Безопасность информационных технологий

Целью данной статьи является анализ существующих методов обнаружения сетевых скрытых каналов по времени. Для противодействия сетевым скрытым каналам по памяти зачастую применяют превентивные меры, такие как шифрование трафика и нормализация длин передаваемых пакетов. В случае скрытых каналов по времени более предпочтительны методы, не влияющие на функционирование легитимных каналов связи, так как превентивные меры приводят к более ощутимым последствиям для работы всей системы в целом. Одной из не превентивных мер является обнаружение. Задача обнаружения функционирующих скрытых каналов в защищаемой системе сводится либо к задаче поиска закономерностей в потоке трафика, либо к задаче сравнения тестируемой выборки с «эталонной». «Эталонная» выборка — это выборка с гарантированным отсутствием функционирующего скрытого канала. В статье рассматривается вопрос места алгоритмов машинного обучения в контексте задачи обнаружения сетевых скрытых каналов. Выделяются три случая работы методов обнаружения сетевых скрытых каналов по времени, основанных на алгоритмах машинного обучения, в зависимости от знаний о защищаемой системе. Приводится общая схема работы таких методов для трех случаев. Результатом анализа существующих методов является вывод о необходимости их усовершенствования для наиболее реалистичного случая – отсутствия как «эталонного» трафика, так и трафика с гарантированным присутствием скрытого канала. Описанная проблематика показывает перспективное направление в области исследований методов противодействия утечке информации по сетевым скрытым каналам.

1. Lampson B.W. A note on the confinement problem //Communications of the ACM. 1973. Vol. 16, no. 10.
P. 613–615.

2. Millen J.K. Security kernel validation in practice //Communications of the ACM. 1976. Vol. 19. no. 5.
С. 243–250.

3. Zander, Sebastian & Armitage, Grenville & Branch, Philip. (2007). Covert channels in the IP time to live field.
URL: https://www.researchgate.net/publication/228875924_Covert_channels_in_the_IP_time_to_live_field (дата обращения: 01.02.2021).

4. M. Hussain and M. Hussain. A high bandwidth covert channel in network protocol. International Conference on Information and Communication Technologies, Karachi, Pakistan, 2011. P. 1–6.
DOI: https://doi.org/10.1109/ICICT.2011.5983562.

5. L. Ji, H. Liang, Y. Song and X. Niu, A Normal-Traffic Network Covert Channel, 2009 International Conference on Computational Intelligence and Security, Beijing, China, 2009. P. 499–503.
DOI: https://doi.org/10.1109/CIS.2009.156.

6. Berk V., Giani A., Cybenko G. Detection of covert channel encoding in network packet delays (2005).
URL: https://www.semanticscholar.org/paper/Detection-of-Covert-Channel-Encoding-in-Network-Berk-Giani/58a022c5ff528efa142c1452952c6043d916ffab (дата обращения: 01.02.2021).

7. S.H. Sellke, C. Wang, S. Bagchi and N. Shroff, TCP/IP Timing Channels: Theory to Implementation, IEEE INFOCOM 2009, Rio de Janeiro, Brazil, 2009. P. 2204–2212.
DOI: https://doi.org/10.1109/INFCOM.2009.5062145.

8. S. Zander, G. Armitage and P. Branch. A survey of covert channels and countermeasures in computer network protocols, in IEEE Communications Surveys & Tutorials. Vol. 9, no. 3. P. 44–57, Third Quarter 2007.
DOI: https://doi.org/10.1109/COMST.2007.4317620.

9. Грушо А.А. Скрытые каналы и безопасность в компьютерных системах. Дискретная математика. 1998. Т. 10, вып. 1. С. 3–9. DOI: https://doi.org/10.4213/dm411.

10. Epishkina A., Kogos K. A random traffic padding to limit packet size covert channels //2015 Federated Conference on Computer Science and Information Systems (FedCSIS). IEEE, 2015. P. 1107–1111.
DOI: http://dx.doi.org/10.15439/2015F88.

11. Serdar Cabuk, Carla E. Brodley, and Clay Shields. 2004. IP covert timing channels: design and detection. In Proceedings of the 11th ACM conference on Computer and communications security (CCS '04). Association for Computing Machinery, New York, NY, USA. Р. 178–187. DOI: https://doi.org/10.1145/1030083.1030108.

12. Walls R. J., Kothari K., Wright M. Liquid: A detection-resistant covert timing channel based on IPD shaping // Computer networks. 2011. Vol. 55. Issue 6. P. 1217–1228.

13. Steven Gianvecchio and Haining Wang. 2007. Detecting covert timing channels: an entropy-based approach. In Proceedings of the 14th ACM conference on Computer and communications security (CCS '07). Association for Computing Machinery, New York, NY, USA. Р. 307–316. DOI: https://doi.org/10.1145/1315245.1315284.

14. O. Darwish, A. Al-Fuqaha, M. Anan and N. Nasser. The role of hierarchical entropy analysis in the detection and time-scale determination of covert timing channels. International Wireless Communications and Mobile Computing Conference (IWCMC), Dubrovnik, Croatia, 2015. P. 153–159.
DOI: https://doi.org/10.1109/IWCMC.2015.7289074.

15. Никулин М.С. Критерий хи-квадрат для непрерывных распределений с параметрами сдвига и масштаба, Теория вероятн. и ее примен., 18:3 (1973), C. 583–591. DOI: https://doi.org/10.1137/1118069.

16. C. Zhiyong, S. Ying and S. Changxiang. Detection of Insertional Covert Channels Using Chi-square Test. International Conference on Multimedia Information Networking and Security, Wuhan, China, 2009.
P. 432–435. DOI: https://doi.org/10.1109/MINES.2009.296.

17. F. Rezaei, M. Hempel, P.L. Shrestha, S.M. Rakshit and H. Sharif. Detecting covert timing channels using non-parametric statistical approaches. International Wireless Communications and Mobile Computing Conference (IWCMC), Dubrovnik, Croatia, 2015. P. 102–107. DOI: https://doi.org/10.1109/IWCMC.2015.7289065.

18. F. Rezaei, M. Hempel and H. Sharif. Towards a Reliable Detection of Covert Timing Channels over Real-Time Network Traffic, in IEEE Transactions on Dependable and Secure Computing. Vol. 14, no. 3. P. 249–264,
1 May-June 2017. DOI: https://doi.org/10.1109/TDSC.2017.2656078.

19. F. Rezaei, M. Hempel, P. L. Shrestha, S. M. Rakshit and H. Sharif. A novel Covert Timing Channel detection approach for online network traffic, 2015 IEEE Conference on Communications and Network Security (CNS), Florence, Italy, 2015. P. 737–738. DOI: https://doi.org/10.1109/CNS.2015.7346911.

20. Archibald R., Ghosal D. A comparative analysis of detection metrics for covert timing channels //Computers & security. 2014. Vol. 45. P. 284–292.

21. Рашка С. Python и машинное обучение / С. Рашка, перевод с англ. А.В. Логунова // М.: ДМК Пресс. 2017. – 418 c.

22. P.L. Shrestha, M. Hempel, F. Rezaei and H. Sharif. A Support Vector Machine-Based Framework for Detection of Covert Timing Channels, in IEEE Transactions on Dependable and Secure Computing. Vol. 13, no. 2. P. 274–283, 1 March-April 2016. DOI: https://doi.org/10.1109/TDSC.2015.2423680.

23. P.L. Shrestha, M. Hempel, F. Rezaei and H. Sharif. Leveraging Statistical Feature Points for Generalized Detection of Covert Timing Channels. IEEE Military Communications Conference, Baltimore, MD, USA, 2014. P. 7–11. DOI: https://doi.org/10.1109/MILCOM.2014.10.

24. İ.G. Çavuşo˘glu, H. Alemdar and E. Onur. Covert Channel Detection Using Machine Learning. 28th Signal Processing and Communications Applications Conference (SIU), Gaziantep, Turkey, 2020. P. 1–4.
DOI: https://doi.org/10.1109/SIU49456.2020.9302098.

25. M. Chourib. Detecting Selected Network Covert Channels Using Machine Learning. International Conference on High Performance Computing & Simulation (HPCS), Dublin, Ireland, 2019. P. 582–588.
DOI: https://doi.org/10.1109/HPCS48598.2019.9188115.

26. Y. Sun, L. Zhang and C. Zhao. A Study of Network Covert Channel Detection Based on Deep Learning.
2nd IEEE Advanced Information Management,Communicates,Electronic and Automation Control Conference (IMCEC), Xi'an, China, 2018. P. 637–641. DOI: https://doi.org/10.1109/IMCEC.2018.8469669.