基于水印的隱蔽入侵及防范.pdf

1、數(shù)字水印技術是近年來在信息安全領域興起的一項新的研究課題,其潛在的應用價值和學術價值,吸引了眾多國內(nèi)外學者和著名公司.本文從橫向思維的角度出發(fā),第一次將現(xiàn)有數(shù)字水印技術與傳統(tǒng)的病毒、木馬機制相結合,產(chǎn)生出一種新的攻擊模型.兩者的有機整合使得,這一新的入侵機制與傳統(tǒng)的特洛伊木馬以及病毒相比有了很大的不同,其主要體現(xiàn)在以下幾個方面:通信方式:水印的引入使得木馬的服務器與客戶端之間可采用傳輸帶有水印信息的載體文件進行隱蔽的交互,新的通信方式大

2、大的彌補了傳統(tǒng)木馬機制對于協(xié)議的依賴,將其提升到基于信息內(nèi)容本身的嶄新高度.這一重要的改進也使得入侵者擁有了可以輕松穿越現(xiàn)有防火墻進行通信的強大技術能力,為現(xiàn)有的入侵技術發(fā)展帶來一次新的轉折與飛躍.存在形式:傳統(tǒng)的入侵程序,為了不引起被入侵主機用戶的注意,總是盡可能做得非常小,這一限制使得很多復雜的功能不能在服務器端直接實現(xiàn).在數(shù)字水印技術的幫助下,木馬/病毒程序,可以將自己分割成許多小的部分,以數(shù)字水印的方式嵌入目標主機已存在的文件里

3、,當程序需要使用到相應的功能模塊時,可從對應的水印載體文件提取,并重構.由于水印的嵌入可以不改變載體文件的大小,這一方法有效的解決了程序大小與程序功能之間的矛盾.入侵者只需要占用目標主機上及極少量的空閑磁盤空間,實現(xiàn)水印的嵌入、提取、以及代碼二進制級的重構,便可實現(xiàn)任意復雜的程序的植入.新的木馬/病毒程序變得異常強大,且更難查殺.隱蔽性:傳統(tǒng)的木馬/病毒的很多重要功能依賴于操作系統(tǒng)的具體實現(xiàn),查殺者可以通過將病毒所要實現(xiàn)關鍵系統(tǒng)調(diào)度功能

4、作為特征碼的方法,對該類木馬/病毒進行廣譜的識別.由于水印算法具有個性化的特點,同一類算法可能具有許多不同的實現(xiàn)方式,因此很難找出固定的特征碼.針對木馬/病毒用以實現(xiàn)的特定系統(tǒng)調(diào)度的代碼,可采用水印的方式嵌入目標主機上的可使用的載體文件,當需要使用時進行提取加載,從而很好的避免了被廣譜的查殺.激活方式:傳統(tǒng)的木馬機制受到其通信方式的限制,服務器端需要對特定端口進行監(jiān)聽,或對特定網(wǎng)段進行反向掃描以建立起與客戶端的連接.這兩者都很難逃脫現(xiàn)有

5、防火墻的監(jiān)視,導致一旦木馬的激活特征被識別就很難逃脫被查殺的命運.本文作者提出了一種利用數(shù)字水印技術實現(xiàn)基于文件監(jiān)控的激活方式,為木馬激活的研究提供了新的思路.數(shù)字水印技術引入的上述特征,也激發(fā)了一系列新技術手段實現(xiàn)的可能:隱蔽控制:即通過傳輸帶水印控制信息的載體文件的方式實現(xiàn)對目標主機的控制,該方法不依賴于具體的協(xié)議,現(xiàn)有的基于協(xié)議分析的防火墻機制很難對其防范.大大的提高了木馬的生存能力,以及入侵者對目標主機控制的隱蔽性.隱蔽監(jiān)視:對

6、被目標主機上用戶的行為進行記錄,并將相應的信息嵌入本機上可用的載體文件(如用戶的重要資料文件).采用該方式記錄的日志信息,可以更加安全的保存在主機上,用戶即使發(fā)現(xiàn)被監(jiān)控,并清除相應的監(jiān)控程序,由于日志信息已被很好地藏入載體文件,也很難抹去以前的記錄.這一點與傳統(tǒng)的日志信息相比更加的穩(wěn)定可靠,并且由于嵌入的水印信息不會帶來額外的空間開銷,而更難被用戶發(fā)現(xiàn).本文逐步地分析了實現(xiàn)上述入侵機制所需攻克的一系列技術難題,并提出相應的解決方案.在理