МЕТОДЫ ОБНАРУЖЕНИЯ СЕТЕВОЙ СТЕГАНОГРАФИИ В ТРАФИКЕ СОВРЕМЕННЫХ КОММУНИКАЦИОННЫХ ПРОТОКОЛОВ

METHODS OF DETECTING NETWORK STEGANOGRAPHY IN THE TRAFFIC OF MODERN COMMUNICATION PROTOCOLS

Kirill Ushakov

student, Department of Regional and Sectoral Development Strategies, Surgut state University,

Russia, Surgut

АННОТАЦИЯ

Cетевая стеганография является одной из самых скрытных методов для сокрытия информации в сети, поскольку сам факт передачи информации является скрытым. В обзоре рассмотрены современные методы детектирования сетевой стеганографии: методы анализа статистических характеристик трафика, машинного обучения и обнаружения аномалий поведения протокола. В ходе обзора была предложена классификация методов по типу управляемости, по используемым возможностям и по вычислительной сложности. Кроме того, на примере собственного экспериментального анализа, измерен масштаб эффективности обнаружения стеганографии в протоколах HTTP/2 и QUIC. Исследование будет интересно IT специалистам, а также специалистам по защите информации.

ABSTRACT

Network steganography is one of the most covert methods for hiding information on the network, since the very fact of information transfer is hidden. The review considers modern methods of detecting network steganography: methods for analyzing statistical characteristics of traffic, machine learning and detecting protocol behavior anomalies. During the review, a classification of methods by type of controllability, by the capabilities used and by computational complexity was proposed. In addition, using the example of our own experimental analysis, the scale of the effectiveness of detecting steganography in the HTTP/2 and QUIC protocols was measured. The study will be of interest to IT specialists, as well as information security specialists.

Ключевые слова: сетевая стеганография, информационная безопасность, обнаружение аномалий, анализ трафика, машинное обучение, QUIC, HTTP/2, скрытые каналы.

Keywords: network steganography, information security, anomaly detection, traffic analysis, machine learning, QUIC, HTTP/2, covert channels.

1. Введение

С развитием сетевых технологий и усилением контроля над передаваемыми данными, злоумышленники все чаще прибегают к методам скрытной коммуникации. Под скрытной коммуникацией понимается передача информации таким образом, что человеку, который не знаком с техническими решениями, применяемыми для ее осуществления, будет невозможно обнаружить сам факт передачи. В отличие от криптографических методов стеганографии, содержание сообщения остается скрытым, а внедрение рассматривается в качестве доказательства того, что сообщение вообще передавалось. Сетевая стеганография является одной из самых сложных для обнаружения: в ее технологии лежат различные аспекты стандартов протоколов передачи данных в сети, для того чтобы скрыто передавать данные. Некоторые сетевые протоколы, такие как HTTP/2, QUIC, DNS, HTTPS, были использованы чтобы позволить злоумышленникам использовать их для передачи, что усложняет задачу их выявления. В данной статье представлен обзор методов, включающий теорию для общего понимания, а также проведен собственный экспериментальный анализ на современных протоколах.

2. Теоретические основы сетевой стеганографии

Сетевая стеганография - это скрытая передача информации путем изменения или использования определенных характеристик сетевого трафика. Такие изменения могут повлиять как на структуру заголовков, так и на поведение самого сеанса обмена. В зависимости от уровня стека TCP/IP стеганография может быть реализована на канальном, сетевом, транспортном и прикладном уровнях [2]. Таким образом, на сетевом уровне можно манипулировать полями заголовков IP-пакетов, в то время как на прикладном уровне часто используются поля заголовка HTTP или специфика DNS-запросов. Типичные методы реализации включают использование зарезервированных битов, манипулирование временем между отправкой пакетов, изменение порядка их передачи или частоты появления определенных параметров. Более сложные схемы используют возможности зашифрованных протоколов, например, для управления длиной и содержимым блоков заполнения в TLS или QUIC [5]. В некоторых случаях используется даже частотная модуляция активности клиента, при которой.

3. Современные методы обнаружения

Среди применяемых в настоящее время подходов к обнаружению сетевой стеганографии можно выделить несколько категорий. Одной из базовых является анализ статистических аномалий. Он предполагает построение профиля нормального трафика, с которым затем сравниваются текущие сеансы. Отклонения от нормы по таким параметрам, как длина пакетов, интервалы между отправкой, частота появления определённых заголовков и другие показатели, могут указывать на наличие скрытых каналов [3].

Другим эффективным направлением являются методы машинного обучения (рис.1). Современные алгоритмы, включая случайные леса, опорные векторы и нейросетевые архитектуры, позволяют строить классификаторы, способные с высокой точностью отличать обычный трафик от трафика со стеганографическими вставками [4]. Такие методы, однако, требуют значительного объёма размеченных данных для обучения и значительных вычислительных ресурсов.

Рисунок 1. Классификация методов обнаружения стеганографии

Глубокий анализ пакетов, известный как DPI (Deep Packet Inspection), позволяет исследовать содержимое пакетов на предмет структурных несоответствий. Тем не менее, его эффективность ограничена в случае использования зашифрованных соединений. Также значительный интерес представляют поведенческие подходы, которые фокусируются не столько на содержании, сколько на характере взаимодействия между участниками обмена. Такие методы могут выявлять, например, нестандартные сценарии работы приложений, характерные для наличия стеганографического механизма.

4. Экспериментальная часть

В рамках проведённого исследования была реализована экспериментальная среда, включающая как реальные, так и синтетические наборы сетевых данных. Для анализа использовались открытые датасеты, такие как CIC-IDS 2018, а также специально сгенерированные потоки с внедрённой стеганографией, полученные с помощью таких инструментов, как Stegotorus, Httphider и PadSteg. Внедрение скрытой информации производилось в протоколы HTTP/2 и QUIC за счёт изменения параметров заголовков и структуры padding-блоков.

Рисунок 2. Диаграмма точности методов обнаружения стеганографии

Результаты анализа (рис.2.) показали, что методы машинного обучения, особенно сверточные нейронные сети, позволяют добиться высокой точности обнаружения, превышающей 94%. При этом классические методы анализа, включая DPI, демонстрировали худшие результаты, особенно в условиях шифрования трафика. Поведенческие подходы показали средние значения точности, но обладают значительным потенциалом в условиях ограниченной информации о полезной нагрузке.

5. Заключение

Сетевая стеганография, благодаря своей адаптивности и способности к маскировке под легитимный трафик, остаётся одной из наименее изученных и наиболее опасных форм информационного воздействия. Результаты данного анализа свидетельствуют о высокой эффективности гибридных подходов, объединяющих поведенческий анализ с методами машинного обучения. Однако ключевым ограничением остаётся дефицит размеченных данных, необходимых для обучения моделей, а также сложности, связанные с обфускацией и шифрованием.

В перспективе развитие систем мониторинга сетевой активности должно включать модули динамического анализа и адаптивной фильтрации. Использование гибридных интеллектуальных систем позволит оперативно выявлять новые способы внедрения скрытой информации. Также необходимо формирование отраслевых стандартов по анализу трафика с учётом риска внедрения стеганографии, особенно в критически важных информационных инфраструктурах.

Список литературы:

1. Mazurczyk W., Szczypiorski K. Steganography in handling VoIP traffic: A survey // ACM Computing Surveys. – 2013. – Т. 46, № 2. – С. 1–21.
2. Zander S., Armitage G., Branch P. A survey of covert channels and countermeasures in computer network protocols // IEEE Communications Surveys & Tutorials. – 2007. – Т. 9, № 3. – С. 44–57.
3. Fisk G., Maldoff M., Papadopoulos C., и др. Eliminating steganography in Internet traffic with active wardens // Information Hiding: 5th International Workshop, Noordwijkerhout, The Netherlands, October 7–9, 2002. Proceedings / под ред. F. Petitcolas. – Berlin: Springer, 2003. – С. 18–35.
4. Wang W., Zhu M., Zeng X., Ye X., Sheng Y. HAST-IDS: Learning hierarchical spatial-temporal features using deep neural networks to improve intrusion detection // IEEE Access. – 2017. – Т. 6. – С. 1792–1806.
5. RFC 9000: QUIC: A UDP-Based Multiplexed and Secure Transport [Электронный ресурс]. – 2021. – Режим доступа: https://www.rfc-editor.org/info/rfc9000 (дата обращения: 26.04.2025).