齊國雷，寇云峰，胡 浩，劉文斌，程 磊，丁建鋒

0 引 言

防范網(wǎng)絡(luò)攻擊的一種較為有效的措施是物理隔離，即將目標設(shè)備或網(wǎng)絡(luò)從公共或其他可訪問網(wǎng)絡(luò)中分離出來。然而，通過社會工程學(xué)、供應(yīng)鏈滲透等手段，可以實現(xiàn)對物理隔離計算機的木馬植入或病毒感染，并構(gòu)建出聲、光、電磁、熱等不同形式的信息傳播隱蔽通道[1-2]。

隱蔽光通道可以通過人眼無法識別的光頻段（如紅外頻段）來建立，也可以通過諸如肉眼難以覺察的高速閃爍頻率（如LED燈閃爍）來實現(xiàn)。隱蔽電磁通道可以通過利用對接口、線路的規(guī)律操作產(chǎn)生的電磁泄漏發(fā)射來建立。低頻電磁信號容易沿數(shù)據(jù)線、電力線以傳導(dǎo)形式傳播，高頻電磁信號則容易以輻射形式通過空間傳播。處理器或設(shè)備工作時的發(fā)熱，能夠被周邊的熱傳感器監(jiān)測，從而構(gòu)建出隱蔽熱學(xué)通道。

針對計算機系統(tǒng)，還有一種實現(xiàn)簡單、通用性強、可靠性高的隱蔽通道構(gòu)建手段——隱蔽聲通道。點陣式打印機擊打打印紙、3D打印都可以直接泄漏信息，而通過控制風(fēng)扇轉(zhuǎn)動，設(shè)備振動也可以泄漏信息。此外，還可以利用設(shè)備自帶的發(fā)聲模塊（如揚聲器、蜂鳴器），在超過人耳收聽的極限聲學(xué)頻率工作，或是產(chǎn)生人耳無法識別的聲學(xué)特征變化，隱蔽地傳遞信息。

通過與傳統(tǒng)網(wǎng)絡(luò)滲透手段的結(jié)合，可以產(chǎn)生新形式的聲、光、電磁、熱等隱蔽傳輸通道和更大的安全威脅。本文概述國內(nèi)外隱蔽聲通道的最新研究情況，分析典型通道的隱蔽性，驗證了典型的基于揚聲器的隱蔽通道構(gòu)建，提出并實現(xiàn)了基于蜂鳴器的隱蔽通道構(gòu)建，最后探討了隱蔽聲通道檢測與防護措施。

圖1 本古里安大學(xué)聲信息泄漏演示場景

1 隱蔽聲通道相關(guān)研究

2014年，北卡羅拉納州立大學(xué)Luke Deshotels提出，利用麥克風(fēng)和手機振動實現(xiàn)手機內(nèi)部信息的惡意泄漏[3]。惡意軟件控制手機麥克風(fēng)，泄漏發(fā)聲頻率工作在成年人聽不到的17 kHz以上的聲信號頻段，發(fā)送18 kHz聲信號表示傳輸比特0，發(fā)送19 kHz聲信號表示傳輸比特1。測試結(jié)果發(fā)現(xiàn)，最遠泄漏距離達25 m，即使手機放在口袋中，泄漏距離也能達到5 m。

2016年，以色列本古里安大學(xué)Mordechai Guri等人開發(fā)了利用計算機風(fēng)扇轉(zhuǎn)動聲泄漏來傳遞信息的Fansmitter演示[4]和利用硬盤讀寫聲泄漏來傳遞信息的DiskFiltration演示[5]。Fansmitter程序可以控制計算機的風(fēng)扇轉(zhuǎn)速，讓風(fēng)扇以兩種不同的轉(zhuǎn)速工作，分別表示“1”和“0”比特，然后使用具備錄音功能的設(shè)備如智能手機進行接收。它的演示場景，如圖1（a）所示。1臺受攻擊電腦通過風(fēng)扇噪聲向旁邊的智能手機發(fā)送敏感信息，有效通信距離為1～4 m，傳輸速率可到15 bit/min。DiskFiltration程序利用硬盤讀寫時操作機械臂發(fā)出的噪音來傳送信息，程序控制硬盤讀寫臂執(zhí)行查找操作和讀操作時發(fā)出噪聲表示為比特“1”，硬盤空閑時背景噪聲表示比特“0”。它的演示場景如圖1（b）所示。1臺受攻擊電腦通過硬盤噪聲向外部發(fā)送敏感信息，旁邊的智能手機和智能手表都能捕捉泄漏的聲信號，泄漏距離可達2 m，傳輸速率可達180 bit/min。

2016年，中國科學(xué)院信息工程研究所丁雪潔等研究人員，驗證了基于15～20 kHz聲信道的隱蔽信息傳輸關(guān)鍵技術(shù)[4]，實現(xiàn)了計算機之間以及計算機到手機的隱蔽信息發(fā)送演示。

上述研究表明，構(gòu)造隱蔽聲通道有兩種主要方式。一是構(gòu)造人耳聽不到的高頻聲信號，二是構(gòu)造淹沒在噪聲中但能被算法提取的聲信號。本文重點圍繞高頻聲信號進行隱蔽通道的分析與驗證。

2 聲通道隱蔽性分析與驗證

基于高頻聲信號構(gòu)造隱蔽聲通道，涉及三個方面的要求。一是有能夠產(chǎn)生高頻聲信號的聲源；二是人耳聽不到；三是接收設(shè)備能夠檢測到信號并進行分析和還原。下面分別從這三個方面進行測試驗證。

可選的聲源包括筆記本電腦、智能手機以及信號源（連接音箱）3種，具體型號配置如表1所示，且發(fā)送信號設(shè)置為正弦波。測試發(fā)現(xiàn)，3種聲源發(fā)送的最大信號頻率均能達到20 kHz。

考慮到年齡和個體差異，人對聲音的感知頻率極限值也會有差異。不同文獻中對該臨界頻率的描述有一定差異[3,6]。為了對該參數(shù)有更清晰的認知，本文進行了實測驗證。具體地，分別選擇表1中的第2、第3種測試方法，測試結(jié)果如表2所示。

表1 聲源測試

表2 人耳高頻聲信號測試

可以看出，成人聽力臨界頻率在17 kHz以下，隨著年齡的增大，能夠聽到的最高信號頻率呈下降趨勢。

如表3所示，選擇普通便攜式設(shè)備作為接收設(shè)備，這些設(shè)備配有帶麥克風(fēng)傳感器。在Windows系統(tǒng)環(huán)境下，可以使用通用軟件（如SDR#）對聲信號進行分析。在智能手機上，可以使用FrequenSee軟件對聲信號進行分析，如圖2所示。其中，橫坐標表示接收聲學(xué)信號的相對強度，單位dB；縱坐標表示接收聲學(xué)信號的頻率范圍，單位Hz。通過表1所列出的聲源，可以測出表3設(shè)備能夠檢測到的聲學(xué)頻率范圍。

圖2 手機麥克風(fēng)輸入監(jiān)測軟件FrequenSee

表3 普通設(shè)備內(nèi)置麥克風(fēng)最高接收頻率

3 揚聲器隱蔽聲通道驗證

揚聲器隱蔽聲通道驗證設(shè)置參數(shù)，如表4所示。在目標計算機（泄漏源）中運行一段特殊程序，讀取敏感信息后，基于FSK進行數(shù)據(jù)調(diào)制。

有兩種方式實現(xiàn)數(shù)據(jù)的發(fā)送：

（1）基于音頻文件的播放實現(xiàn)。把調(diào)制后的數(shù)據(jù)流生成WAV音頻文件，調(diào)用計算機的API接口函數(shù)PlaySound()播放該文件。

（2）基于數(shù)據(jù)流實現(xiàn)。把調(diào)制后的數(shù)據(jù)調(diào)用計算機API接口函數(shù)waveOutWrite()，向聲卡緩存寫入該段數(shù)據(jù)流。

表4 揚聲器隱蔽聲通道驗證參數(shù)

如圖3所示，A模擬泄漏發(fā)射便攜式計算機。泄漏程序搜索計算機A中的敏感文件，并將其轉(zhuǎn)化成二進制比特，然后生成音頻流數(shù)據(jù)并調(diào)用API接口，通過揚聲器發(fā)出。B模擬接收還原便攜計算機，用于接收語音信號，并對接收到的語音信號進行解碼，恢復(fù)還原出泄漏信息。

①為泄漏程序，運行在計算機A中，讀取敏感文件信息，并調(diào)用API接口進行泄漏。

②為被泄漏的文件，存儲在計算中A中。

③為分析軟件，運行在計算機B中，從聲卡中讀取采集到的信號，在界面上能夠進行時頻呈現(xiàn)。

④為還原軟件，運行在計算機B中，從聲卡中讀取采集到的信號并進行解碼，還原出泄漏的信息。

⑤為還原的泄漏信息，將還原出的信息以文件形式進行呈現(xiàn)。

4 蜂鳴器隱蔽聲通道設(shè)計與驗證

某些物理隔離的計算機揚聲器已經(jīng)被拆除，但是主板的蜂鳴器一般會保留，用于設(shè)備自檢提示。利用設(shè)備的蜂鳴器也可以構(gòu)建隱蔽聲信道，使用軟件控制同樣也可以實現(xiàn)信息的隱蔽傳輸。

調(diào)用Windows系統(tǒng)的Beep()接口函數(shù)，直接輸入頻率參數(shù)，可以產(chǎn)生相應(yīng)頻率的聲信號。其他方法與基于揚聲器的隱蔽聲通道構(gòu)建方式相同，可以實現(xiàn)信息的泄漏與還原。表5為不同計算機的蜂鳴器通道測試結(jié)果。

圖3 基于揚聲器的隱蔽聲通道驗證

表5 不同計算機的蜂鳴器通道測試

測試還發(fā)現(xiàn)，對具有獨立蜂鳴器的計算機設(shè)備，該方法簡單有效；對沒有蜂鳴器的計算機設(shè)備，該接口函數(shù)實際是調(diào)用其揚聲器發(fā)聲。因此，惡意程序有可能通過這兩種隱蔽通道構(gòu)建方式的結(jié)合，實現(xiàn)更全面的威脅能力。

5 應(yīng)對措施

5.1 抑源、隔離與干擾

傳統(tǒng)的聲隔離與干擾方法對隱蔽的聲泄漏防護依然有效，如緩解設(shè)備振動、降低泄漏信號強度；使用吸音或隔音材料進行抑源，縮短傳播距離；在具有潛在威脅的接收位置周邊發(fā)送干擾信號，使?jié)撛诘男孤┬盘枱o法被接收還原。但需要注意，面對新型的隱蔽聲通道威脅，需要擴展防護的頻率范圍。

5.2 內(nèi)部監(jiān)測與區(qū)域監(jiān)測

內(nèi)部監(jiān)測是在計算機內(nèi)部配備聲監(jiān)測傳感器和監(jiān)測軟件，在檢測到異常信號時，能夠及時進行預(yù)警，因此又稱為共生監(jiān)測。內(nèi)部監(jiān)測的特點是體積小、與設(shè)備一體化設(shè)計且針對性強。

區(qū)域監(jiān)測則是應(yīng)用于某個特定區(qū)域，如辦公室、會議室等。它可以是獨立裝置，也可以與其他聲學(xué)設(shè)備一體化設(shè)計。通過持續(xù)監(jiān)測，當(dāng)目標區(qū)域內(nèi)出現(xiàn)異常傳輸信號時，不僅能夠記錄信號，而且可以進行預(yù)警。

現(xiàn)有的聲學(xué)分析設(shè)備主要用于環(huán)境噪聲監(jiān)測或是生產(chǎn)線上的產(chǎn)品質(zhì)量檢測，缺乏對信息泄漏的分析能力，因此亟需拓展現(xiàn)場聲信息泄漏監(jiān)測與檢測的能力。

5.3 特征代碼檢測

本文重點分析隱蔽聲通道的建立，是通過向特定接口發(fā)送有調(diào)制特征的數(shù)據(jù)來實現(xiàn)的?；谶@一特性，可在計算機中運行監(jiān)控程序。一是查看是否有程序在頻繁調(diào)用蜂鳴器、揚聲器，如發(fā)現(xiàn)有頻繁調(diào)用，可禁止該進程的運行來達到保護信息安全的目的；二是把代碼特征加入到木馬/病毒庫，對程序代碼、可執(zhí)行文件等進行特征檢測和預(yù)警。

5.4 智能識別

不論是信號監(jiān)測與代碼檢測，還是設(shè)備工作狀態(tài)、行為特征的分析，關(guān)鍵是進行智能識別。通過使用機器學(xué)習(xí)算法，對目標場景或者目標設(shè)備的正常狀態(tài)與環(huán)境進行大樣本采集與訓(xùn)練，建立聲紋特征庫，以提高異常設(shè)備、異常信號、異常行為、異常信息的判別準確率。

6 結(jié) 語

本文研究并分析了計算機可能存在的聲信道隱蔽通道，重點驗證了基于揚聲器的高隱蔽聲信息泄漏，提出并測試了蜂鳴器等新的泄漏渠道。面對新的隱蔽通道造成的物理隔離網(wǎng)絡(luò)泄漏威脅，檢測與防護任重道遠。后續(xù)需要持續(xù)挖掘漏洞，通過再現(xiàn)威脅并研究其特征，從而有針對性地提出其應(yīng)對措施，加快檢測與防護能力的建設(shè)。

[1] 劉文斌,丁建鋒,寇云峰等.軟件定義電磁泄漏技術(shù)與應(yīng)用分析[J].通信技術(shù),2017,50(09):2094-2099.LIU Wen-bin,DING Jian-feng,KOU Yun-feng,et al.Software-defined Electromagnetic Leakage Technology and Its Application[J].Communications Tech nology,2017,50(09):2094-2099.

[2] 丁建鋒,劉文斌,廖翔宇等.基于電子設(shè)備電磁敏感特性的信息注入模型與驗證[J].通信技術(shù),2017,50(11):2589-2593.DING Jian-feng,LIU Wen-bin,LIAO Xiang-yu,et al.Verification of Information-Injection Model based on Electromagnetic Susceptibility Characteristic of Electronic Equipment[J].Communications Technolo gy,2017,50(11):2589-2593.

[3] Luke D.Inaudible Sound as a Covert Channel in Mobile Devices[C].8th USENIX Workshop on Offensive Technologies,2014.

[4] Mordechai G,Yosef S,Andrey D,et al.Fansmitter:Acoustic Data Exfiltration from (Speakerless) Air-Gapped Computers. [EB/OL].(2016-06-30)(2017-09-29).https://arxiv.org/ftp/arxiv/papers/1606/1606.05915.pdf.

[5] Mordechai G,Yosef S,Andrey D,et al.DiskFiltration:Data Exfiltration from Speakerless Air-Gapped Computers via Covert Hard Drive Noise[EB/OL].(2016-08-30)(2017-09-29).https://arxiv.org/ftp/arxiv/papers/1608/1608.03431.pdf

[6] 丁雪潔,李彬,韋迪等.基于聲信道的隱蔽信息傳輸關(guān)鍵技術(shù)[J].信息安全研究,2016,2(02):131-136.DING Xue-jie,LI Bin,WEI Di,et al.The Transmission Technology of Covert Information Based on Acoustic Channel[J].Information Security Research,2016,2(02):131-136.