網(wǎng)絡(luò)協(xié)議隱信道檢測(cè)與新型構(gòu)建方案研究.pdf

1、隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，基于網(wǎng)絡(luò)協(xié)議的隱信道研究吸引了越來(lái)越多研究者的關(guān)注。網(wǎng)絡(luò)媒介具有動(dòng)態(tài)性、瞬時(shí)性和基數(shù)大等特性，以網(wǎng)絡(luò)協(xié)議為載體構(gòu)建隱蔽通信，具有其他載體無(wú)法比擬的優(yōu)勢(shì)。加之傳統(tǒng)加密技術(shù)的安全性日漸受到威脅，已不能滿足人們對(duì)信息安全傳輸?shù)男枰?。而網(wǎng)絡(luò)隱信道隱藏了隱秘信息的存在，成為備受人們青睞的選擇。目前，網(wǎng)絡(luò)協(xié)議隱信道在構(gòu)建研究方面已經(jīng)取得了一定的成果，而其檢測(cè)技術(shù)研究尚處于起步階段。目前已有木馬結(jié)合網(wǎng)絡(luò)隱信道造成隱私泄露事件，這

2、給網(wǎng)絡(luò)安全與個(gè)人隱私安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。因此，研究網(wǎng)絡(luò)協(xié)議隱信道及其檢測(cè)技術(shù)是非常有必要的。
　　針對(duì)網(wǎng)絡(luò)協(xié)議隱信道的研究現(xiàn)狀，本文分別從檢測(cè)技術(shù)和新型構(gòu)建方案兩個(gè)方向?qū)W(wǎng)絡(luò)協(xié)議隱信道展開(kāi)研究。在檢測(cè)研究方面，我們?cè)诂F(xiàn)有的存儲(chǔ)型和時(shí)序型隱信道構(gòu)建研究的基礎(chǔ)上，針對(duì)基于TCP/IP的存儲(chǔ)型隱信道，提出了基于協(xié)議行為的多維特征向量檢測(cè)算法;對(duì)時(shí)序型隱信道，設(shè)計(jì)了基于時(shí)序指紋的時(shí)序型隱信道綜合檢測(cè)算法;然后設(shè)計(jì)出一個(gè)實(shí)用的網(wǎng)絡(luò)協(xié)議隱信

3、道檢測(cè)框架。在構(gòu)建研究方面，鑒于存儲(chǔ)型和時(shí)序型隱信道的構(gòu)建研究現(xiàn)狀，我們?cè)O(shè)計(jì)了一種基于瀏覽器HTTP行為的新型應(yīng)用層隱信道。本文的主要研究?jī)?nèi)容和貢獻(xiàn)總結(jié)如下:
　　1.基于存儲(chǔ)型隱信道的研究現(xiàn)狀，我們研究了基于TCP/IP的存儲(chǔ)型隱信道檢測(cè)技術(shù)。由于現(xiàn)有的存儲(chǔ)型隱信道檢測(cè)算法大都是目標(biāo)檢測(cè)，僅能針對(duì)性地檢測(cè)某個(gè)存儲(chǔ)型隱信道，缺少一種全面綜合的檢測(cè)算法。而且，現(xiàn)有的算法僅從載體字段值的規(guī)律入手，忽略了每個(gè)頭部字段均有其固有的行為特征

4、。通過(guò)將TCP/IP各頭部字段的行為特征用相鄰數(shù)據(jù)包字段值的規(guī)律性或相關(guān)性表示出來(lái)，我們?cè)O(shè)計(jì)了一個(gè)基于協(xié)議行為的多維特征向量檢測(cè)算法，該算法可以有效地檢測(cè)基于TCP/IP頭部的存儲(chǔ)型隱信道。該算法的SVM分類模型采用合法信道與隱信道的行為特征向量進(jìn)行訓(xùn)練，并通過(guò)測(cè)試反饋進(jìn)行優(yōu)化。實(shí)驗(yàn)結(jié)果表明，該算法對(duì)基于TCP/IP頭部字段的存儲(chǔ)型隱信道取得了良好的檢測(cè)效果。
　　2.現(xiàn)有的時(shí)序型隱信道檢測(cè)算法均是針對(duì)專門的時(shí)序型隱信道設(shè)計(jì)的，每

5、個(gè)檢測(cè)算法都有其自身的適用性和局限性。針對(duì)該問(wèn)題，我們?cè)O(shè)計(jì)了基于時(shí)序指紋的時(shí)序型隱信道綜合檢測(cè)算法，該算法利用現(xiàn)有的四種公認(rèn)的檢測(cè)算法(KS檢測(cè)算法、￡相似度檢測(cè)算法、Entropy檢測(cè)算法、CCE檢測(cè)算法)，將這些算法從不同角度的衡量標(biāo)準(zhǔn)聯(lián)合起來(lái)提取指紋特征，并選擇四個(gè)典型的時(shí)序型隱信道，IPCTC、LtoN、TRCTC和MBCTC的時(shí)序指紋作為時(shí)序型隱信道的指紋特征。該算法訓(xùn)練生成的SVM分類模型，可以識(shí)別出基于TCP/IP的時(shí)序型

6、隱信道。通過(guò)測(cè)試實(shí)驗(yàn)和盲檢測(cè)兩組實(shí)驗(yàn)進(jìn)行驗(yàn)證，結(jié)果表明，該檢測(cè)算法能有效檢測(cè)基于TCP/IP的時(shí)序型隱信道，并可以在一定程度上對(duì)時(shí)序型隱信道實(shí)現(xiàn)盲檢測(cè)。
　　3.針對(duì)存儲(chǔ)型和時(shí)序型隱信道檢測(cè)的實(shí)用性問(wèn)題，我們?cè)O(shè)計(jì)了一個(gè)網(wǎng)絡(luò)協(xié)議隱信道檢測(cè)框架。由于隱信道的檢測(cè)算法與具體的隱藏算法相關(guān)聯(lián)，現(xiàn)有的檢測(cè)算法僅能檢測(cè)一種或幾種針對(duì)性的隱信道。因此，基于前面兩章的檢測(cè)算法研究，我們提出了一個(gè)可實(shí)用的網(wǎng)絡(luò)協(xié)議隱信道檢測(cè)框架，并給出了各模塊的功能

7、設(shè)計(jì)。通過(guò)分析，基于該框架的檢測(cè)系統(tǒng)是高效的、全面的、可擴(kuò)展的和可學(xué)習(xí)的，通過(guò)這些性質(zhì)，該系統(tǒng)能夠?qū)崿F(xiàn)對(duì)基于TCP/IP的存儲(chǔ)型和時(shí)序型隱信道的盲檢測(cè)。
　　4.針對(duì)網(wǎng)絡(luò)協(xié)議隱信道構(gòu)建研究的現(xiàn)狀，我們研究了基于HTTP的新型應(yīng)用層隱信道的設(shè)計(jì)問(wèn)題。通過(guò)網(wǎng)站訪問(wèn)抓包實(shí)驗(yàn)，我們發(fā)現(xiàn)了瀏覽器的HTTP行為:當(dāng)打開(kāi)一個(gè)網(wǎng)頁(yè)時(shí)，HTTP請(qǐng)求報(bào)文和HTTP數(shù)據(jù)流的分布關(guān)系是動(dòng)態(tài)變化的。以瀏覽器的HTTP行為作載體，我們提出了一個(gè)基于HTTP行

8、為的LiHB隱信道，該隱信道采用HTTP請(qǐng)求-流分布的組合數(shù)學(xué)性質(zhì)編碼嵌入隱秘信息，沒(méi)有修改HTTP報(bào)文的內(nèi)容或格式，具有很好的隱蔽性和可靠性。而且，LiHB能穿過(guò)Web代理服務(wù)器，將局域網(wǎng)內(nèi)的信息泄露出去。針對(duì)LiHB存在的不足，我們?cè)O(shè)計(jì)了更隱蔽高效的HBCC隱信道。它采用與合法信道獨(dú)立同分布的包間間隔序列來(lái)模擬正常的HTTP請(qǐng)求分布，又采用網(wǎng)頁(yè)的頻繁訪問(wèn)項(xiàng)集模仿正常用戶的瀏覽模式。實(shí)驗(yàn)結(jié)果表明，LiHB和HBCC具有很好的可靠性，而