基于HTTP請(qǐng)求行為的組合式隱蔽信道的構(gòu)造研究

鄭 威 蘭少華 樹(shù)雅倩 朱書(shū)宏

(南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 江蘇 南京 210094)

?

基于HTTP請(qǐng)求行為的組合式隱蔽信道的構(gòu)造研究

鄭 威 蘭少華 樹(shù)雅倩 朱書(shū)宏

(南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 江蘇 南京 210094)

為了更好地使隱蔽信道在容量、可靠性、抗檢測(cè)性方面取得一個(gè)合適的平衡，提出一種基于HTTP請(qǐng)求行為的隱蔽信道HRCC(Combined Covert Channel Based on HTTP Requests)。將HTTP請(qǐng)求動(dòng)態(tài)分配在多個(gè)HTTP流上，利用數(shù)學(xué)組合的方式傳輸隱蔽信息，且通過(guò)模擬正常的HTTP流使得信道的抗檢測(cè)性大大增強(qiáng)。同時(shí)TCP協(xié)議的可靠傳輸使得傳輸過(guò)程不會(huì)受到網(wǎng)絡(luò)狀況的影響，從而保證了信道的魯棒性。最后通過(guò)實(shí)驗(yàn)結(jié)果證明了該新型隱蔽信道具有很強(qiáng)的實(shí)用性，而且在傳輸速率、傳輸正確率和抗檢測(cè)性方面均優(yōu)于傳統(tǒng)基于HTTP的隱蔽信道。

隱蔽信道 HTTP請(qǐng)求 數(shù)學(xué)組合

0 引 言

網(wǎng)絡(luò)隱蔽信道是一種在網(wǎng)絡(luò)中進(jìn)行非正常協(xié)議通信的手段，對(duì)網(wǎng)絡(luò)安全有極大危害。網(wǎng)絡(luò)隱蔽信道依據(jù)載體的不同分成存儲(chǔ)式隱蔽信道和時(shí)間式隱蔽信道，時(shí)間式隱蔽信道利用不同算法調(diào)整數(shù)據(jù)包的時(shí)序信息完成信息嵌入。文獻(xiàn)[1]提出利用時(shí)間間隔通信與否進(jìn)行隱蔽信息傳輸(IPCTC)，文獻(xiàn)[2]提出基于模擬正常數(shù)據(jù)流模型的構(gòu)建算法(MBCTC)，文獻(xiàn)[3]提出利用TCP重傳特性的算法(TRCTC),文獻(xiàn)[4,5]又相繼多種改進(jìn)的利用傳輸包時(shí)間間隔傳輸?shù)乃惴?。存?chǔ)式隱蔽信道大部分利用IP協(xié)議和TCP協(xié)議包頭中明顯規(guī)律的特性，包括IP包的IPID位、TTL位，TCP包的序列號(hào)位等都已經(jīng)在文獻(xiàn)[6-8]中被用來(lái)實(shí)現(xiàn)存儲(chǔ)式隱蔽信道。然而上述兩種信道傳輸速率比較低，而且很容易受到網(wǎng)絡(luò)抖動(dòng)、丟包等網(wǎng)絡(luò)環(huán)境的影響，信道的可靠性表現(xiàn)較差。

近年來(lái)，多種利用HTTP協(xié)議首部的隱秘信道方法被提出。例如文獻(xiàn)[9]提出利用協(xié)議首部選項(xiàng)域排序的方法，文獻(xiàn)[10]利用HTTP不區(qū)分大小寫(xiě)的特性，文獻(xiàn)[11]將隱蔽信息嵌入Cookie中，然而這些傳統(tǒng)構(gòu)造的方法信道容量并不是很高，而且很容易會(huì)被檢測(cè)出來(lái)。文獻(xiàn)[12,13]中進(jìn)一步提出基于模仿合法信道的方案以提高信道隱蔽性，然而先進(jìn)的檢測(cè)算法依然能夠檢測(cè)出這些隱蔽信道[14]。因此，設(shè)計(jì)一種兼顧可靠性與傳輸速率，同時(shí)具有高抗檢測(cè)性的HTTP隱蔽信道是非常具有實(shí)際意義的。

本文提出一種新的基于HTTP請(qǐng)求行為的組合式隱蔽信道HRCC。它利用正常網(wǎng)頁(yè)瀏覽時(shí)HTTP請(qǐng)求的分布規(guī)律來(lái)構(gòu)造隱蔽信道，將隱蔽信息轉(zhuǎn)換為二進(jìn)制符號(hào)，并利用特殊的數(shù)學(xué)分布調(diào)制到多個(gè)HTTP流的HTTP請(qǐng)求行為中，使得信道容量有所提高，利用模擬包間間隔和數(shù)據(jù)流特征的方法又提高其抗檢測(cè)性。

1 相關(guān)工作

1.1 FBD檢測(cè)算法

基于協(xié)議指紋的檢測(cè)技術(shù)(FBD)于2007年由Manuel等人提出[15]，這是一種針對(duì)行為特征的非常有效的檢測(cè)方法。HTTP協(xié)議有其特定的協(xié)議指紋，該方法指出，如果有協(xié)議封裝在HTTP中，傳輸?shù)男袨樘卣鞅囟ㄅc合法的行為特征有所不同。FBD主要關(guān)注于數(shù)據(jù)包序列中的某些統(tǒng)計(jì)特征，如包間間隔或數(shù)據(jù)包的大小，通過(guò)這些統(tǒng)計(jì)特征計(jì)算出HTTP指紋并設(shè)定閾值，檢測(cè)過(guò)程中將閾值與某次通信的協(xié)議指紋比較可判定出是否存在隱蔽通信。

1.2 HTTP請(qǐng)求行為

當(dāng)使用瀏覽器下載一個(gè)網(wǎng)頁(yè)時(shí)，首先會(huì)請(qǐng)求HTML文檔，然后接收其他相關(guān)的網(wǎng)絡(luò)對(duì)象。例如圖像和腳本，這些都稱(chēng)為HTTP請(qǐng)求行為。同時(shí)我們發(fā)現(xiàn)通用瀏覽器在接收HTML文件的同時(shí)會(huì)對(duì)頁(yè)面中的一些引用對(duì)象進(jìn)行加載，所以HTTP請(qǐng)求可由多個(gè)端口發(fā)送，一個(gè)端口也可以發(fā)送多個(gè)請(qǐng)求，通用瀏覽器提供并能夠打開(kāi)多條并行的連接，每條連接上可以有多個(gè)請(qǐng)求。需要注意的是，在不同時(shí)間段瀏覽同一個(gè)網(wǎng)站時(shí)端口開(kāi)放數(shù)量和每個(gè)端口發(fā)送請(qǐng)求數(shù)量并不相同，而且HTTP請(qǐng)求和HTTP流之間的對(duì)應(yīng)關(guān)系也是不固定的。例如，一個(gè)網(wǎng)頁(yè)含有一個(gè)HTML文檔和四個(gè)相關(guān)對(duì)象，用戶(hù)通對(duì)這些對(duì)象HTTP請(qǐng)求設(shè)為(n1,n2,n3,n4,n5)，假設(shè)有兩個(gè)HTTP流(F1,F2)，當(dāng)我們第一次訪(fǎng)問(wèn)時(shí)，F(xiàn)1上的請(qǐng)求為(n1,n2)，F(xiàn)2上的請(qǐng)求是(n3,n4,n5)，但是第二次訪(fǎng)問(wèn)時(shí)F1上是請(qǐng)求對(duì)象(n2,n4,n5)，另一條上卻是(n1,n3)這兩個(gè)請(qǐng)求。

2 基于HTTP請(qǐng)求行為的隱蔽信道

2.1 通信模式

在傳統(tǒng)的HTTP隱蔽信道通信模型中，隱蔽信息發(fā)送方(Encoder)與遠(yuǎn)程服務(wù)器(Server)相連，發(fā)送方瀏覽網(wǎng)頁(yè)并發(fā)送請(qǐng)求數(shù)據(jù)包，隱蔽信息接收方(Decoder)只能在傳輸鏈路中任何一點(diǎn)截獲數(shù)據(jù)包并解碼出隱蔽信息，然而這樣的通信模型并不具有實(shí)際意義。因此，HRCC設(shè)計(jì)將接收方作為服務(wù)器接受發(fā)送方的請(qǐng)求數(shù)據(jù)包，接收方構(gòu)造網(wǎng)站并發(fā)布出去，發(fā)送方與其他用戶(hù)正常根據(jù)地址訪(fǎng)問(wèn)該網(wǎng)站。當(dāng)發(fā)送方使用瀏覽器下載網(wǎng)頁(yè)瀏覽網(wǎng)頁(yè)對(duì)象時(shí)，利用發(fā)送的HTTP請(qǐng)求分布嵌入隱蔽信息，接收方接收到請(qǐng)求數(shù)據(jù)包解碼出信息，這樣的HTTP通信模型實(shí)用性更強(qiáng)。我們的通信模型如圖1所示。

圖1 通信模型

2.2 編解碼方案

假設(shè)某次發(fā)送過(guò)程中有5個(gè)請(qǐng)求包和3個(gè)流，數(shù)據(jù)流是可區(qū)分的，將請(qǐng)求分配到數(shù)據(jù)流中共有21種組合方式，每次可傳輸4比特?cái)?shù)據(jù)，以組合方式中16種按順序構(gòu)造出編碼表，編碼表如圖1所示。每一種組合方式對(duì)應(yīng)著分布關(guān)系，即3條HTTP流中不同HTTP請(qǐng)求的個(gè)數(shù)，例如傳輸?shù)亩M(jìn)制隱蔽信息為“0010”，其對(duì)應(yīng)的十進(jìn)制數(shù)為‘2’，查表1可得HTTP請(qǐng)求數(shù)量的分布是F1=4，F(xiàn)2=0，F(xiàn)3=1。

表1 編碼表

由于上述編碼方式在編解碼的過(guò)程中共享碼表，這使得工作效率變得很低，而且在編碼器和解碼器之間交換明確的碼表也是不安全的。因此，我們利用文獻(xiàn)[16]中的兩個(gè)函數(shù)Rank()和Unrank()對(duì)隱蔽信息進(jìn)行編解碼，Rank()函數(shù)接收數(shù)據(jù)流中請(qǐng)求個(gè)數(shù)的分布F，返回F對(duì)應(yīng)的十進(jìn)制索引值，Unrank()函數(shù)有著相反的功能。

排列組合C(N+X-1,X-1)和R的關(guān)系如圖2所示，Unrank()和Rank()函數(shù)算法偽代碼由算法1和算法2給出。

圖2 排列組合與R關(guān)系圖

算法1

1:i=1;

2:while r>0 do

3:r=r-C(N+i-1,i-1)

4:i=i+1;

5:end while

6:i=i-1;

7:r=r+C(N+i-1,i-1);

8:return Unrank(r,N+i-1,i-1);

算法2

1:r=Rank(Arrange,N+X-1,X-1);

2:i=1;

3:while i

4:r=r+C(N+i-1,i-1);

5:end while

6:return r;

發(fā)送方策略如下：

首先，編碼器和解碼器事先約定選定的網(wǎng)頁(yè)對(duì)象的數(shù)目N和HTTP流數(shù)量X。編碼器譯碼器首先建立X個(gè)HTTP連接。

第二步，編碼器將隱蔽信息字符串劃分為多個(gè)L比特的字符塊(seg1,seg2,…,segi,…)。字符塊被轉(zhuǎn)換為十進(jìn)制狀態(tài)Ri。接著編碼器通過(guò)Unrank()函數(shù)將Ri映射為HTTP請(qǐng)求的分布F，并將ni個(gè)HTTP請(qǐng)求分布到ith流上。

最后，編碼器只有等收到每個(gè)流上所有請(qǐng)求包的ACKs，也就是N個(gè)ACKs，才進(jìn)行下次N個(gè)請(qǐng)求包的發(fā)送。如果沒(méi)有全部收到，依靠TCP的重傳機(jī)制發(fā)送方部分重傳HTTP請(qǐng)求，這樣可保證通信的可靠性。

解碼過(guò)程與編碼過(guò)程相類(lèi)似。在解碼的第一步，接收方從HTTP請(qǐng)求流中獲取對(duì)應(yīng)的分布關(guān)系F?；谌蔚奈帐猪樞?，解碼器可以區(qū)分不同的HTTP請(qǐng)求流。同時(shí)解碼器只有全部收到N個(gè)請(qǐng)求包后才開(kāi)始解碼過(guò)程，解碼器調(diào)用函數(shù)Rank()將請(qǐng)求數(shù)的分布映射成相應(yīng)的十進(jìn)制數(shù)Ri，最后轉(zhuǎn)換為隱蔽信息。需要注意的是，當(dāng)接收方收到發(fā)送方的HTTP請(qǐng)求后，同時(shí)需要返回相應(yīng)的ACK包。

2.3 傳輸速率提高方案

基于上述的編解碼方案，假設(shè)在一次傳輸過(guò)程中有N個(gè)HTTP請(qǐng)求包需要發(fā)送，而根據(jù)某種分布方式，可能會(huì)出現(xiàn)這樣的情況，N個(gè)包大部分被分布在一條或幾條HTTP流上，其他流只有很少或者沒(méi)有請(qǐng)求包。此時(shí)傳輸時(shí)間由傳輸最多數(shù)據(jù)包的那條數(shù)據(jù)流決定，從而導(dǎo)致傳輸時(shí)間大大增加。

為了解決這樣的問(wèn)題，文獻(xiàn)[17,18]提出一種叫做上限d的傳輸方法。上限d的基本思想是限制每個(gè)HTTP流上的最多請(qǐng)求個(gè)數(shù)不超過(guò)d，即max{F1,F2,…,Fm}

因此，我們對(duì)編碼方式進(jìn)行一些調(diào)整。首先需要了解共軛的概念，假設(shè)n個(gè)數(shù)據(jù)包需要分配，每條數(shù)據(jù)流分配最多d個(gè)數(shù)據(jù)包和共d個(gè)數(shù)據(jù)流分配是共軛的分配方式，計(jì)算共軛則采用組合數(shù)學(xué)中Ferrers圖。圖3顯示了Ferrers圖計(jì)算共軛的一個(gè)例子。根據(jù)共軛原理，當(dāng)隱蔽通信需要發(fā)送x條數(shù)據(jù)流時(shí)，數(shù)據(jù)包的個(gè)數(shù)n需滿(mǎn)足n

圖3 Ferrers圖

2.4 抗檢測(cè)方案

1) 基于包間間隔的檢測(cè)

基于協(xié)議指紋的檢測(cè)技術(shù)主要關(guān)注包間間隔IPD的統(tǒng)計(jì)分布，為了提高HRCC隱蔽信道的抗檢測(cè)性，使它能夠躲避類(lèi)似的檢測(cè)，我們通過(guò)模擬正常網(wǎng)站會(huì)話(huà)中統(tǒng)計(jì)的IPD，以構(gòu)造合法的HTTP行為請(qǐng)求。根據(jù)文獻(xiàn)[19]實(shí)際的統(tǒng)計(jì)和研究數(shù)據(jù)，合法HTTP請(qǐng)求包之間的正常包間間隔是服從泊松分布的，所以我們提出泊松產(chǎn)生器來(lái)構(gòu)造離散的時(shí)間序列，產(chǎn)生器由式(1)定義：

Tn=Possion(λ,n)

(1)

其中 Tn是包間間隔序列{t1,t2,…,tn}，λ是泊松分布的期望值，n+1是HTTP請(qǐng)求包的總個(gè)數(shù)。

模擬IPD的步驟如下：

(1) 統(tǒng)計(jì)正常HTTP請(qǐng)求的時(shí)間信息，根據(jù)泊松產(chǎn)生器產(chǎn)生包間間隔序列T，對(duì)應(yīng)HTTP流中包的個(gè)數(shù)n+1個(gè)；

(2) 發(fā)送方與接收方建立連接并發(fā)送數(shù)據(jù)包，如果是第一個(gè)請(qǐng)求包，直接傳輸，記錄數(shù)據(jù)包個(gè)數(shù)i=1；

(3) 當(dāng)發(fā)送第i+1個(gè)數(shù)據(jù)包時(shí)，選擇ti進(jìn)行延時(shí)發(fā)送，并使得 i=i+1；

(4) 如果i>n結(jié)束，否則轉(zhuǎn)到(3)。

經(jīng)過(guò)統(tǒng)計(jì)正常會(huì)話(huà)HTTP請(qǐng)求的包間間隔，將HTTP請(qǐng)求包進(jìn)行一定延時(shí)，使得HRCC能夠?qū)崿F(xiàn)包間間隔的偽裝，從而能夠躲避FBD的檢測(cè)。

2) 基于數(shù)據(jù)流特征的檢測(cè)

正常通信活動(dòng)中HTTP請(qǐng)求的數(shù)據(jù)流比較短小，HRCC中利用多條混合的數(shù)據(jù)流不斷傳輸請(qǐng)求包會(huì)產(chǎn)生較長(zhǎng)的數(shù)據(jù)流。這便會(huì)引起懷疑，檢測(cè)方可能會(huì)利用數(shù)據(jù)流容量大小的特性構(gòu)造檢測(cè)算法，并以此檢測(cè)出HRCC隱蔽信道。

因此，HRCC隱蔽信道需要躲避基于數(shù)據(jù)流特征的檢測(cè)，本文采用模擬正常HTTP數(shù)據(jù)流的大小來(lái)實(shí)現(xiàn)編碼過(guò)程。S為正常信道數(shù)據(jù)流的大小集合，s是其中元素，首先在ith數(shù)據(jù)流上的包個(gè)數(shù)ni和合法數(shù)據(jù)流大小之間建立映射關(guān)系，具體模擬方法如下：

(1) 將元素s對(duì)(N+1)取模使得合法數(shù)據(jù)流大小映射與[1，2，…，N]建立映射關(guān)系；

(2) 發(fā)送方根據(jù)上文編碼策略得出數(shù)據(jù)流上的HTTP請(qǐng)求包分布F，然后從合法數(shù)據(jù)集S中挑選s作為ith數(shù)據(jù)流的大小，并滿(mǎn)足ni等于s模(N+1)；

(3) 接收方接收到ith數(shù)據(jù)流，首先用數(shù)據(jù)流的大小對(duì)(N+1)取模得到數(shù)據(jù)包個(gè)數(shù)ni，再根據(jù)數(shù)據(jù)包個(gè)數(shù)的分布解碼出十進(jìn)制信息從而得出隱蔽信息。

經(jīng)過(guò)上述步驟，使得HRCC能夠模擬合法數(shù)據(jù)流的大小特性，從而躲避基于數(shù)據(jù)流特征的檢測(cè)。

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)驗(yàn)證主要分為三個(gè)部分，主要針對(duì)誤碼率，信道容量和抗檢測(cè)性這三個(gè)方面，實(shí)驗(yàn)結(jié)果對(duì)比其他傳統(tǒng)型隱蔽信道并驗(yàn)證我們的隱蔽信道的高性能。

通信場(chǎng)景如圖4所示，實(shí)驗(yàn)環(huán)境包括四臺(tái)主機(jī)和一臺(tái)交換機(jī)，其中兩臺(tái)主機(jī)分別作為隱蔽通信的發(fā)送端和接收端，另兩臺(tái)作為網(wǎng)絡(luò)環(huán)境模擬器和數(shù)據(jù)包采集器。數(shù)據(jù)包采集器采集發(fā)送端發(fā)出的數(shù)據(jù)包，實(shí)驗(yàn)數(shù)據(jù)由采集的數(shù)據(jù)包統(tǒng)計(jì)計(jì)算，網(wǎng)絡(luò)環(huán)境模擬器搭載Netem，通過(guò)設(shè)置不同的丟包率來(lái)模擬實(shí)際復(fù)雜的網(wǎng)絡(luò)環(huán)境。

圖4 通信場(chǎng)景圖

3.1 可靠性實(shí)驗(yàn)

本次實(shí)驗(yàn)通過(guò)模擬正常網(wǎng)絡(luò)環(huán)境，設(shè)置丟包率為1%、5%、10%，在三種不同丟包率下，統(tǒng)計(jì)IPCTC、Jitterbug和HRCC的傳輸正確率。每類(lèi)隱蔽信道分別從發(fā)送端發(fā)送20 KB的隱蔽信息，并且三種隱蔽信道分別做20組傳輸正確率實(shí)驗(yàn)，三種隱蔽信道的平均傳輸正確率如表2所示。

表2 信道傳輸正確率

對(duì)于IPCTC和Jitterbug，它們都是利用網(wǎng)絡(luò)傳輸過(guò)程中的時(shí)序信息來(lái)進(jìn)行傳輸，網(wǎng)絡(luò)丟包、抖動(dòng)、重傳等勢(shì)必會(huì)對(duì)其解碼造成一定影響。在一定網(wǎng)絡(luò)環(huán)境下傳輸正確率較差，與它們相比，TCP可靠傳輸協(xié)議使得HRCC的數(shù)據(jù)傳輸過(guò)程不受網(wǎng)絡(luò)環(huán)境影響。同時(shí)HRCC不利用時(shí)序信息的特性能夠保證在較差的網(wǎng)絡(luò)環(huán)境下仍能保證100%的正確解碼率，這樣的結(jié)果驗(yàn)證了HRCC的可靠性。

3.2 信道容量實(shí)驗(yàn)

在本次實(shí)驗(yàn)中，分別用IPCTC、Jitterbug和HRCC隱蔽信道各發(fā)送l～5 KB的數(shù)據(jù)，實(shí)驗(yàn)記錄傳輸速率，分別對(duì)三種隱蔽信道測(cè)試20次，得出三種隱蔽信道的傳輸時(shí)間，計(jì)算出平均傳輸速率如圖5所示。

圖5 各信道傳輸速率

根據(jù)圖5，HRCC的平均傳輸速率要優(yōu)于IPCTC和Jitterbug。因?yàn)镮PCTC和Jitterbug每次傳輸一個(gè)數(shù)據(jù)包，最多只能攜帶1 bit的隱秘信息。而HRCC采用了數(shù)學(xué)組合的方式，將HTTP請(qǐng)求動(dòng)態(tài)分配到HTTP流上，使得每個(gè)數(shù)據(jù)包嵌入更多的隱蔽信息，結(jié)果HRCC傳輸速率會(huì)相應(yīng)提高。

3.3 抗檢測(cè)性實(shí)驗(yàn)

本次實(shí)驗(yàn)利用形狀測(cè)試和規(guī)律性測(cè)試對(duì)HRCC進(jìn)行檢測(cè)測(cè)，對(duì)于前者，實(shí)驗(yàn)統(tǒng)計(jì)正常通信信道和HRCC的HTTP請(qǐng)求數(shù)量的分布情況，兩種通信請(qǐng)求的分布如圖6所示。從圖中可看出，兩者請(qǐng)求分布數(shù)量基本重合，形狀測(cè)試無(wú)法區(qū)分，所以通過(guò)泊松發(fā)生器模擬正常的HTTP行為使得HRCC能夠躲避一般形狀測(cè)試。

圖6 HTTP請(qǐng)求數(shù)量分布

規(guī)律性檢測(cè)主要采用上文介紹的基于協(xié)議指紋的檢FBD檢測(cè)方法，其檢測(cè)內(nèi)容主要是數(shù)據(jù)流中HTTP包的IPD分布，實(shí)驗(yàn)統(tǒng)計(jì)通信的IPD分布，得出異常分?jǐn)?shù)(協(xié)議指紋)并與設(shè)定的閾值比較來(lái)判斷隱蔽信道是否存在。

實(shí)驗(yàn)檢測(cè)正常數(shù)據(jù)通信和HRCC通信的IPD分布，分別得出兩者的異常分?jǐn)?shù)，兩者異常分?jǐn)?shù)的累積分布函數(shù)CDF如圖7所示。從圖中可以看到，兩種信道的分?jǐn)?shù)非常接近，F(xiàn)BD很難將它們區(qū)分。結(jié)論是，基于協(xié)議指紋的檢測(cè)方法也很難檢測(cè)出HRCC。

圖7 信道異常分?jǐn)?shù)CDF

4 結(jié) 語(yǔ)

傳統(tǒng)隱蔽信道在可靠性、抗檢測(cè)性等方面依舊存在某些不足，在本文中提出了一種基于HTTP請(qǐng)求行為的新型隱蔽信道HRCC。HRCC基于瀏覽器應(yīng)用的HTTP請(qǐng)求行為，TCP可靠傳輸保證其可靠性，模擬正常包間間隔的分布保證其抗檢測(cè)性。實(shí)驗(yàn)結(jié)果顯示，HRCC具有良好的傳輸能力、可靠性和高抗檢測(cè)性。本文并沒(méi)有將瀏覽器與服務(wù)器之間可能存在的代理服務(wù)器列入考慮，未來(lái)工作可基于代理服務(wù)器做進(jìn)一步研究。

[1] Cabuk S,Brodley C E,Shields C.IP covert timing channels:Design and detection[C]//Proc of the 11th ACM Conference on Computer and Communications Security,New York:ACM,2004:178-187.

[2] Cabuk S.Network Covert Channels:Design,Analysis,Detectionand Elimination[D].Lafayette:Purdue University,2006.

[3] Gianvecchio S,Wang H,Wijeslera D.Model-based covert timing channels:Automated modeling and evasion[C]//Proc of the 11th International Stmposium on Recent Advances in Intrusion Detection.Berlin:Springer-Verlag,2008:211-230.

[4] Archibald R,Ghosal D.A Covert Timing Channel Based on Fountain Codes[C]//Proc.of the IEEE 11th International Conference on Trust,Security and Privacy in Computing and Communications Liverpool:IEEE,2012:970-977.

[5] Dong P,Qian H,Lu Z,et al.A Network Covert Channel Based on Packet Classification[J].International Journal of Network Security,2012,14(1):147-154.

[6] Lou D C,Liu J L.Steganographic method for secure communications[J].Computers & Security,2002,21(5):449-460.

[7] Giffin J,Rachel G P.Covert Messaging Through TCP Timestamps[C]//Proceedings of the 6th Privacy Enhancing Technologies Workshop,San Francisco:Citeseer,2002:263-281.

[8] Zander S,Armitage G,Branch P.A survey of covert channels and countermeasures in computer network protocols[J].Communications Surveys and Tutorials,IEEE,2007,9(3):44-57.

[9] 吳其祥,李祖猛,馬華.基于HTTP協(xié)議的隱蔽信道研究[J].信息安全與通信保密,2009,31(1):73-75.

[10] Van M H.Deception on the Network:Thinking Differently About Covert Channels[C]//Information Warfare and Security,Australia:Citeseer,2006:114-120.

[11] Castro S,Gray Word Team.Cooking Channels[J].Hakin9 Magazine,2006,72(4):50-57.

[12] Liu Guangjie,Zhai Jiangtao,Dai Yuewei.Network Covert Timing Channel with Distribution Matching[J].Telecommunication Systems:Modeling,Analysis,Design and Management,2012,49(2):199-205.

[13] Liu Yali,Ghosal D,Armknecht F,et al.Robust and undetectable steganographic timing channels for i.i.d. traffic[C]//Proceedings of the 12th Information Hiding Conference. Canada:Calgary,2010:193-207.

[14] Qian Yuwen,Song Huaju,Song Chao,et al.Covert Channel Detection with Cluster based on Hierarchy and Density[J].Procedia Engineering,2012(29):4175-4180.

[15] Crotti M,Dusi M,Gringoli F.Detecting HTTP Tunnels with Statistical Mechanisms[C]//Proceedings of the 2007 IEEE International Conference on Communication.New York:IEEE,2007:263-280.

[16] Myrvold W,Ruskey F.Ranking and Unranking Permutations in Linear Time[J].Information Processing Letters,2001,79(6):281-284.

[17] Luo Xiaopu,Zhou Peng.Robust Network Covert Communications Based on TCP and Enumerative Combinatorics[J].IEEE Transaction on dependable and secure computing,2012,9(6):890-902.

[18] 石進(jìn),劉光杰.網(wǎng)絡(luò)隱信道Cloak的分析與檢測(cè)[D].南京:南京理工大學(xué),2013.

[19] Wang Fei,Huang Liusheng,Miao Haibo,et al.A novel distributed covert channel in http[J].Security and Communication Networks,2014,7(6):1031-1041.

ON STRUCTURE OF COMBINED COVERT CHANNEL BASED ON HTTP REQUEST BEHAVIOUR

Zheng Wei Lan Shaohua Shu Yaqian Zhu Shuhong

(School of Computer Science and Engineering,Nanjing University of Science and Technology,Nanjing 210094,Jiangsu,China)

To achieve a proper balance in capacity, reliability and undetectability of the covert channel better, we proposed an HTTP request behaviour-based covert channel. We dynamically assigned the HTTP requests onto multiple HTTP flows and transmitted the hidden information using a way of mathematics combination. Furthermore, by simulating normal HTTP flows we made the undetectability performance of the channel be greatly enhanced. At the same time, the reliable transmission of TCP protocol ensures the transmission process not to be affected by the influence of network status, which guarantees the robustness of the channel. At last we proved through experimental result that the new covert channel has high availability, and is superior to the traditional HTTP-based covert channels on the aspects of transmission rate, transmission accuracy and undetectability.

Covert channel HTTP requests Mathematical combination

2015-07-13。國(guó)家自然科學(xué)基金項(xiàng)目(61170250，6110 3201)；中央高?；緲I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金項(xiàng)目(30920140121006)。鄭威，碩士，主研領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)和安全。蘭少華，教授。樹(shù)雅倩，碩士。朱書(shū)宏，碩士。

TP393.08

A

10.3969/j.issn.1000-386x.2016.11.062