◆许 江

（陕西省质量技术监督信息中心 陕西 710006）

时间式网络隐信道技术综述

◆许 江

（陕西省质量技术监督信息中心 陕西 710006）

随着现代网络信息技术的快速发展和广泛应用，网络技术给人们的生活、工作等各方面带来很大了的便捷和舒适，但也带来了日益严重的网络安全问题。本文将介绍一种信息隐藏技术—时间式网络隐信道技术，并从它的实现原理、检测算法等方面进行阐述。

时间式网络隐信道；网络安全；检测

0 引言

随着网络技术的不断发展，信息安全问题变得越来越突出。为了提高信息系统及数据的安全性和保密性，防止秘密数据被外部破解，数据加密技术是所采用的主要技术手段之一。同加密技术不同，信息隐藏技术[1]可在不对载体(图像、文本、音，视频以及网络数据流等)信号产生较为明显影响的前提下，将隐蔽信息(或称秘密信息)嵌入到载体数据中以实现对秘密信息内容及其存在进行保护。信息隐藏技术既可用于保证国家政治、军事、经济信息在公共网络中安全、可靠地传递，也可以被敌对份子用于机密信息的窃取。网络隐信道利用网络通信数据作为信息隐藏的载体技术取得了快速发展，根据隐信道所依托的载体不同，隐信道可分为存储式网络隐信道和时间式网络隐信道两大类，其中存储式网络隐信道通过对网络通信数据的协议头部或负载部分进行修改完成隐秘信息的嵌入；时间式网络隐信道利用网络数据包的时间特性以实现隐秘通信。

1 时间式网络隐信道技术原理

最早对时间式网络隐信道的研究可追溯到Venkatraman等人[2]，他当时指出了时间式网络隐信道的基本通信特征，但没有给出具体的实现时间式网络隐信道的方法，时间式网络隐信道的技术通信框架如下图1所示，发送端将隐藏信息通过编码隐藏到数据包的发送时间中，而接收端通过对数据包的到达时间进行分析，从而对隐藏信息进行解码。

图1 时间式隐信道技术通信框架

Padlipsky等人[3]提出了通过控制一定时间间隔内的网络数据包是否发送来嵌入编码信息。Girling[4]提出了通过通信过程中加入延时达到嵌入隐蔽信息的目的。文献[5]提出了将二进制编码加入到包间时延的方法，该方法首先对隐藏信息进行编码，然后对流出的网络数据的包间时间间隔(T)进行调节：如果编码为0就加入一个小数值T1，编码为1的话就用较大数值T2，这样接收端就可以根据包间时间间隔对隐藏信息进行解码，但是包间时间间隔种类不能太多，不然会降低信息传输的效率。

上述提到的研究成果偏向于利用网络数据包的时间特性构造时间式网络隐信道，忽略了时间式网络隐信道产生是网络数据流与正常网络的数据流模式之间的差异，降低了时间式网络隐信道的安全性。Gianvecchio等人[6]首先对正常时间信道进行建模，提出了一种基于模型的隐信道构建算法HTTP-MB，异常数据基于此模型进行发送，从而规避检测，有良好的隐蔽性。Yao等人[7]提出了ON-OFF隐信道算法，该算法在正常网络延时分布基础上构造隐信道，使其更加接近正常的通信模式，提高了隐信道的隐蔽性。Robert等人[8]提出了一种针对数据包包间时间间隔形状的抗检测的时间式隐信道，若正常网络数据流的包间时间间隔服从独立同分布时，其所提出的隐信道构建算法将无法被检测出来。

在构建时间式网络隐信道进行隐藏信息的嵌入时，通信双方考虑的因素有很多，影响时间式隐信道性能的几种主要因素如下[9]：

（1）网络环境：时间式网络隐信道的性能受到通信双方之间网络环境的影响，当网络拥塞时，可能会造成数据包的延时、失序、丢包，而且网络抖动还会影响同步问题。

（2）发送端/接收端处理能力：在高负载的情况下，发送者和接收者的处理单元可能会超负荷(如web服务器在高峰时间的高流量)，在这情况下，数据包的处理会有延时，此时的瓶颈可能是网卡或其它引起包延时的处理资源。

（3）隐信道算法的复杂度：在实际构造网络隐信道过程中，往往要降低时间间隔值到毫秒级精度，故用于实现隐信道的算法应该要有效率。

（4）编程语言的可移植性：信道的同步实现最终仅仅依赖于程序有关子函数和库函数的正确的使用，如可用于精确控制时序的nanosleep函数，在不同的操作系统下作用效果应该是一样的。

以上的四个因素会影响到数据包的同步、最大允许的带宽、甚至可能会引入噪声到信道中。但有些因素还是可以通过良好的设计及方法来减少它们对信道的影响，如算法的复杂度、可移植性。

2 时间式网络隐信道检测技术

2.1 网络隐信道检测

由于网络隐信道技术可被渗入计算机中的木马或其他恶意程序使用而进行隐蔽的数据偷取，亦可被间谍人员用于重要情报信息的数据传输。因此，对网络隐信道的检测是一项非常重要的网络安全防护技术，已经引起了研究者的广泛关注，而且取得了很多的研究成果。

从原理上说，对网络隐信道的检测本质上是通过分析流过某个检测节点（路由器或其他网络中间设备）所有网络数据包中潜在的“异常”特性，做出隐信道的检测判断。时间式隐信道的检测，由于通常只能基于数据包的时间戳信息进行隐信道的研判，所以需要更大的检测窗口和较为复杂的统计分析方法。

不同于传统的基于五元组或者特定字段的网络数据监测技术，网络隐信道检测技术无法使用简单的规则从大量的数据流中过滤小部分可疑的数据进行分析，往往需要无差别地对所有的数据进行一致的分析，这必将给检测系统带来巨大的存储和计算负担，因此在对计算能力有更高要求之外还需要尽可能地降低检测算法的复杂度。

网络隐信道检测的核心思想是通过比较网络隐信道产生的数据流与正常网络通信数据流之间的差异实现检测。但由于网络环境本身的复杂性及隐信道类型的多样性，导致没有一种网络隐信道检测技术适用于所有的网络隐信道，目前只能针对某一类网络隐信道有效，并且其中大部分算法有很多的局限性。

2.2 时间式隐信道的干扰

对于时间式隐信道，在传输过程中易受到各种网络设备（尤其是路由器等的存储转发设备）的影响而使其通信双方的同步、解码较为困难。故早期人们把更多的研究重心放在如何对时间隐蔽信道进行干扰上[10]，Hu等人[11]提出了一种针对时间式隐信道的干扰机制，其所提方法通过在通信过程中随机产生的中断干扰系统时钟，扰乱发送者和接收方之间的时钟同步。与Hu等人的方法较为相似，Kang和Moskovisk等人[12]提出一种类似“泵”的时间式隐信道干扰设备—Pump，通过将该设备安装在路由端，从而可对路由上存储转发的发送端数据添加一个随机的延时，有效地打乱隐秘通信双方的通信机制，但同样也会给自身网络效率带来影响。而最近更多的研究偏向于时间隐蔽信道的检测[13]。

2.3 时间式隐信道的检测

目前传统的时间式网络隐信道的检测方法几乎分为两类：（1）利用异常数据和正常数据的固有特性差异进行判断，如基于方差变化率的固有特性，因为正常信道的时间间隔不断随网络环境变化，故相对方差不断变化，而隐信道的时间间隔一般固定在几个时间间隔，方差变化几乎很小。Cabuk等人[14]提出了通过使用统计排序的方法对较为简单的基于ON-OFF形式或延迟的时间式隐信道进行检测。（2）基于模型匹配的方法，事先对正常数据建立特征模型，然后分析待测数据的特征，通过与事先建立好的特征模型进行匹配，判断是否存在隐信道。如Givanvecchio等人[15]提出了使用熵与带修正的条件熵检测算法。Qian等提出通过密度聚类的方法对时间式隐信道进行检测。

3 总结

本文在对时间式网络隐信道的概念及相关技术做了详细介绍，包括它的构造原理及相关的检测技术，由于网络环境中同时存在大量网络通信数据，时间式网络隐信道比传统的基于静态多媒体的隐秘通信技术更难追踪和取证，这种隐信道一旦被用于信息的窃取和泄露，将会危害到国家及企业的信息安全。时间式网络隐信道相应的信息对抗手段中最重要的一环就是时间式网络隐信道的检测技术。

[1]Cox I J,Miller M L,and Bloom J A.Digital watermarking [M].San Francisco,Calif:Morgan Kaufmann, 2002.

[2]Hassan Khan, Yousra Javed, Fauzan Mirza and Syed Ali Khayam.Embedding a Covert Channel in Active Network Connections[R].Honolulu:in GlobalTelecommunicat ions Conference, 2009.

[3]M.A.Padlipsky,D.W.Snow,P.A.Karger.Limitations of End-to-End Encryption in Secure Computer Networks[M]. Mitre Corporation, 1978.

[4]Girling C.G..Covert Channels in LAN's[M]. IEEE Transactions on Software Engineering, 1987.

[5]翟江涛.基于模型的网络隐信道检测算法研究[D].江苏：南京理工大学，2012.

[6]Steven Gianvecchio, H.W., Duminda Wijesekera. Model-Based Covert Timing Channels: Automated Modeling and Evasion[M]. Lecture Notes in Computer Science, 2008.

[7]Lihong Yao, Xiaochao Zi, Li Pan and Jianhua Li. A study of on/off timing channel based on packet delay distribution[J]. Computers & Security, 2009.

[8]Robert J.Walls,K.K.,Matthew Wright ,Baishakhi Ray, Shivakant Mishra. Liquid: A detection-resistant covert timing channel based on IPD shaping[J].computer networks,2010.

[9]张寿文.包间时延隐信道的检测和参数估计研究[D].江苏南京理工大学，2014.

[10]Fisk G,Fisk, M,Papadopoulos C,Neil J.Eliminating steganography in internet traffic with active wardens[R].In: Proc. of the 2002 International Workshop on Information Hiding, 2002.

[11]Weiming Hu. Reducing Timing Channels with Fuzzy Time[J]. Journal of computer Security, 1992.

[12]Kang,Myong H.,Moskowitz,Ira S.A Data Pump for Communication[M].NAVAL RESEARCH LAB WASHINGTO N DC, 1995.

[13]Berk V, Giani A, Cybenko G. Detection of covert channel encoding in network packet delays[R]. Technical Report TR2005-536, Department of Computer Science, Dartmouth College, Hanover, NH., USA，2005.

[14]Serdar Cabuk, Carlar E. Brodley, Clay Shields. IP Covert Timing Channels: Design and Detection[R]. NewYork: in 11th ACM conference on computer and communications security，2004.

[15]Steven Gianvecchio,Haining Wang.An Entropybased Approach to Detecting Covert Timing Channels[J]. Dependable and Secure Computing, 2011.