[论文分享] SoK: A Survey Of Indirect Network-level Covert Channels

fa1c4

于 2022-05-29 01:45:00 发布

阅读量402

点赞数

分类专栏：数据安全文章标签：网络 covert channel

本文链接：https://blog.csdn.net/qq_33976344/article/details/124908069

版权

数据安全专栏收录该内容

24 篇文章 27 订阅

订阅专栏

SoK: A Survey Of Indirect Network-level Covert Channels [AsiaCCS 2022]

Tobias Schmidbauer FernUniversität in Hagen
Steffen Wendzel Hochschule Worms

概述

在过去几年中, 间接网络级隐蔽通道经历了一次复兴, 出现了新的想法和不断发展的概念. 随着网络技术的发展, 现在可以跨越逻辑网络隔离, 且发送和接收活动可以在发送和接收操作之间的时间间隔下执行. 所有的间接网络隐蔽通道(indirect network covert channels)可以按照相似的基本原理进行分类, 本文首次对间接网络隐蔽信道进行系统性的调研和分类, 引入了一种包含间接隐蔽通道模式的分类法, 该分类法允许对所有已知的间接网络级隐蔽通道进行差异化分析. 而且引入了额外的定义来统一对该领域的理解, 并进一步确定间接隐蔽通道的关键特征, 使它们具有可比性和可描述性. 还进一步讨论针对间接隐蔽通道的潜在和已经评估的对策. 最后还讨论了网络级间接隐蔽信道研究的观察到的趋势和未来发展趋势.

一句话: 间接网络隐蔽通道的综述

导论

网络级隐蔽信道(covert channel, CC)用于系统间的隐蔽数据交换, 分为直接隐蔽信道和间接隐蔽信道. 当利用中间节点存储、表示或重定向通信各方之间的隐蔽信息(covert information, CI)时, 则建立间接CC.
本文对1997 - 2021年的间接网络级CCs文献进行了分析和总结. 作者提出了一个分类法, 将间接CC分类为三个模式. 此外还介绍了通用术语(common terms)的定义和命名约定(naming conventions), 并首次确定间接CC模式的关键特性. 并总结现有的和潜在的评估方法.

CC是CS(covert sender)和CR(covert receiver)之间的通信信道, 以一种隐蔽或打破策略的方式(policy-breaking manner)交换CI. CCs基于可利用的载体, 即显性信道(overt channel, OC)或覆盖对象(covert objects). 因此, CC可以被视为嵌入合法通信的寄生信道.
除开网络隐蔽信道, 还有一类为本地系统定义的CCs(例如, 在一个运行环境的本地进程之间构建的CC), 本文提到的CCs都是指网络级的CCs.
在这里插入图片描述

直接CC: CS和CR直接使用(或修改后的)协议交换信息, 不需要建立中间节点, (尽管建立显性通道需要网络中间节点进行连通
间接CC: CI不直接在CS和CR之间交换, 而是由中间节点存储、表示或无意中重定向

历史上将CC分类为时间型隐蔽信道和存储型隐蔽信道两大类, 但现在引入嵌入模式和表示模式来分类CC
嵌入模式: 描述CI如何嵌入到载波中
表示模式: 描述CI如何被CR识别

协议列表

协议名称	协议功能
802.11	IEEE 802.11标准定义了如何在WiFi网络中通过数据链路层交换信息
ARP	ARP协议将网络设备的物理硬件地址映射为其逻辑IP地址
CoAP	约束应用协议(CoAP)是一种轻量级通信协议, 专为物联网(IoT)和工业物联网设备设计, 并使用类似于HTTP的url和方法来交换信息
DHCP	通过使用DHCP协议, 服务器可以为客户端分配特定的和一般的网络配置
DNS	域名系统(DNS)由几个池服务器组成, 它们将IP地址解析为域名(反之亦然), 并引用某个域的可用邮件服务器以及其他功能
HTTP	HTTP是一种无状态的网络协议, 它允许超文本文档的传输, 主要用于将web内容从web服务器传递到客户机应用程序(主要是web浏览器).
ICMP	ICMP协议用来传输Internet协议的信息和错误消息
IGMP	IGMP协议用于组织IP多播组
MQTT	消息队列遥测传输协议用于物联网设备之间的通信
NET	In [40] 描述了一个利用中间CPU缓存中幽灵敏感性的网络级CC
NTP	NTP协议提供了在系统之间同步配置时间的服务, 这是通过可以公开访问的所谓池服务器实现的
SSH	SSH协议提供了一个受保护的shell服务, 允许客户端连接到远程服务器
TCP	传输控制协议(TCP)定义了如何在两个系统之间交换信息, 它是一种可靠的、有序的、可检查错误的传输协议

定义和命名约定

因为现有的隐蔽通道很多, 没有一个统一的规范准确进行不同通道的描述, 而且CC之间常常有很大差别, 所以难以横向比较, 因此论文构建一个标准规范来统一隐蔽信道. 作者首先介绍间接CCs的分类, 并定义必要的术语, 确定间接CCs的关键特性, 并引入命名约定来精确地描述这些通道, 使得它们能够进行比较.

基本定义

Definition 1 Intermediate Node. 间接网络隐蔽信道的中间节点是反映、存储或表示CI的关键系统. 而且它不一定知道自己是隐蔽通道的一部分.
Definition 2 Redirector. 间接网络隐蔽通道的重定向器是一个中间节点, 它被一组被操纵的数据包强制无意地将CI重定向到另一个主机
在这里插入图片描述

Definition 3 Broker. 间接网络隐蔽通道的代理总是在CC中扮演被动角色, 从不将CI从CS重定向到CR. 中间人包括两种类型: CI-representing proxy & CI-storing dead drop
Definition 4 Proxy. 间接网络隐蔽信道的proxy是一种受CS影响的Broker, 它可以根据CS的意愿对来自CR的请求作出响应, CR提取后CI消失
在这里插入图片描述

Definition 5 Dead Drop. 间接网络隐蔽通道的Dead Drop是一个Broker, 它被CS强制以隐写的方式将CI存储在网络协议缓存中，以使CI能够被CS提取CR, 并且提取后CI依然留存在缓存中

在这里插入图片描述

特征抽象

除了间接CC外, 还有一些影响其性能的因素, 将这些因素提炼出来可以更准确的描述不同的CC.
包括:
Indirect Covert Channel Pattern (ICCP)

Redirector R.
Broker
- proxy B.P.
  - Load Intensity (N).
    - high h
    - normal n
- dead drop B.D.
  - CI Capacity (C)
  - CI Lifetime (L)
    - volatile (v): < 1 min storage period;
    - temporary (t): < 1 h storage period;
    - persistent (p): ≥ 1 h storage period.
  - Fading (F)
    - timed (t)
    - logic (l)
    - hybrid (h)

Protocol Violation (V).

conclusive c
violated v

Authentication (A).

authenticated a
unauthenticated u
optional o

Remote Reachability (R).

local l
remote r

Bitrate (B).
n bits / n bytes

Protocol (P).
various network protocols

Information Hiding Pattern (H).

信息隐藏模式	方法描述
ET1.1/RT1.1 Rate/Throughput Modulation	通过调制事件/元素的速率来嵌入一个秘密消息
ET2/RT2 Event Occurrence	秘密信息通过事件的时序位置进行编码
EN2/RT2 Elements/Features Positioning	秘密数据通过元素/特征在相同序列中的位置进行编码(例如, 包的大小或报头字段)
EN3/RT3 Elements/Features Enumeration	元素或特征的出现总数被改变以编码一个秘密消息
EN4.1/RN4.1 Reserved/Unused (State/)Value Modulation	该模式通过调制保留或未使用的状态/值来嵌入秘密消息
EN4.2/RN4.2 Random State/Value Modulation	修改后的报头值不是保留的或未使用的, 而是一个随机字段, 如TCP初始序列号 (ISN), 主要允许嵌入看似伪随机的秘密消息

命名约定

采用形式化命名, 三个部分:
(1) protocols P.{V, A, R, C, H}
(2) dead drop cache {F,L,C,H}
(3) proxy behavior {N,H}

比如
Redirector: R.{P[𝑉, A, R, B, H]}
Proxy: B.P.{N, H}.P1{V, A, R, B, H}.P2{V, A, R, B, H}
One dead drop pattern indirect CC: B.D.{F, L, C, H}.P1{V, A, R, B, H}.P2{V, A, R, B, H}

基于模式的分类

Redirector CC

在这里插入图片描述

Proxy CC

在这里插入图片描述

Dead drop CC

在这里插入图片描述

评估

间接CCs通常由CS、中间节点、CR以及它们之间的连接组成
在这里插入图片描述

审查者可以存在于 $W_1$ 到 $W_5$ 的位置上, 对于每个间接CC模式, 都有专门适用的检测对策
比如对于Redirector pattern的TCP.1协议和IGMP.1协议:
IGMP.1的应用是合规的, 因为它模拟了协议的正常行为, 而TCP.1向从未发送相关SYN的主机发送ACK，每个位置的审查者都有机会检测到这种违规.
例如, $W_1$ 和 $W_2$ 将只观察到SYN包, 而不会观察到ACK. $W_3$ 可以检测到发送到另一个主机的确认违反协议的行为. $W_4$ 和 $W_5$ 可能在没有SYN的情况下检测到ACK, 这是不应该发生的.

在这里插入图片描述

论文采用具体模式具体协议具体分析的方式, 对各个模式和特定协议的检测策略进行描述, 没有形成统一的方法论, 涉及到协议实现细节, 内容比较繁琐, 此处不赘述.

总结

Future road

a) 未来IPv6和物联网的部署越来越多, 将成为间接隐蔽信道的热门研究领域
b) 像VoIP和蓝牙协议的间接隐蔽信道还未被研究, 可以作为未来工作方向之一
c) 目前云服务的隐蔽信道的研究刚起步, 可以做的工作也有很多

Insights

(1) 侧信道(side channel)和隐信道(covert channel)的关系: 相关工作中将侧信道定义为泄露的隐蔽信道, 但是该信道没有传输信息的目的
(2) 与系统安全的关系: 隐蔽信道结合恶意代码和漏洞利用
(3) 与云计算的关系: 利用云上CPU的缓存构建间接隐蔽信道[5]
(4) 提炼对象的特征, 将繁杂的特例统一为形式化语言描述, 进行系统总结和对比
(5) 论文统一了间接隐蔽通道的关键特征, 几乎所有隐蔽通道都可以用这套形式化方法来解构及表达(包括直接隐蔽通道在内, 直接CC可以看做是特殊的间接CC), 以后的研究工作可以借鉴过来在抽象层面帮助理解或者构建隐蔽通道
(6) 利用间接隐蔽通道或许有机会构建隐藏通信双方的匿名信道
(7) 论文总结的间接CC都是在协议层面或者通信层面做信息隐藏, 似乎没有做多媒体数据层面的信息隐藏工作, 所以多媒体数据间接隐蔽信道是一个创新方向

Related Works

[5] L. Baumann, E. Heftrigs, H. Shulman, and M. Waidner. 2021. The Master and Parasite Attack. In 2021 51st Annual IEEE/IFIP Int. Conf. on Dependable Systems and Networks (DSN). 141–148. https://doi.org/10.1109/DSN48987.2021.00029
[24] M. Lipp, M. Schwarz, L. Raab, L. Lamster, M. T. Aga, C. Maurice, and D. Gruss. 2020. Nethammer: Inducing Rowhammer Faults through Network Requests. In 2020 IEEE Eu. Symp. on Sec. and Priv. Workshops (EuroS PW). 710–719. https://doi.org/10.1109/EuroSPW51379.2020.00102
[28] W. Mazurczyk. 2013. VoIP steganography and its detection—a survey. ACM Computing Surveys (CSUR) 46, 2 (2013), 1–21.
[40] M. Schwarz, M. Schwarzl, M. Lipp, J. Masters, and D. Gruss. 2019. NetSpectre: Read Arbitrary Memory over Network. In Computer Security - ESORICS 2019 - 24th European Symposium on Research in Computer Security, Luxembourg, September 23-27, 2019, Proceedings, Part I (Lecture Notes in Computer Science, Vol. 11735). Springer, 279–299. https://doi.org/10.1007/978-3-030-29959-0_14
[48] K.S. Yim. 2016. The Rowhammer Attack Injection Methodology. In 2016 IEEE 35th Symp. on Rel. Dist. Systems (SRDS). 1–10. https://doi.org/10.1109/SRDS.2016.012