王婧雨 王開西

摘要：針對TCP傳輸控制協(xié)議的網(wǎng)絡(luò)隱寫方法存在著受限于網(wǎng)絡(luò)環(huán)境、隱藏容量低等問題，提出了基于滑動窗口中包排序的網(wǎng)絡(luò)隱寫方法。利用TCP協(xié)議中發(fā)送方可根據(jù)網(wǎng)絡(luò)環(huán)境構(gòu)造滑動窗口大小和TCP可靠傳輸?shù)奶攸c，通過滑動窗口數(shù)值的奇偶性和滑動窗口中包的順序隱藏秘密消息。與其他方法相比，在不增加其他資源開銷的情況下，發(fā)送方在發(fā)送秘密消息時利用的數(shù)據(jù)流量更符合當前網(wǎng)絡(luò)環(huán)境狀況，且當滑動窗口中數(shù)據(jù)包超過4個時隱藏容量大于1bit/包。

關(guān)鍵詞：TCP協(xié)議;滑動窗口;包排序;隱藏容量

中圖分類號：TP309.7

文獻標志碼：A

收稿日期：2020-10-09

基金項目：

國家自然科學(xué)基金（批準號：U1536113）資助。

通信作者：

王開西，男，博士，副教授，主要研究方向為信息隱藏等。E-mail： kxwang@qdu.edu.cn

目前，互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展促進了各類網(wǎng)絡(luò)傳輸層協(xié)議的產(chǎn)生，其中傳輸控制協(xié)議（Transmission Control Protocol，TCP）作為一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議應(yīng)用尤為廣泛[1-2]。TCP協(xié)議本身存在著一些可以被利用的冗余，為創(chuàng)建網(wǎng)絡(luò)隱蔽信道提供了條件，基于TCP的網(wǎng)絡(luò)隱寫方法主要有三種類型：基于TCP首部字段的網(wǎng)絡(luò)隱寫方法，如通過修改TCP首部ISN字段隱藏秘密消息[3];基于改變網(wǎng)絡(luò)吞吐量的網(wǎng)絡(luò)隱寫方法，如發(fā)送方通過控制吞吐量隱藏秘密消息[4-7];基于包排序的網(wǎng)絡(luò)隱寫方法，如通過不同端口發(fā)送包的順序隱藏秘密消息[8]、通過錯序或丟包隱藏秘密消息[9-10]。其中基于TCP報文首部字段的網(wǎng)絡(luò)隱寫方法需要修改具體字段，對數(shù)據(jù)包本身做了改動，其不可見性較低，隱藏容量也較低，而且攻擊者可以通過隱寫分析檢測出數(shù)據(jù)包存在異常[11]。通過改變網(wǎng)絡(luò)吞吐量和基于包排序傳遞秘密消息的網(wǎng)絡(luò)隱寫方法不需要對載體即數(shù)據(jù)包做任何改動，但都會受當前網(wǎng)絡(luò)環(huán)境影響，導(dǎo)致隱藏容量較低[12]。針對以上問題，本文提出了一種基于滑動窗口中包排序的網(wǎng)絡(luò)隱寫方法，此方法在不修改數(shù)據(jù)包本身的同時還兼顧了網(wǎng)絡(luò)環(huán)境狀況，根據(jù)滑動窗口中包個數(shù)的奇偶性，對滑動窗口中包順序采用不同的編碼方式，提高了隱藏容量。

1 相關(guān)知識介紹

1.1 TCP傳輸控制協(xié)議與滑動窗口

由于互聯(lián)網(wǎng)中存在不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)吞吐量和時延，導(dǎo)致在互聯(lián)網(wǎng)上傳輸?shù)牟糠謹?shù)據(jù)不能按時、安全到達。因此，互聯(lián)網(wǎng)需要一種基于字節(jié)流的可靠數(shù)據(jù)傳輸協(xié)議來保證數(shù)據(jù)安全無誤的傳輸。TCP傳輸控制協(xié)議應(yīng)運而生，支持多種網(wǎng)絡(luò)應(yīng)用程序并能在大部分網(wǎng)絡(luò)上運行[13]。通信時，通信雙方不會考慮到當前網(wǎng)絡(luò)環(huán)境狀況而是直接發(fā)送數(shù)據(jù)，如果當前網(wǎng)絡(luò)狀況過于擁塞，可能會造成數(shù)據(jù)包的延遲、丟失等問題。為了解決上述問題，TCP啟用了滑動窗口機制，滑動窗口是TCP協(xié)議中一種以字節(jié)為單位控制流量的技術(shù)，TCP根據(jù)網(wǎng)絡(luò)擁塞情況控制發(fā)送窗口的大小提高傳輸效率。影響發(fā)送窗口大小的因素有以下兩方面：接收方的緩沖區(qū)大小和發(fā)送方的擁塞窗口大小，發(fā)送窗口的上限取值為上述兩個數(shù)值中較小者[14]?；瑒哟翱诘拇笮〔⒉皇且恢辈蛔兊?。因為發(fā)送數(shù)據(jù)時發(fā)送方是不知道當前的網(wǎng)絡(luò)環(huán)境是否擁塞，所以發(fā)送窗口需要由小到大緩慢變化用以探測當前網(wǎng)絡(luò)環(huán)境，這就是滑動窗口的慢開始算法。當網(wǎng)絡(luò)擁塞的情況頻繁出現(xiàn)時，通常會采用AIMD算法控制滑動窗口大小，減小由于網(wǎng)絡(luò)擁塞引起的丟包率[15]?？梢钥闯?，在網(wǎng)絡(luò)環(huán)境允許的情況下，發(fā)送方只需要遵循滑動窗口大小不大于接收方的緩沖區(qū)大小和發(fā)送方的擁塞窗口大小的原則，就可以在一定范圍內(nèi)構(gòu)造不同大小的滑動窗口。

1.2 康托展開

康托展開是一個全排列到一個自然數(shù)的雙射，可以計算當前排列在所有由小到大全排列中的順序的算法[16]

A=bNN-1！+bN-1N-2！+…bN-kN-k-1！…+b1·0 ?。?）

其中，A是當前排列在所有由小到大全排列中的位置順序，b1至bN均為整數(shù)，且0≤bf<f，1≤f≤N?？低姓归_是一個可逆運算，其逆運算是由一個十進制數(shù)到一個全排列的映射，可以通過式（1）計算逆康托展開運算，即通過十進制數(shù)A計算出一組數(shù)全排列后按照由小到大的順序排列的第A位排列。

2 算法描述

2.1 具體算法

本文的隱蔽通道建立基礎(chǔ)是TCP的滑動窗口。首先，收發(fā)雙方經(jīng)歷三次握手建立端到端的通信連接[17];然后，發(fā)送方構(gòu)造出自己的發(fā)送窗口，將要發(fā)送的秘密消息利用ASCII碼轉(zhuǎn)換成二進制串M并通過滑動窗口大小對M進行分段，分段規(guī)則如下：

（1） 選擇第n個合適的滑動窗口，將其大小記為ji，ji遵循滑動窗口增長或減小的規(guī)律;

（2） 滑動窗口中的包個數(shù)記為iji=i，表示的最長二進制秘密消息片段位數(shù)記為R（R∈N），若i為偶數(shù)，必須滿足2R≤i！即R≤logi！2， 若i為奇數(shù)，必須滿足2R≤i！-i即R≤logi！-i2;

（3） 第n個滑動窗口中傳輸?shù)牡趎個二進制片段mnji的長度是R，mnji的十進制數(shù)表示為An，即整個秘密消息M經(jīng)過劃分后得到二進制比特串Mb，Mb=[m1jt，m2jt+1，m3jt+3，…，mnji，…，mgjf]，Mb的十進制表示形式為Md，Md=A1，A2，A3，…，An，…，Ag，其中An為Md中第n個十進制片段，Ag為Md中最后一個十進制片段。

假設(shè)網(wǎng)絡(luò)狀況良好，沒有丟包，發(fā)送方在不修改序號字段的前提下，將滑動窗口中的i個數(shù)據(jù)包重排序并發(fā)送：把每個窗口中的i個數(shù)據(jù)包按序號從小到大編號1～i，對這i個數(shù)進行全排列，可以得到i！個不同的排列。將i！個全排列看作是i！個十進制數(shù)，把這i！個數(shù)從小到大排序。當i為偶數(shù)時，i！個數(shù)由小到大全排列順序中的位于第H位的數(shù)表示為AH;當i為奇數(shù)時，i！個數(shù)由小到大全排列順序中的位于第（H+i）位的數(shù)表示AH。

2.2 隱寫過程

發(fā)送方對秘密消息預(yù)處理后得到二進制串M，收發(fā)雙方建立TCP連接。隱寫過程如圖1所示，發(fā)送方構(gòu)造滑動窗口，根據(jù)窗口中的包個數(shù)對秘密消息M進行分段，并對滑動窗口中的數(shù)據(jù)包重新排序后發(fā)送;接收方接收到這些數(shù)據(jù)包后根據(jù)數(shù)據(jù)包的到達順序解碼秘密消息。

2.2.1 嵌入過程 對秘密消息進行預(yù)處理得到M。

Step 1 發(fā)送方與接收方進行三次握手，建立TCP連接;

Step 2 發(fā)送方構(gòu)造滑動窗口，構(gòu)造的第n個滑動窗口中包個數(shù)為i，根據(jù)i對M分段分得第n段為mnji，其長度為R（當imod 2=0時，R≤logi！2，當imod 2=1，R≤logi！-i2），mnji的十進制為An;

Step 3 根據(jù)滑動窗口中包個數(shù)i構(gòu)造A'n和窗口映射排列組合order，當imod 2=0時，A'n=An，可以通過康托展開算出A'n對應(yīng)的包排序ordere，此時為偶窗口映射order=ordere，當imod 2=1時，A'n=An+i，可以通過康托展開算出A'n對應(yīng)的包排序ordero，此時為奇窗口映射order=ordero;

Step 4 在不改變數(shù)據(jù)包序號字段前提下，發(fā)送方按照order中數(shù)的順序重新排序i個數(shù)據(jù)包并發(fā)送;

Step 5 收到來自接收方的確認消息后繼續(xù)重復(fù)Step 2至Step 6，直到M發(fā)送完畢;

Step 6 發(fā)送方發(fā)送FIN字段為1的連接釋放報文，與接收方完成四次揮手后釋放TCP連接，結(jié)束通信。

2.2.2 提取過程 秘密消息嵌入后，需要提取。

Step 1 接收方與發(fā)送方三次握手后建立TCP連接;

Step 2 接收方收到第n個滑動窗口中的i個數(shù)據(jù)包后，記錄接收的數(shù)據(jù)包順序order，并向發(fā)送方發(fā)送確認;

Step 3 接收方根據(jù)第n個滑動窗口中包個數(shù)i的奇偶性，開始解碼：根據(jù)order，計算A'n：A'n=bii-1！+bi-1i-2！+bi-k（i-k-1）！+……+b1·0 ！。其中，0<bf<f，1≤f≤i，bk是第k小的數(shù)在當前未出現(xiàn)的元素中所排位數(shù)，如果imod 2=0，此時為偶窗口映射order=ordere，An=A'n，如果imod 2=1，此時為奇窗口映射order=ordero， An=A'n-i;

Step 4 接收方按照與發(fā)送方相應(yīng)的處理方式，可以得到與An相對應(yīng)的秘密消息片段mnji，拼接已解碼的二進制片段;

Step 5 當接收方收發(fā)送方發(fā)送的FIN字段為1的連接釋放報文時，即秘密消息發(fā)送完畢，接收方拼接所有二進制片段得到完整的秘密消息，收發(fā)雙方釋放TCP連接，結(jié)束通信。

3 實例

3.1 嵌入過程實例

對秘密消息“S”通過ASCII轉(zhuǎn)化為二進制串Mb=[01010011]。

Step 1 發(fā)送方與接收方進行三次握手，建立TCP連接;

Step 2 發(fā)送方構(gòu)造滑動窗口，第1個窗口大小為6，窗口中數(shù)據(jù)包的個數(shù)為6，根據(jù)分段規(guī)則對秘密消息M進行分段，R≤log6！2即R最大可以為9，因為此處M為8位所以R取8，Mb的第1段秘密消息片段為m166，m166=01010011，Md中第1個十進制數(shù)為A1=83;

Step 3 發(fā)送方根據(jù)秘密消息，對即將發(fā)送的數(shù)據(jù)包重新排序：

A1=83，由于滑動窗口中包個數(shù)是6，因此需要構(gòu)造偶窗口映射，即A'1=A1=83，現(xiàn)有序號字段為32，33，34，35，36，37的數(shù)據(jù)包，那么32是第1小的數(shù)，33可以看作是第2小的數(shù)，依此類推，37是第6小的數(shù)，即（32，36，34，35，37，33）→（1，5，3，4，6，2），通過1，2，3，4，5，6和83可以計算ordere，具體過程如下：83/5！=0余83，b6=0說明ordere中比首位小的有0個，所以首位為1，83/4！=3余11，b5=3說明ordere中在第二位之后比第二位小的有3個，所以第二位為5，11/3！=1余5，b4=1說明ordere中在第三位之后比第三位小的有1個，所以第三位為3，1/2！=0余1，b3=0說明ordere中在第四位之后比第四位小的有0個，所以第四位為4，1/1！=1余0，b2=1說明ordere中在第五位之后比第五位小的有1個，第五位是6，剩下的數(shù)是2，那么，（1，5，3，4，6，2）→（32，36，34，35，37，33），因此order=ordere=（32，36，34，35，37，33）;

Step 4 在不改變數(shù)據(jù)包序號字段前提下，發(fā)送方按照order=（32，36，34，35，37，33）重新排序6個數(shù)據(jù)包并發(fā)送;

Step 5 發(fā)送方收到來自接收方的確認消息;

Step 6 發(fā)送方發(fā)送FIN字段為1的連接釋放報文，與接收方完成四次揮手后釋放TCP連接，結(jié)束。

3.2 提取過程實例

Step 1 接收方與發(fā)送方三次握手后建立TCP連接;

Step 2 接收方收到第1個滑動窗口中的6個數(shù)據(jù)包，記錄接收的數(shù)據(jù)包順序order=（32，36，34，35，37，33），并向發(fā)送方發(fā)送確認;

Step 3 接收方根據(jù)第1個滑動窗口中包個數(shù)的奇偶性，開始解碼，解碼方式如下：

由收到包的順序可以得到一個1～6的全排列即（1，5，3，4，6，2），i=6。首位是1，則小于1的數(shù)個數(shù)為0，b6=0，那么首位小于1的所有排列組合為0×6-1！=0;第二位是5，則小于5的數(shù)有三個為2、3、4，b5=3，那么第二位小于3的所有排列組合為3×6-2！=72;第三位是3，首位是1，所以比3小的只有一個是2，所以b4=1，那么第三位小于3的所有排列組合為b4×6-3！=6;第四位是4，小于4的數(shù)出除去首位1和第三位中的3只有一個是2，所以b3=1，那么第四位小于4的所有排列組合為b2×6-4=2;第五位是6，6之后小于6的數(shù)只有一個是2，所以b1=1，那么第五位小于6的所有排列組合為b2×6-5！=1;最后一位是2，所以b1=0，那么末尾小于2的所有排列組合為0×（6-6）！=0，最終得到A=0（6-1）！+3（6-2）！+1（6-3）！+1（6-4）！+1（6-5）！+0（6-6）！=83。因為i=6， 6mod 2=0，所以，order=ordere為偶窗口映射A1=A'1=83;

Step 4 接收方按照與發(fā)送方相應(yīng)的處理方式，可以得到與A1相對應(yīng)的秘密消息片段mr66=01010011，A1=83;

Step 5 接收方收到發(fā)送方發(fā)送的FIN字段為1的連接釋放報文，意味著接收方發(fā)送完全部秘密消息，隨后釋放TCP連接，結(jié)束整個通信過程，得到秘密消息 “S”。

4 算法分析

4.1 性能分析

（1）隱寫成功率。文獻[6]通過接收方在固定時間間隔內(nèi)是否接收到數(shù)據(jù)包來傳遞“0”和“1”，文獻[3]通過在固定時間間隔內(nèi)是否發(fā)包來傳遞“0”和“1”，以上兩種方法均受限于網(wǎng)絡(luò)環(huán)境，同時也存在數(shù)據(jù)包提前到達產(chǎn)生錯位的情況。從編碼角度看，秘密消息M能映射為一組數(shù)據(jù)包的排序是本方法隱寫成功的重要條件，所以只需要滿足R≤logi！2或R≤logi！-i2就可以利用i個數(shù)據(jù)包隱藏R位的秘密消息，而當秘密消息M過長時，可以根據(jù)滑動窗口大小對秘密消息分段，分別為每一個mnji構(gòu)造一組重新排序后的數(shù)據(jù)包。因此，在滑動窗口構(gòu)造合適的前提下，隱寫成功率可以達到100%。

（2）隱藏容量。隱藏容量定義為每個數(shù)據(jù)包攜帶的秘密消息平均比特位數(shù)，即C=logi！2/i bits/包。當i=4時，隱藏容量達到最小值Cmin=0.167 bits/包。隨著滑動窗口的增大，窗口中的數(shù)據(jù)包也增多，當i≥4之后2i的增長率遠不如i！，所以隱藏容量也會增大。

（3）不可感知性。文獻[17]中提出的RSTEG隱寫方法通過重發(fā)數(shù)據(jù)包將秘密消息嵌入數(shù)據(jù)包的載荷中，但是在正常網(wǎng)絡(luò)環(huán)境中多次的重發(fā)勢必會引起檢測者的懷疑，而本方法不利用重發(fā)數(shù)據(jù)包和數(shù)據(jù)包的任何字段傳輸秘密消息，含密數(shù)據(jù)包和原始數(shù)據(jù)包的所有字段沒有任何區(qū)別，秘密消息僅與數(shù)據(jù)包排序有關(guān)，因此不可感知性較好。

（4）魯棒性。文獻[7]的方法是通過發(fā)送方在時延下限到時延上限的時間段內(nèi)是否發(fā)送數(shù)據(jù)包來隱藏“0”和“1”，但是當攻擊者有意在網(wǎng)絡(luò)中注入噪聲就會造成真正的時延下限到時延上限增加，進而造成接收方不能準確的解碼所有秘密消息。本文的方法中，當攻擊者在網(wǎng)絡(luò)環(huán)境中注入一定范圍內(nèi)的噪聲時，而秘密消息僅與數(shù)據(jù)包的排序有關(guān)與數(shù)據(jù)包時延程度無關(guān)，所以本文的魯棒性也是較好的。

（5）統(tǒng)計不可檢測性。在本文中，未對數(shù)據(jù)包的任何字段做改動，秘密消息片段和一組數(shù)據(jù)包的重排順序是一一對應(yīng)的。實際網(wǎng)絡(luò)環(huán)境中滑動窗口的大小即滑動窗口中的包個數(shù)并不是一直不變的，一條秘密消息可以由多組不同序號的數(shù)據(jù)包排序表示，所以統(tǒng)計不可檢測性也較好。因此，每次發(fā)送秘密消息片段時，通過選用不同大小的滑動窗口可以提高統(tǒng)計不可檢測性。

4.2 與其他方法對比

本文方法與基于滑動窗中包個數(shù)[5]、基于TCP重傳[18]等方法在隱藏容量、魯棒性、隱寫成功率等性能的對比情況如表1。

5 結(jié)論

利用不同滑動窗口中包個數(shù)的奇偶性對秘密消息做了不同的編碼處理，并且通過康托展開將編碼后的秘密消息映射成為滑動窗口中的一組包排序。與現(xiàn)有的基于包排序的網(wǎng)絡(luò)隱寫方法相比本文方法的隱藏容量雖然最差的時候僅為0.167 bits/包，但是隨著滑動窗口中數(shù)據(jù)包的增加隱藏容量也是逐步增加的可以超過1bit/包。本文方法的魯棒性依賴于運行時的網(wǎng)絡(luò)環(huán)境，因此后續(xù)研究中應(yīng)著重提高隱藏方法的魯棒性，可以與數(shù)據(jù)包亂序程度相結(jié)合提高本方法的魯棒性。

參考文獻

[1]Information Sciences Institute. Transmission control protocol （TCP）[S]. RFC 793， Internet Engineering Task Force， September 1981：1-2.

[2]孟朝霞，吳晨暉.影響TCP協(xié)議安全性的幾個要素[J].現(xiàn)代電子技術(shù)，2003（16）：63-65+69.

[3]BELLOVIN S. Defending against sequence number attacks[S/OL].（2012-02-24）[2020-09-12]. RFC1948， https：//www.rfc-editor.org/pdfrfc/rfc1948.txt.pdf，May 1996：1-4.

[4]REZAEI F， HEMPEL M， SHRESTHA P L， et al. Achieving robustness and capacity gains in covert timing channels[C]// 2014 IEEE International Conference on Communications（ICC）. Sydney， 2014： 969-974.

[5]LUO X， CHAN E， CHANG R. TCP covert timing channels： Design and detection[C]// IEEE International Conference on Dependable Systems & Networks with Ftcs & Dcc. Anchorage， 2008： 420-429.

[6]CABUK S， BRODLEY C E， SHIELDS C. IP covert timing channels： Design and detection[C]// Acm Conference on Computer & Communications Security. ACM， 2004.

[7]YAO L， ZI X， PAN L， et al. A study of on/off timing channel based on packet delay distribution[J]. Computers & Security， 2009， 28（8）：785-794.

[8]魏三強，楊威，沈瑤.一種基于可靠包排序的隱秘通信方法[J].小型微型計算機系統(tǒng)，2016，37（1）：124-128.

[9]CHAKINALA R C， KUMARASUBRAMANIAN A， MANOKARAN R， et al. Steganographic communication in ordered channels[C]// 8th International Workshop on Information Hidin. Alexandria， 2006.

[10] KUNDUR D， AHSAN K. Practical internet steganography： Data hiding in IP[C]// Proceedings of the Texas Workshop on Security of Information Systems， 2003.

[11] 趙丹陽.基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)隱寫分析方法研究[J].無線互聯(lián)科技，2020，17（6）：36-37，44.

[12] 于翔美，王開西.基于漢字筆畫編碼矩陣的文本隱寫方法[J].青島大學(xué)學(xué)報（自然科學(xué)版），2019，32（2）：43-47+54.

[13] COMER D， STEVENS D L. Internetworking with TCP/IP[M]. 北京：人民郵電出版社， 2002.

[14] 周明天， 汪文勇. TCP/IP網(wǎng)絡(luò)原理與技術(shù)[M]. 北京：清華大學(xué)出版社， 1993.

[15] YANG Y R， LAM S S. General AIMD congestion control[C]// Proceedings 2000 International Conference on Network Protocols. Osaka， 2000： 187-198.

[16] SVOZIL S K. Randomness relative to Cantor expansions[J]. Communications in Nonlinear Science and Numerical Simulation， 2005： DOI：10.1016/j.cnsns.2004.05.003.

[17] 謝希仁.計算機網(wǎng)絡(luò)（第七版）[M].北京：電子工業(yè)出版社，2017：224-230.

[18] MAZURCZYK W， SMOLARCZYK M， SZCZYPIORSKI K. Retransmission steganography and its detection[J]. Soft Computing， 2011， 15（3）：505-515.

The Network Steganography Method of Packet Sequencing on Sliding Window

WANG Jing-yu，WANG Kai-xi

（College of Computer Science & Technology， Qingdao University， Qingdao 266071， China）

Abstract：

The network steganography based on TCP （Transmission Control Protocol） has restricted network environment， low hiding capacity and other problems. To solve these problems， a network steganography based on packet sequencing in sliding window is proposed. Because the sender in TCP can construct the size of the sliding window according to the network environment and TCP has reliable transmission， the secret message is hidden through the parity of the sliding window value and the order of the packets in the sliding window. Compared with other methods， without increasing the cost of other resources the secret message data stream is more in conformity with the current network environment. When there are over 4 data packets in the sliding window， the hidden capacity is greater than 1bit/packet.

Keywords：

TCP; sliding window; packet sequencing; hiding capacity