包的修改操控完成隱蔽數(shù)據(jù)的發(fā)送。例如修改DNS數(shù)據(jù)包IP 和UDP 報頭， 增加額外的數(shù)據(jù)包長度就可以添加任何數(shù)量的二進制數(shù)據(jù)到DNS 數(shù)據(jù)包的尾部，同時也不會影響到DNS 服務(wù)器和解析器對這類已修改的DNS 查詢和應(yīng)答數(shù)據(jù)包的處理。

　　此外還可以利用DNS 解析器并不要求DNS 數(shù)據(jù)包指針只能指向數(shù)據(jù)包之前的位置的漏洞。該方式可以將指針調(diào)整指向插入隱蔽數(shù)據(jù)后的標簽位置(見圖5)。

　　最后還有一些新的隱蔽通信實現(xiàn)的方式，包括利用VOIP__和X509 證書。VOIP 協(xié)議中可以利用VOIP 協(xié)議中SEQ(順序號)和SSRC(源驗證者)這兩個地方寫入隱藏數(shù)據(jù)，還可以對控制協(xié)議(SIP，H323，RTCP)進行隱蔽通信。在X509 證書可以操作證書的有效時間來實現(xiàn)隱蔽數(shù)據(jù)傳輸。根據(jù)X509 證書的定義， 有效時間的最早年份值為1900， 而最晚年份可以是9999， 因此該項值在1900 年00：00：00 到9999 年23：59：59之間共有(9999-1900)×365×3600=10，642，086，000 個變化。這意味著高達33bit 的數(shù)據(jù)可以利用時間差分編碼方式在一個數(shù)字證書中進行傳輸。

　　隱蔽通信是一種非常規(guī)的通信方式， 由于其可以突破眾多的限制，實現(xiàn)跨網(wǎng)絡(luò)域的通信，多年來網(wǎng)絡(luò)通信行業(yè)一直在開展這方面的研究。如解放軍信息工程學(xué)院文志軍提出了利用ICMP 隧道協(xié)議實現(xiàn)三級模式模式穿越防火墻的控制和實現(xiàn)方法。南京理工大學(xué)王鵬提出提出通過TCP 時間戳選項構(gòu)造記錄式包間隔構(gòu)造隱蔽信道的方式。對于隱蔽通信，信息安全界更多關(guān)注如何檢測和防護隱蔽信道。

　　3 隱蔽信道攻擊防護研究

　　目前關(guān)于隱蔽信道的檢測技術(shù)主要包含三個方向：

　　(1)通過數(shù)據(jù)流統(tǒng)計的方式進行檢測。該方式通過對網(wǎng)絡(luò)或傳輸層的監(jiān)測建立網(wǎng)絡(luò)中協(xié)議數(shù)據(jù)流在一定條件下的閥值。當流量超出該閥值，則視為檢測到隱蔽通信。例如錢玉文等提出基于密度聚類的隱蔽信道檢測算法檢測出不同種類的隱蔽信道。D.A.Gustafson 和Kenton Born 提出通過字符頻率分析的方式來檢測DNS 隧道以及通過利用NgViz 工具來統(tǒng)計分析檢測DNS 隧道。Guido Pineda Reyes 提出通過統(tǒng)計分析數(shù)據(jù)流指標特征的方式來發(fā)現(xiàn)隱蔽信道。

　　(2)通過特征來進行檢測。這種特征可以是一種隨機分布，如果不符合，則視為檢測到隱蔽通信。例如前面提到TCP協(xié)議的ISN，該值理論上應(yīng)是隨機生成，但由于填充了隱蔽數(shù)據(jù)，其隨機分布可能呈現(xiàn)一定的規(guī)律性。因此利用該特征作為檢測隱蔽通信的手段。

　　此外還可以將數(shù)據(jù)包中字段的設(shè)定作為特征。例如如果TCP 包頭的保留字段沒有使用，而該字段確又有數(shù)值，則該情況可能就是一種隱蔽通信。

　　(3)通過學(xué)習(xí)“網(wǎng)絡(luò)行為”并使用統(tǒng)計的方式來建立模型，進而判斷哪種網(wǎng)絡(luò)流量是“正確的行為”。例如曹自剛提出基于協(xié)議的一般性概念將真實世界中的常見網(wǎng)絡(luò)協(xié)議抽象為協(xié)議語法格式，協(xié)議狀態(tài)轉(zhuǎn)移和協(xié)議行為三種屬性，并提出了面向常見網(wǎng)絡(luò)協(xié)議的通用偽裝檢測框架， 從上述三個方面分別對協(xié)議的合規(guī)性和異常度進行深度驗證。Paras Malhotra 通過分析網(wǎng)絡(luò)中特定主機、端口和應(yīng)用的加密行為來分析檢測未授權(quán)的加密數(shù)據(jù)流。

　　4 隱蔽信道攻擊防護研究的不足

　　以上三種檢測方向的研究為隱蔽信道的檢測提供了很好的解決思路。但從信息安全攻擊鏈的角度來以上檢測方式還不能完全解決隱蔽信道攻擊的風(fēng)險。存在的問題包含如下：

　　(1)以上檢測方向均集中在事中檢測的.階段。而最終企業(yè)/機構(gòu)用戶來說，攻擊已經(jīng)發(fā)生了，而且可能已經(jīng)造成了一些事實上和實際的損失。因此需要加強在事前預(yù)防和事后修復(fù)方面的安全措施。

　　(2)對于隱蔽信道的檢測和防護并應(yīng)不只限于協(xié)議分析層面、網(wǎng)絡(luò)數(shù)據(jù)傳輸層面。還應(yīng)加強在終端惡意代碼防護、員工安全意識培訓(xùn)、定期安全評估這些方面的管控手段。從攻擊的源頭和最終的落地等方面給予全面的防護。

　　(3)對于隱蔽信道的攻擊檢測，目前大部分的研究還僅限于理論研究未真正走出實驗室， 市場上可供最終用戶選擇的安全防護產(chǎn)品依然非常罕見。與此相反，在互聯(lián)網(wǎng)上用于隱蔽通信的工具隨手可得。例如Covert Channel Tunneling Tool，dnscat2，Loki ICMP Tunneling，Super Network Tunnel，HTTP -Tunnel 等。

　　(4)對于最終機構(gòu)用戶而言，更多的檢測方式是通過人工方式進行安全評估。但是，這種人工分析往往需要分析人員必須對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)通信有深入的了解和豐富的實踐經(jīng)驗。因此對于最終機構(gòu)用戶可能需要專業(yè)第三方機構(gòu)的協(xié)助。

　　5 結(jié)束語

　　在信息安全領(lǐng)域， 由于隱蔽通信利用了OSI 體系模型中IP 協(xié)議、TCP/UDP 協(xié)議的安全漏洞，因此通過隱蔽信道在網(wǎng)絡(luò)中建立隱蔽通信的可能性幾乎是無止境的。國內(nèi)外研究人員對此已經(jīng)投入了巨大的努力。大多數(shù)的研究和討論覆蓋了不同的檢測和預(yù)防技術(shù)理論。這些理論包含統(tǒng)計分析、特征分析、模型分析的方式。但即便如此，目前仍無一個完整的解決方案。此外對隱蔽信道的檢測和防護還應(yīng)從攻擊鏈的角度來考慮，覆蓋事前、事中和事后三個階段。總體而言，對隱蔽信道進行檢測和安全防護是一個十分復(fù)雜的難題。還需要繼續(xù)開展廣泛的理論研究和實踐。

【隱蔽通信及安全檢測防護技術(shù)探究論文】相關(guān)文章：

儀器儀表及檢測技術(shù)中文簡歷范文10-04

計算機通信網(wǎng)及光纖通信技術(shù)的簡單介紹02-11

通信技術(shù)畢業(yè)求職簡歷08-13

通信技術(shù)文員工作內(nèi)容06-10

通信技術(shù)工程師模板簡歷03-12

通信技術(shù)專業(yè)求職信范文03-28

生命安全防護能力網(wǎng)絡(luò)測試03-07

小學(xué)語文寫作教學(xué)探究論文04-03

通信技術(shù)職稱評定自我總結(jié)03-08

通信技術(shù)專業(yè)生求職信范文03-19