隱蔽通信及安全檢測防護(hù)技術(shù)探究論文

　　1 緒論

　　惡意的隱蔽通信(也稱隱蔽信道)是網(wǎng)絡(luò)攻擊者進(jìn)行網(wǎng)絡(luò)攻擊成功關(guān)鍵。通過攻擊者通過對(duì)受控主機(jī)的控制，通過使用惡意程序或修改正常程序， 在看似正常的網(wǎng)絡(luò)通信中嵌入消息并混合在正常的網(wǎng)絡(luò)流量中。這樣幫助攻擊者繞過傳統(tǒng)通過訪問控制列表、利用簽名、信譽(yù)列表及沙箱識(shí)別等傳統(tǒng)安全防護(hù)產(chǎn)品的檢測，從而進(jìn)行控制指令執(zhí)行、惡意代碼傳播、敏感數(shù)據(jù)竊取等攻擊行為。隱蔽信道最早在1973 年由美國Lampson 提出。美國對(duì)隱蔽信道研究高度重視，在1993 年發(fā)布了可信系統(tǒng)的隱蔽信道分析的指南。隨著互聯(lián)網(wǎng)通信協(xié)議的廣泛使用和互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展， 隱蔽通信也得到了越來越廣泛的研究和利用。針對(duì)隱蔽通信的檢測和預(yù)防，信息安全界也展開了大量的研究和實(shí)踐工作。本文將針對(duì)隱蔽通信的攻擊和防護(hù)進(jìn)行分析研究并根據(jù)現(xiàn)有方式的不足提出相應(yīng)的安全應(yīng)對(duì)措施。

　　2 隱蔽信道攻擊研究

　　互聯(lián)網(wǎng)協(xié)議版本(IPV4)報(bào)頭隧道是隱蔽信道在網(wǎng)絡(luò)層的第一個(gè)實(shí)例。因?yàn)镮P 是廣泛使用的協(xié)議，因此利于目標(biāo)協(xié)議的數(shù)據(jù)隱藏。IP 數(shù)據(jù)包包含一個(gè)協(xié)議報(bào)頭，它有23 個(gè)字段組成并用于各種目的，如攜帶的路由信息、服務(wù)質(zhì)量系統(tǒng)信息，分段信息的。但是這些信息可用來傳輸非網(wǎng)絡(luò)管理是信息。盡管這些報(bào)頭中的這些信息是公開且可被檢測， 但是里面的數(shù)據(jù)并不被認(rèn)為是異常的。16bit 的IP 標(biāo)示(ID)字段也是最常見的可用于隱蔽數(shù)據(jù)傳輸?shù)倪x擇。一個(gè)隱蔽信道可以將編碼數(shù)據(jù)分隔成16bit 字節(jié)并封裝于IP 的標(biāo)示字段中進(jìn)行隱蔽傳輸。此外，IP 協(xié)議還有許多通過操作利用IP 報(bào)頭進(jìn)行隱蔽信道傳輸?shù)穆┒�，例�?4bit 的可選字段、8bit 的字段填充位、3bit的不分段標(biāo)示(DF flag)以及生存時(shí)間字段(TTL)。IPV6 協(xié)議是IPV4 協(xié)議的增強(qiáng)版本，但是由于其更復(fù)雜，也更利于隱蔽信道進(jìn)行利用。另一個(gè)隱蔽通信常用的協(xié)議是TCP 協(xié)議。例如在TCP 協(xié)議中，初始序列號(hào)(ISN)是隨機(jī)產(chǎn)生的并使用在TCP 會(huì)話的一個(gè)分段中(SYN 分段)，但是在ISN 中填充使用非隨機(jī)的值并不中斷TCP 協(xié)議， 因此惡意用戶可以每次傳輸32bit 的任意數(shù)據(jù)。由于ISN 本身就是隨機(jī)的，因此當(dāng)其用作隱蔽信道傳輸?shù)妮d體時(shí)非常難以進(jìn)行判斷分析。

　　除了對(duì)IP，TCP 數(shù)據(jù)包特定字段的利用，還有其它對(duì)協(xié)議的隱蔽信道攻擊利用方式， 包括ICMP Tunnel，HTTP Tunnel和DNS Tunnel。ICMP Tunnel 是利用IETF 組織RFC 792 中對(duì)ICMP 響應(yīng)數(shù)據(jù)報(bào)文中定義的缺陷，即允許包頭中類型為0 或8 的ICMP 數(shù)據(jù)包擁有任意長度。

　　HTTP Tunnel 是一種使用HTTP 協(xié)議封裝不同的網(wǎng)絡(luò)協(xié)議的技術(shù)。網(wǎng)絡(luò)協(xié)議一般指的是TCP/IP 族協(xié)議。HTTP 協(xié)議扮演了隧道包裝器的角色， 網(wǎng)絡(luò)協(xié)議則通過隧道來進(jìn)行通信。HTTP tunnel 分為連接代理和無連接代理兩類。連接代理是HTTP client 和HTTP Proxy 進(jìn)行通信， 由HTTP Proxy 來完成TCP 流的代理轉(zhuǎn)發(fā)。而無連接代理方式則是client 將經(jīng)由其出去的TCP 流封裝在HTTP 協(xié)議中發(fā)給HTTP server，HTTP sever解析出TCP 流后進(jìn)行轉(zhuǎn)發(fā)。DNS Tunnel 的方式也是借由對(duì)DNS 數(shù)據(jù)包的修改操控完成隱蔽數(shù)據(jù)的發(fā)送。例如修改DNS數(shù)據(jù)包IP 和UDP 報(bào)頭， 增加額外的數(shù)據(jù)包長度就可以添加任何數(shù)量的二進(jìn)制數(shù)據(jù)到DNS 數(shù)據(jù)包的尾部，同時(shí)也不會(huì)影響到DNS 服務(wù)器和解析器對(duì)這類已修改的DNS 查詢和應(yīng)答數(shù)據(jù)包的處理。

　　此外還可以利用DNS 解析器并不要求DNS 數(shù)據(jù)包指針只能指向數(shù)據(jù)包之前的位置的漏洞。該方式可以將指針調(diào)整指向插入隱蔽數(shù)據(jù)后的標(biāo)簽位置(見圖5)。

　　最后還有一些新的隱蔽通信實(shí)現(xiàn)的方式，包括利用VOIP__和X509 證書。VOIP 協(xié)議中可以利用VOIP 協(xié)議中SEQ(順序號(hào))和SSRC(源驗(yàn)證者)這兩個(gè)地方寫入隱藏?cái)?shù)據(jù)，還可以對(duì)控制協(xié)議(SIP，H323，RTCP)進(jìn)行隱蔽通信。在X509 證書可以操作證書的有效時(shí)間來實(shí)現(xiàn)隱蔽數(shù)據(jù)傳輸。根據(jù)X509 證書的定義， 有效時(shí)間的最早年份值為1900， 而最晚年份可以是9999， 因此該項(xiàng)值在1900 年00：00：00 到9999 年23：59：59之間共有(9999-1900)×365×3600=10，642，086，000 個(gè)變化。這意味著高達(dá)33bit 的數(shù)據(jù)可以利用時(shí)間差分編碼方式在一個(gè)數(shù)字證書中進(jìn)行傳輸。

　　隱蔽通信是一種非常規(guī)的通信方式， 由于其可以突破眾多的限制，實(shí)現(xiàn)跨網(wǎng)絡(luò)域的通信，多年來網(wǎng)絡(luò)通信行業(yè)一直在開展這方面的研究。如解放軍信息工程學(xué)院文志軍提出了利用ICMP 隧道協(xié)議實(shí)現(xiàn)三級(jí)模式模式穿越防火墻的控制和實(shí)現(xiàn)方法。南京理工大學(xué)王鵬提出提出通過TCP 時(shí)間戳選項(xiàng)構(gòu)造記錄式包間隔構(gòu)造隱蔽信道的方式。對(duì)于隱蔽通信，信息安全界更多關(guān)注如何檢測和防護(hù)隱蔽信道。

　　3 隱蔽信道攻擊防護(hù)研究

　　目前關(guān)于隱蔽信道的檢測技術(shù)主要包含三個(gè)方向：

　　(1)通過數(shù)據(jù)流統(tǒng)計(jì)的方式進(jìn)行檢測。該方式通過對(duì)網(wǎng)絡(luò)或傳輸層的監(jiān)測建立網(wǎng)絡(luò)中協(xié)議數(shù)據(jù)流在一定條件下的閥值。當(dāng)流量超出該閥值，則視為檢測到隱蔽通信。例如錢玉文等提出基于密度聚類的隱蔽信道檢測算法檢測出不同種類的隱蔽信道。D.A.Gustafson 和Kenton Born 提出通過字符頻率分析的方式來檢測DNS 隧道以及通過利用NgViz 工具來統(tǒng)計(jì)分析檢測DNS 隧道。Guido Pineda Reyes 提出通過統(tǒng)計(jì)分析數(shù)據(jù)流指標(biāo)特征的方式來發(fā)現(xiàn)隱蔽信道。

　　(2)通過特征來進(jìn)行檢測。這種特征可以是一種隨機(jī)分布，如果不符合，則視為檢測到隱蔽通信。例如前面提到TCP協(xié)議的ISN，該值理論上應(yīng)是隨機(jī)生成，但由于填充了隱蔽數(shù)據(jù)，其隨機(jī)分布可能呈現(xiàn)一定的規(guī)律性。因此利用該特征作為檢測隱蔽通信的手段。

　　此外還可以將數(shù)據(jù)包中字段的設(shè)定作為特征。例如如果TCP 包頭的保留字段沒有使用，而該字段確又有數(shù)值，則該情況可能就是一種隱蔽通信。

　　(3)通過學(xué)習(xí)“網(wǎng)絡(luò)行為”并使用統(tǒng)計(jì)的方式來建立模型，進(jìn)而判斷哪種網(wǎng)絡(luò)流量是“正確的行為”。例如曹自剛提出基于協(xié)議的一般性概念將真實(shí)世界中的常見網(wǎng)絡(luò)協(xié)議抽象為協(xié)議語法格式，協(xié)議狀態(tài)轉(zhuǎn)移和協(xié)議行為三種屬性，并提出了面向常見網(wǎng)絡(luò)協(xié)議的通用偽裝檢測框架， 從上述三個(gè)方面分別對(duì)協(xié)議的合規(guī)性和異常度進(jìn)行深度驗(yàn)證。Paras Malhotra 通過分析網(wǎng)絡(luò)中特定主機(jī)、端口和應(yīng)用的加密行為來分析檢測未授權(quán)的加密數(shù)據(jù)流。

　　4 隱蔽信道攻擊防護(hù)研究的不足

　　以上三種檢測方向的研究為隱蔽信道的檢測提供了很好的解決思路。但從信息安全攻擊鏈的角度來以上檢測方式還不能完全解決隱蔽信道攻擊的風(fēng)險(xiǎn)。存在的問題包含如下：

　　(1)以上檢測方向均集中在事中檢測的.階段。而最終企業(yè)/機(jī)構(gòu)用戶來說，攻擊已經(jīng)發(fā)生了，而且可能已經(jīng)造成了一些事實(shí)上和實(shí)際的損失。因此需要加強(qiáng)在事前預(yù)防和事后修復(fù)方面的安全措施。

　　(2)對(duì)于隱蔽信道的檢測和防護(hù)并應(yīng)不只限于協(xié)議分析層面、網(wǎng)絡(luò)數(shù)據(jù)傳輸層面。還應(yīng)加強(qiáng)在終端惡意代碼防護(hù)、員工安全意識(shí)培訓(xùn)、定期安全評(píng)估這些方面的管控手段。從攻擊的源頭和最終的落地等方面給予全面的防護(hù)。

　　(3)對(duì)于隱蔽信道的攻擊檢測，目前大部分的研究還僅限于理論研究未真正走出實(shí)驗(yàn)室， 市場上可供最終用戶選擇的安全防護(hù)產(chǎn)品依然非常罕見。與此相反，在互聯(lián)網(wǎng)上用于隱蔽通信的工具隨手可得。例如Covert Channel Tunneling Tool，dnscat2，Loki ICMP Tunneling，Super Network Tunnel，HTTP -Tunnel 等。

　　(4)對(duì)于最終機(jī)構(gòu)用戶而言，更多的檢測方式是通過人工方式進(jìn)行安全評(píng)估。但是，這種人工分析往往需要分析人員必須對(duì)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)通信有深入的了解和豐富的實(shí)踐經(jīng)驗(yàn)。因此對(duì)于最終機(jī)構(gòu)用戶可能需要專業(yè)第三方機(jī)構(gòu)的協(xié)助。

　　5 結(jié)束語

　　在信息安全領(lǐng)域， 由于隱蔽通信利用了OSI 體系模型中IP 協(xié)議、TCP/UDP 協(xié)議的安全漏洞，因此通過隱蔽信道在網(wǎng)絡(luò)中建立隱蔽通信的可能性幾乎是無止境的。國內(nèi)外研究人員對(duì)此已經(jīng)投入了巨大的努力。大多數(shù)的研究和討論覆蓋了不同的檢測和預(yù)防技術(shù)理論。這些理論包含統(tǒng)計(jì)分析、特征分析、模型分析的方式。但即便如此，目前仍無一個(gè)完整的解決方案。此外對(duì)隱蔽信道的檢測和防護(hù)還應(yīng)從攻擊鏈的角度來考慮，覆蓋事前、事中和事后三個(gè)階段�？傮w而言，對(duì)隱蔽信道進(jìn)行檢測和安全防護(hù)是一個(gè)十分復(fù)雜的難題。還需要繼續(xù)開展廣泛的理論研究和實(shí)踐。

【隱蔽通信及安全檢測防護(hù)技術(shù)探究論文】相關(guān)文章：

儀器儀表及檢測技術(shù)中文簡歷范文10-04

計(jì)算機(jī)通信網(wǎng)及光纖通信技術(shù)的簡單介紹02-11

通信技術(shù)畢業(yè)求職簡歷08-13

通信技術(shù)文員工作內(nèi)容06-10

通信技術(shù)工程師模板簡歷03-12

通信技術(shù)專業(yè)求職信范文03-28

生命安全防護(hù)能力網(wǎng)絡(luò)測試03-07

小學(xué)語文寫作教學(xué)探究論文04-03

通信技術(shù)職稱評(píng)定自我總結(jié)03-08

通信技術(shù)專業(yè)生求職信范文03-19