تشخیص کانال پنهان زمانی در وب بر پایه آنتروپی

همگام با استقبال عمومی از وب، تحلیل ضعف‌ها و آسیب‌پذیری‌های آن در جهت یافتن حملات امنیتی از اهمیت بالایی برخوردار شده است. در صورت ایجاد ارتباط خلاف سیاست‌های امنیتی سامانه، کانال پنهان ایجاد شده است. مهاجم می‌تواند به راحتی تنها با یک مجوز دسترسی عمومی باعث نشت اطلاعات از سامانه قربانی شود. کانال‌های پنهان زمانی بر خلاف کانال‌های پنهان ذخیره‌سازی حافظه ندارند و کمتر باعث جلب توجه می‌شوند. روش‌های مختلفی برای شناسایی آن‌ها بیان شده است که عموماً از شکل ترافیک و قاعده‌مندی کانال سود می‌جویند. ماهیت کاربردی پروتکل انتقال ابرمتن امکان ایجاد کانال پنهان زمانی مبتنی بر مشخصه‌های مختلف این پروتکل (یا سطوح مختلف) را می‌دهد که در پژوهش‌های گذشته مورد توجه قرار نگرفته است. در این مقاله، روش تشخیص مبتنی بر آنتروپی اطلاعات طراحی و پیاده‌سازی شد. مهاجم می‌تواند با شگردهایی مانند تغییر سطح کانال و یا ایجاد نویز روی کانال در صدد تعدیل مقدار آنتروپی کانال باشد تا از تشخیص تحلیلگر در امان بماند. در نتیجه میزان آستانه آنتروپی برای تشخیص همواره ثابت نیست. با مقایسه آنتروپی حاصل از سطوح مختلف کانال و تحلیلگر به این نتیجه رسیده شد که تحلیلگر باید در تمام سطوح ممکن ترافیک را بررسی کند. همچنین نشان داده شد که با ایجاد نویز روی کانال پنهان از ظرفیت آن کاسته ولی با بالا رفتن آنتروپی، تشخیص آن سخت‌تر می‌شود.

Web Covert Timing Channel Detection based on Entropy

Regarding the general acceptance of the web, analyzing its weaknesses and vulnerabilities in order to find and face security attacks has become more urgent. In case there is a communication contrary to the system security       policies, a covert channel has been     created. The attacker can easily disclose information from the victim’s system with just one public access permission. Covert     timing channels, unlike covert storage channels, do not have memory storage and draw less attention. Different methods have been proposed for their identification, which generally benefit from the shape of traffic and the channel’s regularity. The applicative nature of HTTP protocol allows the creation of a covert timing channel based on different features (or different levels) of this protocol, which has not been             addressed in previous researches. In this article, the entropybased detection method was designed and implemented. The attacker can adjust the amount of channel entropy by controlling measures such as changing the channel’s level or creating noise on the channel to hide from the analyst’s detection. As a result, the entropy threshold is not always constant for detection. By comparing the entropy from different levels of the channel and the analyst, we concluded that the analyst must investigate the traffic at all possible levels. We also illustrated that by making noise on the covert channel, although its capacity would decrease, but as the entropy has increased, the attacker would have more       difficulty in its detection.