تشخيص كانال‌هاي زمان بندي‌دار پوششي به روش‌هاي آماري

Detection of Covert Timing Channels Based on Statistical Methods

كانال‌هاي زمانبندي‌دار پوششي به عنوان يك تهديد رو به رشد در امنيت شبكه‌، امكان نشت اطلاعات محرمانه را براي يك مهاجم فراهم مي‌سازند. از اين‌رو تشخيص و مقابله با اين‌گونه كانال‌ها به عنوان يك اقدام پدافندي در شبكه‌هاي رايانه‌اي از اهميت ويژه‌اي برخوردار است. مهاجـم بـراي ايـجاد كـانال زمانبندي‌دار پوشـشي، با استـفاده از يك روش كدگذاري مناسب، اطلاعات پوششي را روي يكي از ويژگي‌هاي زماني جريان بسته‌هاي شبكه سوار مي‌كند. با تعبيه اطلاعات پوششي در ترافيك شبكه، تغييراتي در ويژگي‌هاي آماري ترافيك سالم مانند شكل توزيع، همبستگي و آنتروپي ايجاد مي‌شود كه مي‌توان از آنها در تشخيص كانال‌هاي زمانبندي‌دار پوششي استفاده كرد. در اين تحقيق، روش‌هاي آماري تشخيص اين‌گونه كانال‌ها مورد شناسايي و تجزيهوتحليل قرار گرفته، و ميزان نامحسوسي دو كانالL بيت بهN بسته و كانال غير‌قابل تشخيص بهطور عملي مورد ارزيابي قرار مي‌گيرد. نتايج تحقيق نشان مي‌دهد كه با استفاده از آزمون‌هاي كلموگروف–اسميرنوف، رگولاريتي، آنتروپي تصحيحشده و آنتروپي شرطي تصحيحشده، مي‌توان كانال L بيت بهN بسته را بهطور كامل تشخيص داد، همچنين نامحسوسي طرح كانال غيرقابل تشخيص، به طور عملي اثبات مي‌شود.

Covert timing channels, as a growing threat of network security, provide the possibility of leaking confidential information to an attacker. Thus, detection and countering these channels are important as a defensive measure in computer networks. The attacker uses an appropriate encoding schema to modulate covert information on temporal features of network packet stream. Embedding covert information in network traffic, casuses changes in traffic statistical properties such as distribution, correlation and entropy, which can be used in detection of covert timing channels. In this paper, statistical methods are identified and analyzed to detect these channels, and two encoding schemas L-bit to N-packet and non-detectable are used to implementi covert timing channels and those are evaluated. The results show that by using Kolmogorov-Smirnov, Regularity, corrected Entropy and corrected Conditional Entropy tests, we are able to completely detect L-bit to N-packet channel, and the stealthiness of non-detectable timing channel can be proved in a practical evaluation as well.