[发明专利]一种针对NTP协议隐蔽通信的检测方法

说明书

本发明属于计算机网络与信息安全技术领域，主要公开了一种基于NTP协议的隐蔽信道检测方法，该隐蔽通信方式是以NTP请求报文中时间戳的最低有效位，作为含密信息的载体进行传输，它将隐藏信息伪装成普通NTP报文，进行隐秘消息的传递。NTP报文的普及性和不可替代性，使得基于NTP的隐蔽通道具有穿透能力强、隐蔽性好的优点。本发明通过抓取用户发送NTP时间同步请求的报文，提取到正常通信下时间戳的最低有效位作为正常数据样本，根据NTP隐蔽信道的构建方式，实验仿真得到含密数据样本。本发明实现了一种基于贝叶斯分类器的检测方法，实验结果显示该检测方法检测率高，误报率低。

技术领域

本发明属于计算机网络与信息安全技术领域，特别涉及一种NTP协议隐蔽信道的检测方法。

背景技术

网络技术的快速发展使得信息传输更加快捷,方便。但是大量的信息尤其是那些涉及到国家安全、公司机密和个人隐私的信息的传输安全性越来越受到关注。为了保障信息传输安全，人们开始研究隐蔽通信技术。隐蔽通信是将需要保密传递的信息隐藏到一些载体信息中,实现对秘密信息进行保护的一门技术，是信息安全的重要分支。

网络隐蔽通信虽然可实现隐秘数据的传输，但如果该技术被恶意使用，将带来极大隐患。如攻击者将恶意通信数据(木马、间谍软件或恶意程序)隐蔽在用户的正常通信数据中，加剧了隐蔽通信对信息安全的威胁。隐蔽通信也会造成数据泄露，恶意程序通过隐蔽信道将搜集到的机密信息传输出去，可以轻松绕开防火墙的检测，造成信息泄露。所以如果缺乏有效的网络隐蔽通信检测技术，这些恶意活动将很难被安全部门所发觉和监管，从而使其犯罪活动得逞，给国家和人民造成损失。

NTP是网络时间协议(Network Time Protocol)，是为实现高精确度的时间同步，而设计的网络时钟同步协议。NTP使用层次式时间分布模型，具有相当高的灵活性，可以适应各种互联网环境，是互联网上公认的时间同步工具。目前，基于NTP的隐蔽通道并没有引起应有的重视。然而，网络中大量存在的开放式分布的NTP服务器，高度开放的NTP协议123端口，以及NTP报文基于不可靠的UDP进行传输的协议特性，使得NTP协议非常容易被黑客利用，实施隐蔽通道攻击。朱越凡等人提出了一种基于NTP协议的隐蔽信道(朱越凡,马迪,王伟,et al.一种NTP协议隐蔽通道[J].计算机系统应用,2017(05):121-127.)，该信道是利用NTP查询/应答机制的协议特性，使用NTP协议报文中易被忽略的数据单元字段，提出一种高效的上下行分离的隐蔽通道方法，以达到穿透防火墙和躲避入侵检测系统的目的。因此，研究基于NTP协议的隐秘通信检测方法对网络安全防护具有重要作用。

NTP时间同步机制是由客户机直接发起时间同步请求，因此在上行信道只需要考虑哪些字段可以隐藏数据，而不用考虑信道的发起时间和通信频率。根据网络防护设备的一般规则设置，对于NTP协议包的校验主要是报文头部和MAC校验。因此，除去报文头部4个字节的属性特征分布(状态、版本、模式等)和末尾MAC字段常被提取和检查,其余字段都易被检测设备忽略，很适合作为隐藏消息字段。

网络隐蔽隐蔽通信技术及其检测技术是密不可分的，只有不断更新检测技术，才能对抗错综复杂，快速发展的隐蔽通信技术。现有检测算法可分为四类：

属性检测：监听数据包的特定字段或特定属性，如果发现某些数据包属性异常，则可视为该数据包具有威胁。

行为检测：通过建立正常通信行为特征模型，利用模型对待测数据流进行匹配，若匹配结果超过一定阈值，则可判定待测数据含有隐秘信息。

统计检测：利用统计学的原理，对数据流的某些特性进行分析，对比待测数据和正常数据的科学特性，若存在较大差异，则可判断待测数据具有威胁。

人工智能检测：利用神经网络等自主学习算法，通过大量的数据训练，将隐蔽通信特征、规律等属性训练成准确的检测模型，然后利用模型进行分析检测。