1966年，越战期间的战俘耶利米·丹顿（Jeremiah Denton）被迫接受采访，利用向美国播出的机会，以眨眼的方式传递内容为“ T-O-R-T-U-R-E（酷刑）”的摩斯电码，让美国情报人员和民众知道了美国战俘在北越被拷打的事实。在网络中也有类似丹顿以眨眼的方式传递隐蔽信息的手段，部分人利用特殊手段伪装成合法信息作为掩护来传递秘密信息，这种方式构建的隐藏通信通道被称为“隐蔽信道”。

网络“谍战”利器——隐蔽信道

隐蔽信道是相对于公开信道而言的，公开信道用于传输合法信息，而隐蔽信道传递信息则犹如间谍之间传递机密信息一般，通过在合法信息流中嵌入特殊编码来传输非法或秘密信息。用于构建隐蔽信道的常见协议包括ICMP协议、NTP协议、DNS协议等。以ICMP协议为例，许多防火墙允许ICMP ECHO的请求和响应。攻击者将恶意数据以特殊方式注入ECHO请求数据包中并发送至远程主机，远程主机收到包含恶意数据的ECHO数据包后，以相同的方式将回复信息注入ICMP响应数据包中并将其发回至攻击者，使得攻击者可以在ECHO和ECHO-REPLY上获得大约50Kbps的低带宽TCP隧道，这对于命令和控制（C＆C）非常有用，方便攻击者对僵尸主机的远程控制且更难被发现。同样，对于DNS协议和NTP协议也是运用类似的方法理念构建隐蔽信道。

隐蔽信道及其技术成为了网络犯罪和网络间谍活动的新兴手段，其恶意用途主要包括三个方面：

· 窃取数据：利用隐蔽信道进入受保护的网络中窃取机密数据。

· 绕过防火墙：利用隐蔽信道访问被防火墙禁止的内容。

· 僵尸网络通信，远程后门和反向Shell ：有些僵尸网络使用隐蔽信道，以便与C＆C服务器进行秘密通信。同样，远程后门或反向Shell程序也可以使用隐蔽信道来下载其它恶意脚本，绕过防火墙的检测。

天融信NGFW化身“反谍特勤”，切断“间谍信息”传递

由于ICMP、DNS、NTP协议的广泛使用，许多网络环境下的防火墙并未对其进行限制。要实现隐蔽信道检测，需要针对协议报文进行更深层次的合法性检查。天融信下一代防火墙（NGFW）融合隐蔽信道检测功能，通过AI模型对大量样本数据进行分析并不断完善、调优，弥补了传统特征库检测方式的不足。对于ICMP、NTP、DNS等协议，NGFW隐蔽信道检测是根据报文的特征字将检测项分为四个部分：网络层标识字段的检测、应用层标识字段的检测、应用层数据的合法性检测、数据包频率的检测。例如，针对DNS隐蔽通道，以域名特征、时间特征、行为特征等为依据，通过对大量黑样本和白样本数据的收集和训练，建立DNS隐蔽通信检测模型，对协议各字段分别检测分析，最终发现隐蔽信道，切断“间谍信息”的传递。

天融信下一代防火墙利用隐蔽信道检测功能与公开信道检测形成互补，全方位保障网络安全。针对数据泄露，结合数据深度过滤检测，实现对内部数据安全的多层保障；针对非法访问，结合细粒度访问控制，阻断非法绕过的连接行为；针对僵尸网络通信，结合DGA检测，实现对僵尸网络通信的及时阻断，在连接层面上断绝C&C服务器对僵尸主机的控制。天融信下一代防火墙通过全面多样的检测手段在隐蔽信道和公开信道两方面识别威胁，帮助客户全面提升网络边界的防御能力。