一種基于HTTP/2協議的隱蔽序列信道方法

劉政祎 嵩 天

(北京理工大學計算機學院 北京 100081) (liuzhengyi@bit.edu.cn)

隱蔽信道(covert channel)是指允許進程以危害系統安全策略的方式傳輸信息的通信信道[1-2].隨著網絡安全防護日益嚴格，防火墻和網絡流量審查等功能越來越多地對用戶隱私構成嚴重威脅.傳統提供隱私數據保護的通信技術主要是以保護數據安全的加密隧道及重路由技術如Tor和VPN等為主.此類方法的通信協議具有明顯特征，網絡監管部門能夠有效檢測其通信連接，獲取傳輸節點，并進一步監視或截斷傳輸節點的數據流量，故其并不能有效保護通信信道安全.隱蔽通信技術能夠提供在網絡流量內容之外傳輸數據的功能，且其協議設計上具有較高的復雜性和多樣性，使得網絡監管難以檢測或對抗.因此在特定需求下，隱蔽信道可以作為一種有效保護傳輸內容機密性和通信信道隱蔽性的網絡通信方法，而事實上該方法也已經廣泛應用于網絡數據安全傳輸領域.

1 相關研究

1.1 隱蔽信道

1973年Lampson[1]第1次提出“covert channel”，其最初的定義是建立于多安全等級(multilevel security, MLS)的自動化信息系統(automated information system, AIS)中，主要針對在不同主體和對象間的訪問控制及安全分類.如今，其主要針對高度互聯的網絡，實體為網絡應用程序或網絡節點.因而隱蔽信道的另一個更廣泛更具適應性的定義為“策略上被拒絕但性質上允許的通信信道”.據此定義，隱蔽信道可以延伸至網絡傳輸中的各個協議，尤其是以HTTP等應用層協議為公開信道(overt channel)的隱蔽通信方法.本文所指網絡傳輸中的隱蔽信道，依據信息發送者和接收者訪問的某個或某些共享資源的屬性，一般來說分為基于存儲的信道和基于時間的信道.

基于存儲的隱蔽信道，主要選取將網絡傳輸協議中的某些次要字段進行隱蔽消息填充的方式以實現隱蔽通信，如將某些無用、保留或隨機字段替換為指定數據，如譚慶豐等人[3]設計實現的基于P2P協議DHT網絡鍵值對的StegoP2P信道.基于HTTP協議的此類信道可對包括URI，Cookies，Entity-body，HTML頁面代碼[4]等內容進行替換，或使用HTTP請求頭域中不同字段的順序交錯實現編碼[5]等方法實現隱蔽信道的構建.此類方法一般能夠達到較高的隱蔽數據傳輸速率，但由于填充了實際信息，將這類流量與正常流量進行對比將產生概率上分布偏差，易被協議分析方法識別，且這類識別引擎易于部署，識別率較高[6-8].此外Aggarwal等人[9]將隱寫術(steganography)應用于HTML頁面代碼，列舉包括是否存在空標簽或無用空格等多種編碼隱蔽信息的不同方法.對于此類基于隱寫術的隱蔽信道可通過相關針對性方法實現該信道的識別及消除[9-10].

基于時間的隱蔽信道主要利用網絡傳輸數據包的時間屬性信息加以編碼，如選擇單位時間片內有無數據包發送或到達，或判斷2個數據包間隔時間是否在某個區間內以實現編碼.此類信道最初于2004年由Cabuk等人[11]提出，他們設計了一種基于IP協議以判斷時間段內是否發送數據包實現編碼的時間類隱蔽信道，被稱作IPCTC(IP covert timing channel)，類似的還有基于TCP協議的時間類隱蔽信道[12].隨后2005年Berk等人[13]設計了一種利用數據包間隔時間(inter-packet delays)，令編碼比特1的時間間隔為編碼比特0的時間間隔的2倍.錢玉文等人[14]將時間間隔應用至HTTP協議實現雙工通信，以進一步提高此類信道的魯棒性.一般情況下此類隱蔽信道具有較高的隱蔽性，且在通信雙方網絡距離較近時穩定性較好，但在相距較遠時會受到較大干擾，導致誤碼率較高，并且其隱蔽數據傳輸速率較低.在HTTP協議中構建時間隱蔽信道，除了基本網絡層傳輸層構建方法以實現外，Kolegov等人[15]介紹了一種基于HTTP協議Cache字段的時間類隱蔽信道.另外Ji等人[16]設計一種基于傳輸數據報文長度的隱蔽信道并實現在HTTP協議上，此方法的數據傳輸速率相比其他時間類信道較好，但其需要相應的網絡先驗數據，且僅以發送者生成的正常網絡數據作為基準，并不能保證特定網絡環境的特征.針對此類方法一般采用兩大類檢測方法，即形狀(shape)參數檢測和規律性(regularity)檢測[8].其中形狀參數檢測主要分析統計數據包括均值、方差和概率分布等相關一階統計參數，如Kolmogorov-Smirnov方法和熵值檢測方法[8,17].規律性檢測主要分析統計數據的數據間相關性，如基于修正條件熵(corrected conditional entropy)及Regularity的相關測試方法[17-19].

Fig. 1 The process of normal HTTP2 session圖1 正常HTTP2會話過程

除上述兩大類隱蔽信道外，還有一些基于通信行為以組合數學思想實現編碼的隱蔽信道構建方法.如2012年Luo等人[20]提出的一種基于TCP的枚舉組合的Cloak隱蔽信道，其將多個TCP流合并在一起構成了符合The 12-Fold Way模型的數據編碼方法.該方法是第1個引入組合數學思想實現編碼的隱蔽信道構建方法，其能夠較好地平衡信道的隱蔽性與傳輸速率，但需要多個TCP連接用于構建信道，反而在一定意義上因行為異常而降低了隱蔽性.Shen等人[21]在2015年提出LiHB，一種基于HTTP行為建立隱蔽信道的方法，其利用連續的HTTP請求組合成流以其不同序列進行編碼，即每1組隱蔽消息可對應編碼為1組若干特定HTTP請求流的排列.此方法隱蔽性相對較高，然而該方法隱蔽數據傳輸速率隨參數呈對數增長趨勢，實驗中也僅最高達到201 bps，傳輸速率相對不足.對于此類隱蔽信道檢測方法一般通過對通信數據提取合適的特征信息，并帶入上述針對時間類隱蔽信道的形狀參數及規律性等檢測方法以實現.

1.2 HTTP2協議

超文本傳輸協議第2版由互聯網工程任務組(IETF)的Hypertext Transfer Protocol Bis工作小組進行開發.HTTP2標準于2015年5月以RFC 7540[22]正式發表.W3techs網站統計，截至2017年11月，已有20.6%的網站支持HTTP2協議[23].

2 H2CSC方法原理

本節主要介紹H2CSC的設計目標和威脅模型，并詳細描述H2CSC的方法原理.本文的出發點是建立一種可靠的隱蔽通信模型，能夠在保證隱蔽通信數據的隱蔽性和信道穩定性的基礎上，提供較高的傳輸速率.

隱蔽信道需要選擇合適的共享資源，并在此基礎上尋找提供高數據傳輸速率及數據準確性的編碼方以滿足隱蔽性原則、安全性原則和可靠性原則設計目標.其中隱蔽性原則指網絡監管設備不能準確判斷或區分目標是否有意發布或接收特殊數據；安全性原則指通信內容對于任何的第三方均是不可見的；可靠性原則指在通信過程中該信道需保證傳輸數據準確.

本文假設所對抗的網絡流量監管設備，可能會對全部的網絡流量進行協議分析及內容審計，尤其是從監控范圍內發出的網絡連接.其主要可以分為2類：主動監管設備和被動監管設備.被動監管設備能夠檢查全部網絡數據流量，并使用不同方法檢測隱蔽信道的存在，或存儲數據以供后續協議分析方法進行分析.而主動監管設備除具備上述能力外，還可能嘗試篡改數據幀中非必要的內容，如修改HTTP協議頭中部分域；或調整其通信屬性，如延遲或人為丟包等.

Fig. 2 H2CSC working network environment圖2 H2CSC工作網絡環境

隱蔽消息接收者可以是1個正常的HTTP客戶端程序，僅需保證其能夠正確獲取響應的序列信息，這樣可以在接收HTTP頁面響應的同時對隱蔽消息進行解碼.消息發送者控制HTTP服務器，并將隱蔽數據部署在多個不同的網頁中，此過程不受網絡監管者監控.受控HTTP服務器為開啟NGHTTP模塊、TLS模塊支持的Apache HTTP服務器，其源碼經過修改以滿足操控接收HTTP請求或發送HTTP響應的目的.對于正常的頁面訪問請求，其能夠正常傳輸未添加隱蔽消息的響應信息；對于隱蔽消息接收者的頁面訪問請求，其能夠將該頁面對應的隱蔽消息加載在響應的過程中，以實現隱蔽通信.

在隱蔽信道構建過程中，涉及隱蔽數據、網絡環境等若干假設，本文在此處一并給出：

假設4. 假設網絡流量監管設備能夠通過某種手段獲取HTTP2協議傳輸數據內容，此假設是考慮存在HTTP客戶端提供h2c(HTTP2 cleartext)服務，即運行于非加密通道之上的HTTP2協議服務.

3 編碼機制

本節將詳細介紹H2CSC所采用的編碼機制，以及如何根據隱蔽消息設計頁面并選取合適參數以建立該信道.

3.1 信息編碼方法

隱蔽通信編解碼與一般通信協議編解碼過程類似.信源的原始數據首先經過壓縮加密處理得到待編碼數據U，然后該二進制序列經隱蔽信道編碼器編碼，轉換為離散序列V發送至隱蔽消息發送端；接收端訪問獲取頁面，同時獲取該離散序列，記為V′，使用同樣方法逆向過程進行解碼得到二進制序列U′，最終經過解密解壓縮得到原始數據.由于本文方法底層由TCP協議提供數據可靠性，即在傳輸過程中序列順序不會發生改變，故V′=V，僅需保證解碼方法能夠無錯解碼使得U′=U即可.

依據所選擇共享資源的特點，將待編碼的二進制數據U分為若干組，每組記為Ui，其所包含的位數記為|Ui|.在正常HTTP2請求響應過程中，得到其正常響應待發送數據幀序列，本編碼方法將對此序列做再排序操作.為保證數據幀處理響應位置不發生大的改動，將此正常序列切割為若干組，每組共包含n個數據幀，分屬m個HTTP2流，每個流在當前位置存在有mj個數據幀待發送，記該序列為Vi，則Vi組中不同數據幀順序共存在|Vi|種互不相同情況，其計算為

(1)

由實際情況可得出條件m≤n且mj≥1.故此編碼問題可簡化為n個有序位置、m種不同小球，每種分別有mj個小球的組合數學問題.依據本文假設1，即mj=1；若滿足每組包含n個數據幀，共需n個流，即m=n.則最大可編碼數據幀排列情況數為

(2)

此情況下其編碼過程即為康托展開式(Cantor expansion)的逆向過程.康托展開是一種特殊的散列函數，其是對n個數的排列進行狀態的壓縮和存儲.將數據序列Ui以先輸出位為高位轉為十進制數ui，通過ui計算逆向康托展開結果序列，依據該序列為n個數據幀依據流序號大小進行排序，完成編碼.康托展開公式為

X=a[n]×(n-1)!+a[n-1]×(n-2)!+…+
a[i]×(i-1)!+…+a[1]×0!，

(3)

其中，a[i]為整數，表示當前元素在所有未出現的元素中排在第i個，并滿足0≤a[i]

為提高數據傳輸量，可在編碼過程中，將在Ui基礎上額外添加1位，判斷添加此位后的結果是否溢出，若未溢出，則添加此位進行編碼，若溢出則此次僅編碼|Ui|位，以此擴充序列編碼范圍至|Vi|，提高數據傳輸率.

3.2 參數選取及編碼

本節將進一步舉例描述二進制數據編碼至數據幀流編號序列過程.假設隱蔽消息為“Hello World”時；且主頁面代碼在第13號流中完成傳輸，共包含120個資源文件；選取參數n=4.表1為此時Vi輸出序列與Ui序列的對應關系示例.

Table 1 Encoding 4-bit Data into Sequence表1 4-bit數據序列編碼

取隱蔽消息第1個字符‘H’，其ASCII碼二進制高4位為0100，則對應Vi為1,4,2,3.若后續4個數據幀的流編號原發送順序為15,17,19,21，對其重新排序后的數據結果即為15,21,17,19.同理，‘H’的二進制低4位為1000，對應Vi為2,3,1,4，若此時下一組數據幀流編號按順序依次是23,27,25,29，則舍棄原順序并依據大小關系重新排序得到輸出的數據幀流編號序列為25,27,23,29.隨后，依據該順序執行數據幀發送，后續依次讀取隱蔽消息數據并編碼序列，直至全部數據發送完畢.

客戶端解碼過程與之相反，首先分組并讀取到數據幀流編號序列為15,21,17,19，依據表得到原二進制數據為0100，隨后再計算下一組，最終將全部解碼數據合并，即可得到加載的隱蔽消息.

Fig. 3 Web server internal flow chart圖3 Web服務器內部工作流程圖

實現H2CSC方法的Web服務器工作流程如圖3所示.其中正常Web服務器將對客戶端請求依次進行處理，并依次發送處理完成的數據幀，如圖3中左側實線所示.服務器實現H2CSC方法流程如右側虛線所示，依據頁面讀取待傳輸的一段隱蔽消息后，依據3.1節方法獲得順序序列Vi，并對待發送的數據幀序列重新進行排序，并最終發送回客戶端.

4 修正條件熵檢測方法

隱蔽信道的分析對抗工作包括3類，分別是信道檢測、信道限制和信道消除.

本文認為網絡監管設備處理H2CSC方法時會選擇中斷該HTTP2協議連接，或重定向使用HTTP 1.1協議，此時會導致H2CSC方法無效.因此本文著重關注H2CSC隱蔽信道的信道檢測工作.

客戶端請求順序一般依據頁面解析得到的資源URI順序和優先級依次請求獲取.本方法中隱蔽消息載體頁面為靜態頁面，由于頁面設計存在優先級關系，即每行圖片資源第1個圖片優先級最低，最后進行處理傳輸；其他圖片資源優先級相同，依次進行請求處理.另本方法在服務器設置中不引入包括服務器推送等功能，故最終所能影響數據幀序列的因素包括服務器HTTP2處理速度、擁塞控制及優先級關系等.

由于最終數據幀傳輸序列存在規律性和非規律性因素，故本文選擇基于熵值的檢測方法進行檢測.以獲取的相鄰2個數據幀流ID之差作為輸入數據，以熵值分析該差值的變化規律，用以表明數據幀序列的變化規律，其取值應均為正負整數.由于熵率是一個極限概念，是無窮序列的條件熵，表示無窮序列的不確定性，利用有限采樣數據進行估計無法真實反映數據幀序列的隨機性質，故本文最終選擇修正條件熵(corrected conditional entropy， CCE)用來解決有限數據采樣的問題，其計算公式為

CCE(Xj|Xj-1)=CE(Xj|Xj-1)+
perc(Xj)×EN(X1)，

(4)

其中，j≤n；CE(Xj|X1,X2,…,Xj-1)為經驗概率密度條件熵；perc(Xj)為采樣中長度為j的序列只出現1次的比例；EN(X1)是子序列長度j=1時的熵，即一階熵.實際計算時，需將獲取1次HTTP2會話中全部數據幀序列流ID差值，并進行數據正規化后作為CCE計算輸入，計算得到j的所有取值對應的修正條件熵后，取最小值作為其隱蔽性評分，如式(5)所示：

(5)

計算得到CCE熵值后，需要對加載隱蔽消息頁面與正常頁面進行分類識別.由于計算得到的CCE熵值為一維數據，故選擇使用邏輯回歸(logistic regression， LR)分類器對其進行分類，通過對訓練集學習以得到參數的合適取值.

5 實驗與結果

5.1 實現細節

隱蔽消息接收者在接收隱蔽消息時，行為與訪問正常Web頁面完全一致；在結果處理中，不需要進行頁面展示，而是將獲取數據幀的流編號組成序列，分組解碼即可.故選擇nghttp2-client程序作為客戶端程序，通過python腳本對結果輸出進行解碼處理.

隱蔽消息服務器由于較少存在配置粒度達到可直接操控HTTP2幀處理的服務器程序，選擇采用nghttp2庫和Apache Httpd服務器程序以修改源碼方式實現.由于本文假設1全部HTTP2流均有且僅有1個數據幀，故本文修改程序使得服務器在HTTP2會話處理過程中，另額外建立流發送隊列，獨立于原流處理優先級隊列，當流發送隊列中流發送條件不滿足時，取出原隊列流執行發送處理.在發送數據幀時，確保流發送隊列中出隊流第1個數據幀發送后，即將其出隊；解碼時僅取該流的第1個數據幀所在位置進行解碼處理，忽略后續數據幀.

在隱蔽信道載體頁面設計中，需要考慮元素顯示的先后順序而導致的頁面資源文件獲取優先級問題.服務器頁面設置為以表格控件為主，以若干圖片切片資源作為表格每1項，以此組成服務器隱蔽消息載體靜態頁面.實驗中共實現8個頁面，由均分圖片矩形切片構成，全部頁面資源為以表格形式可組成具有編號的同一大圖片頁面.其頁面URI、總大小及該頁面加載隱蔽消息參數如表2所示:

Table 2 Information of 8 Covert Pages表2 8個隱蔽頁面信息

5.2 服務器性能影響

本文使用的1核、1 GB內存、1 Mbps帶寬的云主機作為HTTP2服務器，其物理主機位于中國廣東省廣州市.客戶端所在主機位于中國北京市海淀區，其與服務器平均RTT約為44 ms.

對每個頁面分別計算加載隱蔽消息和未加載隱蔽消息情況下訪問100次的平均耗時，所加載的隱蔽消息為ASCII碼英文字母及數字字符串，每次訪問間隔時間為1 s.所得平均訪問時間如圖4所示.對于同一個頁面，其中加載隱蔽信道與普通頁面訪問時間平均相差均不超過10 ms，該時間間隔相比整體頁面訪問時間約占1%或更少，可以忽略不計.結果表明H2CSC方法對于Apache HTTPD服務器的性能影響較小.另外1～8號頁面之間訪問時間相差的主要原因在于其頁面總體大小的逐漸遞增.

Fig. 4 Page access time圖4 頁面訪問時間

5.3 數據傳輸速率

實驗所用8個頁面分別加載長度內容均不同的隱蔽消息以進行數據傳輸速率測試.由于本文選擇使用Adobe Photoshop軟件對原始圖片進行切片，該軟件最大支持10 000個圖片切片，且由于圖片效果、切片數量等原因使得各頁面總大小不同且較難減小.作為目標傳輸頁面，其所加載隱蔽消息均使用全部頁面資源進行編碼，實驗中測量每個頁面訪問100次的平均用時，以此計算隱蔽數據傳輸速率.

訪問各頁面對應隱蔽信道速率如圖5所示.當服務器帶寬確定時，此隱蔽信道數據傳輸速率主要和HTTP2編碼相關頁面資源文件大小和編碼參數選取相關.比較頁面1～5，其頁面總大小相差較小.隨分塊幀數n取值的增大，可傳輸數據量大致呈指數增長趨勢.頁面6～8比較可以看出，隱蔽數據傳輸速率受頁面整體傳輸時間影響較大，可以通過提高服務器帶寬或降低頁面整體大小以提高傳輸速率.在確定編碼方式n和|Ui|取值情況下，其與HTTP2服務器帶寬成正比，與頁面總大小成反比.另外，隨頁面資源文件個數的增加，HTTP2協議中其他類型幀等額外傳輸數據也將增加，這些額外開銷將導致隱蔽信道數據傳輸速率略有下降.

Fig. 5 Covert data transmission rate of each page圖5 各頁面隱蔽數據傳輸速率

本文選擇目前具有較高的傳輸速率和安全性的基于時間和基于通信行為以組合數學思想實現編碼的JIBC[15]，Cloak[20]，LiHB[21]方法和本文H2CSC進行速率比較，如表3所示.基于多HTTP請求的LiHB在實驗中達到約200 bps，但該方法傳輸速率對于頁面對象取值增長緩慢.基于多TCP流排列組合的Cloak隱蔽信道實驗中最多達到450 bps，其在

Table 3 Transmission Rates of Covert Channels表3 隱蔽信道數據傳輸速率

20個TCP流中排列組合40個數據包，且需要數據包具有先后順序，該方法占用網絡資源較多且實際使用環境較小.

(6)

其中，Ni表示第i個頁面的資源文件總數，PageSizei表示第i個頁面的頁面總大小，Bandwidth表示服務器帶寬.

5.4 基于修正條件熵的LR檢測方法

此項測試以頁面4為基礎頁面，總計測試5組.其中,第1組4-Normal不加載任何隱蔽消息；第2組4-ASCII加載以ASCII碼編碼的英文數字隱蔽消息；第3組4-Random加載隨機二進制隱蔽消息；第4組4-UTF8-CHS加載中文UTF-8編碼的隱蔽消息；第5組為網絡中支持HTTP2協議的正常頁面.

從圖6中可以得出，對于基礎頁面，未加載隱蔽消息時，CCE熵值較低基本保持在0.6以下，表明其數據幀流編號序列基本保持不變，主要原因在于其頁面資源文件大小均較小，不會因擁塞控制機制調整順序，故大部分數據幀流編號依據客戶端請求順序依次遞增.另外頁面資源布局導致的優先級結構也相對簡單，不能顯著影響數據幀響應發送順序.

Fig. 6 CCE of different pages圖6 不同頁面修正條件熵

而對于加載ASCII編碼和UTF-8編碼的隱蔽消息而言，其CCE值變化相似，表明2種編碼分塊后數據分布基本類似；而對于加載隨機二進制數據的CCE值變化即相對隨機，變化范圍是0.4～2.5.從圖6中可以較清晰地觀測到，H2CSC方法加載消息頁面與正常頁面提取的CCE熵值具有一定區別，可以使用修正條件熵作為特征提取方法以進行識別區分.

本文考慮對于網絡監管設備，實時監控目標訪問網頁并預先進行熵值計算方式并不可取，其可選擇預先訓練檢測模型，隨后直接計算目標訪問頁面熵值并直接帶入檢測分類程序得出結果.故實驗中選擇頁面資源文件較多、網站訪問量較大的100個正常頁面，計算訪問過程的CCE熵值，將其均勻分為訓練集和測試集，并保證其頁面資源文件分布情況及總和大致相當，用于學習訓練及后續測試.并以同樣方式處理訪問以頁面1為基礎平均加載文本和隨機數據的100個頁面所得到的CCE熵值.每個頁面以訪問10次的平均CCE熵值作為該頁面特征.

本文選擇使用Python scikit-learn內建邏輯回歸分類器進行實現.使用該邏輯回歸函數對測試集進行分類檢測所得準確率結果矩陣如圖7所示.其中識別正常會話準確率為90%，識別H2CSC隱蔽信道會話準確率為91%.

(Result) Overt(Result) Covert(True) Overt90%10%(True) Covert9%91%

Fig. 7 Detection method accuracy
圖7 檢測方法準確率

5.5 CCE熵值優化處理方法

基于5.4節的檢測結果，考慮可行的對抗檢測方法為降低每組傳輸位|Ui|取值，以縮小每組修改后數據幀序列與正常會話序列編輯距離，從而降低熵值.為測量比較多種取值情況下熵值的變化規律，選擇頁面3為目標頁面，加載同一文本隱蔽消息，不同n和|Ui|取值及相應的熵值如表4所示:

Table 4 Optimize Parameters for CCE表4 CCE熵值參數優化

由表4可知，當n取值確定時，|Ui|取值越小，則熵值越小；|Ui|取值確定時，n取值越大，則熵值越小；其余部分給出部分熵值在閾值范圍內或接近閾值邊界的n與|Ui|取值.由于加載的隱蔽消息不同會使得頁面熵值不同，實際使用時可依據需要加載的隱蔽消息數據量大小及對應頁面熵值以調整n與|Ui|的取值.以選取n=5，|Ui|=1為例，即每5個數據幀傳輸1 b數據，會話以最大容量編碼隱蔽數據，其熵值約為0.384 5.此情況下使用上述基于修正條件熵的檢測方法進行識別，得到其被識別為正常通信行為，故針對對抗性參數取值n=5且|Ui|=1時，基于熵值的檢測方法將存在極大誤差，其也表明使用降低|Ui|取值可以有效降低信道被識別率.相應數據傳輸速率可通過5.1節中數據及參數取值和調整后參數取值相比對進行數學計算.實際使用時亦可依據數據傳輸速率要求及安全性要求選取合適的參數.

6 總 結

[1]Lampson B W. A note on the confinement problem[J]. Communications of the ACM, 1973, 16(10): 613-615

[2]Gligor V D. A Guide to Understanding Covert Channel Analysis of Trusted Systems[M]. Fort Meade, Maryland: National Computer Security Center, 1994

[3]Tan Qingfeng, Fang Binxing, Shi Jinqiao, et al. StegoP2P: A hidden communication approach in P2P networks[J]. Journal of Computer Research and Development, 2014, 51(8): 1695-1703 (in Chinese)(譚慶豐, 方濱興, 時金橋, 等. StegoP2P: 一種基于 P2P 網絡的隱蔽通信方法[J]. 計算機研究與發展, 2014, 51(8): 1695-1703)

[4]Brown E, Yuan B, Johnson D, et al. Covert channels in the HTTP network protocol: Channel characterization and detecting Man-in-the-Middle attacks[C]Proc of the 5th Int Conf on Cyber Warfare and Security. South Oxfordshire, England: Academic Conferences International Limited, 2010: 56-64

[5]Heilman S, Williams J, Johnson D. Covert channel in HTTP User-Agents[C]Proc of the 11th Annual Symp on Information Assurance. Albany, NY: GCCIS, 2016: 68-73

[6]Schwenk G, Rieck K. Adaptive detection of covert communication in HTTP requests[C]Proc of the 7th European Conf on Computer Network Defense. Piscataway, NJ: IEEE, 2011: 25-32

[7]Tomar N, Gaur M S. Information theft through covert channel by exploiting HTTP post method[C]Proc of the 10th Int Conf on Wireless and Optical Communications Networks. Piscataway, NJ: IEEE, 2013: 1-5

[8]Wang Yongji, Wu Jingzheng, Zeng Haitao, et al. Covert channel research[J]. Journal of Software, 2010, 21(9): 2262-2288 (in Chinese)(王永吉, 吳敬征, 曾海濤, 等. 隱蔽信道研究[J]. 軟件學報, 2010, 21(9): 2262-2288)

[9]Aggarwal P K, Jain P, Verma T. Adaptive approach for information hiding in WWW pages[C]Proc of IEEE ICICT’2014. Piscataway, NJ: IEEE, 2014: 113-118

[10]Kwecka Z. Application layer covert channel analysis and detection[D]. Edinburgh: Edinburgh Napier University, 2006

[11]Cabuk S, Brodley C E, Shields C. IP covert timing channels: Design and detection[C]Proc of the 11th ACM Conf on Computer and Communications Security. New York: ACM, 2004: 178-187

[12]Luo Xiapu, Chan E W W, Chang R K C. TCP covert timing channels: Design and detection[C]Proc of the 38th IEEE Int Conf on Dependable Systems and Networks with FTCS and DCC. Piscataway, NJ: IEEE, 2008: 420-429

[13]Berk V, Giani A, Cybenko G, et al. Detection of covert channel encoding in network packet delays, TR2005-536[R]. Hanover, NH: Department of Computer Science, Dartmouth College, 2005

[14]Qian Yuwen, Zhao Bangxin, Kong Jianshou, et al. Robust covert timing channel based on Web[J]. Journal of Computer Research and Development, 2011, 48(3): 423-431 (in Chinese)(錢玉文, 趙邦信, 孔建壽, 等. 一種基于 Web 的可靠網絡隱蔽時間信道的研究[J]. 計算機研究與發展, 2011, 48(3): 423-431)

[15]Kolegov D N, Broslavskiy O V, Oleksov N E. Covert timing channel over HTTP cache-control headers[J]. Prikladnaya Diskretnaya Matematika, 2015(2): 71-85

[16]Ji Liping, Jiang Wenhao, Dai Benyang, et al. A novel covert channel based on length of messages[C]Proc of the 1st Int Symp on Information Engineering and Electronic Commerce. Piscataway, NJ: IEEE, 2009: 551-554

[17]Gianvecchio S, Wang Haining. Detecting covert timing channels: An entropy-based approach[C]Proc of the 14th ACM Conf on Computer and Communications Security. New York: ACM, 2007: 307-316

[18]Tumoian E, Anikeev M. Network based detection of passive covert channels in TCPIP[C]Proc of the 30th Anniversary of the IEEE Conf on Local Computer Network. Piscataway, NJ: IEEE, 2005: 802-809

[19]Zander S, Armitage G, Branch P. A survey of covert channels and countermeasures in computer network protocols[J]. IEEE Communications Surveys & Tutorials, 2007, 9(3): 44-57

[20]Luo Xiapu, Chan E W W, Zhou Peng, et al. Robust network covert communications based on TCP and enumerative combinatorics[J]. IEEE Trans on Dependable and Secure Computing, 2012, 9(6): 890-902

[21]Shen Yao, Huang Liusheng, Wang Fei, et al. LiHB: Lost in HTTP Behaviors—A behavior-based covert channel in HTTP[C]Proc of the 3rd ACM Workshop on Information Hiding and Multimedia Security. New York: ACM, 2015: 55-64

[22]Belshe M, Peon R, Thomson M. RFC 7540: Hypertext Transfer Protocol Version 2 (HTTP2)[SOL]. IETF, 2015 [2017-11-15]. https:tools.ietf.orghtmlrfc7450

[23]W3techs.com. Usage Statistics of HTTP2 for Websites[EBOL]. [2017-11-15]. https:w3techs.comtechnologiesdetailsce-http2allall

LiuZhengyi, born in 1993. Master. His main research interests include covert communication and network security.

SongTian, born in 1980. PhD, associate professor in Beijing Institute of Technology. Senior member of CCF. His main research interests include future Internet architecture, network security and computer architecture.