隐蔽流树方法的分析与改进

利用隐蔽流树方法搜索隐蔽通道时,获得的操作序列中只有极少部分真正构成隐蔽通道,增加了后续手工分析的工作量。为此,提出一种改进的隐蔽流树方法。根据信息流图进行建树,设计信息流规则,并给出隐蔽流树的自动分析算法。以一个文件系统为例进行分析,结果验证了改进方法的正确性。     

安全数据库隐蔽通道的标识技术与实例分析

LogicSQL数据库是自主研制基于Linux的高安全级别安全数据库。重点对安全数据库的隐蔽通道标识技术进行研究,为寻求更好的隐蔽通道标识方法,对共享资源矩阵、信息流公式法、无干扰法等标识方法从理论上进行分析,以Log-icSQL安全数据库的隐蔽通道进行实例分析。改进的共享资源矩阵是目前相对比较成功的隐蔽通道标识方法,无干扰法的实际应用可作以后的隐蔽通道标识方法研究重点。     

安全数据库隐蔽通道的标识技术与实例分析

LogicSQL数据库是自主研制基于Linux的高安全级别安全数据库。重点对安全数据库的隐蔽通道标识技术进行研究，为寻求更好的隐蔽通道标识方法，对共享资源矩阵、信息流公式法、无干扰法等标识方法从理论上进行分析，以LogicSQL安全数据库的隐蔽通道进行实例分析。改进的共享资源矩阵是目前相对比较成功的隐蔽通道标识方法，无干扰法的实际应用可作以后的隐蔽通道标识方法研究重点。     

基于流量分析的网络隐蔽通道检测模型

针对传统的异常信息流检测方法的不足，设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。     

隐蔽通道信息流的研究

本文在分析以往信息流理论的基础上,采用了一种和操作系统源代码编写相同的思路,完全按照系统设计时的结构化思路分析隐蔽通道。和以往的信息流分析理论相比,该方法能充分利用软件自身的结构化特征,使得信息流分析可以借鉴源代码开发的思路,大大的降低了隐蔽通道分析的难度,增加了源代码分析的可行性。     

图灵四级安全操作系统隐蔽通道分析研究

对图灵四级安全操作系统隐蔽通道进行了分析研究，提出了新的隐蔽通道分析方法——增强改进型语义信息流法。该方法具有工作量小、源代码级分析、能排除伪结果、帮助对隐蔽通道进行后续处理等优点。采用该方法对图灵四级安全操作系统隐蔽通道进行了标识，对隐蔽通道带宽进行了计算，并根据不同的安全策略对隐蔽通道进行了适当的处理。其分析结果达到了相关国家标准中第4级安全操作系统的规定。     

一种基于信息流脉络网的隐蔽通道搜索方法

针对隐蔽流树搜索方法存在的规模大、分析工作量繁重等问题, 提出一种改进的隐蔽通道搜索方法。该方法采用网结构描述系统中的隐蔽信息流, 提出网中隐蔽通道的判定规则; 依据判定规则在深度优先搜索网中隐蔽通信路径过程中排除合法通道; 结合路径中的操作序列构造隐蔽通道工作场景, 从而发现系统中的隐蔽通道。实例分析和对比表明, 该方法可以弥补隐蔽流树搜索方法的不足。     

基于HTTP协议的跳频隐蔽通道技术研究

针对目前HTTP隐蔽通道带宽小和容易被检测的弱点,提出一种基于HTTP协议的跳频隐蔽通道(FHCC_HTTP)技术。介绍了多种基于HTTP协议的隐蔽通道构建方法,在此基础上提出了基于跳频原理的HTTP隐蔽通道技术的设计和实现。最后对文件隐秘性、文件传输时间进行了分析和仿真测试,结果表明采用FHCC_HTTP隐蔽通道的网络流量更贴近正常用户浏览网页时的网络流量,可有效地避开IDS的检测,隐秘性好。同时由于FHCC_HTTP切换多种隐蔽通道构建方法,文件传输时间和隐蔽通道带宽较RwwwShell有明显改善。     

基于SSA中间表示的源代码信息流分析

提出一种基于SSA中间表示的源代码信息流分析算法,介绍隐蔽通道识别过程,采用基于信息流的工作表实现该算法,讨论其在时空代价以及分析精度方面的特点,并将分析框架嵌入GCC编译器。仿真实验结果表明,该算法是有效的,且具有一定应用价值。     

隐蔽通道发现技术综述

本文首先解释了隐蔽通道的概念，介绍了隐蔽通道的分类。然后花主要精力，结合实例概述了当代国际上已经使用过的隐蔽通道的方法。并且对目前已有的这些方法从不同的方面给出了对比性的评价。在文章的讨论部分，作者基于目前的形势以及传统发现方法的限制给出了针对隐蔽通道发现方法建设性的见解和展望。     

隐通道传递信息机理的研究

可信计算机系统中一些隐蔽数据流避开了安全机制的监控，造成信息的泄漏。本文通过对这种隐蔽流泄漏信息的机理进行分析和抽象，提出了一个通道元模型。将每一类通道元看成一个有限状态机，以Plotkin的结构化操作语义等为基础，计算出状态机的状态变化序列。通过对不满足隐通道定义的状态变迁序列的归纳，得到了抽象机中安全状态转移的约束条件，找出两个通道元通过共享客体泄露信息的工作机理，从而开发出一种基于操作语义的隐通道标识方法。对电梯调度算法模型进行实验，可有效地标识出存在的隐通道。     

On covert channels between virtual machines

Virtualization technology has become very popular because of better hardware utilization and easy maintenance. However, there are chances for information leakage and possibilities of several covert channels for information flow between the virtual machines. Our work focuses on the experimental study of security threats in virtualization, especially due to covert channels and other forms of information leakage. The existence of data leakage during migration shutdown and destruction of virtual machines, is tested on different hypervisors. For empirically showing the possibility of covert channels between virtual machines, three new network based covert channels are hypothesized and demonstrated through implementation, on different hypervisors. One of the covert channels hypothesized is a TCP/IP steganography based covert channel. Other covert channels are a timing covert channel and a new network covert channel having two pairs of socket programs. We propose a VMM (Virtual Machine Monitor) based network covert channel avoidance mechanism, tackling detection resistant covert channel problems. We also address issue of reducing the possibilities of network based covert channels using VMM-level firewalls. In order to emphasize the importance of addressing the issue of information leakage through virtual machines, we illustrate the simplicity of launching network covert channel based attacks, by demonstrating an attack on a virtual machine using covert channels through implementation.     

自适应伪随机序列混合网络隐蔽通道构建方法

现有网络隐蔽通道研究主要集中于存储型、时间型和序列型等单一模式,单一网络隐蔽通道对网络流量影响较大,隐蔽性差,综合使用多种模式构建混合型隐蔽通道方法鲜见,且混合使用方法无法根据网络流量动态调整。提出了一种新的混合使用多种隐蔽通道的方法,建立可以根据当前网络流量特征自适应变化的隐蔽通道构建框架,通过网络流量在不同隐蔽通道下的隐蔽性强弱生成具有一定分布的伪随机序列,使用该伪随机序列在不同的模式中写入隐蔽信息,使得隐蔽信息在信息传输的过程中在多种通道中随机存在,在传输隐蔽信息的同时降低对原始流量的影响,并使隐蔽通道可以实时根据网络流量动态调整使用模式。真实网络环境中实验结果证明,该类隐蔽通道具有较强的隐蔽性和自适应性,实用价值明显。     

基于量子神经网络的启发式网络隐蔽信道检测模型

为了提高隐蔽信道的检测率,讨论了传统的隐蔽信道检测技术的原理并对其特点作了详细的对比研究;通过对网络隐蔽通道特点的归纳和分析,找到可以描述网络隐蔽通道的若干属性,并提出基于网络隐蔽通道特征指纹的检测思想,归纳出隐蔽信道在协议域、统计规律、行为特征等方面表现出的通信指纹信息,在此基础上,设计并实现了一个基于量子神经网络的启发式网络隐蔽信道检测模型。测试结果表明该检测模型运行高效、检测结果较准确。     

隐蔽信道新型分类方法与威胁限制策略

隐蔽信道是指恶意通信双方通过修改共享资源的数值、特性或状态等属性,来编码和传递信息的信道.共享资源的选取,由隐蔽信道的类型与具体通信场景所决定.早期,存储隐蔽信道和时间隐蔽信道主要存在于传统操作系统、网络和数据库等信息系统中.近年来,研究重点逐渐拓展到了3类新型隐蔽信道,分别为混合隐蔽信道、行为隐蔽信道和气隙隐蔽信道.对近年来国内外隐蔽信道研究工作进行了系统的梳理、分析和总结.首先,阐述隐蔽信道的相关定义、发展历史、关键要素和分析工作.然后,根据隐蔽信道共享资源的类型以及信道特征,提出新的隐蔽信道分类体系.首次从发送方、接收方、共享资源、编码机制、同步机制、评价指标和限制方法这7个方面,对近年来新型隐蔽信道攻击技术进行系统的分析和归纳,旨在为后续隐蔽信道分析和限制等研究工作提供有益的参考.进而,讨论了面向隐蔽信道类型的威胁限制技术,为设计面向一类隐蔽信道的限制策略提供研究思路.最后,总结了隐蔽信道中存在的问题和挑战.     

Covert flow trees: a visual approach to analyzing covert storagechannels

The authors introduce a technique for detecting covert storage channels using a tree structure called a covert flow tree (CFT). CFTs are used to perform systematic searches for operation sequences that allow information to be relayed through attributes and eventually detected by a listening process. When traversed, the paths of a CFT yield a comprehensive list of operation sequences which support communication via a particular resource attribute. These operation sequences are then analyzed and either discharged as benign or determined to be covert communication channels. Algorithms for automating the construction of CFTs and potential covert channel operation sequences are presented. To illustrate this technique, two example systems are analyzed and their results compared to two currently accepted analysis techniques performed on identical systems. This comparison shows that the CFT approach not only identified all covert storage channels found by the other analysis techniques, but discovered a channel not detected by the other techniques     

基于源代码的隐通道搜索方法

针对目前隐通道搜索方法仍采用手工分析语句信息流所带来的工作量巨大问题，提出了一种基于源代码的信息流分析法，找出软件系统源代码中原语间兼具可见性和可修改性的共享变量，再以此作为共享资源矩阵法的输入，得到高效高精度的隐通道分析工具。     

基于BHO的网络隐蔽通道研究

针对现有网络隐蔽通道在流量隐藏和代理穿透方面的不足,提出一种基于浏览器帮助对象(BHO)构建网络隐蔽通道的方法。BHO自身的“合法性”和“寄生性”不仅为躲避杀毒软件和防火墙提供天然屏障,而且能为流量隐藏和代理穿透提供有利条件。该文给出详细方案设计和代码框架,通过测试验证该隐蔽通道的有效性。针对其可能带来的危害,提出防御建议。     

Covert timing channels: analyzing WEB traffic

In case there is a communication contrary to the system security policies, a covert channel has been created. The attacker can easily disclosure information from the victim’s system with just one public access permission. Covert timing channels, unlike covert storage channels, do not have memory storage and they draw less attention. Different methods have been proposed for their identification, which generally benefit from the shape of traffic and the channel’s regularity. The application nature of HTTP protocol allows the creation of a covert timing channel based on different features of this protocol (or different levels) that has not been addressed in previous researches. This research tries to study the effect of using different features (or levels) of HTTP protocol on identifying the covert channel. The amount of channel’s entropy could be manipulated by changing the channel’s level or adding intentional noise on the channel to protect from the analyzer’s detection. The difference in the placement of the covert channel and the detector causes the amount of channel entropy to be far from the detection threshold. Therefore, we concluded that the analyzer must investigate traffic at all possible levels. Adding noise on the covert channel decrease its capacity, but as entropy increases, it would be harder to detect it.