论文研究-时间划分式网络隐蔽信道的设计与实现.pdf

所需积分/C币:12 2019-07-22 21:24:17 697KB .PDF
收藏 收藏
举报

网络隐蔽信道是一种特殊的网络通信机制,它以正常信道为载体,能够无视系统安全策略的设置,在不同的安全实体之间传输敏感数据。由于网络隐蔽信道检测难度大,它通常被恶意攻击者视为一种理想的数据窃取手段。但是,网络隐蔽信道很容易受到网络状况变化的影响,使得信道的解码出现错误,甚至使信道无法正常工作。提出一种对网络状况变化具有较强自适应能力的、基于时间划分的网络时间式隐蔽信道,它将隐蔽信息调制在单个网络包的时间信息之中,并以正常信道的数据包作为伪装,能在收发双方之间以较高的可靠性传输数据。实验结果显示所提出的隐蔽信道能够高效地在各种网络环境下传输隐蔽信息,并且能保持较高的传输正确率。
2504 计算机应用研究 第31卷 其中:RT是当前正在发送/接收的包的往返时延,0≤α<1为度,通信双方的RT越不稳定,则这个值取值越大,其取值范 取值倾向,较大的α表示更倾向于更新RTT、的值,RFC2988围为(0,1),该值可根据实际的网络状况选取 推荐的值为1/8。RTT2在计算过程中得到了更新 2.3.3隐蔽数据的接收 通常操作系统在内核中为每一个TCP连接维护RTT的 当接收方接收数据时,首先记录下接收到数据的时间 值。在本隐蔽信道工作过程中,需婁读取TCP连接RTT值时,t,然后判断它属于哪一个时间窗口。判断的公式如式(6) 呆用直接从系统内核读取的方式。 所示。 2.3算法实现 L( )/Ta+1」 2.3.1双方参数估计和处理 若t所属的时间窗口的编号讠为奇数,则接收方将接收 在隐蔽信道通信双方通信之前,首先需商定用丁逋信的到的数据解码为二进制数据“1”;否则,接收方将接收到献数 P地址和端口号,并确定一个时间点o。在通信过程中,收发据解码为“°0” 双方将任意个时间点表示为从t开始到当前时间点所经过2.3.4隐藏信道对网络的自适应 的毫秒数。这样,任意一个发送和接收过程中的时间点就都能 随着时间的推,最初隐蔽信道双方通过RTT估计出的 用一个整数表示,从而方便通信双方之间的编码和解码。在收网络状态变得过时,尢法冉反映当前的网络状况,此时便需要 发双方进行隐蔽通信前,收发双方备自从系统中读取需要构造重新计算双方通信延迟时间,对时间段重新划分。选择刚新参 隐蔽信道的TCP连接的RT值RT,。由于R值表示的是数的时机,对隐蔽信道的正常作非常重要。选择时机的方法 通信的往返时延所以这个T值的一半即表示隐蔽信道收可采用指定刷新间隔时间和指定最大刷新包数两种。前一种 发双方之间的通信延迟时间r。但是,由于发送方和接收情况下隐蔽信道双方每隔Nms便重新计算一次双方的通信 方是各自从白己所在的主机中读取的RTT值,而双方对RT延迟时间。这种方式可以避免网络丢包对隐蔽信道造成的影 的估计是不一致的,所以计算出来的通信延迟时间可能不同 响,但是由于刷新时间固定,并无法随着网络变化自适应凋整 为了使其保持一致需要对其进行放大取整。放大取整过程如刷新吋间。第二种情况下,收发双方每隔N个数据包使刷新 式(3)所示。 次通信延迟时间。这神方式在高速网络刷新快,低速网络刷 1ms0.9≥7dln>0 新慢,有很好的自适应性,但是·旦发生丢包,隐蔽信道将大量 10ms9.5≥7sa>0.9 发生错误。 Tn={100ms95≥Tk>9.5 本文提出的隐蔽信道将这两种方法结合起来。在正常情 950≥Tdl>9 况下,每隔N个包重新刷新一次双方通信延迟时间;但是每隔 delay >950 Mms也必须刷新一次通信延迟时间,而这个M相比原来单 时间间隔刷新模式,需要设定一个铰大的值,以减少对隐蔽信 其中:T,是收发双方各自计算出来的通信延迟时间,单位为道工作效率的影响。 随后,从t开始的时间,以T为单位,将时间轴划分成一3实验结果与分析 个一个相邻但不重合的窗口W,其中每个窗口的时间区间可 表示为l+7×(i-1),+T4×i),其中i=1,2,…为窗冂编 对隐蔽信道的性能考察主要分为传输速率和传输正确率 弓。划分方法的示意图如图1所示 两个部分。传输速率指的是在单位吋间内,隐蔽信道接收端接 data=l data=0 收隐蔽信息的大小。传输的正确率表示在接收端接收到的数 W W 据中,能够正确解码出原隐蔽数据的比例。虽然这两个指标都 Tkn←T 时 可以以二进制位为单位进行衡量.但是在实际应用屮,每个位 的传输速率和正确性并没有太大的意义,因为需要多个位的组 图1时间窗口划分和分类示意图 合才能表小一个实际可用的数据(如7个二进制位才能表示 2.3.2隐蔽数据的发送 个ASCI码中的字母),所以本实验以8个二进制位为单位 当发送方需要发送隐蔽数据时,若需要发送的隐蔽数据位对这两个指标进行衡量。本实验对照使用的隐蔽信道为 为0,则将需要发送的数据包延迟一定时间发送,使得这个包PCTC(分别将时间间隔设定为20ms50ms、100ms)和iter 到达接收方的时间点处于某时间段窗的中间,且这个时间窗Bug。使用的网络分别为LAN(实验室内部的局域网)、MAN 口的编号为偶数。同样地,当需婁发送的隐蔽数据为1吋,则(同城两所大学之间的网络)、WAN1(跨省两台主机之间的网 将数据包延迟一定的吋间发送,使得接收方接收该数据包的吋络)、WAN2(通过国外ⅤPN访问的两台主机之间的网络)。对 间处于某一个奇数编号的时间窗口的中间。其中,计算廷迟时于 TSCT,A在这些网络中的取值分别设定为0.05、0.1,0.15 同们的方法如式(4)所示。 和0.3。 T=T+7 表1为各个隐蔽信道在不同参数和网络状况下的传输速 率。其计算方式为从接收端接收到同步位开始,到解码出8个 其中:T为式(3)所得结果,T的计算方法如式(5)所示。 进制位为止所需的时间,并且重复多次实验,计算平均值 min TILIw +T elay x(1-A)+TE Wii+i dala =0 对于包丢失的情况,这里简单假设解码两个二进制位的时间不 Imin Tlc+T+fy×(1-A)+7∈W2 lata= 1 会超过1s,如果超过1s未收到下一个二进制位,则偎设已经 其中:灬是当前吋刻;是系统处理需要的吋间;πk是双方收到了这个包,并将接收到的数据作特殊标记,使得解码正确 通信的通信时延;λ是一个表示通信双方之间的RTT浮动程卒的计算不会出现偏差。从图2中可以看出, IPCTC在不同网 第8期 陆维迪,等:时间划分式网络隐蔽信道的设计与实现 2505 络条件下的发送速率都相同,因为无论是否收到数据包,亡都升。相比于其他的隐蔽信道,本文提岀的隐蔽信道双方的参数 会在固定时间解码数据。而 TSCTC和 JitterBug随着网络状况协商、同步过程相对简单。同时,由于本文设计的隐蔽信道对 的变化出现发送速率降低的情况, TSCTC尤为明显,这是对网相邻两个包之问的时间问隔并没有作出限定,所以很容易通过 络状况作出适应性调整的表现。 额外的延时使隐蔽信道产生的流量与正常流量相仿,从而迷惑 表1不同网络条件下隐蔽信道的传输速率 隐蔽信道检测设备。在今后的工作中,笔者将在 TSCTO隐蔽 信道类型 信道抗检测性方面作出更多的研究。 网络 PCT TSCTC 50 ms 100 ms JiulerBus 参考文献 [1 CABUK S, BRODLEY C E, SHIELDS C. IP covert timing channels 0.81 design and detection C//Ploc of the 11 th ACM Conference on WA 2. 3.2 0.77 Computer and Communications Security. New York: ACM Press WAN2 1.13 表2为各个隐蔽信道发送数据正确率的数据。从表中可 L2」王永吉,吴歆征,曾海涛,等.隐葭信道研究凵J,软件学报,2010 以看出,随着网络状况变化,只有 TSCT一直保持着较高的解 21(9):2262-228 码正确率。相比于其他隐蔽信道, IPCTC有着更高的传输速「3] FISK G, FISK M, PAPADOPOULOS C,ota. Eliminating steganogra- 率;但是这种高传输速率无视实际的网络状态变化,所以其数 phy in Internet traffic with active wardens[ C]//proc of the 5 th Inter 据传输的正确率在络状况较差的吋候,几乎达到」不能接受 national Workshop on Informalion Hiding. London Springer-Verlag 的程度。而本文实现的隐蔽信道'sCIC则在传输速率和传输 2003:18-35 Defense. DoD 5200. 28-SID 正确性卜取得了较好的平衡点。 system evaluation criteria[ 5]. 1985 表2不同网络条件下隐蔽信道解码正确率 信道类型 [5 BENHAM A, READ H, SUTHERLAND I Network attack analysis and the behaviour engine[c]//Proc of the 27 th IEEE International Con- 网络 IPCTC JitterS 100ms ference on Advanced Information Networking and Applications. [ S LAN 0.99 1.: EEE Press.2013:106-113 0.830.080. [6 SHAH G, MOLINA A, BLAZE M. Keyboards and covert channels 0.95 Cl// Proc of the 15 th Conference on USENIX Security Symposium. WAN2 0.42 0.810.940.96 Berkeley, USENIX. 2006.5 为了研究隐蔽信道实际的有效数据传输率,计算了正确数[7] GIANVECCHIO S, WANG H, WIJESEKERA D,ena. Model-based 据在发送端和接收端之间的传输速率,其结果如图2所示。 covert timing channels: automated modeling and evasion[ C//Proc of the 1l th International Symposium on Recent Advances in Intrusion PCIC②O Detection. Berlin: Springer-Verlag, 2008: 211-230 叫PCTC:(50 幂路 [8 DONG Ping, QIAN Huan-yan, LU Zhong-jun, et al. A network covert channel based on packet classification[ J. International Journal of Network Security, 2012, 14(2): 109-116 [9 PENG Pai, NING Peng, REEVES D S On the secrecy of timing-based active watermarking truce back lechniques C//Proc of IEEE Sym posium on Security and Privacy. LS.I.: IEEE Press, 2006: 349 图2有效数据传输速率 LIn GIANVECCHIO S, WANG H Detecting covert timing channels: an entropy-based approach[ C]//Proc of the 14th ACM Conference on 4结束语 Computer and Communications Security. New York: ACM Press 本文通过时间划分的方法来构造隐蔽信道,并且将对网络[1 I SAMSON J, WARMUTH M. Predicting round trip time for the TCP 状况变化的自适应调整机制融入到∫隐蔽信道的编码和解码 protocolEb/ol].(2013-06-13).http://classes soe. uCsC. edu/ 过程中,使得隐敵信道在发送速率和解码正确率上都有较大提 cmps 290c/Springl3/proj/ jtsamson_paper. pdf. (上接第2501页) New york, ACM Press, 2007: 89-100 14] BALAKRISHNAN G, REPS T. WYSINWYX: What you see is not [18 ANAND S, GODEFROID P, TILLMANN N Demand-driven composi hat you execute[J]. ACM Trans on Programming Languages tional symbolic execution C]//PrIx of the 14th Internat ional and Systems,2010,32(6):184 onference on 'Tools and Algorithms for the Construction and Analysis [15] LUK C, COHN R, MUTH R, et al. Pin: building customized program of Systems. Berlin: Springer, 2008: 367-381 analysis tools with dynamic instrumentation[ C]//Proc of SiGPlan [19] ZHAO Qing, BRUENING D, AMARASINGHE S Umbra: efficient and Conference on Programming Language Design and Implementation scalable memory shadowing[ C]//Proc of International Symposium on New York, ACM Press.2005. 190-200 Code: Generation anrl Optimization. New York: ACM Press, 2010: 22 [16 DENNING D. A lattice model of secure information flow J. Com unications of the ACM, 1976, 19(5): 236-253 [20 KEMERILIS V, PORTOKALIDIS G, JEE K, et al. Libdft practical dy [17 NETIIERCOTE N, SEWARD J Valgrind a fiamework for heavyweight namic data flow tracking for commodity systems[ C//Proc of the 8th dynamic binary instrumentation C 1//Proc of ACM SICPLAN ACM SICPLAN/SIGOPS International Conference on Virtual Execu Conference on Programming Language Design and Impleme entation tion Environments. New York: ACM Press. 2012: 121-132

...展开详情
试读 4P 论文研究-时间划分式网络隐蔽信道的设计与实现.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    • 至尊王者

      成功上传501个资源即可获取
    关注 私信 TA的资源
    上传资源赚积分,得勋章
    最新推荐
    论文研究-时间划分式网络隐蔽信道的设计与实现.pdf 12积分/C币 立即下载
    1/4
    论文研究-时间划分式网络隐蔽信道的设计与实现.pdf第1页
    论文研究-时间划分式网络隐蔽信道的设计与实现.pdf第2页

    试读已结束,剩余2页未读...

    12积分/C币 立即下载 >