1、浅析互联网上信息隐匿的检测与攻击摘要:本文针对信息掩密技术,分析信息掩密技术的各种检测方法和攻击方法,这不仅对改进和设计信息隐匿的算法具有重要的理论意义,而且对设计安全性高的掩密通信系统具有重要的指导意义和实际意义。 关键词:互联网 掩密通信 信息隐匿 鲁棒性 中图分类号:TP393 文献标识码: A 文章编号: 1引言 随着网络化程度的日益提高,各种信息隐匿技术应运而生并迅速被用于网络系统中进行掩密通信,如利用网络协议报文结构在公告处于、聊天室等网络系统中进行掩密通信,利用 IP 电话、视频会议系统进行实时秘密信息的隐蔽传输等。因此,如何实时地检测攻击网络上传输的隐匿信息已经成为重要的研究方
2、向。 2基于网络传输的信息隐匿的特点 现有的网络协议不仅为秘密信息的隐蔽传输提供传输机制,如事先将秘密信息隐匿于载体文件(掩护信息)中,然后通过底层的文件传输协议传输;而且协议本身的体系结构也可极好地作为秘密信息传输的载体。这些以实时掩密通信为目的的数据包与正常传输数据比较起来有以下几方面的特点。 1)秘密信息的安全性极高。一方面,由于各种隐匿软件利用人体感官、网络系统的缺陷以及通信信息的统计特性进行隐匿,使得秘密信息对于人类的感官可觉察性、对于各种网络应用系统的一般应用可觉察性、统计可觉察性极低;另一方面,秘密信息在嵌入载体信息之前采用了安全的加密算法,即使得到秘密信息也很难获得其明文信息。
3、 2)秘密信息鲁棒性较差,抗攻击能力不是很强。实时的掩密通信对于鉴别区分隐匿有秘密信息的数据包和其他数据包的时间要求很高,所以不可能像水印检测那样,构造一个检测算子,经过分析运算得出结论。含有隐匿信息的数据通常在底层包结构中有特殊的标识,数据包中类似这样的标识容易被发现,并且一旦被发现就可以采用各种攻击手段进行破坏,甚至阻断秘密信息的传输。 3)秘密信息不是均匀地分布在通信的整个时间段。对于实时的掩密通信,通信的双方为了达到隐蔽的目的而不能在秘密信息传送完毕之后马上结束整个通信过程,也就是说,在通信快结束的过程,数据包没有隐匿秘密信息。同样,在通信开始阶段,秘密信息传输需要建立连接等过程,嵌入
4、的信息量不是很多,嵌入算法考虑到安全性,并不是在相邻的一系列数据包中连续嵌入秘密信息。以上这些情况表现为秘密信息隐匿的非均匀性。 4)掩密通信的时间一般很长。根据信息隐匿中隐蔽性、隐匿量和鲁棒性的关系,以及网络实时传输的特点,秘密信息量直接影响载体文件大小,相应地增加了通信量和通信时间。 5)掩密通信时刻有其特有的规律性。这与实际使用隐匿软件的人员有很大关系。使用这种软件的人员根据任务的要求、本身的心理素质和个人喜好选择通信时间,这些都反映在网络流量统计数据中。 3实时传输的掩密通信检测攻击 与密码攻击类似,针对信息隐匿系统的攻击可以直接攻击系统协议中所用的隐匿算法,或用来实现该算法和协议的隐
5、匿技术,或攻击协议本身。这里假设系统采取的隐匿算法是安全的,只关注对实现算法和协议的隐匿技术和协议的攻击。 1)互联网上实时传输的掩密通信检测 攻击者首先要判断隐匿信息是否存在,检测技术可以分为两类:异常检测和特征检测。 (1)异常检测 异常检测是指根据网络用户的行为和包数据的统计特殊性来判断是否进行了掩密通信,而不依赖于具体行为是否出现来检测,检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的隐匿方法,不像基于特征的检测那样受已知隐匿模式的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,尤其在用户数据众
6、多,或工作目的经常改变的环境中;其次,如果应用层数据如话音、图像混有环境噪声,将对这些数据的统计模型产生很大的影响,从而带来高的误检率和漏检率;再次,由于统计简表要不断更新,隐匿者如果知道某系统在检测的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经过一段时间的训练后也认为是正常的了。异常检测主要用到概率统计的方法,检测器根据网络用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征来判断是否是异常行为。用户特征表需要根据两个方面分析结果不断地加以更新,首先是分析新近出现信息隐匿工具的隐匿方式和隐匿数据的统计特征得出的结果,其次就是审计记录。 (
7、2)特征检测 特征检测指运用已知隐匿方法,根据已定义好的隐匿模式,通过判断这些隐匿模式是否出现来检测。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为分析管理人员做出相应措施提供了方便。其主要缺陷在于与具体系统依赖性太强,维护工作量大,而且将具体隐匿手段抽象成知识也很困难,并且检测范围受已知知识的局限。 2)针对网络实时传输的隐匿信息攻击 检测结果中给出各种可能的隐匿方式的描述,并且定义了相应级别,根据这些描述结果可以采取各种攻击手段,包括篡改隐匿位信息和阻断掩密通信。隐匿位信息篡改以不破坏载体通信为前提,篡改可能的隐匿有秘密信息的数据,按检测给出的等
8、级对数据鋕各层协议的数据进行修改。对于隐匿最高级别,诸如从长期统计数据得出的异常,攻击采取阻断通信链路方式。 4实时传输的信息隐匿检测攻击系统 实时传输的信息隐匿检测攻击系统体系结构包括 3 个部分:检测模块、判决模块和攻击模块。 检测模块部暑在网络各个节点,检测数据包中是否含有隐匿信息并将检测结果传送给判决模块。判决模块作为整个系统核心部分接受检测模块发送的结果,根据制定的安全策略向攻击模块发出攻击指令。攻击模块包括防火墙、路由器和各种网关设备,它根据攻击指令更改配置,以达到破坏秘密信息或者阻断掩密通信过程的目的。模块间的通信是以各模块间相互身份谁鉴别为基础。系统提供了通信层的应用程序接口(
9、API) ,系统中的 3 个模块都通过 API 进行通信。API 建立在公开密钥基础上,在通信之前通信双方进行身份认证和鉴别。 API 包括管理 API、客户端 API 和服务器端 API。管理 API 负责数据包的创建和解析。服务器端 API 使用多线程,拥有 FIFO 排队策略。 5结束语 综上所述,任何系统都必须在实际运用中完善和改进,实际网络环境的各种隐匿算法的分析有助于这里所提出系统特征库的完善,另外可以结合人工智能技术使攻击检测系统具有自学习能力,并且和其他网络信息安全产品结合设计出动态、智能的掩密通信检测与攻击系统。 参考文献: 1柏森等 通信信息隐匿技术M 国防工业出版社 2006.11 2尤新刚等 信息隐藏技术对图像空域数据特性的影响 全国的二届信息隐藏学术研讨会论文集 2000.06 3徐红云 匿名通信系统中重路由及分级匿名技术研究D 中南大学 2005
