泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道關(guān)鍵技術(shù)研究綜述

李鳳華，李超洋，郭超，李子孚，房梁，郭云川

（1.中國(guó)科學(xué)院信息工程研究所，北京 100093；2.中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3.北京電子科技學(xué)院電子與通信工程系，北京 100070）

0 引言

隱蔽通道是指惡意通信雙方通過修改共享資源的數(shù)值、特性或狀態(tài)等屬性，編碼和傳輸隱蔽信息的通道，以此繞開系統(tǒng)安全策略[1-2]。隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜及隱蔽通信技術(shù)的不斷發(fā)展，各種隱蔽通道頻繁出現(xiàn)，包括面向物理層（CVE-ID:CVE-2019-13270）、數(shù)據(jù)鏈路層（CVE-ID:CVE-2019-13271）、操作系統(tǒng)（CVE-ID:CVE-2020-0550）和網(wǎng)絡(luò)層（CVE-ID:CVE-2019-13264）等的隱蔽通道。特別地，亞馬遜云計(jì)算服務(wù)研究人員Pawel 發(fā)現(xiàn)了一種名為Snoop 的新型隱蔽通道攻擊，該隱蔽通道可竊取Intel 處理器內(nèi)部緩存中的數(shù)據(jù)。

隨著互聯(lián)網(wǎng)及隱蔽通信技術(shù)的發(fā)展，隱蔽通道對(duì)泛在網(wǎng)絡(luò)（如物聯(lián)網(wǎng)、云計(jì)算和衛(wèi)星互聯(lián)網(wǎng)絡(luò)等）產(chǎn)生了更嚴(yán)重的安全威脅。如在云環(huán)境中，由于其共享計(jì)算資源，具有較高權(quán)限的程序可通過隱蔽通道將數(shù)據(jù)泄露給具有較低權(quán)限的程序，從而打破邏輯隔離，這會(huì)給云安全帶來巨大的挑戰(zhàn)。攻擊者可以通過路由器（CVE-ID:CVE-2019-13268）等基礎(chǔ)網(wǎng)絡(luò)設(shè)備中的隱蔽通道，竊取互聯(lián)設(shè)備中的隱蔽信息，給物聯(lián)網(wǎng)等網(wǎng)絡(luò)環(huán)境帶來巨大的安全威脅。

隱蔽通道的潛在威脅引起了研究者的廣泛關(guān)注，多年以來，相關(guān)研究者通過對(duì)隱蔽通道的不斷深入研究，使該領(lǐng)域有了實(shí)質(zhì)性的研究進(jìn)展。隱蔽通道研究可大致分為3 個(gè)階段。

1) 早期隱蔽通道的研究主要是利用操作系統(tǒng)中的共享資源，如硬件隨機(jī)數(shù)生成器[3]、處理器緩存[4]、分支預(yù)測(cè)器[5]和I/O 設(shè)備[6]等，構(gòu)建時(shí)間或存儲(chǔ)隱蔽通道[1]，即操作系統(tǒng)隱蔽通道。例如在Sun Solaris系統(tǒng)中，Solaris 內(nèi)核允許2 個(gè)非特權(quán)本地用戶處理程序建立一個(gè)隱蔽通道來繞過系統(tǒng)安全策略（CVE-ID:CVE-2008-3875）。

2) 隨著互聯(lián)網(wǎng)的不斷發(fā)展，研究重點(diǎn)逐漸轉(zhuǎn)移到了網(wǎng)絡(luò)隱蔽通道，網(wǎng)絡(luò)隱蔽通道主要有存儲(chǔ)隱蔽通道（CSC,covert storage channel）、時(shí)間隱蔽通道（CTC,covert timing channel）、混合隱蔽通道（CHC,covert hybrid channel）、行為隱蔽通道（CBC,covert behavior channel）4 種[1]。典型的網(wǎng)絡(luò)隱蔽通道多數(shù)是基于TCP/IP 協(xié)議棧來構(gòu)建的[7]，這些隱蔽通道往往通過使用網(wǎng)絡(luò)協(xié)議[8]或數(shù)據(jù)包[9-10]的協(xié)議字段[11]和時(shí)間特征[12-15]，進(jìn)行隱蔽通信。

3) 近年來，物聯(lián)網(wǎng)、云環(huán)境、移動(dòng)通信網(wǎng)絡(luò)、區(qū)塊鏈等各種新型網(wǎng)絡(luò)不斷興起，逐漸形成了泛在、復(fù)雜的網(wǎng)絡(luò)環(huán)境，這使隱蔽通道有了更多的可乘之機(jī)。泛在網(wǎng)絡(luò)環(huán)境下的隱蔽通道利用不同場(chǎng)景下共享資源的不同特性（如通過物聯(lián)網(wǎng)協(xié)議[16-17]、云中的內(nèi)存重復(fù)刪除[18-19]、移動(dòng)通信網(wǎng)絡(luò)中的語(yǔ)音流數(shù)據(jù)[20]、Air-gap 系統(tǒng)中的磁信號(hào)[21]等）構(gòu)建隱蔽通道，以達(dá)到提高隱蔽通道容量或者增強(qiáng)穩(wěn)健性等目的，給日益復(fù)雜的網(wǎng)絡(luò)環(huán)境帶來了更大的安全挑戰(zhàn)。

面對(duì)各種隱蔽通道產(chǎn)生的威脅，研究者提出了一系列消除或限制技術(shù)，以降低隱蔽通道的攻擊風(fēng)險(xiǎn)，但是，隨著隱蔽通信技術(shù)的不斷發(fā)展，想要完全消除隱蔽通道非常困難。常見的隱蔽通道限制方案主要體現(xiàn)在2 個(gè)方面。

1) 通過對(duì)通信環(huán)境施加限制策略，以破壞隱蔽通信，如對(duì)存儲(chǔ)隱蔽通道添加噪聲、對(duì)時(shí)間隱蔽通道和混合隱蔽通道增加時(shí)延和噪聲、對(duì)Air-gap 系統(tǒng)中的隱蔽通道還可以對(duì)隱蔽通信雙方實(shí)施隔離[1]等。

2) 根據(jù)隱蔽通道的規(guī)律或特征，設(shè)計(jì)檢測(cè)方法，以識(shí)別隱蔽通道，主要包括基于統(tǒng)計(jì)、基于機(jī)器學(xué)習(xí)、基于信息論、基于信息流分析等技術(shù)的檢測(cè)方法。

通過干擾通信環(huán)境的隱蔽通道限制策略雖然可以降低隱蔽通信的風(fēng)險(xiǎn)，但是也會(huì)影響正常的通信質(zhì)量。近年來，為限制隱蔽通道，研究者主要集中于隱蔽通道檢測(cè)方法的研究。

在泛在網(wǎng)絡(luò)環(huán)境下，用于構(gòu)建隱蔽通道的共享資源和通信環(huán)境變得更加復(fù)雜多樣。在不同網(wǎng)絡(luò)環(huán)境下利用各種共享資源構(gòu)建的隱蔽通道存在泛在性、差異性，難以用統(tǒng)一的框架或方法對(duì)其進(jìn)行有效度量及準(zhǔn)確檢測(cè)。由于網(wǎng)絡(luò)環(huán)境的特殊性，隱蔽通道構(gòu)建研究也面對(duì)諸多困難，如由于區(qū)塊鏈自有的加密屬性和去中心化等特點(diǎn)，使區(qū)塊鏈成為天然的隱蔽通信場(chǎng)景，但是由于其具有可追溯和抗篡改等特性，節(jié)點(diǎn)間交易信息會(huì)被區(qū)塊鏈中的所有節(jié)點(diǎn)感知，這對(duì)構(gòu)建具備抗檢測(cè)性強(qiáng)的隱蔽通道帶來了巨大的挑戰(zhàn)；在云環(huán)境中，可以利用多種共享資源構(gòu)建隱蔽通道，如CPU、緩存或共享內(nèi)存等，利用共享內(nèi)存等資源構(gòu)建的隱蔽通道雖然會(huì)有較大的隱蔽容量，但是往往易被檢測(cè)；Air-gap 系統(tǒng)中的隱蔽通道多是利用電磁信號(hào)、功率等物理介質(zhì)作為共享資源，此種隱蔽通道往往容量很小。

近年來，研究者針對(duì)泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的度量、構(gòu)建和檢測(cè)問題，進(jìn)行了深入研究，但是缺乏對(duì)此類隱蔽通道研究的綜述分析。與已有的隱蔽通道研究綜述相比，本文在分析已有研究成果的基礎(chǔ)上，總結(jié)了隱蔽通道的常用度量指標(biāo)及度量方法，重點(diǎn)對(duì)物聯(lián)網(wǎng)、云環(huán)境、移動(dòng)通信網(wǎng)絡(luò)、Air-gap系統(tǒng)、區(qū)塊鏈和車載自組網(wǎng)（VANET,vehicular ad-hoc network）等網(wǎng)絡(luò)環(huán)境下的隱蔽通道構(gòu)建技術(shù)進(jìn)行了多維對(duì)比分析，系統(tǒng)分析了泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的檢測(cè)技術(shù)，并展望了未來的研究方向。

1 隱蔽通道度量

隱蔽通道度量是構(gòu)建和檢測(cè)隱蔽通道的基礎(chǔ)，典型的隱蔽通道度量指標(biāo)包括容量、穩(wěn)健性、抗檢測(cè)性、規(guī)律性和形狀。容量指單位時(shí)間內(nèi)隱蔽通道能夠無差錯(cuò)傳輸?shù)淖畲笮畔?；穩(wěn)健性指隱蔽通道存在干擾（如噪聲和丟包等）時(shí)，準(zhǔn)確傳輸數(shù)據(jù)的能力；抗檢測(cè)性（也稱隱蔽性）指隱蔽通道保持隱蔽通信且不被識(shí)別的能力；規(guī)律性和形狀分別指時(shí)間隱蔽通道中包間時(shí)延（IPD,inter-packet delay）分布的規(guī)律和形狀。

各度量指標(biāo)存在如下影響與關(guān)聯(lián)。容量、穩(wěn)健性和抗檢測(cè)性主要用于評(píng)估隱蔽通道的構(gòu)建方法。一般情況下，當(dāng)隱蔽通道的容量很大時(shí)，會(huì)表現(xiàn)出較強(qiáng)的穩(wěn)健性；當(dāng)穩(wěn)健性差時(shí)也會(huì)降低隱蔽通道的容量。容量與抗檢測(cè)性通常存在相互抑制的關(guān)系，容量增大會(huì)導(dǎo)致抗檢測(cè)性降低；反之，若要提高抗檢測(cè)性往往要降低容量。規(guī)律性和形狀主要用于隱蔽通道的檢測(cè)，規(guī)律性和形狀的度量也能在一定程度上反映抗檢測(cè)性，如對(duì)于時(shí)間隱蔽通道，當(dāng)IPD 分布的規(guī)律性或形狀很明顯時(shí)，會(huì)降低抗檢測(cè)性。

1.1 隱蔽通道容量度量

在隱蔽通道容量的度量方面，面對(duì)復(fù)雜多樣的信道環(huán)境，隱蔽通道容量度量可以分為：經(jīng)典信道中的隱蔽通道容量度量[22-24]、量子信道中的隱蔽通道容量度量[25-27]、離散無記憶信道中的隱蔽通道容量度量[28-29]、噪聲信道中的隱蔽通道容量度量[30-31]和其他信道中的隱蔽通道容量度量[32]。在經(jīng)典信道中隱蔽通道容量的度量方面，多數(shù)研究者基于香農(nóng)信息論對(duì)其進(jìn)行度量[22-23,33]，如Epishkina 等[22]利用互信息度量隱蔽通道的容量。El-Atawy 等[23]將基于數(shù)據(jù)包排序的隱蔽通道容量定義為每個(gè)數(shù)據(jù)包內(nèi)編碼隱藏信息的比特?cái)?shù)，即

其中，k表示每個(gè)碼字所包含的排序數(shù)據(jù)包個(gè)數(shù)；PL表示碼字的概率分布；H(PL)表示PL的熵，代表每個(gè)碼字的平均信息；β表示一個(gè)數(shù)據(jù)包所包含的比特?cái)?shù)。

Zhang 等[24]將基于編碼語(yǔ)音數(shù)據(jù)流的隱蔽通道容量定義為單位時(shí)間內(nèi)隱蔽信息的大小，即

其中，NC表示隱藏消息的位置數(shù)，lb表示每個(gè)位置隱蔽信息的長(zhǎng)度，TC表示語(yǔ)音靜默周期。當(dāng)lb不同時(shí)，NC也不同，因?yàn)椴⒉皇撬械撵o默期都可以延遲和擴(kuò)展。

在量子信道和離散無記憶信道中的隱蔽通道容量度量方面，經(jīng)典無記憶信道和量子有損噪聲玻色子信道（具有量子強(qiáng)噪聲）的隱蔽通信的基本極限是平方根定律[25-27]，即在n個(gè)信道中可以可靠地傳輸高達(dá)bit 的隱蔽信息。Bloch 等[28]研究表明，在離散無記憶信道中，如果發(fā)送方和接收方共享個(gè)密鑰位，則可以在n個(gè)信道上實(shí)現(xiàn)容量達(dá)bit 的可靠隱蔽通信。對(duì)于復(fù)合離散無記憶信道中的隱蔽通道，Ahmadipour 等[29]考慮2 個(gè)覆蓋率度量。在第一個(gè)度量中，使用具有固定分布的每個(gè)狀態(tài)的通道輸出邊緣的K-L 散度（KLD,Kullback-Leibler divergence）來度量覆蓋度，根據(jù)不同分布，建立對(duì)應(yīng)的最大容量。在第二個(gè)度量中，通過使用2 種狀態(tài)的通道輸出邊緣的總變化距離來度量覆蓋率，給出了最優(yōu)傳輸隱蔽率的上下界。

在噪聲環(huán)境下隱蔽通道的容量度量方面，在加性白高斯噪聲（AWGN,additive white Gaussian noise）的隱蔽通道中，發(fā)送方可以可靠地將bit 信息發(fā)送給n個(gè)預(yù)期接收方，該過程有極低的被檢測(cè)概率，接收方通過單獨(dú)的AWGN 信道接收發(fā)送方的隱蔽信息[30]。離散無記憶信道和加性高斯白噪聲信道的最大隱蔽編碼速率隨著消息塊長(zhǎng)度的減小而減慢，Bendary 等[31]研究表明，多輸入多輸出（MIMO,multiple-input multiple-output）AWGN 信道的隱蔽容量在一定條件下收斂到MIMO AWGN 信道的容量。

此外，對(duì)于非相干快速瑞利衰落無線信道（NCFRFWC,non-coherent fast Rayleigh-fading wireless channel），Tahmasbi 等[32]研究表明，隱蔽容量是由有限個(gè)質(zhì)點(diǎn)（包括一個(gè)質(zhì)點(diǎn)）組成的振幅約束輸入分布來實(shí)現(xiàn)的，并給出了數(shù)值邊界。Ta 等[34]研究表明，信道衰落是隱蔽信號(hào)傳輸?shù)年P(guān)鍵，噪聲不確定性越大，信道不確定性對(duì)檢測(cè)誤差平均概率和隱蔽容量的影響越顯著。

1.2 隱蔽通道穩(wěn)健性度量

穩(wěn)健性已被廣泛應(yīng)用于隱蔽通道的度量。度量隱蔽通道穩(wěn)健性的相對(duì)統(tǒng)一的指標(biāo)是誤碼率[24,35]。

Zhang 等[24]利用誤碼率來評(píng)估長(zhǎng)期演進(jìn)語(yǔ)音承載（VoLTE,voice over long-term evolution）中隱蔽通道的穩(wěn)健性，定義為

其中，Rl表示VoLTE 流量的丟包率，NspRl表示在靜默期結(jié)束時(shí)丟失的數(shù)據(jù)包數(shù)。

Zhang 等[36]基于誤碼率討論了隱蔽通道的穩(wěn)健性，穩(wěn)健增益γ（γ∈R+）定義為

其中，表示不編碼的直接調(diào)制的誤碼率，Pe表示在相同的網(wǎng)絡(luò)條件下用特定的編碼方案進(jìn)行編碼和調(diào)制后的誤碼率，N表示靜默期的數(shù)目，Rl表示丟包率，ej表示第j次丟包導(dǎo)致的錯(cuò)誤隱藏信息比特?cái)?shù)，L(ni)表示第i個(gè)靜默周期中靜默插入描述符（SID,silence insertion descriptor）數(shù)據(jù)包數(shù)目的碼長(zhǎng)。當(dāng)γ→∞時(shí)，可以認(rèn)為隱蔽通道是完全穩(wěn)健的。

1.3 隱蔽通道抗檢測(cè)性度量

在隱蔽通道抗檢測(cè)性度量方面，研究者主要利用基于多項(xiàng)式時(shí)間統(tǒng)計(jì)檢驗(yàn)的度量方法，即對(duì)于隱蔽流量的數(shù)據(jù)流樣本n和合法流量的數(shù)據(jù)流樣本n′，若存在一個(gè)任意小的函數(shù)f(δ)，使不等式成立，則隱蔽通道相對(duì)于安全參數(shù)δ是多項(xiàng)式不可檢測(cè)的[37]，其中，T表示多項(xiàng)式時(shí)間統(tǒng)計(jì)檢驗(yàn)?；诙囗?xiàng)式時(shí)間統(tǒng)計(jì)檢驗(yàn)的抗檢測(cè)性度量方法包括K-L 散度[37-38]和K-S 檢驗(yàn)（KST,Kolmogorov-Smirnov test）等[37-39]。

Archibald 等[38]使用K-L 散度（又稱相對(duì)熵）和K-S檢驗(yàn)來度量隱蔽通道的抗檢測(cè)性。K-S檢驗(yàn)和K-L散度都是用來比較合法流量和隱蔽流量的IPD 分布差異的方法。K-L 散度具有非對(duì)稱性，定義為

其中，P和G分別表示隱蔽流量和合法流量的IPD分布。

Wang 等[39]利用K-S 檢驗(yàn)度量隱蔽通道的抗檢測(cè)性，定義為

其中，F(xiàn)(x)和G(x)分別表示隱蔽通信和合法通信的IPD 分布。K-S 檢驗(yàn)是一種穩(wěn)健的非參數(shù)檢驗(yàn)方法，對(duì)尺度變化不敏感而對(duì)分布函數(shù)的位置和形狀參數(shù)敏感，該方法是比較兩樣本差異的常用方法。

此外，李彥峰等[40]使用熵率（ER,entropy rate）度量區(qū)塊鏈隱蔽通道的抗檢測(cè)性，定義為

其中，CCE 是修正條件熵（CCE,corrected conditional entropy）。熵率是對(duì)無窮序列不確定性的度量，熵率越小越能表現(xiàn)出序列規(guī)律。在實(shí)際中，可采用有限采樣的方式，利用CCE 計(jì)算熵率[40]。

K-L 散度、K-S 檢驗(yàn)和熵率均可用于度量隱蔽通道的抗檢測(cè)性。其中，K-L 散度和K-S 檢驗(yàn)都是基于合法流量IPD 分布和隱蔽流量IPD 分布的差異來評(píng)估隱蔽通道的抗檢測(cè)能力。但是兩者也有區(qū)別：與K-S 檢驗(yàn)相比，K-L 散度對(duì)樣本的尺度變化更敏感?；陟芈实目箼z測(cè)性度量依賴于大量正常通信的樣本來確定檢測(cè)對(duì)象的檢測(cè)閾值[40]，與K-L散度和K-S 檢驗(yàn)相比，熵率更適用于通信樣本量較大的情況。

1.4 隱蔽通道規(guī)律性度量

規(guī)律性的度量是指采用統(tǒng)計(jì)特征對(duì)網(wǎng)絡(luò)流量變化的規(guī)律性進(jìn)行度量。通過度量網(wǎng)絡(luò)流量的規(guī)律性，統(tǒng)計(jì)合法流量和隱蔽流量的差異，以區(qū)分出合法流量和隱蔽流量。

Cabuk 等[13]通過統(tǒng)計(jì)網(wǎng)絡(luò)數(shù)據(jù)流的網(wǎng)絡(luò)數(shù)據(jù)包間隔時(shí)間的標(biāo)準(zhǔn)差的變化，來度量隱蔽數(shù)據(jù)流的規(guī)律性。具體地，將流量分成固定大小的非重疊窗口，統(tǒng)計(jì)每對(duì)窗口間的標(biāo)準(zhǔn)差變化，定義為

其中，σi表示第i個(gè)時(shí)間窗口內(nèi)網(wǎng)絡(luò)數(shù)據(jù)包間隔時(shí)間的標(biāo)準(zhǔn)差，StdDev 表示標(biāo)準(zhǔn)差函數(shù)（計(jì)算標(biāo)準(zhǔn)差）。Chow 等[41]利用K-L 散度來度量隱蔽通道的不規(guī)律性。Cabuk 等[42]將分組數(shù)據(jù)流劃分為非重疊窗口，并計(jì)算每個(gè)窗口的IPD 的標(biāo)準(zhǔn)差，通過計(jì)算流量中窗口的標(biāo)準(zhǔn)差的差異來度量規(guī)律性。

1.5 隱蔽通道形狀度量

形狀度量是將隱蔽IPD 分布與合法IPD 分布中的已知指紋進(jìn)行比較，度量2 個(gè)分布之間的形狀差異。常用的形狀度量方法是基于計(jì)算描述合法流量和隱蔽流量的密度函數(shù)進(jìn)行度量的，如基于K-S 檢驗(yàn)的形狀度量[37]和基于韋爾奇t檢驗(yàn)（WTT,Welch’s t-test）的形狀度量[43]。

K-S 檢驗(yàn)通過取所有流量數(shù)據(jù)x的絕對(duì)差的上確界來區(qū)分隱蔽IPD 分布F(x)和合法IPD 分布G(x)[37]。因?yàn)镵-S 檢驗(yàn)對(duì)2 種分布的形狀參數(shù)敏感，所以也被用于隱蔽通道形狀的度量。

Archibald 等[43]提出了一種基于韋爾奇t 檢驗(yàn)的形狀度量方法，即

其中，xi、si和Ni(i=1,2)分別是2 種分布的樣本均值、標(biāo)準(zhǔn)差和樣本大小。為了生成p值（表示假設(shè)被接受或拒絕的概率）度量，從合法的網(wǎng)絡(luò)流量中創(chuàng)建一個(gè)綜合樣本，并從觀察到的網(wǎng)絡(luò)流量中提取一個(gè)相對(duì)較小的樣本。使用這些樣本，在p值上創(chuàng)建閾值，p值低于閾值的樣本被歸類為隱蔽流量。

K-S 檢驗(yàn)和韋爾奇t 檢驗(yàn)的相同之處在于兩者都是基于隱蔽IPD 分布和合法IPD 分布之間的差異來度量隱蔽流量的形狀，區(qū)別在于基于K-S 檢驗(yàn)的形狀度量方法直接根據(jù)合法IPD 分布與隱蔽IPD 分布的差值上界來區(qū)分合法流量與隱蔽流量，而基于韋爾奇t 檢驗(yàn)的形狀度量方法基于合法IPD 的先驗(yàn)分布先建立p值假設(shè)，再基于閾值對(duì)隱蔽流量進(jìn)行歸類，該方法可基于更多的合法IPD 樣本建立先驗(yàn)分布以創(chuàng)建更完整的流量指紋。當(dāng)樣本大小不均衡時(shí)，基于韋爾奇t 檢驗(yàn)的形狀度量效果優(yōu)于基于K-S檢驗(yàn)的形狀度量效果。

2 隱蔽通道構(gòu)建

2.1 物聯(lián)網(wǎng)隱蔽通道構(gòu)建

物聯(lián)網(wǎng)中的大多數(shù)設(shè)備都不具備由經(jīng)驗(yàn)引發(fā)的抵御入侵和破壞攻擊的能力；相反，它們表現(xiàn)出相當(dāng)程度的脆弱性。物聯(lián)網(wǎng)脆弱的安全表現(xiàn)為隱蔽通道的構(gòu)建提供了可能。

在物聯(lián)網(wǎng)隱蔽通道的構(gòu)建方面，Velinov 等[17]將消息隊(duì)列遙測(cè)傳輸（MQTT,message queuing telemetry transport）協(xié)議應(yīng)用于物聯(lián)網(wǎng)中，描述了7 個(gè)直接和6 個(gè)間接的隱蔽通道，并使用網(wǎng)絡(luò)信息隱藏技術(shù)對(duì)它們進(jìn)行評(píng)估和分類。信息隱藏技術(shù)被廣泛用于構(gòu)建物聯(lián)網(wǎng)隱蔽通道[44]，如Mileva 等[45]提出了一種利用約束應(yīng)用協(xié)議（COAP,constrained application protocol）構(gòu)建的物聯(lián)網(wǎng)隱蔽通道。COAP是一種用于約束設(shè)備和網(wǎng)絡(luò)的專用Web 傳輸協(xié)議，通過將秘密數(shù)據(jù)隱藏在COAP 的協(xié)議數(shù)據(jù)單元（PDU,protocol data unit）中實(shí)現(xiàn)隱蔽通信。Tan 等[46]提出了一種物聯(lián)網(wǎng)時(shí)間隱蔽通道的系統(tǒng)模型（如圖1 所示），并分析了基于分組間時(shí)延的時(shí)間隱蔽通道在4G/5G 網(wǎng)絡(luò)中的應(yīng)用。Ho 等[47]將序貫概率比檢驗(yàn)（SPRT,sequential probability ratio test）應(yīng)用于物聯(lián)網(wǎng)中的隱蔽通道，能夠在隱蔽通道中實(shí)現(xiàn)快速的編碼和解碼。物聯(lián)網(wǎng)應(yīng)用程序通過連接各種其他未連接的服務(wù)來授權(quán)用戶。這些應(yīng)用程序由外部信息源觸發(fā)，以在外部信息接收器上執(zhí)行操作。流行的物聯(lián)網(wǎng)應(yīng)用平臺(tái)，包括 IFTTT、Zapier 和Microsoft Flow 都容易受到惡意Applet 制造商的攻擊，包括過濾私人照片、泄露用戶位置和竊聽用戶輸入語(yǔ)音控制助理的消息等隱蔽通道攻擊[48]。

圖1 物聯(lián)網(wǎng)時(shí)間隱蔽通道系統(tǒng)模型

2.2 移動(dòng)通信網(wǎng)絡(luò)隱蔽通道構(gòu)建

在移動(dòng)通信網(wǎng)絡(luò)中，為了保護(hù)用戶隱私，許多智能手機(jī)系統(tǒng)采用了一種基于許可的機(jī)制，用戶可以在安裝手機(jī)應(yīng)用程序之前評(píng)估來自該應(yīng)用程序的隱私信息請(qǐng)求的風(fēng)險(xiǎn)。然而，基于許可的機(jī)制很容易受到應(yīng)用程序的合謀攻擊，因?yàn)? 個(gè)獨(dú)立的應(yīng)用程序可以建立一個(gè)隱蔽通道，并使用它來泄露機(jī)密信息。Qi 等[49]在安卓智能手機(jī)上構(gòu)建了基于用戶行為的隱蔽通道，如圖2 所示，該隱蔽通道不易被檢測(cè)。

圖2 基于用戶行為的智能手機(jī)隱蔽通道

Aloraini 等[20]提出了一種智能手機(jī)網(wǎng)絡(luò)隱蔽通道，通過接收的蜂窩語(yǔ)音流來研究智能手機(jī)中的應(yīng)用程序泄露信息的能力。Zhang 等[24]通過延遲或延長(zhǎng)語(yǔ)音流量的靜音周期來調(diào)節(jié)隱蔽信息，使用灰度編碼對(duì)隱藏消息進(jìn)行編碼，能夠?qū)崿F(xiàn)良好的隱蔽性和穩(wěn)健性。Zhang 等[36]提出了一種適應(yīng)移動(dòng)網(wǎng)絡(luò)環(huán)境的雙向VoLTE 隱蔽通道，它包括發(fā)送方到接收方的時(shí)間隱蔽通道，以及一個(gè)反向存儲(chǔ)隱蔽通道。其中，時(shí)間隱蔽通道通過在靜默期內(nèi)主動(dòng)丟棄分組來調(diào)制隱蔽消息，反向存儲(chǔ)隱蔽通道將秘密消息作為反饋信息隱藏到實(shí)時(shí)傳輸控制協(xié)議（RTCP,real-time transport control protocol）的反饋控制信息字段中。該方案不僅可以保持語(yǔ)音質(zhì)量，也能同時(shí)保持隱蔽通道的抗檢測(cè)性和穩(wěn)健性。Tan 等[50]提出了一種基于視頻流的時(shí)間隱蔽通道，通過故意丟棄視頻數(shù)據(jù)包來調(diào)制隱蔽消息，基于二維映射矩陣將隱蔽消息塊映射為丟包序列號(hào)，接收方檢索丟失數(shù)據(jù)包的序列號(hào)，并將其翻譯成隱藏的信息。Novak等[51]設(shè)計(jì)了一種移動(dòng)設(shè)備信息泄露軟件，通過聲音或光線等媒介構(gòu)建隱蔽通道，能夠繞過系統(tǒng)的特權(quán)升級(jí)和信息泄露的防御機(jī)制。Schulz 等[52]在智能手機(jī)中構(gòu)建了一個(gè)隱蔽通道，該隱蔽通道先對(duì)Wi-Fi幀進(jìn)行預(yù)過濾，然后在2 個(gè)設(shè)備之間秘密交換隱蔽信息。

Android 等移動(dòng)操作系統(tǒng)通過限制設(shè)備內(nèi)應(yīng)用程序之間的通信來提供數(shù)據(jù)保護(hù)機(jī)制。然而，惡意應(yīng)用仍然可以通過各種方式克服這些限制，如利用系統(tǒng)中的軟件漏洞或使用隱蔽通道進(jìn)行數(shù)據(jù)傳輸。在Android 系統(tǒng)中，電池和電話等資源可以用于隱蔽通信，惡意應(yīng)用程序利用這些資源可以實(shí)現(xiàn)高容量的隱蔽數(shù)據(jù)傳輸[53-54]。

基于物理行為的隱蔽通道可以通過改變應(yīng)用程序的內(nèi)部狀態(tài)或用戶的行為來實(shí)現(xiàn)信息泄露。Wu等[55]使用全球定位系統(tǒng)（GPS,global positioning system）欺騙技術(shù)設(shè)計(jì)了一種基于物理行為的智能移動(dòng)設(shè)備隱蔽通道，該設(shè)計(jì)充分考慮了非握手、離線傳輸和低懷疑等特性，具有良好的隱蔽性。

2.3 云環(huán)境下隱蔽通道構(gòu)建

云環(huán)境下的隱藏通道規(guī)避了云中多方之間的隔離機(jī)制。在不同虛擬機(jī)上的非特權(quán)用戶程序可以通過隱蔽通道傳輸隱蔽信息。

Clementine 等[4]通過共享處理器的最后一級(jí)緩存在不同內(nèi)核上的虛擬機(jī)之間建立了更快速的隱蔽通道C5，C5 能夠通過同一處理器的任一內(nèi)核傳輸硬件上的信息。內(nèi)存重復(fù)數(shù)據(jù)刪除技術(shù)已被廣泛應(yīng)用于各種虛擬化管理程序。雖然這種技術(shù)提高了內(nèi)存效率，但它對(duì)系統(tǒng)安全性有影響。內(nèi)存重復(fù)刪除通常使用寫時(shí)復(fù)制技術(shù)的一種變體來實(shí)現(xiàn)，與寫入非共享頁(yè)面相比，寫入共享頁(yè)面會(huì)導(dǎo)致更長(zhǎng)的訪問時(shí)延[18]?；诖颂匦裕琑ong 等[19]設(shè)計(jì)了一種高效、可靠的基于內(nèi)存重復(fù)數(shù)據(jù)刪除的云隱蔽通道（CCCMD,cloud covert channel based on memory deduplication）協(xié)議，建立了一個(gè)名為WindTalker的隱蔽通道模型，在低誤碼率的情況下，WindTalker具有更好的性能，并能實(shí)現(xiàn)在噪聲環(huán)境下的合理自適應(yīng)傳輸速度。

Maurice 等[56]基于無線傳輸協(xié)議建立了一個(gè)穩(wěn)健的高容量隱蔽通道，該隱蔽通道能夠?qū)崿F(xiàn)錯(cuò)誤糾正，并可以在2 個(gè)虛擬機(jī)之間建立安全外殼（SSH,secure shell）連接。Sullivan 等[57]提出了一種基于處理器內(nèi)存順序緩沖（MOB,memory order buffer）的微體系結(jié)構(gòu)時(shí)間隱蔽通道。Wu 等[58-59]利用內(nèi)存總線作為隱蔽通道傳輸介質(zhì)，在云環(huán)境中實(shí)現(xiàn)了高帶寬和可靠的隱蔽數(shù)據(jù)傳輸。Lipinski 等[60]提出了一種名為CloudSteg 的隱寫方法，該方法基于駐留在同一物理機(jī)器上的2 個(gè)云實(shí)例之間的硬盤爭(zhēng)用，創(chuàng)建一個(gè)隱蔽通道。跨虛擬機(jī)攻擊使惡意租戶能夠利用各種形式的隱蔽通道竊取受害者的敏感信息，如圖3 所示。Tahir 等[61]提出了一個(gè)跨虛擬網(wǎng)絡(luò)的時(shí)間隱蔽通道，它依賴于數(shù)據(jù)中心網(wǎng)絡(luò)的底層共享網(wǎng)絡(luò)資源在邏輯隔離的虛擬網(wǎng)絡(luò)之間傳輸數(shù)據(jù)，該隱蔽通道有很大的隱蔽容量。

圖3 跨虛擬機(jī)隱蔽通道示例

隨著云現(xiàn)場(chǎng)可編程門陣列（FPGA,field programmable gate array）的廣泛應(yīng)用，云計(jì)算基礎(chǔ)設(shè)施中的FPGA 可以通過轉(zhuǎn)換通道發(fā)生信息泄露。云FPGA 利用用戶之間FPGA 資源的臨時(shí)共享，使一個(gè)用戶產(chǎn)生的熱量可以被后來使用同一FPGA 的另一個(gè)用戶觀察到，其通過簡(jiǎn)單的開關(guān)鍵控（OOK,on-off keying）可以實(shí)現(xiàn)隱蔽的數(shù)據(jù)傳輸，并且并行使用多個(gè)FPGA 板可以顯著提高數(shù)據(jù)吞吐量[62]。

2.4 Air-gap 系統(tǒng)隱蔽通道構(gòu)建

系統(tǒng)的物理實(shí)現(xiàn)（如電磁鐵）產(chǎn)生的電磁信號(hào)、功率、聲音和溫度等也可以作為信息傳輸?shù)慕橘|(zhì)，利用這些通信介質(zhì)，攻擊者可以設(shè)計(jì)間諜軟件向外部傳輸敏感數(shù)據(jù)，給系統(tǒng)帶來安全威脅。

在Air-gap系統(tǒng)隱蔽通道的構(gòu)建方面，Guri等[21]通過調(diào)節(jié)CPU 內(nèi)核上的工作負(fù)載來控制計(jì)算機(jī)發(fā)出的磁場(chǎng)，利用磁信號(hào)編碼并傳輸隱蔽信息。對(duì)于多核計(jì)算平臺(tái)，即使是基于專用核的強(qiáng)大隔離技術(shù)也可以被熱通道繞過，即使在系統(tǒng)具有很強(qiáng)的時(shí)間和空間分塊能力的情況下，處理器的內(nèi)核溫度也可以作為一個(gè)隱蔽通道[63]。Guri 等[64]通過使用計(jì)算機(jī)的熱發(fā)射和內(nèi)置的熱傳感器來創(chuàng)建一個(gè)隱蔽通道以彌合相鄰受損計(jì)算機(jī)之間的氣隙。該方法支持雙向通信，并且它不需要額外的專用外圍硬件。Krishnamurthy 等[65]利用網(wǎng)絡(luò)物理系統(tǒng)（CPS,cyber physical system）中控制器的動(dòng)態(tài)特性和閉環(huán)特性，將模擬信號(hào)作為隱蔽通道發(fā)送到遠(yuǎn)程接收器，在程序邏輯控制器（PLC,programmable logic controller）的驅(qū)動(dòng)下，實(shí)現(xiàn)了2 個(gè)反饋回路。

2.5 其他網(wǎng)絡(luò)隱蔽通道構(gòu)建

區(qū)塊鏈作為一種新型的分散式公共網(wǎng)絡(luò)，它的開放性和強(qiáng)大的抗篡改能力使其成為構(gòu)建隱蔽通道的天然平臺(tái)。

為在區(qū)塊鏈上實(shí)現(xiàn)隱蔽通信，李彥峰等[40]構(gòu)建了一種區(qū)塊鏈網(wǎng)絡(luò)隱蔽通道模型，并研究了其抗干擾、抗篡改等特性。Partala 等[66]提出了區(qū)塊鏈隱蔽通道（BLOCCE,blockchain covert channel），該方案將區(qū)塊鏈?zhǔn)褂玫募用芄：瘮?shù)建模為一個(gè)隨機(jī)預(yù)言機(jī)，并制定一個(gè)簡(jiǎn)化的理想?yún)^(qū)塊鏈，使用提交給區(qū)塊鏈的支付為每個(gè)塊嵌入一個(gè)比特的隱蔽信息，以實(shí)現(xiàn)可靠的隱蔽通道。Tian 等[67]提出了DLchain，該方案使用動(dòng)態(tài)標(biāo)簽代替固定標(biāo)簽，并設(shè)計(jì)了一種基于實(shí)際事務(wù)數(shù)據(jù)統(tǒng)計(jì)分布的動(dòng)態(tài)標(biāo)簽生成算法，以保證動(dòng)態(tài)標(biāo)簽的隱蔽性。DLchain具有不可檢測(cè)性、抗跟蹤性和穩(wěn)健性強(qiáng)等特點(diǎn)。Gao等[68]利用竊密技術(shù)設(shè)計(jì)了一種區(qū)塊鏈隱蔽數(shù)據(jù)傳輸方案，在開放網(wǎng)絡(luò)條件下，該隱蔽傳輸機(jī)制具有很強(qiáng)的隱蔽性和兼容性，可以實(shí)際應(yīng)用于許多流行的區(qū)塊鏈系統(tǒng)。

車載自組網(wǎng)使高速車輛能夠相互通信，也為隱蔽通道提供了新的通信介質(zhì)。Taheri 等[69]在VANET中開發(fā)了一種混合（時(shí)間和存儲(chǔ)）隱蔽通道，通過改變服務(wù)和控制包的時(shí)間模式來傳輸隱蔽消息，同時(shí)設(shè)計(jì)了一種用于隱蔽數(shù)據(jù)嵌入的編碼算法，該編碼算法具有較高的嵌入容量。

綜合上述通信環(huán)境下隱蔽通道的構(gòu)建方法特點(diǎn)，可將其劃分成基于信息編解碼、基于時(shí)間模式調(diào)節(jié)、基于協(xié)議擴(kuò)展填充、基于惡意軟件行為、基于流媒體調(diào)制、基于系統(tǒng)資源共享和基于物理介質(zhì)調(diào)節(jié)七大類方法，如表1 所示。表1 中，在物聯(lián)網(wǎng)環(huán)境下，主流的隱蔽通道構(gòu)建方法包括基于信息編解碼和基于協(xié)議擴(kuò)展填充的方法；在移動(dòng)通信網(wǎng)絡(luò)中，主流的隱蔽通道構(gòu)建方法包括基于流媒體調(diào)制和基于信息編解碼的方法；在云環(huán)境下，主流的隱蔽通道構(gòu)建方法為基于系統(tǒng)資源共享的方法；在Air-gap 系統(tǒng)中，主流的隱蔽通道構(gòu)建方法為基于物理介質(zhì)調(diào)節(jié)的方法；在車載自組網(wǎng)中，主流的隱蔽通道構(gòu)建方法包括基于信息編解碼和基于時(shí)間模式調(diào)節(jié)的方法。表2 展示了隱蔽通道構(gòu)建方法的細(xì)粒度對(duì)比分析結(jié)果，主要從隱蔽通道的共享資源、容量、穩(wěn)健性、抗檢測(cè)性和優(yōu)缺點(diǎn)6 個(gè)方面進(jìn)行比較，通過對(duì)現(xiàn)有研究的綜合分析，將穩(wěn)健性和抗檢測(cè)性都分為弱、較弱、較強(qiáng)和強(qiáng)4 個(gè)等級(jí)。穩(wěn)健性等級(jí)主要是基于文獻(xiàn)中給出的誤碼率來劃分的，具體地，誤碼率小于5%定為強(qiáng)，5%～10%定為較強(qiáng)，10%～20%定為較弱，其余定為弱，對(duì)于部分文獻(xiàn)的構(gòu)建方法，也會(huì)考慮隱蔽通道在噪聲環(huán)境下的丟包率（抗噪性）變化，對(duì)穩(wěn)健性綜合定級(jí)。抗檢測(cè)性主要是基于文獻(xiàn)中給出的檢測(cè)精度結(jié)果來劃分的，具體地，檢測(cè)精度小于50%定為強(qiáng)，50%～65%定為較強(qiáng)，65%～80%定為較弱，其余為定為弱，對(duì)于部分文獻(xiàn)的檢測(cè)方法，也會(huì)結(jié)合檢測(cè)開銷對(duì)抗檢測(cè)性綜合定級(jí)。

表1 各類隱蔽通道構(gòu)建方法特點(diǎn)

表2 隱蔽通道構(gòu)建方法細(xì)粒度對(duì)比分析

3 隱蔽通道的檢測(cè)方法

3.1 基于統(tǒng)計(jì)的檢測(cè)方法

基于統(tǒng)計(jì)的檢測(cè)方法通常利用統(tǒng)計(jì)學(xué)的特征規(guī)律來分析合法數(shù)據(jù)流和隱蔽數(shù)據(jù)流的分布差異或異常，從而檢測(cè)出非法數(shù)據(jù)流。

Cabuk 等[13]采用數(shù)據(jù)流變化的統(tǒng)計(jì)特征規(guī)律作為隱蔽通道的檢測(cè)指標(biāo)，量化了網(wǎng)絡(luò)數(shù)據(jù)包間隔時(shí)間的標(biāo)準(zhǔn)差的變化。Archibald 等[43]提出了一種基于韋爾奇t 檢驗(yàn)的形狀檢測(cè)方法，該方法具有相對(duì)較低的計(jì)算成本，而且韋爾奇t 檢驗(yàn)在檢測(cè)基于時(shí)延的時(shí)間隱蔽通道方面優(yōu)于修正條件熵檢驗(yàn)。Nafea等[70]提出了一種包含連續(xù)數(shù)據(jù)監(jiān)控、閾值等元素的新框架和一種基于統(tǒng)計(jì)測(cè)度的隱蔽數(shù)據(jù)泄露檢測(cè)模型，特別是針對(duì)非線性混沌數(shù)據(jù)，該模型能夠更有效地提供具有容差/閾值的結(jié)果。Rezaei 等[71]提出了一種基于網(wǎng)絡(luò)流量IPD 分布的時(shí)間隱蔽通道實(shí)時(shí)檢測(cè)方法，并利用3 種不同的非參數(shù)統(tǒng)計(jì)測(cè)試，為合法和隱蔽網(wǎng)絡(luò)流量IPD 生成不同的統(tǒng)計(jì)測(cè)試分?jǐn)?shù)，該方法能夠可靠地檢測(cè)出實(shí)時(shí)網(wǎng)絡(luò)流量中的隱蔽通道。

基于統(tǒng)計(jì)的檢測(cè)方法主要是通過統(tǒng)計(jì)學(xué)分析隱蔽通道的形狀或規(guī)律指標(biāo)，以檢測(cè)出隱蔽通道。表3 展示了部分基于統(tǒng)計(jì)的檢測(cè)效果，分別從隱蔽通道類型、準(zhǔn)確率、是否能盲檢、形狀指標(biāo)和規(guī)律指標(biāo)5 個(gè)方面對(duì)檢測(cè)方法進(jìn)行對(duì)比分析。表3 中，Jitterbug 是一種典型的基于時(shí)延的時(shí)間隱蔽通道，以被動(dòng)的方式提供可靠的隱蔽通信。TR-CTC-HTTP 和TR-CTC-SSH 分別是基于時(shí)間重放的時(shí)間隱蔽通道（TR-CTC,time replay covert timing channel）中的HTTP 和SSH 流量，MB-CTC-HTTP 和MB-CTC-SSH 分別是基于模型的時(shí)間隱蔽通道（MB-CTC,model-based covert timing channel）中的HTTP流量和SSH 流量。

表3 基于統(tǒng)計(jì)的檢測(cè)效果

3.2 基于機(jī)器學(xué)習(xí)的檢測(cè)方法

目前，機(jī)器學(xué)習(xí)方法被廣泛應(yīng)用于隱蔽通道的檢測(cè)研究中，主要通過發(fā)現(xiàn)網(wǎng)絡(luò)流量的規(guī)律或異常來檢測(cè)隱蔽通道。通過提取正常流量和隱蔽流量的特征，對(duì)網(wǎng)絡(luò)流量進(jìn)行分類識(shí)別，從而實(shí)現(xiàn)隱蔽通道的檢測(cè)?；跈C(jī)器學(xué)習(xí)的時(shí)間隱蔽通道檢測(cè)的復(fù)雜性取決于流量樣本的可用性，以及攻擊者改變隱蔽通道參數(shù)的可能性[72]。

Mohammed 等[73]基于隨機(jī)森林算法對(duì)物聯(lián)網(wǎng)設(shè)備在不同操作模式下的功率分布數(shù)據(jù)進(jìn)行分類，以檢測(cè)隱蔽通道和功率耗盡攻擊。該算法有良好的檢測(cè)結(jié)果，分類準(zhǔn)確率為95.5%。Vzquez 等[74]從統(tǒng)計(jì)的角度挖掘了包含時(shí)間隱蔽通道的數(shù)據(jù)流的形狀，使用監(jiān)督和非監(jiān)督的機(jī)器學(xué)習(xí)算法，揭示了構(gòu)建檢測(cè)方法的推薦特征。Shrestha 等[75]提出了一種基于支持向量機(jī)（SVM,support vector machine）的隱蔽通道檢測(cè)框架，該框架將從網(wǎng)絡(luò)流量中提取的指紋分為顯性和隱性，有較強(qiáng)的盲檢能力和穩(wěn)健性，即使是在隱藏消息大小減小的情況下，也有良好的檢測(cè)效果。Wang 等[76]提出了一種基于機(jī)器學(xué)習(xí)的域名生成算法（DGA,domain generation algorithm）和域名系統(tǒng)（DNS,domain name system）隱蔽通道檢測(cè)系統(tǒng)，其利用改進(jìn)的TF-IDF（term frequency-inverse document frequency）、特異度評(píng)分等算法檢測(cè)惡意域名，有良好的檢測(cè)效果。Darwish 等[77]提出了一種基于層次結(jié)構(gòu)的時(shí)間隱蔽通道檢測(cè)模型。該模型的檢測(cè)過程包括：在到達(dá)時(shí)間流的連續(xù)層次上進(jìn)行統(tǒng)計(jì)分析，創(chuàng)建合法通道和隱蔽通道的數(shù)據(jù)集實(shí)例，構(gòu)建5 層神經(jīng)網(wǎng)絡(luò)分類模型對(duì)隱蔽通道進(jìn)行識(shí)別。與基于支持向量機(jī)的檢測(cè)模型相比，該深度神經(jīng)網(wǎng)絡(luò)模型獲得了更好的精度水平，模型訓(xùn)練時(shí)間明顯縮短。Han 等[78]提出了一種基于K 近鄰（KNN,k-nearest neighbor）的時(shí)間隱蔽通道檢測(cè)方法。該方法使用與時(shí)間間隔和有效載荷長(zhǎng)度相關(guān)的一系列統(tǒng)計(jì)數(shù)據(jù)作為特征來訓(xùn)練模型，檢測(cè)精度為0.96。Alam 等[79]通過提取流量特征來構(gòu)建簽名，并通過統(tǒng)計(jì)測(cè)試分?jǐn)?shù)來分析數(shù)據(jù)的分布差異，然后將上下文添加到簽名中，最后構(gòu)建支持向量機(jī)模型，對(duì)云中的隱蔽流量進(jìn)行分類。該方法的檢測(cè)成本低且準(zhǔn)確率較高。

基于機(jī)器學(xué)習(xí)的檢測(cè)方法，主要通過機(jī)器學(xué)習(xí)算法分析流量數(shù)據(jù)的特征以檢測(cè)出隱蔽通道，該類檢測(cè)方法的評(píng)估指標(biāo)與傳統(tǒng)機(jī)器學(xué)習(xí)算法類似，包括召回率、精確率、準(zhǔn)確率和F1 指標(biāo)，表4展示了部分基于機(jī)器學(xué)習(xí)的檢測(cè)效果。表4 中所有檢測(cè)方法均是針對(duì)時(shí)間隱蔽通道進(jìn)行檢測(cè)的方法，其中，決策樹[74]的檢測(cè)結(jié)果是該類方法的最佳測(cè)試結(jié)果，支持向量機(jī)[75]的結(jié)果是ON-OFF 隱蔽通道（2 000 個(gè)樣本）的最佳檢測(cè)結(jié)果（根據(jù)混淆矩陣計(jì)算得出）。

表4 基于機(jī)器學(xué)習(xí)的檢測(cè)效果

3.3 基于信息論的檢測(cè)方法

基于信息論的檢測(cè)方法通常是比較合法流量和隱蔽流量之間的熵的差異。當(dāng)將熵作為檢測(cè)指標(biāo)時(shí)，主要利用熵來衡量IPD 分布的隨機(jī)性。隱蔽流量往往比合法的顯性流量有更高的熵水平[70]。

針對(duì)利用TCP/IP 網(wǎng)絡(luò)數(shù)據(jù)包中的6 位TCP 標(biāo)志頭部傳輸秘密消息的存儲(chǔ)隱蔽通道，Chow 等[41]提出了一種基于K-L 散度的檢測(cè)方法，使用K-L 散度來描述隱蔽流量與合法流量之間的不規(guī)則性，同時(shí)使用了不同的數(shù)據(jù)處理方法：一種方法是將一對(duì)IP 地址的所有數(shù)據(jù)包總結(jié)為一個(gè)流，另一種方法是使用在這樣一個(gè)流上的滑動(dòng)窗口來生成多幀數(shù)據(jù)包。在檢測(cè)過程中，計(jì)算每個(gè)唯一IP 對(duì)的網(wǎng)絡(luò)流量的TCP 標(biāo)志頻率分布，K-L 散度可以揭示不同頻率分布與這種正態(tài)分布的差異，利用這種差異可以區(qū)分出合法流量和隱蔽流量。

針對(duì)Jitterbug，Wang 等[80]提出了一種基于部分熵檢驗(yàn)的檢測(cè)方法。該方法采用無訓(xùn)練樣本的固定箱策略來獲得箱的分布特征，計(jì)算幾組部分連續(xù)箱的一階熵，并利用加權(quán)均值計(jì)算最終熵值，以區(qū)分Jitterbug 和合法流量。該方法有較好的檢測(cè)效果，且受網(wǎng)絡(luò)抖動(dòng)的影響較小。針對(duì)IP 時(shí)間隱蔽通道（IPCTC,IP covert timing channel）、基于重傳的時(shí)間隱蔽通道（TRCTC,time replay covert timing channel）和Jitterbug 隱蔽通道，Gianvecchio 等[81]和張宇飛等[82]分別提出了基于修正條件熵和基于差分信息熵的檢測(cè)方法。其中，Gianvecchio 等[81]對(duì)HTTP 和SSH 中的上述時(shí)間隱蔽通道有良好的檢測(cè)結(jié)果，張宇飛等[82]也能有效檢測(cè)出上述3 種時(shí)間隱蔽通道。

針對(duì)利用分組數(shù)據(jù)匯聚協(xié)議（PDCP,packet data convergence protocol）和無線鏈路控制層（RLC,radio link control）的序列號(hào)（SN,sequence number）字段構(gòu)建的存儲(chǔ)隱蔽通道，Wang 等[83]提出了一種基于熵的CSC 檢測(cè)方法。該方法對(duì)PDCP 和RLC層的SN 中的隱藏信息敏感，有很好的檢測(cè)效果，并且可以實(shí)時(shí)在線和離線存儲(chǔ)檢測(cè)。Darwish 等[84]利用基于MapReduce 技術(shù)的層次熵算法檢測(cè)大數(shù)據(jù)中的時(shí)間隱蔽通道，該方法的檢測(cè)速度很快，隨著時(shí)延的增加，檢測(cè)精度和準(zhǔn)確率也會(huì)明顯提高?；谛畔⒄摰臋z測(cè)方法主要是基于熵理論對(duì)隱蔽通道進(jìn)行識(shí)別。表5 展示了部分基于信息論的檢測(cè)效果，分別從隱蔽通道類型、真陽(yáng)率、假陽(yáng)率和是否能盲檢4 個(gè)方面對(duì)檢測(cè)方法進(jìn)行比較。表5 中，基于K-L 散度[41]、基于修正條件熵[81,83]和基于香農(nóng)熵[83]的真陽(yáng)率及假陽(yáng)率均是文獻(xiàn)中所給出的最優(yōu)檢測(cè)結(jié)果。

表5 基于信息論的檢測(cè)效果

3.4 基于信息流分析的檢測(cè)方法

在基于信息流分析的檢測(cè)方面，早期研究主要通過分析系統(tǒng)的無干擾性來發(fā)現(xiàn)隱蔽通道。無干擾性是指當(dāng)系統(tǒng)中低安全級(jí)數(shù)據(jù)的輸出不對(duì)高安全級(jí)的信息產(chǎn)生干擾時(shí)，系統(tǒng)是安全的。在基于無干擾性分析系統(tǒng)安全性時(shí)，可以將隱蔽通道的概率特性[85]和時(shí)間特性[86]加入信息流安全屬性當(dāng)中，通過分析信息流安全屬性來檢測(cè)隱蔽通道。

針對(duì)Applet 對(duì)物聯(lián)網(wǎng)應(yīng)用平臺(tái)發(fā)起的隱蔽通道攻擊，Bastys 等[48]開發(fā)了一個(gè)用于物聯(lián)網(wǎng)應(yīng)用程序中信息流跟蹤的框架。該框架對(duì)Applet 的反應(yīng)性和計(jì)時(shí)行為進(jìn)行建模，同時(shí)有效地捕捉到了由applet 輸出引起的攻擊者行為的差異。Song 等[87]提出了一種利用信息流圖（IFG,information flow graph）的圖結(jié)構(gòu)檢測(cè)存儲(chǔ)隱藏通道的技術(shù)。IFG 可以為隱蔽通道檢測(cè)提供系統(tǒng)的信息流。通過搜索IFG 的路徑，可以得到操作序列，有助于分析者發(fā)現(xiàn)隱蔽通道。Wu 等[88]提出了一種基于有向信息流圖的源代碼分析方法。該方法將整個(gè)系統(tǒng)劃分為若干獨(dú)立的模塊并分別進(jìn)行分析。從源代碼中找出所有共享變量及其調(diào)用函數(shù)，并將其建模為有向信息流圖。當(dāng)信息流分支在外部接口可見且可修改時(shí)，則存在一個(gè)潛在的隱蔽通道。該方案在Linux 內(nèi)核源代碼中識(shí)別了30 多個(gè)隱蔽通道?；谛畔⒘鞣治龅臋z測(cè)方法通過分析系統(tǒng)中的信息流，以識(shí)別潛在的隱蔽通道。表6 分別從隱蔽通道類型、是否能盲檢和優(yōu)缺點(diǎn)4個(gè)方面對(duì)基于信息流分析的檢測(cè)方法進(jìn)行定性分析。其中，偽通信路徑會(huì)影響檢測(cè)的效率和效果。

表6 基于信息流分析的檢測(cè)方法分析

3.5 其他檢測(cè)方法

針對(duì)利用共享硬件資源等技術(shù)構(gòu)建的隱蔽通道，還沒有形成統(tǒng)一的分析檢測(cè)方法，通常是針對(duì)某一隱蔽通道的具體構(gòu)建技術(shù)進(jìn)行分析，建立檢測(cè)機(jī)制。如云環(huán)境中基于緩存的隱蔽通道，因?yàn)槠錁?gòu)建技術(shù)不同，不能用統(tǒng)一的方法進(jìn)行檢測(cè)。

針對(duì)傳統(tǒng)網(wǎng)絡(luò)隱蔽通道，Wendzel 等[89]提出了一種不受協(xié)議約束的消息排序通道檢測(cè)方法。該方法基于一個(gè)修正的可壓縮性分?jǐn)?shù)，分析了消息排序通道的可檢測(cè)性，結(jié)果表明，消息排序通道的檢測(cè)依賴于所使用的協(xié)議數(shù)據(jù)單元的數(shù)量。

針對(duì)云環(huán)境中的隱蔽通道威脅，Liu 等[90]實(shí)現(xiàn)了一種名為觀測(cè)器的實(shí)時(shí)隱蔽通道檢測(cè)系統(tǒng)。與其他檢測(cè)系統(tǒng)不同，該觀測(cè)器不需要?dú)v史數(shù)據(jù)來構(gòu)建模型，觀察者能夠以較低的時(shí)延和開銷來檢測(cè)隱蔽通道。Wang 等[91]提出了一種隱蔽通道自動(dòng)檢測(cè)方法，設(shè)計(jì)了一種從行為角度準(zhǔn)確定位和分析惡意隱蔽通道的全局檢測(cè)方法。與目前流行的針對(duì)單一隱蔽通道的統(tǒng)計(jì)檢驗(yàn)方法相比，該方法能夠?qū)崟r(shí)識(shí)別和檢測(cè)更多的隱蔽通道。Wu 等[92]提出了一種名為C2 檢測(cè)器的隱蔽通道檢測(cè)系統(tǒng)。C2 檢測(cè)器包括位于管理程序中的捕獲器和基于馬爾可夫及貝葉斯檢測(cè)實(shí)現(xiàn)的兩階段合成算法。Betz 等[93]提出了一個(gè)名為C3-Sched 的級(jí)聯(lián)云調(diào)度器，該調(diào)度器的目的是通過阻止進(jìn)程交替訪問緩存線路來減少客戶數(shù)據(jù)通過C3 緩存隱蔽通道泄露的威脅，在維護(hù)云的性能的同時(shí)最小化全局調(diào)度開銷。Liu[94]提出了一種基于小波的時(shí)間隱蔽通道實(shí)時(shí)檢測(cè)方法，該方法利用一個(gè)安全的虛擬機(jī)來模擬易受攻擊的虛擬機(jī)，它的主要優(yōu)點(diǎn)是不需要?dú)v史流量數(shù)據(jù)，并且具有較高的檢測(cè)精度。

基于緩存的隱蔽通道攻擊使用高度調(diào)優(yōu)的共享緩存沖突將信息從木馬傳遞給間諜進(jìn)程。檢測(cè)這樣的攻擊是非常具有挑戰(zhàn)性的。為檢測(cè)基于緩存的隱蔽通道攻擊，Yan 等[95]提出了一種基于重放混淆的檢測(cè)方法。該方法基于記錄和確定性重放（RnR,record and deterministic replay）技術(shù)，在程序的執(zhí)行被記錄下來之后，使用不同的地址到緩存的映射來重新播放，再分析兩次運(yùn)行的緩存丟失率間的時(shí)間差。如果該差異是相當(dāng)大的，并且表現(xiàn)出周期性的模式，則表示存在隱蔽通道攻擊。

表7 展示了各類隱蔽通道檢測(cè)方法的特點(diǎn)總結(jié)，表8 展示了典型隱蔽通道檢測(cè)方法的細(xì)粒度對(duì)比分析。表8 中，基于機(jī)器學(xué)習(xí)的檢測(cè)方法[74]的準(zhǔn)確率是該類方法的最佳測(cè)試準(zhǔn)確率；基于支持向量機(jī)的檢測(cè)方法[75]的準(zhǔn)確率是ON-OFF 隱蔽通道（2 000 個(gè)樣本）的最佳檢測(cè)準(zhǔn)確率，和基于行為分析的檢測(cè)方法[91]的準(zhǔn)確率結(jié)果均是根據(jù)混淆矩陣計(jì)算得出的；基于重放混淆[95]的檢測(cè)方法的準(zhǔn)確率是根據(jù)最低誤檢率計(jì)算得出的。云環(huán)境下隱蔽通道主要基于CPU 負(fù)載、緩存和共享內(nèi)存等共享資源實(shí)現(xiàn)，鑒于云環(huán)境下隱蔽通道共享資源相對(duì)統(tǒng)一，表9 單獨(dú)展示了部分云環(huán)境下隱蔽通道檢測(cè)方法的細(xì)粒度對(duì)比，主要從檢測(cè)方法的檢測(cè)通道類型、準(zhǔn)確率、是否具有自動(dòng)盲檢功能（檢測(cè)多隱通道）和優(yōu)缺點(diǎn)5 個(gè)方面對(duì)隱蔽通道檢測(cè)方法進(jìn)行對(duì)比分析。

表7 各類隱蔽通道檢測(cè)方法特點(diǎn)

表8 典型隱蔽通道檢測(cè)方法細(xì)粒度對(duì)比分析

表9 云環(huán)境下隱蔽通道檢測(cè)方法細(xì)粒度對(duì)比分析

4 未來發(fā)展趨勢(shì)

隱蔽通道雖然已有多年的研究歷史，但是，國(guó)內(nèi)外關(guān)于隱蔽通道的研究還不夠深入，尚有很多挑戰(zhàn)和研究方向需要繼續(xù)探討，主要包括以下幾個(gè)方面。

1) 隱蔽通道的度量方法

隱蔽通道的度量作為隱蔽通道研究的關(guān)鍵技術(shù)，是評(píng)估隱蔽通道性能的重要方法。隱蔽通道的度量指標(biāo)也是隱蔽通道的構(gòu)建與檢測(cè)的重要參考。但是目前關(guān)于不同網(wǎng)絡(luò)及信道環(huán)境下的隱蔽通道的度量尚未形成完全統(tǒng)一、合理有效的度量指標(biāo)。

具體來講，雖然隱蔽通道的容量和穩(wěn)健性的度量方法已經(jīng)相對(duì)統(tǒng)一，但是抗檢測(cè)性、規(guī)律性和形狀的度量方法尚未統(tǒng)一，主要是因?yàn)楦黝愲[蔽通道的差異較大，不僅通信環(huán)境不同，隱蔽通道利用的共享資源也不盡相同，而且隱蔽通道的規(guī)律性和形狀主要是時(shí)間隱蔽通道的度量指標(biāo)，因此，如何用統(tǒng)一的方法對(duì)隱蔽通道的抗檢測(cè)性、規(guī)律性和形狀進(jìn)行度量是該領(lǐng)域的一項(xiàng)重要挑戰(zhàn)。

針對(duì)該挑戰(zhàn)，可以從2 個(gè)方面開展更深入的研究：一方面可以將隱蔽通道根據(jù)通信環(huán)境和共享資源的共性進(jìn)行分類，針對(duì)相同網(wǎng)絡(luò)環(huán)境下共享資源構(gòu)建的同類隱蔽通道建立統(tǒng)一的度量標(biāo)準(zhǔn)；另一方面可以依賴隱蔽通道的分析與檢測(cè)技術(shù)，結(jié)合共享資源的具體特性，增強(qiáng)度量指標(biāo)的適用性，如在度量抗檢測(cè)性時(shí)，除了評(píng)估隱蔽通道的檢測(cè)效果還可以結(jié)合檢測(cè)開銷。

2) 隱蔽通道的構(gòu)建方法

在隱蔽通道的構(gòu)建方面，構(gòu)建一個(gè)高容量、穩(wěn)健且抗檢測(cè)性強(qiáng)的隱蔽通道一直是研究者的重要目標(biāo)。現(xiàn)有的隱蔽通道構(gòu)建技術(shù)研究尚難以同時(shí)實(shí)現(xiàn)多個(gè)高性能指標(biāo)，往往是在各個(gè)指標(biāo)之間進(jìn)行權(quán)衡，比如雖然修改硬件共享資源可以提高隱蔽通道的容量，但是往往會(huì)降低抗檢測(cè)性；若要提高抗檢測(cè)性，通常要減小容量。因此，如何構(gòu)建同時(shí)具備多個(gè)高性能指標(biāo)的隱蔽通道也是該領(lǐng)域亟須解決的重要問題。

若要提高隱蔽通道性能，一方面，通信雙方可以同時(shí)利用多種共享資源進(jìn)行隱蔽通信或者發(fā)掘更多高質(zhì)量的共享資源；另一方面，可以利用網(wǎng)絡(luò)環(huán)境的特點(diǎn)構(gòu)建高性能隱蔽通道，如利用區(qū)塊鏈固有的加密屬性，選擇高效的信息隱藏或加密算法，提高隱蔽通道的抗檢測(cè)性。

3) 隱蔽通道的檢測(cè)方法

在隱蔽通道的檢測(cè)方面，因?yàn)楦鞣N隱蔽通道的差異較大，尚未形成相對(duì)統(tǒng)一的檢測(cè)方法，現(xiàn)有的檢測(cè)技術(shù)多為針對(duì)某一具體隱蔽通道的特性進(jìn)行檢測(cè)。如何實(shí)現(xiàn)一個(gè)高檢測(cè)精度、抗噪且具備盲檢功能的檢測(cè)方法仍然是一個(gè)艱巨的挑戰(zhàn)。

若想克服該挑戰(zhàn)，可以針對(duì)具有相同或相似的共享資源的隱蔽通道，通過分析該共享資源的特點(diǎn)，建立通用的檢測(cè)框架。如針對(duì)利用網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)包字段等共享資源建立的時(shí)間或存儲(chǔ)隱蔽通道，可以基于熵、統(tǒng)計(jì)和機(jī)器學(xué)習(xí)方法分析協(xié)議或數(shù)據(jù)包字段的特征檢測(cè)潛在的隱蔽通道。

5 結(jié)束語(yǔ)

隱蔽通道的存在是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)空間面臨的一個(gè)巨大的安全挑戰(zhàn)。隨著網(wǎng)絡(luò)的泛在化及隱蔽通信技術(shù)的發(fā)展，隱蔽通道給多種網(wǎng)絡(luò)環(huán)境均帶來了巨大的安全風(fēng)險(xiǎn)，泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的研究變得尤為重要。本文首先介紹了泛在網(wǎng)絡(luò)環(huán)境下的隱蔽通道的容量、穩(wěn)健性、抗檢測(cè)性、規(guī)律性和形狀5 個(gè)典型指標(biāo)的度量方法；其次，系統(tǒng)分析了物聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)、云環(huán)境、Air-gap 系統(tǒng)、區(qū)塊鏈和車載自組網(wǎng)中隱蔽通道的構(gòu)建技術(shù)，并從共享資源、容量、穩(wěn)健性、抗檢測(cè)性、優(yōu)點(diǎn)和缺點(diǎn)6 個(gè)方面對(duì)隱蔽通道構(gòu)建技術(shù)進(jìn)行了對(duì)比分析；再次，從基于統(tǒng)計(jì)、基于機(jī)器學(xué)習(xí)、基于信息論、基于信息流分析和其他檢測(cè)方法5 個(gè)方面對(duì)泛在網(wǎng)絡(luò)環(huán)境下隱蔽通道的檢測(cè)技術(shù)進(jìn)行歸納和多角度對(duì)比分析；最后，指出了現(xiàn)有技術(shù)的優(yōu)缺點(diǎn)和存在的問題，針對(duì)隱蔽通道的構(gòu)建和檢測(cè)技術(shù)的不足，給出了具體建議，分析了隱蔽通道的未來研究方向。