互联网信息隐匿的检测与攻击探究

1.基于网络传输的信息隐匿的特点

信息隐匿技术目前迅速用于网络掩密通信，如利用网络协议报文结构在公告牌、聊天室等网络系统中进行掩密通信，利用IP电话、视频会议系统进行实时秘密信息的隐蔽传输等。因此，如何实时地检测攻击网络上传输的隐匿信息已经成为重要的研究方向。

图4-13 网络传输模型图

图4-14 网络信息隐匿与提取模型图

现有的网络协议不仅为秘密信息的隐蔽传输提供传输机制，如事先将秘密信息隐匿于载体文件（掩护信息）中，然后通过底层的文件传输协议传输如图4-13所示。而且协议本身的体系结构也可极好地作为秘密信息传输的载体，如图4-14所示。这些以实时掩密通信为目的数据包与正常传输数据比较起来有以下几方面的特点：

1）秘密信息的安全性极高。由于各种隐匿软件利用人体感官、网络系统的缺陷以及通信信息的统计特性进行隐匿，使得秘密信息对于人类的感官可觉察性、对于各种网络应用系统的一般应用可觉察性、统计可觉察性极低；另一方面，秘密信息在嵌入载体信息之前采用了安全的加密算法，即使得到秘密信息也很难获得其明文信息。

2）秘密信息鲁棒性较差，抗攻击能力不是很强。实时的掩密通信对于鉴别区分隐匿有秘密信息的数据包和其他数据包的时间要求很高，所以不能水印检测那样，构造一个检测算子，经过分析运算得出结论。含有隐匿信息的数据通常在底层包结构中有特殊的标识，数据包中类似这样的标识容易被发现，并且一旦被发现就可以采用各种攻击手段进行破坏，甚至阻断秘密信息的传输；

3）秘密信息不是均匀地分布在通信的整个时间段。对于实时的掩密通信，通信的双方为了达到隐蔽的目的而不能在秘密信息传送完毕之后马上结束整个通信过程，即在通信快结束的过程，数据包没有隐匿秘密信息。同样，在通信开始阶段，秘密信息传输需要建立连接等过程，嵌入的信息量不是很多，嵌入算法考虑到安全性，并不是在相邻的一系列数据包中连续嵌入秘密信息。以上这些情况表现为秘密信息隐匿的非均匀性。

4）掩密通信的时间一般很长。根据信息隐匿中隐蔽性、隐匿量和鲁棒性的关系以及网络实时传输的特点，秘密信息量直接影响载体文件大小，相应地增加了通信量和通信时间。

5）掩密通信的时刻有其特有的规律性。这与实际使用隐匿软件的人员有很大关系。使用这种软件的人员根据任务的要求、本身的心理素质和个人喜好选择通信时间，这些都反映在网络流量统计数据中。

2.实时传输的掩密通信检测攻击

与密码攻击类似。针对信息隐匿系统的攻击可以直接攻击系统协议中所用的隐匿算法，或用来实现该算法和协议的隐匿技术，或攻击协议本身。这里假设系统采取的隐匿算法是安全的，只关注对实现算法和协议的隐匿技术和协议的攻击。

（1）互联网上实时传输的掩密通信检测

攻击者首先要判断隐匿信息是否存在，检测技术可以分为两类：异常检测和特征检测。

1）异常检测：(www.xing528.com)

异常检测是根据网络用户的行为和包数据的统计特性来判断是否进行了掩密通信，而不依赖于具体行为是否出现来检测，检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的隐匿方法，不像基于特征的检测那样受已知隐匿模式的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高，尤其在用户数目众多，或工作目的经常改变的环境中；其次，如果应用层数据如话音、图像混有环境噪声，将对这些数据的统计模型产生很大的影响，从而带来高的误检率和漏检率；再次，由于统计简表要不断更新，隐匿者如果知道某系统在检测的监视之下，能慢慢地训练检测系统，以致于最初认为是异常的行为，经过一段时间的训练后认为是正常的。异常检测主要用到概率统计的方法，检测器根据网络用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征来判断是否是异常行为。用户特征表需要根据两个方面的分析结果不断地加以更新，首先是分析新近出现信息隐匿工具的隐匿方式和隐匿数据的统计特征得出的结果，其次就是审计记录。用于描述特征的变量类型有以下几个：

①流量：常用于检测长时间平均觉察不到的异常行为。

②数据包中特征数据分析：这是最重要的，包括在最新记录中某一用户数据包所使用协议的分布；具体应用层数据，如话音编码数据；图像编码数据特征数据分布；具体协议某些数据位的分布。

③范畴尺度：在一定动作范畴内（如一次通信过程中）特定数据包的分布情况。

④数值尺度：产生数值结果的数据包（如所有同一类型数据包）的大小、时延均值和方差等。

如果假设C₁，C₂，…，C_n分别是用于描述特征的变量N₁，N₂，…，N_n的异常程度值，C_i值越大说明异常程度越大。则这个特征值可以用所有C_i值的加权平方和来表示：

式中，a_i表示每一特征的权重。

如果选用标准偏差作为判别准则，则标准偏差为，其中均值μ=C/N。

如果C值超出了（μ±aσ），则认为出现异常。

这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处，如统计检测对利用数据包之间的关联性进行隐匿不敏感，即完全依靠统计理论可能漏检那些利用彼此关联事件的隐匿行为。另外定义是否隐匿的判断阈值也比较困难。阈值太低则漏检率提高，阈值太高则误检率提高。

2）特征检测：

特征检测指运用已知隐匿方法，根据已定义好的隐匿模式，通过判断这些隐匿模式是否出现来检测。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，为分析人员做出相应措施提供了方便。其主要缺点在于具体系统依赖性太强，维护工作量大，而且将具体隐匿手段抽象成知识也很困难，并且检测范围受已知知识的局限。

（2）针对网络实时传输的隐匿信息攻击

检测结果中给出各种可能的隐匿方式的描述，并且定义了相应级别，根据这些描述结果可以采取各种攻击手段，包括篡改隐匿位信息和阻断精密通信。隐匿位信息“篡改以不破坏载体通信为前提，篡改可能的隐匿有秘密信息的数据，按检测给出的等级对数据包各层协议的数据进行修改。对于隐匿最高级别，诸如从长期统计数据得出的异常，攻击采取阻断通信链路的方式。