HTTP协议上几种新的应用层隐蔽通道

该文为关于计算机工程毕业论文题目范文,与HTTP协议上几种新的应用层隐蔽通道相关毕业论文的格式，可作为论文格式专业计算机工程论文写作研究的大学硕士与本科毕业论文开题报告范文和职称论文参考文献资料。免费下载教你怎么写计算机工程及报文及计算机信息方面的优秀学术论文范文。

摘 要：网络隐蔽通道是利用网络协议中的保留、可选或未定义等字段在网络不同的主机之间建立隐蔽通信的信道.针对利用低层协议构建隐蔽通道的不足,研究了应用层中的隐蔽通道,经过试验发现了HTTP协议中的语义冗余,提出了利用这些冗余在HTTP协议上构建隐蔽通道的新方法.实验结果表明,这些方法有效地提高了信道通信过程中的隐蔽性和抗屏蔽性,为隐蔽通信躲避隐写分析提供了新的方法.

关 键 词 ：网络协议；隐蔽通道；HTTP协议

中图分类号：TP393.08

隐蔽通道是一种以违背系统安全策略的方式传输信息的通信信道,人们研究隐蔽通道已接近三十年,在这期间,提出了多种以网络协议数据包为载体的网络隐蔽通道.这些网络隐蔽通道可分为存储通道、时间通道、流量通道和计数通道,其中存储通道因有着较实用的应用背景而被众多研究团队关注.总体而言,利用应用层协议构造的隐蔽通道综合性能不高,部分通道透明性弱,且由于使用预留、填充、可选字段,容易受主动攻击破坏,隐蔽通道有向上层协议发展的趋势.现有的防火墙和路由器一般不检查应用层协议,这使得应用层隐蔽通道更容易实施.TCP/IP协议族中的应用层协议十分丰富,而且每个应用层协议都具有复杂的通信和控制机制,十分适合隐藏信息.

HTTP协议是Inter网络中应用最广泛的应用层协议之一,其产生的流量仅次于P2P位列第二.同时,该协议具有复杂的包头,是穿透防火墙等网络访问控制系统（NACS）的理想协议.因此,在HTTP协议中进行信息隐藏的研究对军事隐蔽通信和信息网络安全有着重要的现实意义.

1.HTTP概述

HTTP即超文本传输协议（Hypertext Traner Protocol）,它是一个面向事务的客户服务器协议,是万维网上能够可靠地交换文件（包括文本、声音、图像等各种多媒体文件）的重要基础.HTTP是一个无状态的协议,使用TCP作为底层运输协议.HTTP客户机发起一个与服务器的TCP连接,一旦连接建立,浏览器和服务器进程就可以通过套接字访问TCP.HTTP的报文有两种,请求报文和响应报文.HTTP请求报文的一般格式如图1所示.

图1 HTTP请求报文的一般格式

HTTP协议仍在不断发展,现在的较新版本是1999年在RFC2616中公布的HTTP/1.1,它已经成为因特网草案标准.有关HTTP的其他技术细节可参阅有关文献,在此不再赘述.

2.隐蔽通道的实现

2.1 实现原理

HTTP是一种应用层协议,由于面向用户,协议的制订者基于友好性的考虑,为HTTP设计了自容错、强纠错的特性.协议由两部分程序实现：一个客户机程序和一个服务器程序,它们运行在不同的端系统中,通过交换HTTP报文进行会话.因为客户机程序和服务器程序的千差万别,程序开发者在实现HTTP时各有不同,同一功能的HTTP报文,表述形式可能差别很大,这种协议语义冗余正是信息隐藏所需要的.

下面考察Microsoft Windows 2000 SP4下Inter Explorer 5.0的GET请求头数据,下文的所有隐蔽通道将全部以此为例.以自编嗅探器截获到TCP三次握手成功后报文中的数据段如图2所示：

图2 TCP连接成功后的数据段截图

经过进一步试验,发现包括上述首部行在内的所有首部行（不同操作系统下Opera、Firefox、Netscape等浏览器的多个版本会产生不同的首部行）中,存在如标识符号不敏感、大小写无关等诸多冗余,这为隐蔽通道的实现创造了条件.

2.2 实现方法

2.2.1 对象排序隐藏

排序隐藏最早由Kamran Ahsan提出,它是在IPSec中的认证头（AH）和安全封装负载（ESP）中通过将带有不同序列号的分组进行排序来编码隐藏信息,这种隐蔽通道实际上是通过排序对某些原子对象进行映射实现密写编码.该方法的优点是只通过原有的多个参数的不同排序来隐藏信息,不会插入额外的字符,在不能改变比特流值的时候非常有用,也可以达到避免怀疑的目的.在HTTP报头中,每一个首部行本身就是原子对象,都可以进行排序隐藏.

HTTP首部行的二进制排序通道原理如图3所示：

图3 HTTP报头首部行的二进制排序通道

2.2.2 空白隐写术

所谓空白隐写术就是在文本文件一行的末尾附上space和tab等不可显示字符,由于space和tab出现在行尾时是不可见的,这就使得信息可以隐藏在文本文件中,并且不会影响整个文本的显示.有研究利用它们和其他不可见字符构成自定义编码字符集,在HTML页面中实现了信息隐藏.

下面以示例请求报文为例说明隐写过程,为方便显示,以[SP]表示space,[HT]表示tab（horizontal tab）,[CRLF]表示回车换行,结构如图4所示：

图4 HTTP协议报头结构图

上例中的请求行“GET/HTTP/1.1”未隐藏信息,将[SP]编为“0”、[HT]编为“1”,则该请求报文隐匿传送了“HELLO!”.

2.2.3 大小写混排编码

HTTP报文由普通ASCII文本书写,因此它只能表示英文字母、数字和简单标点符号,请求报文的请求行严格区分英文字母的大小写,但首部行对大小写的变化却不敏感.这种大小写无关意味着HTTP报文提供了近12.5%的空间隐藏秘密信息.举例如图5所示：

图5 HTTP报文首部经特殊处理后的截图

改进方法是将原始报文全部置为小写,然后改动报文英文单词的首字母大小写方式,首字母小写编为“0”、首字母大写编为“1”.这样的编码就不至于引人注目了,代价是大大减小了隐写效率. 2.2.4 非默认首部字段值

2.1节提到的HTTP请求报文仅用一句“GET/HTTP/1.1”就可替代,原因在于特定浏览器发送请求报文的报头域参数都有默认值,如果报文中没有此报头域,服务器端就会认为浏览器使用相应的默认选项.比如Microsoft Windows 2000下Inter Explorer 5.0的GET请求头数据中,Accept的默认值是“*/*”,而实际上该值还可以为“image/gif,text/,application/vnd.ms-excel”等.举例如图6所示：

图6 经过特殊处理的HTTP请求报文

因此,如将使用默认值编为“0”、使用其他值编为“1”,则该请求报文隐匿传送了比特串“110001”,该方法具有强鲁棒性,不容易遭受蓄意攻击,但隐写效率较差.

2.2.5 微调URI特殊符号

URI即同一资源标识符（Uniform Resource Identifiers）,它用于唯一地标识元素或属性的数字或名称,常用的URL就是一种特殊的URI.HTTP程序在实现时屏蔽了用户之间可能造成的差异,包括用户的错误输入、简化输入等.

HTTP报头中还有几种标点符号――括号、冒号、逗号、分号和等于号,它们本身不具有冗余性,但它们对周围的空格变化不敏感.前四种在每一个首部行都中有使用,等于号在短时间内再次发送同样资源请求的HTTP报头中存在.举例如图7所示：

图7 经过特殊处理的HTTP请求报文

标点符号左右以不出现空格编为“0”,出现空格编为“1”,每个符号可携带2比特信息,上例隐匿传送了比特串“100101100111100101”,该方法具有很强隐蔽性,报文即使被攻击者截获也很难发现存在隐蔽通信.

3.实验验证

以自编CovertHTTP_Sender模拟浏览器发送伪装报文,用自编IPMonitor在接收端模拟Web服务器,以大小写混排编码为例的实验效果如图8、图9、图10所示：

需要说明的是,为了增加隐蔽通道的容量,经过反复实验人为构造了原始HTTP请求报文.该报文符合所有HTTP的语法规则,但不同于普通浏览器所发送的报文,其中包含487个英文字母,故最多可隐藏60个ASCII字符,30个汉字.

4.结束语

网络数据流中利用隐蔽通道来进行非法通信已逐渐成为网络信息安全的重要威胁,本文针对利用低层协议构建隐蔽通道的不足,提出了使用应用层协议构建隐蔽通道的方法,通过冗余性研究在HTTP协议上发现了5种新的隐蔽通道.这些通道都可被用来进行隐蔽通信,它们存在的原因在于HTTP过多考虑面向用户的友好性,屏蔽了报文中的许多差异,这种冗余极大地方便了信息隐藏.

试验中发现HTTP请求报文在只剩“GET/HTTP/1.1”的情况下仍可从服务器正常返回网页,服务器采取何种机制识别浏览器的指纹目前还不得而知.另外,上文发现新的隐蔽通道都是“原始”的,对秘密信息没有经过隐写伪装、纠错编码、变形加密等流程,研究改进通道的透明性、抵抗基于统计方法及机器学习方法的隐写分析也是下一步的工作.