НАУЧНО-ТЕХНИЧЕСКИИ ВЕСТНИК ИНФОРМАЦИОННЫХ ТЕХНОЛОГИИ, МЕХАНИКИ И ОПТИКИ сентябрь-октябрь 2018 Том 18 № 5 ISSN 2226-1494 http://ntv.i1mo.ru/
SCIENTIFIC AND TECHNICAL JOURNAL OF INFORMATION TECHNOLOGIES, MECHANICS AND OPTICS September-October 2018 Vol. 18 No 5 ISSN 2226-1494 http://ntv.ifmo.ru/en
УДК 004.056
МЕТОД ОРГАНИЗАЦИИ СКРЫТОГО КАНАЛА ПЕРЕДАЧИ ИНФОРМАЦИИ НА ОСНОВЕ ПРОТОКОЛА ПОТОКОВОЙ ПЕРЕДАЧИ ДАННЫХ П.М. Шипулин1,'\ В.В. Козин\ А.Н. Шниперов1"
a АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва», г. Железногорск Красноярского края, 662972, Российская Федерация
b Сибирский федеральный университет, Красноярск, 660041, Российская Федерация Адрес для переписки: [email protected] Информация о статье
Поступила в редакцию 29.05.18, принята к печати 14.07.18 doi: 10.17586/2226-1494-2018-18-5-834-842 Язык статьи - русский
Ссылка для цитирования: Шипулин П.М., Козин В.В., Шниперов А.Н. Метод организации скрытого канала передачи информации на основе протокола потоковой передачи данных // Научно-технический вестник информационных технологий, механики и оптики. 2018. Т. 18. № 5. С. 834-842. doi: 10.17586/2226-1494-2018-18-5-834-842
Аннотация
Рассмотрены современные методы организации скрытых сетевых каналов передачи информации. Выдвинуто предположение об эффективности использования протоколов потоковой передачи данных для организации скрытых каналов. Предложен метод скрытого обмена информацией в открытых сетях. Приведена функциональная модель стеганосистемы на основе протокола RTP и показан ее программный прототип. Приведены оценочные характеристики стеганосистемы. Показаны результаты эксплуатационного тестирования программного прототипа стеганосистемы в лабораторных условиях и в сети Интернет. Программный прототип показал высокую скрытность при приемлемой для многих задач пропускной способности. Вместе с тем выявлено снижение передающих характеристик системы по мере усложнения маршрутов передачи сетевой среды. Полученные результаты исследований имеют две важнейшие области применения. Методики детектирования нелегальных сетевых стеганоканалов могут быть использованы разработчиками DLP-систем, правоохранительными органами и оборонными ведомствами. Предлагаемый метод скрытой передачи информации может быть использован для организации телеметрического канала системы связи, например, спутниковой. Ключевые слова
стеганография, стеганосистема, скрытый информационный канал, скрытая передача информации, сетевая стеганография, протокол потоковой передачи данных
COVERT CHANNEL TECHNIQUE BASED ON STREAMING PROTOCOL P.M. Shipulinab, V.V. Kozinb, A.N. Shniperovb
aAcademician M.F. Reshetnev Information Satellite Systems, Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation
bSiberian Federal University, Krasnoyarsk, 660041, Russian Federation Corresponding author: [email protected] Article info
Received 29.05.18, accepted 14.07.18 doi: 10.17586/2226-1494-2018-18-5-834-842 Article in Russian
For citation: Shipulin P.M., Kozin V.V., Shniperov A.N. Covert channel technique based on streaming protocol. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, 2018, vol. 18, no. 5, pp. 834-842 (in Russian). doi: 10.17586/2226-1494-201818-5-834-842
Abstract
The paper presents analysis of modern network covert channels. The authors set forward a hypothesis of effective streaming protocol usage for covert channel creating. Covert channel technique for open networks is proposed. RTP-based covert channel functional model is described. Estimated characteristics of software prototype are reported. The results of stegano system software prototype operational testing in laboratory conditions and the Internet are described. Software prototype demonstrated high covertness with allowable capacity for many tasks. At the same time transfer characteristics decrease with the complication of network topology. Obtained research results have two application domains of prime importance. On the one hand, illegal covert channel detection methods can be used by DLP-systems developers, law-enforcement agencies and
defense establishments. On the other hand, the proposed method for covert information transmission can be used in
telemetered covert channel creation, for example, satellite communication
Keywords
steganography, stegano system, covert channel, covert information transmission, network steganography, streaming transfer protocol
Введение
Вопросы, связанные со стеганографическими методами сокрытия информации и их обнаружением, широко обсуждаются в сфере информационной безопасности в силу того, что они создают весьма существенную и вполне реальную угрозу безопасности не только в государственной, но и в коммерческой сфере [1]. В последнем случае речь идет, прежде всего, об организации утечек конфиденциальной информации и противодействия им. Интенсивное развитие информационно-вычислительных сетей и технологий, включая сервисы, базирующиеся на сетевых протоколах реального времени, например, в [2, 3], способствует развитию и методов сетевой стеганографии, позволяющих на базе телекоммуникационного канала связи организовать скрытый информационный канал.
В общем случае сетевая стеганография реализует ряд групп методов сокрытия информации посредством модификации данных в сетевых пакетах протоколов эталонной модели OSI (Open Systems Interconnection basic reference model), модификации структуры передачи пакетов или гибридным подходом [4]. Методы сетевой стеганографии, основанные на модификации данных в сетевых пакетах, осуществляют изменение полей служебных данных [5, 6] или манипулируют размером пакетов [7], например, посредством их фрагментирования. При этом содержательная часть пакетов остается без изменения, и основной коммуникационный канал не нарушается. Методы сетевой стеганографии, основанные на модификации структуры передачи пакетов, не изменяют данные в пакетах, однако вносят изменения в структуру передачи пакетов таким образом, чтобы «зашумление» основного канала передачи информации было минимальным. Для скрытой передачи могут использоваться временные задержки между пакетами [8], в том числе и такие, которые имитируют обычный сетевой трафик [9]. Гибридные методы используют оба подхода к организации скрытого канала. Заметим, что первая группа методов в современной стеганографии почти не применяется по причине ее низкой скрытности [10].
Наиболее значимыми параметрами методов сетевой стеганографии являются пропускная способность скрытого канала передачи информации, его стоимостная оценка (ухудшение характеристик основного канала), робастность (устойчивость скрытого канала в условиях естественных шумов и противодействия) и вероятность обнаружения [11]. Последний параметр является ключевым в силу самого назначения любого стеганографического метода. Как правило, пропускная способность скрытого канала находится в прямой зависимости от вероятности его обнаружения. Исходя из этого, с точки зрения разработки стеганографического метода важно найти разумный баланс между всеми его значимыми параметрами, прежде всего, по показателю скрытности.
Как уже было отмечено, в настоящее время свою популярность приобрели различные сервисы и устройства, использующие протоколы потоковой передачи данных, например, RTP (Real-time Transport Protocol). Это IP-камеры, используемые для видеонаблюдения, а также сервисы интернет-телевидения и интернет-радио, которые передают мультимедийные данные достаточно большого объема в режиме реального времени. Их протоколы не гарантируют доставку содержимого, являются широковещательными, а также не имеют жестко заданных параметров работы [12]. Данные особенности дают ряд возможностей для организации скрытого канала передачи информации поверх основного.
В данной работе предлагается метод организации скрытого канала передачи информации на базе транспортного протокола реального времени RTP. Кроме того, в работе описывается модель сетевой сте-ганосистемы и протокол скрытой передачи информации. Описанная стеганосистема была реализована в виде программного прототипа. В работе приводятся оценки основных характеристик стеганоканала, полученные при передаче в лабораторных условиях и сети Интернет.
Предлагаемый метод организации скрытого канала передачи информации
В 2001 году С. Серветто в работе [13] указал на возможность умышленного пропуска пакетов при передаче потока данных для создания скрытого канала передачи информации. Суть идеи заключалась в том, что один переданный или пропущенный пакет в некоторый интервал времени соответствует одному разряду передаваемой скрытой информации. В 2004 году С. Кабук в работе [14] описал модель стегано-системы, основанную на изменении скорости передачи пакетов: получатель может восстановить скрываемую информацию, измеряя скорость получения пакетов за определенные интервалы времени.
Описанные идеи были использованы при разработке метода организации скрытого канала передачи информации, где стеганоконтейнером выступает RTP-поток. Метод встраивания стеганосообщения базируется на передачи бинарной последовательности длины N в виде последовательности RTP-пакетов: переданный пакет соответствует единичному биту, фантомный (намеренно пропущенный) - нулевому (рис. 1). Временные промежутки t между RTP-пакетами считаются равными друг другу.
Рис. 1. Стеганоканал на базе РТР-потока
Для эффективной передачи стеганосообщений подобным способом их необходимо подготовить к передаче, добавив средства контроля целостности. Кроме того, необходимо обеспечить приемлемое «за-шумление» ЮТ-потока, чтобы его характеристики менялись незначительно. Данные требования реализованы в предлагаемой стегано системе.
Структурная схема построения стегано системы, представленная на рис. 2, является практически классической для сетевой стеганографии [15]. Отличие заключается в том, что, кроме основного канала передачи информации - передатчик-приемник, схема включает в себя и дополнительный - управляющий канал связи передатчик-приемник, посредством которого осуществляется конфигурирование стеганоси-стемы. Этим управляющим каналом может быть, например, канал для управления устройством, с которо -го ведется широковещательная передача.
Основным элементом передатчика стегано системы является модулятор, который, используя выходные значения с таймера и генератора псевдослучайных чисел (ГПСЧ), модулирует стеганокодером основной канал - поток ЮТ-данных в соответствии с передаваемым стегано сообщением. Изменения в основном канале производятся передатчиками стегано системы таким образом, чтобы приемник, имеющий зеркальное строение, имел возможность извлечь стеганосообщение.
Рис. 2. Принципиальная схема стеганосистемы
Стеганокодер в процессе модулирования RTP-потока определяет, какой пакет следует в действительности передать, а какой намеренно пропустить (сделать фантомным). Таймер на стороне передатчика используется для поддержания стабильности временных задержек между всеми передаваемыми RTP-пакетами (реальными и фантомными) - это необходимо для однозначной интерпретации потока на стороне приемника при помощи синхронизированного с передатчиком таймера. Посредством конфигуратора на стороне передатчика и приемника инициализируется ГПСЧ и настраивается таймер. Применение в стегано системе ГПСЧ повышает скрытность канала, так как обеспечивает псевдослучайность появления фантомных пакетов, а также увеличивает конфиденциальность, затрудняя извлечение стеганосообщения из уже раскрытого стеганоканала. В качестве ГПСЧ может быть использован любой генератор, имеющий большой период.
Стеганодетектор предназначен для идентификации передачи скрытого сообщения в RTP-потоке. Стеганодекодер устанавливает соответствие между бинарной последовательностью скрытого сообщения, передаваемого по стеганоканалу, и потоком RTP-пакетов основного канала.
Модель стеганосистемы и протокол скрытой связи
Функциональная модель предлагаемой стеганосистемы представляет собой совокупность следующего вида:
S = (M, FC, SP, SUP, SV, Enc, Dec, PR PC),
где M- множество передаваемых скрытых сообщений; FC - потоковый стеганоконтейнер (RTP-пакеты); SP: M ^ GP - отображение скрытого сообщения в бинарном виде в группы метапакетов (стеганоупаков-щик); SUP: GP ^ M - отображение групп метапакетов в скрытое сообщение в бинарном виде (стегано-распаковщик); SV - валидатор, обеспечивающий проверку целостности полученного стеганосообщения;
t
Епс: ОР ^ ГС - отображение групп метапакетов в потоковый стеганоконтейнер (стеганокодер); Овс: ГС ^ ОР - отображение потокового стеганоконтейнера в группы метапакетов; РЯ = {рг1, рг2, рг3, рг41 - стек протоколов передачи стегано сообщения; РС - протокол управления.
В предлагаемой модели стегано системы взаимодействие между приемником и передатчиком обеспечивает оверлейный стек протоколов - РЯ, реализованный над протоколом ЯТР. На рис. 3 проиллюстрирована аналогия соответствия внутреннего стека протоколов РЯ стеганосистемы и стека протоколов модели 0811 (избранным ее уровням: 1, 3, 4, 6). Протокол рг4, являясь протоколом верхнего уровня, представляет стегано сообщение в открытом, бинарном виде. Протокол рг3 предназначен для упаковки стега-носообщения в метапакеты - абстрактные сущности, предназначенные для передачи нескольких бит сте-ганосообщения с возможностью обнаружения двух ошибок и исправления одной. Протокол рг2 организует группу метапакетов с заданной их избыточностью (дублированием в пределах группы от 1 до п раз) и контролем целостности, готовой к дальнейшей передаче. Протокол рг1 обеспечивает передачу групп метапакетов посредством модулирования ЯТР-потока.
Рис. 3. Аналогия соответствия стека протоколов стеганосистемы модели OSI Опишем предлагаемый протокол взаимодействия передатчика и приемника.
Расчет параметров стеганосистемы. При подготовке стеганосистемы к передаче данных производится ряд предварительных действий.
Шаг 1. Передатчиком производится тестовая передача пустого потокового контейнера (множества RTP-пакетов) FC = (rtp1,rtp2,...,rtpk^ . Приемник вычисляет потенциальную емкость потокового кон-
k
тейнера Z = ^ zi , где zi е [0; 1] обозначает пришедший либо не пришедший RTP-пакет, и
i=1
T = {t1,t2,...,tk- последовательность задержек между RTP-пакетами, где ti - задержка между получением i-го и (i+1) RTP-пакета.
1 k _1
Шаг 2. Приемник вычисляет ц = — ^ (ti+1 _ ti ), ti е T - среднее время задержки между пакетами.
k i=0
Шаг 3. Приемник генерирует вектор инициализации IV, который будет использоваться ГПСЧ для генерации псевдослучайных последовательностей.
Шаг 4. По каналу управления PC приемник передает совокупность параметров {Z, ц,IV j на передатчик, из которых Z и ц являются оценочными характеристиками пустого потокового контейнера (его потенциальная емкость и среднее время задержки между RTP-пакетами). На передатчик могут быть переданы и другие конфигурационные параметры, например, коэффициент избыточности (дублирования) передаваемой скрытой информации.
Шаг 5. На передатчике на основе полученной характеристики Z выбирается величина вносимых искусственных потерь RTP-пакетов L (регулирует среднее число фантомных пакетов). Передатчиком также устанавливается величина искусственной задержки td >> ц , которая является признаком начала
передачи заполненного потокового контейнера, где « >> » - знак «намного больше».
Подготовка стеганосообщения к передаче. Перед заполнением потокового контейнера FC скрытое сообщение mt е M необходимо подготовить (упаковать) посредством отображения SUP : GP ^M, которое реализует следующий алгоритм.
Шаг 1. Скрываемое сообщение mt е M представляется в виде бинарной последовательности
mt ^ MBn = (mb1,mb2,...,mbn} .
1ISO/IEC 7498-4:1989. - Information technology - Open Systems Interconnection - Basic Reference Model: Naming and addressing.
Шаг 2. Для контроля целостности и возможности исправления ошибок передачи сообщение упаковывается в метапакеты MBn ^ Pa p", p,"..., pam}, где
pj = (j • mbt • mbt+1 •... • mbt+a • H(mbi • mbt+1 •... • mb+a)) , j - порядковый номер метапакета,
i = (j • a) — a +1 - порядковый номер бита mbt скрываемого сообщения, H(x) - функция вычисления
проверочных бит по битам скрываемого сообщения (на основе кодов Хемминга), « • » - операция конкатенации, a - размер информативной части метапакета. Количество проверочных символов кода Хемминга р выбирается таким образом, чтобы параметры кодирования удовлетворяли условиям
(2р — 1) £ Z ,(2р — 1 — р) £ Z и (2р — 1 — р) = a .
Шаг 3. Метапакеты группируются следующим образом GP: Pa ^ Gy5 gf,g,,...,g^j , где g5 =((p" * 5)•...•(pi+Y *5))^Q(pj •...• pi+Y), 5 - коэффициент дублирования метапакетов в группе,
у - размер группы метапакетов, Q(x) - функция вычисления контрольной суммы CRC-8, «*» - операция повторения посредством конкатенации.
Шаг 4. Для контроля целостности всего стеганосообщения формируется начальная группа метапакетов g0 = |p0 p0)•□(p0 • □(p0))] , где p0 - метапакет, содержащий размер передаваемого скрытого сообщения. Начальная группа g0 передается в самом начале передачи.
Передача стеганосообщения. Стеганокодер передатчика формирует последовательность RTP-пакетов посредством отображения Enc : GP ^ FC = {rtp1,rtp2,...,rtpz} , где rtpt - RTP-пакет. Функция стеганокодирования (модулирования RTP-трафика) принимает следующий вид:
T = It = bj: bj£ g0 ^ GY ^ v£ г,
t It=1 ^v«г,
где у - псевдослучайное число, соответствующее передаваемому RTP-пакету, bj - текущий бит из подготовленного к передачи стеганосообщения. Если Ti = 1, RTP-пакет передается, если Ti = 0, RTP-пакет
намеренно пропускается (фантомный пакет). При передаче стеганосообщения ГПСЧ формирует последовательность Г, которая соответствует последовательности номеров позиций пакетов в RTP-потоке, которые будут переданы (у = 1) или намеренно пропущены (у = 0). При каждой новой попытке передать стеганосообщение ГПСЧ инициализируется заново для повторной синхронизации ГПСЧ на приемнике и передатчике.
Прием стеганосообщения. Стеганодекодер приемника из последовательности принятых RTP-пакетов (потокового контейнера) формирует группы метапакетов посредством отображения Dec : FC ^ GP = g„ ^ Gy , включая стартовую группу g0 с параметрами стеганосообщения, которое реализует следующий алгоритм.
Шаг 0. Стеганодетектор приемника регистрирует задержки между всеми принятыми RTP-пакетами, прием стеганосообщения начинается, когда очередная задержка больше или равна td - величине искусственной задержки, являющейся признаком начала стеганопередачи.
Шаг 1. Приемник инициализирует ГПСЧ вектором инициализации IV и запускает его. Шаг 2. Предполагая равномерную передачу последовательности пакетов, стеганодекодер приемника регистрирует принятые/пропущенные RTP-пакеты, формируя бинарную последовательность
R = (r¥],rV2,...,rv :r £[0;1]]. Регистрация наличия/отсутствия RTP-пакета осуществляется только в
позициях, заданных у £Г - псевдослучайным числом, полученным от ГПСЧ.
Распаковка стеганосообщения. Для распаковки скрытого сообщения приемником используется отображение SUP: GP ^ M, которое реализует следующий алгоритм.
Шаг 1. В соответствии с параметрами стеганосистемы из полученной бинарной последовательности извлекается начальная группа g0 с параметрами стеганосообщения, а также формируются группы метапакетов GP.
Шаг 2. Из каждой группы метапакетов извлекаются ее метапакеты f: Gf ^ Pa , проверяется их
контрольная сумма, а также контрольная сумма группы.
Шаг 3. Если удалось получить корректные метапакеты, то шаг 6.
Шаг 4. Если контрольная сумма не совпала ни для одного метапакета в группе, то для каждого из них пытаемся произвести процедуру исправления одной ошибки по коду Хемминга.
Шаг 5. Повторно проверяем CRC-8 для всех метапакетов в группе. Если корректные метапакеты получены, переходим на шаг 6, иначе посредством протокола PC делаем запрос на повторную передачу
стеганосообщения (корректно полученные метапакеты сохраняются для последующих попыток распаковки), и алгоритм распаковки прерывается.
Шаг 6. Из метапакетов извлекается бинарное сообщение f : Pа ^ MBn.
Шаг 7. Для контроля целостности всего бинарного сообщения его контрольная сумма сравнивается с той, которая получена из начальной группы g0 на шаге 1. Если результат проверки отрицательный,
делаем запрос на повторную передачу стеганосообщения, и алгоритм распаковки прерывается.
Шаг 8. Бинарное сообщение преобразуется к оригинальному виду.
Программная реализация стеганосистемы и результаты испытаний
При разработке программного прототипа, реализующего предлагаемый метод скрытой передачи информации, необходимо учитывать следующие факторы:
- состояние сети (во время пиковой нагрузки с высокой вероятностью будут наблюдаться значительные естественные задержки между пакетами и ошибки в очередности пакетов. Вероятность успешного получения RTP-пакета падает);
- вычислительные возможности отправителя и получателя (при обработке пакетов возможно возникновение непреднамеренных временных задержек между пакетами);
- сложность алгоритма (с увеличением сложности алгоритма отправки/обработки пакетов возможно возникновение непреднамеренных временных задержек между пакетами).
В силу вышеизложенного было принято решение, что программный прототип стеганосистемы будет иметь модульную структуру. Ядро стеганосистемы, реализующее взаимодействие с пользователем и непосредственную модуляцию RTP-потока, реализовано на языке высокого уровня С++. Для работы с RTP-потоком используется библиотека JRTPLIB1.
Для реализации подготовительных операций для передачи стеганосообщения были спроектированы модули на языке высокого уровня Python:
- расчет оценочных параметров пустого потокового контейнера (его потенциальная емкость и среднее время задержки между RTP-пакетами);
- генерация псевдослучайных чисел на основе алгоритма Xorshift [16];
- стеганоупаковщик и стеганораспаковщик.
По своему составу программный прототип представляет собой клиент-серверное приложение, состоящее из двух частей - сервера и клиента. Модули реализованы кроссплатформенно. Ядро программы реализовано как консольное приложение для операционной системы Microsoft Windows.
Для проведения тестирования программного прототипа в лабораторных условиях была создана локальная сеть из двух коммутаторов и трех маршрутизаторов.
Зависимость времени передачи стеганосообщения от начальных параметров стеганосистемы представлена в табл. 1.
Количество вносимых потерь на 50 000 RTP-пакетов Коэффициент дублирования Время передачи, мин
0 30 70 137
3 1 65 153 290
2 100 223 430
0 18 44 82
5 1 40 85 175
2 72 129 260
0 11 25 55
8 1 24 54 120
2 39 76 188
200 500 1024
Размер сообщения, Б
Таблица 1. Время передачи стеганосообщения в зависимости от начальных параметров стеганосистемы
Скорость передачи стеганосообщения напрямую зависит от величины коэффициента дублирования 5 и количества вносимых потерь.
Во всех экспериментах инициализация скрытого канала проходила успешно, стеганосообщение передавалось в полном объеме, количество ошибок было минимальным. После передачи клиент стеганосистемы успешно восстанавливал стеганосообщение за счет обнаружения и исправления ошибок
1 http://research.edm.uhasselt.be/jori/page/CS/Jrtplib.html
в метапакетах и проверки контрольных сумм. При проведении тестирования в реальных условиях сети Интернет стеганосообщение передавалось по маршруту, включающему в себя произвольное количество сегментов с разными шлюзами.
Пропускная способность стеганоканала существенно уменьшилась при переходе из локальной вычислительной сети в сеть Интернет. Инициализация скрытого канала передачи проходила успешно, однако стеганосообщение передавалось корректно не в полном объеме. Передаваемое стеганосообщение имело размер, равный 1024 Б. В табл. 2 приведена зависимость успешного получения сообщения от начальных параметров стеганосистемы и времени суток проведения эксперимента при коэффициенте избыточности, равном 5 = 0 .
Время проведения эксперимента Вероятность получения сообщения
1:00-9:00 10 14 20 25 23 52 86 100 100 100
9:00-17:00 6 1 11 19 27 33 60 71 87 100
17:00-1:00 1 1 1 1 02 03 7 10 15 20
4 10 20 40 80 200 400 800 2х103 10х103
Количество вносимых потерь на 50 000 ЯТР-пакетов
Таблица 2. Вероятность успешного получения сообщения, %, от начальных параметров стеганосистемы
и времени проведения испытаний
На основании полученных результатов может быть сделан следующий вывод: нагрузка на сетевое оборудование в течение дня изменяется, что сказывается на возможности полной передачи стеганосооб-щения.
Оценка робастности и необнаружимости скрытого канала связи
Как уже было отмечено, при оценке стеганоканала необходимо учитывать следующие его характеристики: пропускную способность, робастность, необнаружимость (скрытность), стоимость канала [11]. Следует отметить, что максимальные значения пропускной способности, робастности и скрытности не являются совместными, а находятся в попарной обратной зависимости друг от друга.
Для разработанного программного прототипа стеганосистемы были получены следующие оценки.
Пропускная способность может быть оценена качественно скоростью передачи данных посредством скрытого канала связи (стеганоканала). В зависимости от начальных параметров стеганосистемы для передачи 200 Б потребуется от 11 до 100 мин (см. табл. 1).
Стоимость канала может быть оценена количеством намеренно пропущенных пакетов в ЯТР-канале. В зависимости от начальных параметров стеганосистемы количество вносимых потерь изменялось между 3, 5 и 8 пакетами на каждые 50 000 ЯТР-пакетов.
Необнаружимость стеганоканала может быть оценена как качественно, так и количественно. Высокая качественная оценка необнаружимости канала связана с тем, что человеческие органы чувств не способны распознать потерю некоторого объема потерянных данных (ЯТР-пакетов) в много большем объеме передаваемых данных. Количественная оценка необнаружимости канала может быть сделана на основе анализа ЯТР-трафика, например, статистического. Измерение характеристик канала связи для автоматической настройки стеганосистемы и использование ГПСЧ при формировании намеренных потерь не нарушает статистику распределения полученных/потерянных пакетов, что подтверждено проверкой статистических критериев согласия для пустого потокового контейнера и заполненного (в котором имеются намеренные потери).
Робастность стеганоканала может быть оценена количественно. В локальной компьютерной сети, при отсутствии значительных внешних помех, стеганосообщение передавалось с потерями 0%. В сети Интернет, при естественном воздействии недетерминированных помех, в зависимости от начальных параметров стеганосистемы потери составляли 0-100% (см. табл. 2).
Заключение
В работе предлагается метод организации скрытого канала передачи информации на базе транспортного протокола реального времени ЯТР. Описана функциональная модель сетевой стеганосистемы, протокол скрытой связи, приведены характеристики стеганоканала, полученные с использованием разработанного программного прототипа.
Как показали эксперименты по организации стеганоканала в локальной вычислительной сети, предлагаемые метод скрытой передачи и стеганосистема реализуемы на практике. Оценочные характеристики носят вполне удовлетворительный характер. Однако эксперименты с использованием сети Интернет показали, что данное исследование требует дальнейшего развития. В частности, необходимо рас-
смотреть более эффективные методы помехоустойчивого кодирования в задачах реализации протоколов скрытой связи.
Полученные результаты исследований в данной области имеют две противоположные области применения. С одной стороны, методики детектирования нелегальных сетевых стеганоканалов могут быть предложены к использованию разработчикам БЬР-систем, правоохранительным органам и оборонным ведомствам. С другой стороны, предлагаемый метод скрытой передачи информации может быть использован для организации телеметрического канала системы связи, например, спутниковой.
Литература
1. Gutierrez-Cardenas J.M. Steganography and data loss prevention: an overlooked risk? // International Journal of Security and Its Applications. 2017. V. 11. N 4. P. 71-84. doi: 10.14257/ijsia.2017.11.4.06
2. Karas M., Mazurczyk W., Szczypiorski K. SkyDe: a Skype-based steganographic method // International Journal of Computers, Communications & Control. 2014. V. 8. N 3. P. 432-443. doi: 10.15837/ijccc.2013.3.469
3. Janicki A., Karas M., Mazurczyk W., Szczypiorski K. YouSkyde: information hiding for Skype video traffic // Multimedia Tools and Applications. 2016. V. 75. N 21. P. 13521-13540. doi: 10.1007/s11042-015-2740-0
4. Mazurczyk W., Wendzel S., Zander S., Houmansadr A., Szczypiorski K. Information Hiding in Communication Networks: Fundamentals, Mechanisms, Applications, and Countermeasures. Wiley, 2016. 296 p.
5. Dyatlov A., Castro S. Exploitation of data streams authorized by a network access control system for arbitrary data transfers: tunneling and covert channels over the http protocol. Technical Report. Gray World, 2003. 8 p.
6. Rowland C.H. Covert channels in the TCP/IP protocol suite // First Monday. 1997. V. 2. N 5. 15 p. doi: 10.5210/fm.v2i5.528
7. Lewis S., Murdoch S.J. Embedding covert channels into TCP/IP // Lecture Notes in Computer Science. 2005. V. 3727. P. 247261. doi: 10.1007/11558859_19
8. Berk V., Cybenko G., Giani A. Detection of covert channel encoding in network packet delays. Technical Report TR 2005536. Dartmouth College, 2005. 11 p.
9. Gianvecchio S., Wang H., Wijesekera D., Jajodia S. Modelbased covert timing channels: automated modeling and evasion // Lecture Notes in Computer Science. 2008. V. 5230. P. 211230. doi: 10.1007/978-3-540-87403-4_12
10. Wendzel S., Mazurczyk W., Caviglione L., Meier M. Hidden and uncontrolled - on the emergence of network steganographic threats // Proc. ISSE 2014 Securing Electronic Business Processes. 2014. P. 123-133. doi: 10.1007/978-3-658-06708-3_9
11. Fridrich J. Applications of data hiding in digital images // Proc. 5th Int. Symposium on Signal Processing and its Applications. Brisbane, Australia, 1999. V. 1. 9 p. doi: 10.1109/isspa.1999.818099
12. Casner S., Frederick R., Jacobson V., Schulzrinne H. RFC 3550. RTP: A Transport Protocol for Real-Time Applications. Network Working Group, 2003. 25 p.
13. Servetto S.D., Vetterli M. Communication using phantoms: covert channels in the Internet // Proc. IEEE Int. Symposium on Information Theory. Washington, 2001. doi: 10.1109/isit.2001.936092
14. Cabuk S., Brodley C., Shields C. IP covert timing channels: design and detection // Proc. 11th ACM Conference on Computer and Communications Security. New York, 2004. P. 178-187. doi: 10.1145/1030083.1030108
15. Houmansadr A., Borisov N. CoCo: coding-based covert timing channels for network flows // Lecture Notes in Computer Science. 2011. V. 6958. P. 314-328. doi: 10.1007/978-3-642-24178-9_22
16. Panneton F., L'Ecuyer P. On the Xorshift random number generators // ACM Transactions on Modeling and Computer Simulati. 2005. V. 15. N 4. P. 346-361. doi: 10.1145/1113316.1113319
References
1. Gutierrez-Cardenas J.M. Steganography and data loss prevention: an overlooked risk? International Journal of Security and Its Applications, 2017, vol. 11, no. 4, pp. 71-84. doi: 10.14257/ijsia.2017.11.4.06
2. Karas M., Mazurczyk W., Szczypiorski K. SkyDe: a Skype-based steganographic method. International Journal of Computers, Communications & Control, 2014, vol. 8, no. 3, pp. 432-443. doi: 10.15837/ijccc.2013.3.469
3. Janicki A., Karas M., Mazurczyk W., Szczypiorski K. YouSkyde: information hiding for Skype video traffic. Multimedia Tools and Applications, 2016, vol. 75, no. 21, pp. 13521-13540. doi: 10.1007/s11042-015-2740-0
4. Mazurczyk W., Wendzel S., Zander S., Houmansadr A., Szczypiorski K. Information Hiding in Communication Networks: Fundamentals, Mechanisms, Applications, and Countermeasures. Wiley, 2016, 296 p.
5. Dyatlov A., Castro S. Exploitation of data streams authorized by a network access control system for arbitrary data transfers: tunneling and covert channels over the http protocol. Technical Report. Gray World, 2003, 8 p.
6. Rowland C.H. Covert channels in the TCP/IP protocol suite. First Monday, 1997, vol. 2, no. 5, 15 p. doi: 10.5210/fm.v2i5.528
7. Lewis S., Murdoch S.J. Embedding covert channels into TCP/IP. Lecture Notes in Computer Science, 2005, vol. 3727, pp. 247-261. doi: 10.1007/11558859_19
8. Berk V., Cybenko G., Giani A. Detection of covert channel encoding in network packet delays. Technical Report TR 2005-536. Dartmouth College, 2005, 11 p.
9. Gianvecchio S., Wang H., Wijesekera D., Jajodia S. Modelbased covert timing channels: automated modeling and evasion. Lecture Notes in Computer Science, 2008, vol. 5230, pp. 211-230. doi: 10.1007/978-3-540-87403-4_12
10. Wendzel S., Mazurczyk W., Caviglione L., Meier M. Hidden and uncontrolled - on the emergence of network steganographic threats. Proc. ISSE 2014 Securing Electronic Business Processes, 2014, pp. 123-133. doi: 10.1007/978-3-658-06708-3_9
11. Fridrich J. Applications of data hiding in digital images. Proc. 5th Int. Symposium on Signal Processing and its Applications. Brisbane, Australia, 1999, vol. 1, 9 p. doi: 10.1109/isspa. 1999.818099
12. Casner S., Frederick R., Jacobson V., Schulzrinne H. RFC 3550. RTP: A Transport Protocol for Real-Time Applications. Network Working Group, 2003, 25 p.
13. Servetto S.D., Vetterli M. Communication using phantoms: covert channels in the Internet. Proc. IEEE Int. Symposium on Information Theory. Washington, 2001. doi: 10.1109/isit.2001.936092
14. Cabuk S., Brodley C., Shields C. IP covert timing channels: design and detection. Proc. 11th ACM Conference on Computer and Communications Security. New York, 2004, pp. 178-187. doi: 10.1145/1030083.1030108
15. Houmansadr A., Borisov N. CoCo: coding-based covert timing channels for network flows. Lecture Notes in Computer Science, 2011, vol. 6958, pp. 314-328. doi: 10.1007/978-3-642-24178-9_22
16. Panneton F., L'Ecuyer P. On the Xorshift random number generators. ACM Transactions on Modeling and Computer Simulati, 2005, vol. 15, no. 4, pp. 346-361. doi: 10.1145/1113316.1113319
Авторы
Шипулин Павел Михайлович - инженер-программист, АО «Информационные спутниковые системы» имени академика М.Ф. Решетнёва», г. Железногорск Красноярского края, 662972, Российская Федерация; аспирант, Сибирский федеральный университет, Красноярск, 660041, Российская Федерация, ORCID ID: 0000-0002-1211-078X, [email protected] Козин Виталий Витальевич - студент, Сибирский федеральный университет, Красноярск, 660041, Российская Федерация, ORCID ID: 0000-0002-1063-4889, [email protected] Шниперов Алексей Николаевич - кандидат технических наук, заведующий лабораторией, Сибирский федеральный университет, Красноярск, 660041, Российская Федерация, Scopus ID: 57193225757, ORCID ID: 0000-0003-4231-9805, [email protected]
Authors
Pavel M. Shipulin - software development engineer, Academician M.F. Reshetnev Information Satellite Systems, Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation; postgraduate, Siberian Federal University, Krasnoyarsk, 660041, Russian Federation, ORCID ID: 0000-0002-1211-078X, [email protected]
Vitaliy V. Kozin - student, Siberian Federal University, Krasnoyarsk, 660041, Russian Federation, ORCID ID: 0000-00021063-4889, [email protected]
Alexey N. Shniperov - PhD, Head of laboratory, Siberian Federal University, Krasnoyarsk, 660041, Russian Federation, Scopus ID: 57193225757, ORCID ID: 0000-0003-4231-9805, [email protected]