基于水印的隱蔽入侵及防范.pdf

1、數(shù)字水印技術(shù)是近年來在信息安全領(lǐng)域興起的一項新的研究課題,其潛在的應(yīng)用價值和學(xué)術(shù)價值,吸引了眾多國內(nèi)外學(xué)者和著名公司.本文從橫向思維的角度出發(fā),第一次將現(xiàn)有數(shù)字水印技術(shù)與傳統(tǒng)的病毒、木馬機(jī)制相結(jié)合,產(chǎn)生出一種新的攻擊模型.兩者的有機(jī)整合使得,這一新的入侵機(jī)制與傳統(tǒng)的特洛伊木馬以及病毒相比有了很大的不同,其主要體現(xiàn)在以下幾個方面:通信方式:水印的引入使得木馬的服務(wù)器與客戶端之間可采用傳輸帶有水印信息的載體文件進(jìn)行隱蔽的交互,新的通信方式大

2、大的彌補(bǔ)了傳統(tǒng)木馬機(jī)制對于協(xié)議的依賴,將其提升到基于信息內(nèi)容本身的嶄新高度.這一重要的改進(jìn)也使得入侵者擁有了可以輕松穿越現(xiàn)有防火墻進(jìn)行通信的強(qiáng)大技術(shù)能力,為現(xiàn)有的入侵技術(shù)發(fā)展帶來一次新的轉(zhuǎn)折與飛躍.存在形式:傳統(tǒng)的入侵程序,為了不引起被入侵主機(jī)用戶的注意,總是盡可能做得非常小,這一限制使得很多復(fù)雜的功能不能在服務(wù)器端直接實現(xiàn).在數(shù)字水印技術(shù)的幫助下,木馬/病毒程序,可以將自己分割成許多小的部分,以數(shù)字水印的方式嵌入目標(biāo)主機(jī)已存在的文件里

3、,當(dāng)程序需要使用到相應(yīng)的功能模塊時,可從對應(yīng)的水印載體文件提取,并重構(gòu).由于水印的嵌入可以不改變載體文件的大小,這一方法有效的解決了程序大小與程序功能之間的矛盾.入侵者只需要占用目標(biāo)主機(jī)上及極少量的空閑磁盤空間,實現(xiàn)水印的嵌入、提取、以及代碼二進(jìn)制級的重構(gòu),便可實現(xiàn)任意復(fù)雜的程序的植入.新的木馬/病毒程序變得異常強(qiáng)大,且更難查殺.隱蔽性:傳統(tǒng)的木馬/病毒的很多重要功能依賴于操作系統(tǒng)的具體實現(xiàn),查殺者可以通過將病毒所要實現(xiàn)關(guān)鍵系統(tǒng)調(diào)度功能

4、作為特征碼的方法,對該類木馬/病毒進(jìn)行廣譜的識別.由于水印算法具有個性化的特點,同一類算法可能具有許多不同的實現(xiàn)方式,因此很難找出固定的特征碼.針對木馬/病毒用以實現(xiàn)的特定系統(tǒng)調(diào)度的代碼,可采用水印的方式嵌入目標(biāo)主機(jī)上的可使用的載體文件,當(dāng)需要使用時進(jìn)行提取加載,從而很好的避免了被廣譜的查殺.激活方式:傳統(tǒng)的木馬機(jī)制受到其通信方式的限制,服務(wù)器端需要對特定端口進(jìn)行監(jiān)聽,或?qū)μ囟ňW(wǎng)段進(jìn)行反向掃描以建立起與客戶端的連接.這兩者都很難逃脫現(xiàn)有

5、防火墻的監(jiān)視,導(dǎo)致一旦木馬的激活特征被識別就很難逃脫被查殺的命運(yùn).本文作者提出了一種利用數(shù)字水印技術(shù)實現(xiàn)基于文件監(jiān)控的激活方式,為木馬激活的研究提供了新的思路.數(shù)字水印技術(shù)引入的上述特征,也激發(fā)了一系列新技術(shù)手段實現(xiàn)的可能:隱蔽控制:即通過傳輸帶水印控制信息的載體文件的方式實現(xiàn)對目標(biāo)主機(jī)的控制,該方法不依賴于具體的協(xié)議,現(xiàn)有的基于協(xié)議分析的防火墻機(jī)制很難對其防范.大大的提高了木馬的生存能力,以及入侵者對目標(biāo)主機(jī)控制的隱蔽性.隱蔽監(jiān)視:對

6、被目標(biāo)主機(jī)上用戶的行為進(jìn)行記錄,并將相應(yīng)的信息嵌入本機(jī)上可用的載體文件(如用戶的重要資料文件).采用該方式記錄的日志信息,可以更加安全的保存在主機(jī)上,用戶即使發(fā)現(xiàn)被監(jiān)控,并清除相應(yīng)的監(jiān)控程序,由于日志信息已被很好地藏入載體文件,也很難抹去以前的記錄.這一點與傳統(tǒng)的日志信息相比更加的穩(wěn)定可靠,并且由于嵌入的水印信息不會帶來額外的空間開銷,而更難被用戶發(fā)現(xiàn).本文逐步地分析了實現(xiàn)上述入侵機(jī)制所需攻克的一系列技術(shù)難題,并提出相應(yīng)的解決方案.在理