一种新型可靠网络隐蔽信道的研究

针对传统IP时间隐蔽信道传输速率低,在广域网中缺少一种稳定的时间同步机制,难以实现收发双方间可靠、稳定传输隐蔽信息的问题,提出了一种可靠网络隐蔽信道的模型。这种信道利用在固定时间窗口内发送的IP数据包数量作为载体传输隐蔽信息。通过引入一种新的信息编码机制,显著提高了网络隐蔽信道的传输带宽。进一步提出了一种比特块定界方法,解决了传统IP时间隐蔽信道的时间同步问题。实验结果表明,提出的可靠网络隐蔽信道的传输速率和稳定性均好于传统的IP时间隐蔽信道。     

基于NdisHook的木马隐蔽信道模型

木马攻击行为的实施依赖于稳定可靠的隐蔽信道,隐蔽信道的核心是有效地躲避主机防火墙系统拦截.提出了基于NdisHook的木马隐蔽信道模型,克服了传统信道技术对防火墙规则的依赖,通过实验验证了该信道穿透主机防火墙的可靠性和有效性.给出了针对基于NdisHook的木马隐蔽信道的检测方法.     

基于HTTP请求行为的组合式隐蔽信道的构造研究

为了更好地使隐蔽信道在容量、可靠性、抗检测性方面取得一个合适的平衡,提出一种基于HTTP请求行为的隐蔽信道HRCC(Combined Covert Channel Based on HTTP Requests)。将HTTP请求动态分配在多个HTTP流上,利用数学组合的方式传输隐蔽信息,且通过模拟正常的HTTP流使得信道的抗检测性大大增强。同时TCP协议的可靠传输使得传输过程不会受到网络状况的影响,从而保证了信道的鲁棒性。最后通过实验结果证明了该新型隐蔽信道具有很强的实用性,而且在传输速率、传输正确率和抗检测性方面均优于传统基于HTTP的隐蔽信道。     

网络隐蔽信道的一种同步方式研究

网络隐蔽信道是利用现有网络协议的冗余等特点实现的一种隐蔽通信。该文研究了网络隐蔽信道中可能使用的一种信道同步方式,并对其相应的信道容量进行了分析。实验证明它适合于资源受限的网络隐蔽信道,较好地解决了不可靠网络状态隐蔽信道的验证。     

网络隐蔽信道关键技术研究综述

网络隐蔽信道是在网络环境下违反通信限制规则进行隐蔽信息传输的信息通道,为网络信息安全带来了新的挑战,也为数据传输的安全性和隐私性带来了新的研究方向.首先介绍了网络隐蔽信道的定义、分类、能力维度等基本概念;进而从码元设计、信息编码和信道优化这3个方面归纳分析了存储型和时间型两类网络隐蔽信道的构建技术,从隐蔽性、鲁棒性和传输效率这3个方面总结了网络隐蔽信道评估方法,从消除、限制、检测这3个方面梳理了网络隐蔽信道的对抗技术;最后,对未来的研究方向进行了展望.     

基于TCP/IP的隐信道随机密钥方法的研究

本文针对在网络层上传输隐蔽信息的问题进行了探讨,提出了利用三次握手机制建立隐存储信道并进行隐蔽信息加密解密的方案.文中采用随机方式每次生成唯一的密钥序列对隐蔽信息进行加密.实验证明,这种加密方案使隐信道中隐秘信息的传输更有效率.     

一种基于Web访问模型的网络隐蔽通道

网络隐蔽信道是将窃取的机密信息隐藏在正常的网络传输协议中的一种通信方法. 由于网络时间隐蔽信道不修改网络数据包的内容, 因此更加难以检测和限制, 从而具有更大的威胁. 提出一种新的基于Web访问模型的网络时间隐蔽信道, 恶意用户通过规律性的访问Web服务器实现机密信息传输; 实现了该网络隐蔽信道原型, 并给出了信道的性能分析结果.     

差分信息熵的网络时序型隐蔽信道检测

网络隐蔽信道是以合法网络通信信道作为载体建立的一种隐蔽通信技术.相比信息加密,网络隐蔽信道不仅隐藏了传输信息的内容,同时还隐藏了传输信息的行为,因而具有更强的隐蔽性.隐蔽信道技术的出现,使得网络通信中的信息安全和隐私保护受到了极大的威胁,尤其是间谍和其他不法分子可以利用隐蔽信道绕过系统的安全检查机制,窃取机密信息.因此,研究高效且准确率高的隐蔽信道检测技术势在必行.在分析和总结前人研究成果的基础上,提出了差分信息熵的概念,进而提出了基于差分熵的网络时序型隐蔽信道检测算法.首先给出了差分信息熵的定义和相关特性,然后给出了基于差分信息熵的隐蔽信道检测算法的实现原理,以及算法在具体实现过程中的参数设定,最后设计实验检测算法的性能和效果.实验结果表明,基于差分信息熵的检测算法可以有效检测IPCTC,TRCTC,JitterBug时序型隐蔽信道.     

一种基于文件存储分布的隐蔽信道构造方法

针对现有的长度式隐蔽信道在信道熵和长度分布特征中与合法信道有差异的问题,提出一种基于隐蔽信息存储分布的隐蔽信道构造方法。将不同编码方式下的隐蔽信息转换为二进制比特流,研究比特流中作为隐蔽信息的比特或者比特串的分布概率。分析该概率对传统长度式隐蔽信道的影响,将概率分布统计应用到长度式隐蔽信道的模型构建中,并实现信道熵和长度分布检测。实验结果表明,与传统参考长度隐蔽信道相比,提出方法具有更好的隐蔽性。     

基于量子神经网络的启发式网络隐蔽信道检测模型

为了提高隐蔽信道的检测率,讨论了传统的隐蔽信道检测技术的原理并对其特点作了详细的对比研究;通过对网络隐蔽通道特点的归纳和分析,找到可以描述网络隐蔽通道的若干属性,并提出基于网络隐蔽通道特征指纹的检测思想,归纳出隐蔽信道在协议域、统计规律、行为特征等方面表现出的通信指纹信息,在此基础上,设计并实现了一个基于量子神经网络的启发式网络隐蔽信道检测模型。测试结果表明该检测模型运行高效、检测结果较准确。     

Covert timing channels: analyzing WEB traffic

In case there is a communication contrary to the system security policies, a covert channel has been created. The attacker can easily disclosure information from the victim’s system with just one public access permission. Covert timing channels, unlike covert storage channels, do not have memory storage and they draw less attention. Different methods have been proposed for their identification, which generally benefit from the shape of traffic and the channel’s regularity. The application nature of HTTP protocol allows the creation of a covert timing channel based on different features of this protocol (or different levels) that has not been addressed in previous researches. This research tries to study the effect of using different features (or levels) of HTTP protocol on identifying the covert channel. The amount of channel’s entropy could be manipulated by changing the channel’s level or adding intentional noise on the channel to protect from the analyzer’s detection. The difference in the placement of the covert channel and the detector causes the amount of channel entropy to be far from the detection threshold. Therefore, we concluded that the analyzer must investigate traffic at all possible levels. Adding noise on the covert channel decrease its capacity, but as entropy increases, it would be harder to detect it.

     

基于HTTP协议的网络隐蔽通道研究

网络数据流中利用隐蔽通道来进行非法通信已逐渐成为威胁网络信息安全的一种重要手段。该文从攻击者的角度研究隐蔽通道，针对利用低层协议构建隐蔽通道的不足，提出了使用HTTP协议构建隐蔽通道的方法，有效地提高了隐蔽通道的隐蔽性、抗屏蔽性。     

基于Markov模型的HTTP参数排序隐蔽信道检测方法

网络隐蔽信道是利用网络协议中的保留、可选或未定义等字段在网络不同主机间建立秘密消息传输的通信信道,其中HTTP协议作为万维网上最常用的协议之一,是网络隐蔽信道的良好载体。为有效检测基于HTTP协议的隐蔽信道,提出一种基于Markov模型的隐蔽信道检测方法。以Host、Connection、Accept和User-Agent为关键字,建立数据包的Markov模型并计算其状态转移概率矩阵,利用待测数据包与正常数据包2个概率矩阵之间的相对熵,判别是否存在隐蔽信道通信。实验结果表明,当隐蔽信道中的异常数据超过70%时,该方法检测率可达97%以上。     

基于HTTP协议的跳频隐蔽通道技术研究

针对目前HTTP隐蔽通道带宽小和容易被检测的弱点,提出一种基于HTTP协议的跳频隐蔽通道(FHCC_HTTP)技术。介绍了多种基于HTTP协议的隐蔽通道构建方法,在此基础上提出了基于跳频原理的HTTP隐蔽通道技术的设计和实现。最后对文件隐秘性、文件传输时间进行了分析和仿真测试,结果表明采用FHCC_HTTP隐蔽通道的网络流量更贴近正常用户浏览网页时的网络流量,可有效地避开IDS的检测,隐秘性好。同时由于FHCC_HTTP切换多种隐蔽通道构建方法,文件传输时间和隐蔽通道带宽较RwwwShell有明显改善。     

IP时间隐通道通信协议的研究

针对现有IP时间隐通道通信工具之间因缺乏统一的协议约束而不能互联互通的问题,在OSI参考模型的基础上建立IP时间隐通道四层协议模型,分析了协议各分层的功能,给出了具体的设计方案,并实现了一个满足分层协议功能要求的IP时间隐通道实用通信软件。     

一种NTP协议隐蔽通道

网络隐蔽通道技术是一种被广泛应用的网络攻击技术.掌握隐蔽通道的构建机制,对制定相应网络防御策略具有指导意义.利用互联网不可或缺的NTP时间同步协议,提出了基于NTP协议的隐蔽通道构建机制.通过分析NTP协议查询/应答机制的特点,并研究可被用作载荷的NTP协议数据单元,设计了下行通道和上行通道分离的NTP隐蔽通道,它将隐藏信息伪装成普通NTP报文,进行隐秘消息的传递.NTP报文的普及性和不可替代性,使得基于NTP的隐蔽通道具有穿透能力强、隐蔽性好的优点.试验表明,提出的NTP隐蔽通道可以携带较多的秘密信息,穿透网络监测设备.下一步的工作将围绕NTP隐蔽通道的认证、加密等安全机制进行研究.     

一种消除时间隐通道的方法调用控制策略

采用消息过滤算法可以在支持对象模型的多级安全系统中实现强制访问控制。但是，这种算法会引入时问隐通道，可能致使机密信息泄露。本文提出并实现了一种可信的控制策略，在消息过滤算法中采用异步消息传递方式消除时间隐通道，并对系统中对象方法的执行进行调度，确保消除时间隐通道不会导致执行结果不正确。     

基于HTTP协议的参数排序通信隐藏算法

HTTP协议作为目前Internet上使用最广泛的协议是用来进行隐藏通信的最佳载体之一。常用的基于HTTP协议的通信隐藏是将待隐藏信息直接嵌入HTTP数据包的包头中，往往会留下一些明显的特征。基于HTTP协议参数排序的通信隐藏算法在不增加额外的信息情况下，通过对HTTP协议某些特殊关键词的参数进行某种排序来编码隐藏信息。为了检测出重排序攻击，需要对待隐藏信息进行信息完整性检验。     

Timing Aware Information Flow Security for a JavaCard-like Bytecode

Common protection mechanisms fail to provide end-to-end security; programs with legitimate access to secret information are not prevented from leaking this to the world. Information-flow aware analyses track the flow of information through the program to prevent such leakages, but often ignore information flows through covert channels even though they pose a serious threat. A typical covert channel is to use the timing of certain events to carry information. We present a timing-aware information-flow type system for a low-level language similar to a non-trivial subset of a sequential Java bytecode. The type system is parameterized over the time model of the instructions of the language and over the algorithm enforcing low-observational equivalence, used in the prevention of implicit and timing flows.