陶松

摘要：隱蔽信道可以在不違反系統(tǒng)安全策略的情況下進行信息泄露，該文解釋了網(wǎng)絡(luò)隱蔽信道的概念，介紹了網(wǎng)絡(luò)隱蔽信道的分類和一般工作原理。然后，針對計算機網(wǎng)絡(luò)各層次分別介紹了常見的隱蔽通道，并對各種隱蔽通道的工作原理和實現(xiàn)方法做了詳細的分析，在此基礎(chǔ)上給出了一些檢測和阻斷網(wǎng)絡(luò)隱蔽信道的方法和思路。

關(guān)鍵詞：隱蔽信道；計算機網(wǎng)絡(luò)；隱蔽信道檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）22-5198-03

1942年，英國軍方截獲一封“休伯特”寫給“珍妮特阿姨”的信，這封內(nèi)容看似普通的家信引起了英軍的懷疑，但他們一直百思不得其解。直到后來抓獲了兩名德國間諜后，據(jù)這兩名間諜介紹，把信的每個字的首字母組合在一起，就是情報的內(nèi)容。英軍照間諜所說的方法讀出了一條重大軍情：14架“波音堡壘”戰(zhàn)斗機昨日飛抵倫敦，準備進攻德國。

這里間諜采用“藏頭信”的方式秘密傳輸信息，實質(zhì)為隱蔽信道的傳送信息思想。隱蔽信道主要就是完成從受保護的網(wǎng)絡(luò)傳輸數(shù)據(jù)出來，近年來，“棱鏡門”事件等信息安全事件的發(fā)生，已經(jīng)暴露了網(wǎng)絡(luò)數(shù)據(jù)竊密的冰山一角，網(wǎng)絡(luò)隱蔽信道安全防范不容忽視。

1 隱蔽信道的定義

1973年Lampson最初提出隱蔽信道概念，將其定義為：不是被設(shè)計或本意不是用來傳輸信息的通信信道。Lampson最初主要關(guān)注操作系統(tǒng)中程序的限制問題，他的這個定義沒能完全反映隱蔽信道實質(zhì)，其后來Tsai、Gligor等人給出一個較為全面的定義：給定一個強制安全策略模型M和它在一個操作系統(tǒng)中的解釋I（M），I（M）中兩個主體I（Si）和I（Sj）之間的任何潛在通信都是隱蔽的，當且僅當模型M中的相應主體Si和Sj之間的任何通信在M中都是非法的[2]。

隱蔽信道廣泛存在于部署了強制訪問控制機制的安全操作系統(tǒng)、安全數(shù)據(jù)庫和完全網(wǎng)絡(luò)中。當研究計算機網(wǎng)絡(luò)中的隱蔽信道，更為公認的觀點認為：隱蔽通道是一個將信息隱藏在公開通訊媒介中通訊信道。信道中公開的、有意義的信息僅僅充當了秘密信息的載體，秘密信息通過它進行傳輸，這個定義更為直觀。

2 網(wǎng)絡(luò)隱蔽信道的分類和工作原理

2.1 網(wǎng)絡(luò)隱蔽信道的分類

1987年，Girling發(fā)現(xiàn)了3種局域網(wǎng)上的隱蔽信道，開啟了對普通網(wǎng)絡(luò)中隱蔽信道的研究[1]。1996年，Handel對OSI網(wǎng)絡(luò)模型進行了深入分析，提出了許多理論上潛在的隱蔽信道。同年，Rowland在TCP/IP協(xié)議部分找到了許多隱蔽信道實例。此后，網(wǎng)絡(luò)信道的威脅得到了廣泛的認識，網(wǎng)絡(luò)隱蔽信道的識別、度量和處置也成為隱蔽信道研究領(lǐng)域的熱點之一。從不同角度出發(fā)，可對一定范圍內(nèi)的網(wǎng)絡(luò)隱蔽通道進行歸類。

從網(wǎng)絡(luò)安全等級角度出發(fā)，一般可分為以下兩類：一是多級安全網(wǎng)絡(luò)隱蔽信道。安全等級不同的主機被隔離在不同安全等級的安全域中，入侵者往往從高安全級別主機獲取信息，并傳遞給低安全級別主機。二是普通網(wǎng)絡(luò)隱蔽信道。普通網(wǎng)絡(luò)中主機沒有安全級別的定義，信道的兩端主機是可以被允許通信的，需要在公開被允許的通信鏈路上建立一層隱蔽信道實現(xiàn)隱密通信。這種信道更加接近我們的生活網(wǎng)絡(luò)，涉及更廣泛的安全環(huán)境和安全策略，如互聯(lián)網(wǎng)、基于TCP/IP的局域網(wǎng)和城域網(wǎng)等網(wǎng)絡(luò)環(huán)境，該文也主要討論此種網(wǎng)絡(luò)信道[4]。

借用傳統(tǒng)操作系統(tǒng)中隱蔽信道的劃分，網(wǎng)絡(luò)隱蔽信道也包括存儲隱蔽信道和時間隱蔽信道兩種類型。網(wǎng)絡(luò)存儲隱蔽信道主要是在各種協(xié)議的數(shù)據(jù)包中加載信息，為實現(xiàn)隱蔽傳輸，一般將信息附加在不常用的數(shù)據(jù)字段中，包括未用的IP頭字段（TOS字段、DF和URG位）、IP頭的擴展和填充段、IP標識和碎片偏移等。也有的網(wǎng)絡(luò)存儲隱蔽信道將信息隱藏在應用層編碼中。網(wǎng)絡(luò)世界隱蔽信道則一般利用網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的時間特殊性來表示信息，這些時間特性包括數(shù)據(jù)包的發(fā)送/到達時刻、時間間隔等。

2.2 網(wǎng)絡(luò)隱蔽通信一般工作原理

如圖1所示，網(wǎng)絡(luò)隱蔽通信中有兩個角色：發(fā)送者和接受者。發(fā)送者將消息按照事先約定好的某種編碼規(guī)則進行變換，將需要隱蔽傳輸?shù)南⑥D(zhuǎn)化成網(wǎng)絡(luò)對象的某種屬性，從而實現(xiàn)對消息的隱藏（即嵌入過程），然后通過公開信道將隱蔽消息發(fā)送給位于被保護網(wǎng)絡(luò)之外的接受者。網(wǎng)絡(luò)對象可以使TCP/IP封包、應用層請求等，而對象的屬性可以是網(wǎng)絡(luò)數(shù)據(jù)包的某些字段、包間隔時間、數(shù)據(jù)包序列等。接受者從公開信道里接受信息，根據(jù)事先約定的解碼方式對數(shù)據(jù)包進行分析，抽取所隱藏的信息（即監(jiān)測過程），從而實現(xiàn)隱密通信。

3 計算機網(wǎng)絡(luò)常見的隱蔽通道

任何一個隱蔽信道都依托于一個公開信道。網(wǎng)絡(luò)模型主要的OSI七層參考模型和TCP/IP參考模型?，F(xiàn)實中的網(wǎng)絡(luò)基本遵循TCP/IP模型，TCP/IP模型分數(shù)據(jù)鏈路層（PPP、SLIP）、網(wǎng)絡(luò)層（IPv4、IPv6） 、傳輸層（TCP、UDP）和應用層（HTTP、SMTP、FTP等），這些都可以選擇作為公開通道。由于TCP/IP協(xié)議族自身的復雜性和靈活性，幾乎所有協(xié)議都有一些字段屬于很少用到或者可選和可擴展的。因此，理論上隱蔽信道可以選擇任何網(wǎng)絡(luò)層（IP、ICMP等）、傳輸層（TCP、UDP等）及應用層（HTTP、FTP、DNS、TELNET、RTP、P2P、SKYPE等）協(xié)議作為公開信道使用。

網(wǎng)絡(luò)層隱蔽信道。以IPv4協(xié)議為例（IPv6和IPv4具有很多相似性，其實現(xiàn)隱蔽通信的原理是差不多的），圖2 IP數(shù)據(jù)報格式中加粗加下劃線的字段（服務(wù)類型（TOS）、標識、片偏移、IP選項）都是可以用于編碼隱蔽信息的字段。

服務(wù)類型（TOS）字段8位中的最后兩位即CU部分和標志的最后一位始終沒有被用到，可以用于構(gòu)造攜帶額外的信息。

傳輸層隱蔽信道。傳輸層構(gòu)建隱蔽信道與IP層原理相同，都是利用傳輸層的協(xié)議發(fā)送地址和接受地址的某些特定字段附加特定的信息。TCP Sequence Number字段被替換掉傳輸特定信息；利用checksum的選項域、填充域構(gòu)造隱蔽信道的方法與IP協(xié)議的構(gòu)造類似。

HTTP協(xié)議隱蔽信道。HTTP協(xié)議語法定義寬松，存在很多冗余信息，可以用來嵌入隱蔽信息，以方便地利用公開信道附加隱蔽信道在服務(wù)器和客戶端進行隱蔽通信，并且可以傳輸較大量的數(shù)據(jù)。如可以利用URL攜帶附加信息，利用Cookie機制偽造一些參數(shù)，添加隱蔽信息，利用頭域信息進行再編碼以及Date頭域時間值構(gòu)造隱蔽信道等?；镜脑砣鐖D3所示：

4 隱蔽通道的實現(xiàn)方法

隱蔽消息因使用的編碼對象不同而可以采用不同的編碼方法。常見的方法有：

LSB位調(diào)制。IP包頭中的IPID或TOS（服務(wù)類型）字段中最低有效位（LSB），任何其他宿主協(xié)議非關(guān)鍵傳輸位都可以用來編碼隱蔽信息。這種基本二進制類型的字段調(diào)制會產(chǎn)生隱蔽通道帶寬為1位每包，在實際環(huán)境中使用太過低效。

直接構(gòu)造。對協(xié)議包頭中罕用或可以擴展的字段進行精心構(gòu)造，甚至直接增加新字段，可以用來傳輸隱蔽信息。如IPID在很多系統(tǒng)中是隨機生成的，所以很適合用來構(gòu)造隱蔽信息的編碼。還有在HTTP包頭中可以增添新字段。

重新排序。如發(fā)送者可以通過調(diào)換HTTP頭包中Host和Connection兩個字段的順序，通過事先約定，Host在Connection前時表示1，Host在Connection后時表示0。

大小寫變換。因為HTTP協(xié)議對大小寫不敏感，所以通過對屬性名稱的大小寫變換，用大寫代表0，小寫代表1。

對象映射。這種方法是直接將網(wǎng)絡(luò)包頭中的屬性對象映射為二進制數(shù)位。例如可以將域名作為數(shù)位的標識。發(fā)送者與攻擊者預先約定好8個沒有使用的域名。假設(shè)為：00.cn、11.cn、22.cn、33.cn、44.cn、55.cn、66.cn、77.cn。發(fā)送者按照所要編碼的內(nèi)容去發(fā)送查詢請求。例如，如果要發(fā)送的信息為10011000，則發(fā)送查詢77.cn、33.cn、44.cn這三個域名的請求。由于這3個域名并不尋常，內(nèi)網(wǎng)的本地DNS服務(wù)器肯定沒有緩存，因此會向公網(wǎng)的DNS服務(wù)器發(fā)送遞歸查詢請求，這樣公網(wǎng)DNS服務(wù)器上也就緩存了這些域名的解析結(jié)果。接受者向公網(wǎng)的DNS服務(wù)器發(fā)送這8個域名查詢請求，有解析結(jié)果的則該域名對應的位數(shù)為1。這樣就實現(xiàn)了信息的隱蔽傳輸。

線性空白字符。HTTP將任何數(shù)據(jù)量的線性空白字符（可選換行，空格和制表符）都當作一個空格字符。在SMTP協(xié)議中也有類似的情況。

時間間隔。產(chǎn)生時間間隔的方法很多，例如控制CPU負載變化來產(chǎn)生時間間隔，控制數(shù)據(jù)包的發(fā)送來產(chǎn)生不同到達目的地址的時間間隔等。發(fā)送者可以利用時間間隔對信息進行編碼。

5 隱蔽信道的監(jiān)測與阻斷

從前面隱蔽信道工作機制的分析來看，建立隱蔽信道的方法非常多，而且對公開信道的改動非常小。因此對其進行徹底的檢測非常困難。在實際環(huán)境中，考慮到性能、經(jīng)濟成本、技術(shù)可行性等因素，隱蔽信道的防護可以采用“廣譜檢測”和“精準阻斷”的策略。所謂“廣譜檢測”就是設(shè)計的檢測方法面向一大類隱蔽信道，而不是針對每一種檢測通道設(shè)計一種檢測規(guī)則，也就是檢測方法不需要解析數(shù)據(jù)包某個具體字段的內(nèi)容?！熬珳首钄唷本褪轻槍γ恳环N隱蔽信道都有相應的阻斷規(guī)則或措施來覆蓋。

5.1 隱蔽信道的檢測

盡管檢測隱蔽信道的難度很大，但在一定的時空跨度上進行大量數(shù)據(jù)的關(guān)聯(lián)分析，檢測到隱蔽信道還是有可能的。比較通用的方法是對網(wǎng)絡(luò)日志和主機日志的關(guān)聯(lián)分析。常有以下一些思路：

1） 對異常的DNS查詢的統(tǒng)計分析，需要在DNS服務(wù)器上開啟記錄查詢?nèi)罩?。如查詢的域名包括多個層級且各層級由16進制字符串組成；域名超過40字節(jié)；查詢非常見的域名；DNS響應含有私有地址等。

2） 對ICMP的流量進行統(tǒng)計分析。如出現(xiàn)大量的ICMP流量；數(shù)據(jù)包字節(jié)數(shù)過大；ICMP流量來自無相應工作需要的終端；以及其它異常流量的統(tǒng)計分析。

3） 大量無相關(guān)工作需要的Skype流量包；單個終端上超量的HTTP協(xié)議流量；測量包到達時間間隔的規(guī)律性和固定規(guī)律偏差特性；

4） 關(guān)聯(lián)分析主機的性能日志，因為隱蔽信道在傳送信息時，主機CPU活動會異常頻繁。

5.2 隱蔽通道的阻斷

在網(wǎng)絡(luò)設(shè)備上做一些設(shè)置，直接阻斷可能的隱蔽，可以避免花費過多的精力在檢測工作上。主要有：

1） 關(guān)閉DNS查詢向可信范圍以外轉(zhuǎn)發(fā)。

2） 對HTTP訪問，采用統(tǒng)一的代理服務(wù)器，將HTTP包頭部分內(nèi)容直接重新改寫，避免用于信息編碼。

3） 在安全網(wǎng)關(guān)上啟用ICMP代理，限制包的大小，關(guān)閉部分ICMP流量。

4） 將ICMP、TCP、IP協(xié)議包頭中未使用的部分清零，將可能用于編碼的字段做合理的重寫。

6 結(jié)束語

本文所討論的隱蔽信道，限于利用網(wǎng)絡(luò)層、傳輸層和應用層構(gòu)建的隱蔽通信。隨著云計算應用的普及、IPv6全面啟用的臨近，新的隱蔽信道將不斷涌現(xiàn)，新環(huán)境下的隱蔽信道檢測與阻斷將是未來發(fā)展的方向和重點。

參考文獻：

[1] Girling CG.Covert Channels in LANs.IEEE Trans.On Software Engineering， 1987，SE-13（2）：292-296.

[2] 夏耐，林志強.隱蔽通道發(fā)現(xiàn)技術(shù)綜述[J].計算機科學，2006，33（12）.

[3] 劉文清，陳喆.隱蔽通道標識與處理[J].計算機工程，2006，32（8）.

[4] 王永吉，吳敬征.隱蔽信道研究[J].軟件學報，2010，21（9）：2262-2288.

[5] 強亮，李斌征.基于HTTP協(xié)議的網(wǎng)絡(luò)隱蔽通道研究[J].計算機工程，2005，31（15）.

[6] 張敏，張彤.TCP/IP網(wǎng)絡(luò)中隱蔽信道的實現(xiàn)和特點[J].網(wǎng)絡(luò)安全技術(shù)與應用，2007（11）：25-27.

[7] 盧大航.基于網(wǎng)絡(luò)協(xié)議的隱蔽通道研究與實現(xiàn)[J].計算機工程與應用，2003（2）：183-186.