郭曉軍　王亮　段發(fā)華

摘要：Web流量信息隱藏機(jī)制已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域關(guān)注焦點(diǎn)之一。針對當(dāng)前眾多繁雜的Web流量信息隱藏機(jī)制研究工作，該文以TCP/IP層次模型為基礎(chǔ)，分別從應(yīng)用層、傳輸層和網(wǎng)際互聯(lián)層對現(xiàn)有Web流量信息隱藏技術(shù)進(jìn)行了分類總結(jié)，指出現(xiàn)有研究成果存在的不足，為今后此領(lǐng)域相關(guān)研究提供一定的參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全；Web流量信息隱藏；隱蔽通信；TCP/IP模型

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）35-0012-02

Abstract： Web traffic information hiding scheme has become one focus of network security field. For current multifarious research works of Web traffic information hiding， in term of TCP/IP network model this paper classifies and summarizes present Web traffic information hiding technologies of application layer， transport layer and Internet layer respectively， points out the existing deficiencies of present research and provides definite reference for future related research in this field.

Key words： network security； Web traffic information hiding ； covert communication ； TCP/IP model

1 引言

隨著Internet的蓬勃發(fā)展，Web站點(diǎn)給人們帶來巨大便利的同時(shí)，所造成的網(wǎng)絡(luò)信息安全問題日益嚴(yán)重，尤其以信息隱藏為核心的網(wǎng)絡(luò)安全事件頻頻發(fā)生[1]。一方面，黑客等利用該技術(shù)秘密竊取儲(chǔ)存于Web站點(diǎn)的網(wǎng)購資料、銀行賬號(hào)等個(gè)人私密信息，造成嚴(yán)重的個(gè)人信息泄露；另一方面，一些非法勢力雇傭技術(shù)人員專門針對如政府在線辦公系統(tǒng)、公務(wù)員招考系統(tǒng)等重要Web服務(wù)系統(tǒng)的信息進(jìn)行收集與竊取，并利用這些信息制造惡劣事端，給個(gè)人工作和生活帶來損失和危害，也對國家和政府信息安全構(gòu)成嚴(yán)重威脅，已然成為構(gòu)建和諧社會(huì)所面臨的重大問題之一。

Web站點(diǎn)信息隱藏技術(shù)是指以文字、圖像、音頻、視頻、網(wǎng)絡(luò)協(xié)議字段、數(shù)據(jù)包間隔時(shí)間等為載體，在其中嵌入一些秘密信息，使第三方在主觀上難以察覺秘密信息的存在[2]。目前針對Web站點(diǎn)信息隱藏技術(shù)，國內(nèi)外學(xué)者已做了許多研究工作，如基于文本ASCII值、基于圖像小波系數(shù)、基于HTML標(biāo)記屬性、基于IP頭部字段等。由于Web服務(wù)器經(jīng)過網(wǎng)絡(luò)向客戶端傳輸信息過程包含網(wǎng)絡(luò)體系結(jié)的多個(gè)層次，因此本文按照Internet實(shí)際使用的標(biāo)準(zhǔn)網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP層次模型來分類現(xiàn)有Web站點(diǎn)信息隱藏方法。

2 典型Web站點(diǎn)信息隱藏技術(shù)

TCP/IP網(wǎng)絡(luò)體系結(jié)是一種層次模型，包含應(yīng)用層、傳輸層、網(wǎng)際互聯(lián)層和網(wǎng)絡(luò)接口層。而Web站點(diǎn)信息隱藏主要涉及應(yīng)用層、傳輸層和網(wǎng)際互聯(lián)層，因此本文將按照此三層由高到低的順序依次總結(jié)各層所中已有的信息隱藏方法，如圖1所示。

2.1 應(yīng)用層隱藏技術(shù)

Web站點(diǎn)在應(yīng)用層主要使用HTTP協(xié)議進(jìn)行傳輸信息，因此應(yīng)用層主要是HTTP協(xié)議載荷，其主要傳輸?shù)膬?nèi)容包含HTML代碼、圖片、圖像、音頻、視頻等組成Web頁面的元素信息。應(yīng)用層信息隱藏技術(shù)主要是以這些元素信息為載體，進(jìn)行密碼消息的隱藏、發(fā)送及接收。

Monika提出了一種基于詞表的信息英文文本隱藏方法，其核心思想是將信息隱藏于Web文本的ASCII值中，并利用哈希值對秘密信息進(jìn)行校驗(yàn)。Esra等人基于LZW（Lempel-Ziv-Welch）數(shù)據(jù)壓縮算法，并結(jié)合隱秘密鑰和組合編碼將秘密信息隱藏與所選擇的Web頁面英文文本中，實(shí)驗(yàn)結(jié)果顯示該方法對包含900個(gè)字符的文本中可隱藏多達(dá)534 bits信息。曹衛(wèi)兵等人針對在中文文本載體，提出了標(biāo)點(diǎn)符號(hào)和字體格式兩種實(shí)用的信息隱藏方法，使得隱藏前后載體信息面貌基本保持不變，保證了隱藏信息的秘密性。張洪禮等人提出一種基于詞平臺(tái)漢字編碼的文本信息隱藏算法，運(yùn)用標(biāo)志位和編碼變換規(guī)則實(shí)現(xiàn)密文信息的嵌入，在算法的信息隱藏量和魯棒性上有較大提高。

在將Web頁面圖像、音頻及視頻作為隱藏信息載體方面，Anastasia等人提出一種將高載荷法與圖像邊界檢測器相結(jié)合的信息隱藏方法，該方法能在圖像尖銳區(qū)域隱藏高達(dá)30987 bits的信息。W.H. Lin 等人對載體圖像分解后的小波系數(shù)進(jìn)行了不重疊地分塊，每一塊區(qū)域中兩個(gè)最大小波系數(shù)的差值通過與平均差值的比較進(jìn)行修改，從而實(shí)現(xiàn)信息隱藏的目的。付磊等人利用二值圖像中相鄰像素的連通性和光滑性特點(diǎn)，通過修改像素選擇標(biāo)準(zhǔn)，構(gòu)造出一條用于秘密信息隱藏的載體序列，并可為不同長度的秘密信息分配相應(yīng)的載體序列，在保證圖像不是真的情況下該算法具有良好的適應(yīng)性。近年來研究表明，由于當(dāng)前音視頻多采用壓縮算法，且文件尺寸較大，其信息隱藏容量遠(yuǎn)大于文本進(jìn)和圖像，針對音視頻的信息隱藏方法和手段也是層出不窮，音視頻已經(jīng)成為較好的信息隱藏載體選擇對象。此外，研究人員還發(fā)現(xiàn)可利用HTML語法特性，通過改變標(biāo)記大小寫、改變標(biāo)記屬性值得單/雙、重復(fù)或添加無用標(biāo)記、改變標(biāo)記屬性順序等方式在編制Web頁面的HTML代碼中隱藏信息。

上述研究結(jié)果表明，現(xiàn)有的應(yīng)用層信息隱藏方法可在HTTP載荷包含的文本、圖像、音頻、視頻、HTML代碼等元素中隱藏大量信息的能力。同時(shí)也應(yīng)看到，對于現(xiàn)有應(yīng)用層隱藏信息還缺乏綜合而有效檢測與識(shí)別的方法，也缺乏Web頁面信息泄露狀況的評(píng)價(jià)模型等，這些都是亟待深入研究與解決的問題。

2.2 傳輸層隱藏技術(shù)

傳輸層隱藏技術(shù)主要是指利用TCP或UDP報(bào)文字段（如TCP序號(hào)、UDP檢驗(yàn)和、選項(xiàng)字段等）進(jìn)行隱藏秘密消息，該技術(shù)又被稱為網(wǎng)絡(luò)存儲(chǔ)隱蔽信道。

Murdoch等在預(yù)設(shè)密鑰key的控制下，通過模擬操作系統(tǒng)中產(chǎn)生TCP ISN （Initial Sequence Number）值的過程，將秘密信息嵌入到正常數(shù)據(jù)包的此兩個(gè)字段中，減少了秘密信息被檢測的可能性。Gimbi等人提出了一種基于TCP/UDP協(xié)議端口號(hào)字段的隱秘通道，將要發(fā)送的秘密信息隱藏于端口號(hào)的二進(jìn)制編碼里，具有較強(qiáng)的隱蔽性。

2.3 網(wǎng)際互聯(lián)層隱藏技術(shù)

該層的隱藏技術(shù)主要是指借用IP報(bào)文中不常用的字段（如TOS 字段、DF 和URG 位擴(kuò)展和填充、IP 標(biāo)識(shí)和碎片偏移位等）和IP數(shù)據(jù)包的時(shí)間特征（發(fā)送/到達(dá)時(shí)刻、間隔時(shí)間等）進(jìn)行隱藏和傳送秘密消息。

Ahsan等指出IP頭部中存在冗余位，并給出了利用IP頭部中指示數(shù)據(jù)包分片的三個(gè)標(biāo)志位和Identification字段作為隱秘信道，該方法可使單個(gè)正常數(shù)據(jù)包傳輸多達(dá)17 bit的秘密信息。張連成等[19]以自然通信狀態(tài)下不可避免出現(xiàn)包亂序現(xiàn)象為出發(fā)點(diǎn)，借用數(shù)據(jù)包亂序特征和格雷碼來表示秘密信息。在利用IP數(shù)據(jù)包的時(shí)間特征隱藏信息方面，Cabuk等人提出了一種IP包的隱蔽時(shí)間信道IPCTC（IP Covert Timing Channel），用固定時(shí)間段內(nèi)有沒有數(shù)據(jù)包的發(fā)送表示0和1，編碼簡單，通信過程缺少同步機(jī)制和抗干擾編碼，信道的可靠性和隱蔽性低。文獻(xiàn)設(shè)計(jì)了n-m編碼策略，按照獨(dú)立同分布的原則隨機(jī)產(chǎn)生包間時(shí)延，模擬正常網(wǎng)絡(luò)流量，在一定程度上提高了隱蔽信道的隱蔽性和抗干擾性。但該文是基于網(wǎng)絡(luò)信道噪聲在一定范圍內(nèi)發(fā)生變化，不會(huì)出現(xiàn)過大噪聲干擾的強(qiáng)假設(shè)。Pan等人將秘密信息的每一個(gè)bit利用DSSS（direct sequence spread spectrum）機(jī)制擴(kuò)展為多個(gè)bit，并根據(jù)該bit的值延遲或增加數(shù)據(jù)包之間的時(shí)間間隔，從而達(dá)到嵌入隱秘信息的目的，增強(qiáng)了抵抗網(wǎng)絡(luò)延遲和抖動(dòng)的能力。文獻(xiàn)分別設(shè)計(jì)實(shí)現(xiàn)了基于HTTP協(xié)議的網(wǎng)絡(luò)隱蔽時(shí)間信道同步機(jī)制和通信協(xié)議，其魯棒性和容量都優(yōu)于傳統(tǒng)隱蔽信道，提高了強(qiáng)噪聲環(huán)境中隱蔽信道的可靠性。

從上述情況來看，目前以網(wǎng)絡(luò)內(nèi)數(shù)據(jù)包某些字段值或改變數(shù)據(jù)包的傳輸時(shí)間特性作為隱蔽信道來傳輸秘密信息已經(jīng)具有很強(qiáng)的可操作性和實(shí)用性，若此種方式用于信息泄露，其后果不容忽視。但目前常用的安全系統(tǒng)如防火墻、入侵檢測系統(tǒng)、殺毒軟件等還缺乏檢測和評(píng)價(jià)信息泄露情況的功能；缺乏實(shí)時(shí)有效的檢測方法，以及實(shí)用的反制網(wǎng)絡(luò)隱蔽信道的措施。因此研究適合網(wǎng)絡(luò)層信息隱藏技術(shù)的識(shí)別和評(píng)估算法也是重要的研究方向之一。

3結(jié)論

本文綜述了與當(dāng)前Web站點(diǎn)流量信息隱藏機(jī)制相關(guān)的研究方法，并以TCP/IP層次模型為依據(jù)對已有研究方法進(jìn)行了分類?？梢钥闯觯F(xiàn)有Web隱藏技術(shù)的研究已在各層取得了較為豐碩的成果，但在檢測方法和評(píng)估模型方面比較薄弱，是今后信息隱藏技術(shù)研究的重要方向。

參考文獻(xiàn)：

[1]回顧2012年重大網(wǎng)絡(luò)安全事件--信息泄密[EB/OL]. [2012-12-28]. http：//netsecurity.51cto.com/art/201212/375255.htm.

[2]P.Moulin，J.A.OSullivan. Information-Theoretic Analysis of information hiding[J].IEEE Transaction on Information Theory，2003，49（3）：563-593.