郭晓军 王亮 段发华
摘要:Web流量信息隐藏机制已经成为网络安全领域关注焦点之一。针对当前众多繁杂的Web流量信息隐藏机制研究工作,该文以TCP/IP层次模型为基础,分别从应用层、传输层和网际互联层对现有Web流量信息隐藏技术进行了分类总结,指出现有研究成果存在的不足,为今后此领域相关研究提供一定的参考。
关键词:网络安全;Web流量信息隐藏;隐蔽通信;TCP/IP模型
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2015)35-0012-02
Abstract: Web traffic information hiding scheme has become one focus of network security field. For current multifarious research works of Web traffic information hiding, in term of TCP/IP network model this paper classifies and summarizes present Web traffic information hiding technologies of application layer, transport layer and Internet layer respectively, points out the existing deficiencies of present research and provides definite reference for future related research in this field.
Key words: network security; Web traffic information hiding ; covert communication ; TCP/IP model
1 引言
随着Internet的蓬勃发展,Web站点给人们带来巨大便利的同时,所造成的网络信息安全问题日益严重,尤其以信息隐藏为核心的网络安全事件频频发生[1]。一方面,黑客等利用该技术秘密窃取储存于Web站点的网购资料、银行账号等个人私密信息,造成严重的个人信息泄露;另一方面,一些非法势力雇佣技术人员专门针对如政府在线办公系统、公务员招考系统等重要Web服务系统的信息进行收集与窃取,并利用这些信息制造恶劣事端,给个人工作和生活带来损失和危害,也对国家和政府信息安全构成严重威胁,已然成为构建和谐社会所面临的重大问题之一。
Web站点信息隐藏技术是指以文字、图像、音频、视频、网络协议字段、数据包间隔时间等为载体,在其中嵌入一些秘密信息,使第三方在主观上难以察觉秘密信息的存在[2]。目前针对Web站点信息隐藏技术,国内外学者已做了许多研究工作,如基于文本ASCII值、基于图像小波系数、基于HTML标记属性、基于IP头部字段等。由于Web服务器经过网络向客户端传输信息过程包含网络体系结的多个层次,因此本文按照Internet实际使用的标准网络体系结构TCP/IP层次模型来分类现有Web站点信息隐藏方法。
2 典型Web站点信息隐藏技术
TCP/IP网络体系结是一种层次模型,包含应用层、传输层、网际互联层和网络接口层。而Web站点信息隐藏主要涉及应用层、传输层和网际互联层,因此本文将按照此三层由高到低的顺序依次总结各层所中已有的信息隐藏方法,如图1所示。
2.1 应用层隐藏技术
Web站点在应用层主要使用HTTP协议进行传输信息,因此应用层主要是HTTP协议载荷,其主要传输的内容包含HTML代码、图片、图像、音频、视频等组成Web页面的元素信息。应用层信息隐藏技术主要是以这些元素信息为载体,进行密码消息的隐藏、发送及接收。
Monika提出了一种基于词表的信息英文文本隐藏方法,其核心思想是将信息隐藏于Web文本的ASCII值中,并利用哈希值对秘密信息进行校验。Esra等人基于LZW(Lempel-Ziv-Welch)数据压缩算法,并结合隐秘密钥和组合编码将秘密信息隐藏与所选择的Web页面英文文本中,实验结果显示该方法对包含900个字符的文本中可隐藏多达534 bits信息。曹卫兵等人针对在中文文本载体,提出了标点符号和字体格式两种实用的信息隐藏方法,使得隐藏前后载体信息面貌基本保持不变,保证了隐藏信息的秘密性。张洪礼等人提出一种基于词平台汉字编码的文本信息隐藏算法,运用标志位和编码变换规则实现密文信息的嵌入,在算法的信息隐藏量和鲁棒性上有较大提高。
在将Web页面图像、音频及视频作为隐藏信息载体方面,Anastasia等人提出一种将高载荷法与图像边界检测器相结合的信息隐藏方法,该方法能在图像尖锐区域隐藏高达30987 bits的信息。W.H. Lin 等人对载体图像分解后的小波系数进行了不重叠地分块,每一块区域中两个最大小波系数的差值通过与平均差值的比较进行修改,从而实现信息隐藏的目的。付磊等人利用二值图像中相邻像素的连通性和光滑性特点,通过修改像素选择标准,构造出一条用于秘密信息隐藏的载体序列,并可为不同长度的秘密信息分配相应的载体序列,在保证图像不是真的情况下该算法具有良好的适应性。近年来研究表明,由于当前音视频多采用压缩算法,且文件尺寸较大,其信息隐藏容量远大于文本进和图像,针对音视频的信息隐藏方法和手段也是层出不穷,音视频已经成为较好的信息隐藏载体选择对象。此外,研究人员还发现可利用HTML语法特性,通过改变标记大小写、改变标记属性值得单/双、重复或添加无用标记、改变标记属性顺序等方式在编制Web页面的HTML代码中隐藏信息。
上述研究结果表明,现有的应用层信息隐藏方法可在HTTP载荷包含的文本、图像、音频、视频、HTML代码等元素中隐藏大量信息的能力。同时也应看到,对于现有应用层隐藏信息还缺乏综合而有效检测与识别的方法,也缺乏Web页面信息泄露状况的评价模型等,这些都是亟待深入研究与解决的问题。
2.2 传输层隐藏技术
传输层隐藏技术主要是指利用TCP或UDP报文字段(如TCP序号、UDP检验和、选项字段等)进行隐藏秘密消息,该技术又被称为网络存储隐蔽信道。
Murdoch等在预设密钥key的控制下,通过模拟操作系统中产生TCP ISN (Initial Sequence Number)值的过程,将秘密信息嵌入到正常数据包的此两个字段中,减少了秘密信息被检测的可能性。Gimbi等人提出了一种基于TCP/UDP协议端口号字段的隐秘通道,将要发送的秘密信息隐藏于端口号的二进制编码里,具有较强的隐蔽性。
2.3 网际互联层隐藏技术
该层的隐藏技术主要是指借用IP报文中不常用的字段(如TOS 字段、DF 和URG 位扩展和填充、IP 标识和碎片偏移位等)和IP数据包的时间特征(发送/到达时刻、间隔时间等)进行隐藏和传送秘密消息。
Ahsan等指出IP头部中存在冗余位,并给出了利用IP头部中指示数据包分片的三个标志位和Identification字段作为隐秘信道,该方法可使单个正常数据包传输多达17 bit的秘密信息。张连成等[19]以自然通信状态下不可避免出现包乱序现象为出发点,借用数据包乱序特征和格雷码来表示秘密信息。在利用IP数据包的时间特征隐藏信息方面,Cabuk等人提出了一种IP包的隐蔽时间信道IPCTC(IP Covert Timing Channel),用固定时间段内有没有数据包的发送表示0和1,编码简单,通信过程缺少同步机制和抗干扰编码,信道的可靠性和隐蔽性低。文献设计了n-m编码策略,按照独立同分布的原则随机产生包间时延,模拟正常网络流量,在一定程度上提高了隐蔽信道的隐蔽性和抗干扰性。但该文是基于网络信道噪声在一定范围内发生变化,不会出现过大噪声干扰的强假设。Pan等人将秘密信息的每一个bit利用DSSS(direct sequence spread spectrum)机制扩展为多个bit,并根据该bit的值延迟或增加数据包之间的时间间隔,从而达到嵌入隐秘信息的目的,增强了抵抗网络延迟和抖动的能力。文献分别设计实现了基于HTTP协议的网络隐蔽时间信道同步机制和通信协议,其鲁棒性和容量都优于传统隐蔽信道,提高了强噪声环境中隐蔽信道的可靠性。
从上述情况来看,目前以网络内数据包某些字段值或改变数据包的传输时间特性作为隐蔽信道来传输秘密信息已经具有很强的可操作性和实用性,若此种方式用于信息泄露,其后果不容忽视。但目前常用的安全系统如防火墙、入侵检测系统、杀毒软件等还缺乏检测和评价信息泄露情况的功能;缺乏实时有效的检测方法,以及实用的反制网络隐蔽信道的措施。因此研究适合网络层信息隐藏技术的识别和评估算法也是重要的研究方向之一。
3结论
本文综述了与当前Web站点流量信息隐藏机制相关的研究方法,并以TCP/IP层次模型为依据对已有研究方法进行了分类。可以看出,现有Web隐藏技术的研究已在各层取得了较为丰硕的成果,但在检测方法和评估模型方面比较薄弱,是今后信息隐藏技术研究的重要方向。
参考文献:
[1]回顾2012年重大网络安全事件--信息泄密[EB/OL]. [2012-12-28]. http://netsecurity.51cto.com/art/201212/375255.htm.
[2]P.Moulin,J.A.OSullivan. Information-Theoretic Analysis of information hiding[J].IEEE Transaction on Information Theory,2003,49(3):563-593.