[发明专利]一种高隐秘且抗溯源的通信方法

说明书

本发明公开了一种高隐秘且抗溯源的通信方法。本方法为：1)通信源端和目的端分别从一个预先指定的随机数发生源获得一相同的随机数，然后分别根据该随机数计算生成一中转地址，通信源端和目的端分别生成或保存一相同的密钥；2)通信源端将利用该密钥对待发送信息加密后的密文上传到一网站，并将该密文在该网站的访问地址指定为该中转地址；3)通信目的端从该网站的该访问地址获取该密文，并利用该密钥对其解密。本发明极大地保护了通信双方身份，提高了通信安全性。

技术领域

本发明属于通信技术领域，涉及一种通信方法，尤其涉及一种高隐秘且抗溯源的通信方法。

背景技术

伴随互联网在生产生活中的广泛使用，网络窃密活动也愈发猖獗，给政治、军事、经济、科研等领域的活动带来严重威胁。特别是涉及国家利益的政治、经济、军事、科研活动，不仅需要防范来自网络黑客的恶意攻击和窃密，更需要防范来自其他国家或机构的有计划有组织的攻击与窃密活动。

因此，有必要在现有网络架构和通信协议的基础上，提高网络通信的隐秘性，给网络通信各方带来相对安全隐私、不易被第三方察觉的通信环境。这就是隐秘通信技术，该技术基于信息隐藏技术，将机密信息嵌入到普通载体信息中，并通过公开信道，特别是互联网进行传递。隐秘通信不仅要求通信行为的隐蔽性和鲁棒性，还要求具备较强的抗溯源性，能保证通信信道和通信主体都不会被攻击者追踪和发现。20世纪90年代中期以来，人们对隐秘通信技术进行了大量研究，不仅发表了大量论文，还出现了一批商业软件。

随着隐秘通信技术的蓬勃发展，国内外知名的安全公司，如Fireeye、Mandiant、瀚海源、安天等纷纷提出了自己的防御与检测隐秘通信的方案。综合分析这些解决方案可以发现，虽然现有的隐秘通信技术难于检测，但与其相关的命令与控制网络流量在时间维度上却相对容易在网络层被发现，深入的日志分析和比对有助于检测隐秘通信行为。尽管要从正常流量中分离出异常流量有一定难度，但各个安全公司已经提出自己的流量分析与日志比对解决方案，自动化的发现异常流量，并交给安全专家进行分析。

因此，有必要研究新型隐秘通信协议，该协议不但具有较高的隐秘性，能抵御现代基于大数据流量分析和日志分析的异常检测系统；还能具备抗溯源性，最大程度保护通信双方的身份安全，即需要做到即使通信源端和通信链路被控制，也能确保目的端的身份安全，反之亦然。

目前针对隐秘通信协议的技术在僵尸网络领域应用较多。控制命令服务器(英语：Control and Command Server，简称：CC服务器)，一般是指挥控制僵尸网络(简称botnet)的主控服务器，用来和僵尸网络的每个感染了恶意软件(简称malware)的宿主机进行通讯并指挥它们的攻击行为。CC控制服务的攻防要点在于，僵尸网络所有者能否欺骗检测者并成功隐藏CC服务：如果检测者侦测到了隐藏的CC服务，通过一些技术(封禁域名和IP等)或者非技术手段(汇报给安全应急中心等)切断malware和CC之间的联系，就可以有效的摧毁botnet。CC服务器需要谨慎的选择通信方法，现有的CC通信方法总结如下：

(1)硬编码IP。

容易被逆向和检测，而且不能有效隐藏所有者身份和CC服务

(2)单一CC域名。

同样容易被逆向发现，而且新的CC域名会在DNS数据的异常检测里面形成一些特定的模式，通过数据做威胁感知的厂商很容易侦测到这些新出现的奇怪域名，并且通过IP和其他网络特征判定这是可疑CC域名。

(3)Fast flux、Double flux和Triple flux技术。

能有效对抗逆向，但是由于域名对IP的记录转换太快，导致域名TTL等网络特征可以很容易被机器学习算法利用来判别此类僵尸网络。

(4)随机DGA算法。