20155

۲۰۱۵۵

روشي مبتني بر دسته بندي براي شناسايي كانال پنهان انبارشي

كارشناسي ‌ارشد

شبكه هاي كامپيوتري

۱۳۹۴

شهريور ماه ۱۳۹۷

دكتر پيمان كبيري

كامپيوتر

در عصر اينترنت با برتري¬هاي گوناگوني كه دارد، به همراه خود يك سري بيم‌ها را هم آورده است. از ميان اين بيم‌ها مي‌توان نشت اطلاعات محرمانه را نام برد. كانال‌ پنهان اجازه نشت اطلاعات به يك گيرنده نامعتبر و ناشناس را مي‌دهد. در اين پايان¬نامه مفاهيم پايه‌اي كانال‌هاي پنهان، روش‌هاي ساخت كانال‌هاي پنهان انبارشي و زماني، رودررويي با كانال‌هاي پنهان شرح داده شده و آن روش‌ها در برابر هم مقايسه شده¬اند. روش‌هاي شناسايي مانند روش شبكه عصبي، روش ماشين بردار پشتيبان و روش زنجيره ماركوف در اين گزارش شرح داده شده است. چالش اصلي همه اين روش‌هاي شناسايي، تك كاربردي بودن و كارايي داشتن بر روي يك پروتكل ويژه و يك كانال ويژه بر روي آن پروتكل است. در اين پايان¬نامه چارچوبي براي شناسايي گونه¬هاي كانال‌هاي پنهان انبارشي بر روي پروتكل‌هاي گوناگون لايه انتقال، با بكارگيري همخواني الگوها بر روي فاصله¬اي از داده‌‌ي بسته دريافتي پيشنهاد شده است. روش پيشنهادي داراي دو حالت كلي است. در حالت اول براي هريك از اين الگوها مقادير در فاصله¬اي ويژه از بايت نخستين بسته مورد بررسي قرار مي‌گيرند. اگر يكي از آن الگوهاي بدست آمده با بسته همخواني داشته باشد، برپايه الگوي همخواني يافته اندازه آن بسته در فاصله¬اي ويژه بررسي خواهد شد. اگر ناهنجاري ديده شود، آن بسته به‌عنوان بسته‌اي مشكوك علامت¬گذاري مي‌شود. سپس اين بسته در يك پنجره لغزان با ديگر بسته‌هاي آن ارتباط بررسي مي‌شود. در حالت دوم شمارنده‌اي براي شمارش همخواني الگوها با بسته‌هاي عبوري در نظر گرفته شده است. سپس شمارش شمارنده براي آن الگو با اندازه آستانه، در پنجره‌اي از بسته‌ها بررسي مي¬شود. اگر شمارش رخدادها در آن پنجره بيش از اندازه آستانه باشد، بسته ممكن است داراي داده پنهان باشد. فراگير بودن اين روش بر پايه بهره¬گيري از الگو براي شناسايي كانال‌هاي پنهان انبارشي و سرعت بيشتر با توجه به اينكه هر بسته تنها براي فاصله ويژه¬اي بررسي مي‌شود. سناريو‌ها با ساخت كانال پنهان انبارشي اطلاعات سامانه را به بيرون مي¬فرستند. نخستين شماره ترتيب، اشاره‌گر اضطراري و بيت‌هاي رزرو شده در پروتكل TCP و از فيلد داده ICMP براي ساخت كانال‌هاي پنهان انبارشي بكارگرفته شده است. سناريوي درهم تنيده شده، براي ارزيابي پاياني كه آميخته‌اي از سناريوهاي آزمايش گوناگون است، داراي 1250000 بسته است كه 20% آن بسته‌ها با بكارگيري 4 نمونه كانال پنهان انبارشي مطرح شده، داراي اطلاعات پنهان در خود هستند. روش پيشنهادي با پنجره لغزان 3 بسته و پنجره‌ بسته‌‌‌اي 800 بسته براي سناريوي ادغامي داراي دقت شناسايي 96.62% و نرخ هشدار خطاي 3.89% است. واژه‌هاي كليدي: كانال پنهان، شناسايي كانال پنهان، نشت اطلاعات، كانال پنهان انبارشي، امنيت اطلاعات

1397/12/18

3/9/2019 12:00:00 AM

At the age of the Internet with a variety of advantages, it has brought along a series of threats such as leak of confidential information. The covert channel allows the data to be leaked to an invalid and anonymous receiver. In this thesis, the basic concepts of covert channels, production methods of storage and timing covert channels and the confrontation of covert channels are described and their methods are compared against each other. Detection methods such as neural network, support vector machine and Markov chain method are explained in this report. The main challenge facing all of these detection methods is that they are only functional on a particular protocol and a special channel of that protocol. In this thesis, a framework is proposed to identify different types of storage covert channels on different transmission layer protocols, using patterns matching on the offset from the packet data. The proposed method has two general modes: In the first mode, for each of these patterns, values at a special offset from the first byte are examined. If one of these patterns match the packet, based on the matching pattern, value of the packet will be examined at a special offset. If an abnormality is detected, the packet is marked as suspicious. This package is then examined in a sliding window with other packages of that connection. In the second mode, a counter is considered for counting patterns matching with packets. Then the counter counts to the threshold size pattern and get checked in a window of packets. If the counting of occurrences in that window is over threshold, the packet may contain hidden data. The inclusiveness of this approach is based on the use of a pattern to identify storage covert channels. This approach is fast, considering that only a specific segment within each packet is considered. To evaluate the proposed method, eight scenarios were designed. These scenarios try to smuggle system information, by generating a storage covert channel. The following fields are used to generate a storage covert channel: the first sequence number, the urgent pointer and reserved bits in the TCP protocol, and the ICMP data field. The interconnected scenario is packed with 1,250,000 packets for the final evaluation of the scenarios. 20% of these packets are created based on the use of four storage covert channel that carry the hidden information. The proposed method has an accuracy of 96.62% and a false positive rate of 3.89% with sliding window size of 3 packet and the size of 800 packet window for the integration scenario. Keywords: Covert Channel, Covert Channel Detection, Information Leakage, Storage Covert Channel, Information Security