網(wǎng)絡(luò)協(xié)議隱信道檢測與新型構(gòu)建方案研究.pdf

1、隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，基于網(wǎng)絡(luò)協(xié)議的隱信道研究吸引了越來越多研究者的關(guān)注。網(wǎng)絡(luò)媒介具有動態(tài)性、瞬時性和基數(shù)大等特性，以網(wǎng)絡(luò)協(xié)議為載體構(gòu)建隱蔽通信，具有其他載體無法比擬的優(yōu)勢。加之傳統(tǒng)加密技術(shù)的安全性日漸受到威脅，已不能滿足人們對信息安全傳輸?shù)男枰?。而網(wǎng)絡(luò)隱信道隱藏了隱秘信息的存在，成為備受人們青睞的選擇。目前，網(wǎng)絡(luò)協(xié)議隱信道在構(gòu)建研究方面已經(jīng)取得了一定的成果，而其檢測技術(shù)研究尚處于起步階段。目前已有木馬結(jié)合網(wǎng)絡(luò)隱信道造成隱私泄露事件，這

2、給網(wǎng)絡(luò)安全與個人隱私安全帶來了嚴峻的挑戰(zhàn)。因此，研究網(wǎng)絡(luò)協(xié)議隱信道及其檢測技術(shù)是非常有必要的。
　　針對網(wǎng)絡(luò)協(xié)議隱信道的研究現(xiàn)狀，本文分別從檢測技術(shù)和新型構(gòu)建方案兩個方向?qū)W(wǎng)絡(luò)協(xié)議隱信道展開研究。在檢測研究方面，我們在現(xiàn)有的存儲型和時序型隱信道構(gòu)建研究的基礎(chǔ)上，針對基于TCP/IP的存儲型隱信道，提出了基于協(xié)議行為的多維特征向量檢測算法;對時序型隱信道，設(shè)計了基于時序指紋的時序型隱信道綜合檢測算法;然后設(shè)計出一個實用的網(wǎng)絡(luò)協(xié)議隱信

3、道檢測框架。在構(gòu)建研究方面，鑒于存儲型和時序型隱信道的構(gòu)建研究現(xiàn)狀，我們設(shè)計了一種基于瀏覽器HTTP行為的新型應(yīng)用層隱信道。本文的主要研究內(nèi)容和貢獻總結(jié)如下:
　　1.基于存儲型隱信道的研究現(xiàn)狀，我們研究了基于TCP/IP的存儲型隱信道檢測技術(shù)。由于現(xiàn)有的存儲型隱信道檢測算法大都是目標檢測，僅能針對性地檢測某個存儲型隱信道，缺少一種全面綜合的檢測算法。而且，現(xiàn)有的算法僅從載體字段值的規(guī)律入手，忽略了每個頭部字段均有其固有的行為特征

4、。通過將TCP/IP各頭部字段的行為特征用相鄰數(shù)據(jù)包字段值的規(guī)律性或相關(guān)性表示出來，我們設(shè)計了一個基于協(xié)議行為的多維特征向量檢測算法，該算法可以有效地檢測基于TCP/IP頭部的存儲型隱信道。該算法的SVM分類模型采用合法信道與隱信道的行為特征向量進行訓(xùn)練，并通過測試反饋進行優(yōu)化。實驗結(jié)果表明，該算法對基于TCP/IP頭部字段的存儲型隱信道取得了良好的檢測效果。
　　2.現(xiàn)有的時序型隱信道檢測算法均是針對專門的時序型隱信道設(shè)計的，每

5、個檢測算法都有其自身的適用性和局限性。針對該問題，我們設(shè)計了基于時序指紋的時序型隱信道綜合檢測算法，該算法利用現(xiàn)有的四種公認的檢測算法(KS檢測算法、￡相似度檢測算法、Entropy檢測算法、CCE檢測算法)，將這些算法從不同角度的衡量標準聯(lián)合起來提取指紋特征，并選擇四個典型的時序型隱信道，IPCTC、LtoN、TRCTC和MBCTC的時序指紋作為時序型隱信道的指紋特征。該算法訓(xùn)練生成的SVM分類模型，可以識別出基于TCP/IP的時序型

6、隱信道。通過測試實驗和盲檢測兩組實驗進行驗證，結(jié)果表明，該檢測算法能有效檢測基于TCP/IP的時序型隱信道，并可以在一定程度上對時序型隱信道實現(xiàn)盲檢測。
　　3.針對存儲型和時序型隱信道檢測的實用性問題，我們設(shè)計了一個網(wǎng)絡(luò)協(xié)議隱信道檢測框架。由于隱信道的檢測算法與具體的隱藏算法相關(guān)聯(lián)，現(xiàn)有的檢測算法僅能檢測一種或幾種針對性的隱信道。因此，基于前面兩章的檢測算法研究，我們提出了一個可實用的網(wǎng)絡(luò)協(xié)議隱信道檢測框架，并給出了各模塊的功能

7、設(shè)計。通過分析，基于該框架的檢測系統(tǒng)是高效的、全面的、可擴展的和可學習的，通過這些性質(zhì)，該系統(tǒng)能夠?qū)崿F(xiàn)對基于TCP/IP的存儲型和時序型隱信道的盲檢測。
　　4.針對網(wǎng)絡(luò)協(xié)議隱信道構(gòu)建研究的現(xiàn)狀，我們研究了基于HTTP的新型應(yīng)用層隱信道的設(shè)計問題。通過網(wǎng)站訪問抓包實驗，我們發(fā)現(xiàn)了瀏覽器的HTTP行為:當打開一個網(wǎng)頁時，HTTP請求報文和HTTP數(shù)據(jù)流的分布關(guān)系是動態(tài)變化的。以瀏覽器的HTTP行為作載體，我們提出了一個基于HTTP行

8、為的LiHB隱信道，該隱信道采用HTTP請求-流分布的組合數(shù)學性質(zhì)編碼嵌入隱秘信息，沒有修改HTTP報文的內(nèi)容或格式，具有很好的隱蔽性和可靠性。而且，LiHB能穿過Web代理服務(wù)器，將局域網(wǎng)內(nèi)的信息泄露出去。針對LiHB存在的不足，我們設(shè)計了更隱蔽高效的HBCC隱信道。它采用與合法信道獨立同分布的包間間隔序列來模擬正常的HTTP請求分布，又采用網(wǎng)頁的頻繁訪問項集模仿正常用戶的瀏覽模式。實驗結(jié)果表明，LiHB和HBCC具有很好的可靠性，而