IPv6CC：IPv6隐蔽通道用于网络安全测试的软件

软件X 17（2022）100975原始软件出版物IPv6CC：IPv6隐蔽通道，用于测试网络是否存在隐写恶意软件和数据泄露Luca Caviglionea，a，Andreas Schaffhauserb，Marco Zuppellia，Wojciech Mazurczykb，ca意大利热那亚应用数学和信息技术研究所b德国哈根的FernUniversität华沙理工大学，华沙，波兰ar t i cl e i nf o文章历史记录：收到2020年2022年1月10日收到修订版2022年1月10日接受关键词：隐通道网络安全a b st ra ctIPv6CC是一套针对IPv6协议的网络隐蔽通道。它的主要范围是支持渗透测试活动，以评估系统对新兴信息隐藏攻击或隐写恶意软件的安全性。本文介绍了用于在IPv6数据包中注入数据的技术，参考用例和套件的软件架构。它还展示了IPv6CC提供的不同隐蔽通道的性能评估，以及对它们绕过某些事实上的标准安全工具的能力©2022作者（S）。由爱思唯尔公司出版这是CC BY-NC-ND下的开放获取文章许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）。代码元数据当前代码版本v1.0用于此代码版本的代码/存储库的永久链接https://github.com/ElsevierSoftwareX/SOFTX-D-20-00074代码海洋计算胶囊法律代码许可证MIT使用git的代码版本控制系统使用的软件代码语言、工具和服务用Python 3编写，在Ubuntu 18.04、20.04和Debian GNU/Linux 10上测试和运行。Docker镜像可用。编译要求，操作环境依赖Python库：Scapy 2.4.3，NetfilterQueue 0.8.1如果有开发人员文档/手册的链接https://github.com/Ocram95/IPv6CC_SoftwareX/blob/main/README.md问题支持电子邮件marco. ge.imati.cnr.it，andreas.fernuni-hagen.de1. 动机和意义如今，攻击者越来越多地赋予恶意软件反取证和加密功能。通过这种方式，现代威胁可以逃避内存或文件系统分析，并实现多级加载架构以减少检测的机会[1]。最近的趋势利用某种形式的信息隐藏用于两个目的：在数字媒体内嵌入代码或加密文件（例如，JPG），并创建网络隐蔽通道，从受害者那里悄悄地将数据泄露到远程主机，检索额外的有效载荷，或编排僵尸网络[2，3]。因此，这种新的威胁浪潮已经成为*通讯作者。电子邮件地址：luca. ge.imati.cnr.it（Luca Caviglione）.https://doi.org/10.1016/j.softx.2022.100975名为隐写软件唉，评估可能的危害需要许多工具和审计技术，这些技术不能仅限于经典的渗透测试或扫描活动[4]。对于以数字媒体为目标的攻击的情况，已经提出了许多框架来揭示隐藏的内容并执行消毒[5]。由于网络隐蔽通道的新兴性质因此，安全专家通常需要实现几个概念验证隐蔽通道来评估其部署。不幸的是，这是耗时的，因为每个通道都与注入机制和所使用的协议/通信技术紧密耦合[6]。即使恶意软件样本或简单的实现变得可用（参见[7]智能手机的情况），它们都没有解决IPv6，2352-7110/©2022作者。由爱思唯尔公司出版。这是一篇开放获取的文章，使用CC BY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表SoftwareX期刊主页：www.elsevier.com/locate/softxLuca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009752图1.一、一 种以中间人风格实现的网络隐蔽通道。其正成为运营商和数据中心的优选协议。此外，预计IPv6将逐步渗透到住宅网络中，为物联网和智能家电提供端到端的透明度[8]。因此，能够量化针对IPv6的隐藏通信的影响对于全面评估当前场景的安全性至关重要。文献已经提出了在IPv6流量中创建隐蔽通道的技术。[9]中的开创性工作提出了几种针对IPv6的各种报头字段和行为的方法，而[10]则演示了如何通过v4/v6过渡机制渗出数据。然而，这两项工作都没有提供软件实现，[9]中的性能分析只是理论上的。如[11]所述，现实部署的特点是使用模式和难以预见的技术损害，这些损害可能（部分）破坏隐蔽信道或使对策无效。因此，在本文中，一套IPv6隐蔽通道（IPv6CC），旨在测试网络和安全工具对隐藏的通信企图[2，3，6，7]。具体而言，IPv6CC套件可用于：理解威胁：stegomalware的技术依赖性阻止了一刀切的安全路线图。我们的工具可以帮助了解员工是否已经在保护自己不受隐蔽通信的影响，例如，由于网络地址转换的存在，破坏了端到端的透明性或破坏了信息的秘密流;评估安全：测试所采用的安全政策/解决方案，以便规划升级和调整网络配置或设计做出决定：了解隐蔽信道的性能有助于量化所需解决方案的威胁和经济影响。最后，秘密渠道也可以用来逃避政权的窃听或保护调查性新闻的消息来源[12]。因此，IPv6CC可以提供基本的隐私强制通信服务，或者可以用于测试场景是否抵抗不希望的数据泄漏（例如，用于工业废水）。2. 软件描述本节提供信息隐藏的背景知识，并概述参考方案。讨论了数据注入、软件体系结构和主要功能。2.1. 背景网络隐蔽通道允许隐蔽发送者和隐蔽接收者以隐蔽方式远程通信。其最终目的是防止检测或绕过安全机制和流量策略。在这种程度上，发送方将秘密信息注入在两个端点（定义为公开发送方和公开发送方）之间交换的合法公开业务流公开接收器）。图1描述了典型的MitM用例，即，隐蔽对等体是拦截业务以注入/提取秘密信息的恶意节点另一种用法是将隐蔽端点和公开端点合并在同一主机中。为了避免增加讨论的负担，在下文中，我们将省略形容词隐蔽/公开，除非出现疑问。对于隐写包，我们将表示包含秘密信息的数据报。描述隐蔽信道性能的主要指标是隐写带宽（信道有多快？），以及不可检测性（通信的“秘密”程度如何？），它们是紧密耦合的：数据速率越高，发现通信的机会就越高[13]。为了实现隐蔽信道，可以使用协议报头的不同部分来隐藏秘密信息。一般而言，存在两种主要方法。第一种方法直接将信息嵌入到特定的字段中，而第二种方法则操纵其行为来编码秘密。在这两种情况下，秘密消息被分割以适应所选择的隐藏机制的容量。在这项工作中，我们专注于IPv6隐蔽通道，在带宽和抗中断性之间进行充分的权衡[9，11]。具体来说，我们考虑以下头字段用于数据隐藏目的：Traffic Class（8 bit）：指定网络期望的服务。秘密被直接注入到字段中，从而导致8比特/分组的最大隐写带宽。流标签（20位）：它帮助网络节点通过伪随机路由，而不是可预测的标签[14]。数据再次被直接注入，导致20比特/分组的最大隐写带宽。跳数限制（8位）：它定义了数据报可以遍历的最大节点数。通过调制连续分组的字段的值来隐藏数据，即，值1和0分别通过将跳数限制增加或减少20来编码。所得到的隐写带宽是1比特/分组。2.2. 参考场景和解决的IPv6CC允许调查网络是否容易受到通过IPv6泄露数据的威胁。图2描述了参考情景。如图所示，该工具在通过被测网络通信的发送方和接收方之间实现隐蔽信道（例如，一组节点和安全工具）。它提供了有关传输的详细信息，但最重要的指示将来自目标安全工具：管理员可以检查日志并检查是否已检测到或中和通道。IPv6CC支持重复测试，从而帮助从业者执行试错活动。2.3. 工作模式和注入策略针对不同程度的攻击，IPv6CC提供了四种工作模式：······Luca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009753图二、使用 IPv 6C C 的 参考场景。图三. IPv6CC的软件架构1. 朴素模式：隐蔽端点离线决定要传输的隐写分组的数量。隐蔽节点从传输的开始处开始过滤关于约定的分组数目的信息;2. 开始/停止：离线决定指示包含秘密信息的分组序列的开始和结束的两然后，这些值被注入到IPv6报头的目标字段为了避免冲突，通过字符填充插入隐藏数据;3. 分组标记：两个端点生成由建立在共享种子上的伪随机数生成器产生的一组加密签名。然后将标记注入到不包含秘密信息的字段中：对于流标签、业务类和跳数限制信道，分别将标记插入到业务类、流标签和流标签中;4. 可靠标记：这是先前模式的跨层变体，并且利用来自传输层的信息来实现某种形式的错误检测。TCP序列号用于检测隐写数据包的丢失对于所有方法，还可以使用更细粒度的注入策略来模拟试图绕过潜在（不）已知检测机制的攻击者/恶意软件更详细地，IPv6CC允许指定隐写和非隐写分组之间的适当交织，以减少由于异常突发而发现信道的机会。2.4. 软件构架该工具是用Python 3编写的，Scapy 2.4.3 [15]用于处理数据注入/溢出，Netfilterqueue 0.8.1 [16]用于拦截公开的IPv6流。该软件套件由13个Python脚本组成。对于每种工作模式，单个脚本实现了针对特定协议字段的秘密发送方和秘密接收方。图3描述了软件体系结构。另外一个Python脚本（helper.py）包含所有通道共享的它提供了管理常量的功能（例如，IPv6地址和预共享种子），创建用于识别隐写数据包的签名，解析/编码秘密数据，以及添加/删除用于捕获和路由流量的ip 6 tables[172.5. 软件功能IPv6CC 套 件 在 各 种 脚 本 中 具 有 一 致 的 功 能 。 以flow_label_cc.py为例，其用法如下：python3 flow_label_cc.py[-rROLE][-fFILE_PATH][-l CONSECUTIVE_STEGO] [-pCONSECUTIVE_NONSTEGO][-nSTEGOPACKETS]有两（三）个强制参数：-r指定脚本是作为隐蔽发送方还是隐蔽接收方运行：允许的值是发送方和接收方。Luca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009754见图4。 IPv6CC生成的报告。请注意，“平均带宽”的值-f是包含要泄露的秘密的文件的路径。向两个端点提供相同的文件允许报告隐蔽通道的错误率。它仅适用于在朴素模式下工作的信道，并定义了要使用的隐写分组的数量。如果包的数量小于秘密的长度，则传输被截断。否则，秘密消息被（部分地）重复。决定交错喷射策略的可选参数为：-l是隐写分组的突发的长度-p是非隐写分组的突发的长度有关公开流的IPv6地址的信息应在的 helper.py通过妥善分配将值设置为SOURCE_IPv6_ADDRESS和DESTINATION_IPv6_ADDRESS。自动化多次试验的重复次数应通过常数NUMBER_OF_REPETITIONS设置。另一种可能的定制涉及跳数限 制 用 于 调 制 信 息 的 偏 移 的 “ 幅 度 " ， 可 以 通 过HOPLIMIT_DELTA进行设置。在每次传输结束时，IPv6CC提供包含以下信息的报告（参见图4重复次数：当前实验次数与计划总数的比较。发送/接收的隐写数据包：发送/接收的隐写数据包的数量与预期的总数。持续时间[ms]：泄露秘密消息所需的时间。平均注入/溢出时间[ms]：捕获IPv6数据报、注入/提取加密并将其路由回合法发送/接收进程所需的平均时间。• 带宽[bit/s]：隐蔽通道的容量。错误率：以错误的顺序接收或丢失的隐写数据包的数量与预期的总数之比。3. 说明性示例作为一个例子，我们展示了如何使用IPv6CC实现一个隐蔽的通道，利用流标签的公开IPv6会话产生的安全复制协议（SCP）传输。我们使用naive模式来泄露存储在一个名为secret.txt的文件中的数据。因此，我们需要指定将被传输的隐写分组的数量，即，250在我们的例子这样的参数旨在模拟以MitM方式动作的两个秘密端点，以用于泄露简单信息（例如，数据库中的条目）发送到攻击者控制的主机。为了实现图1的情况， 2、pentester应通过克隆存储库或检索容器，在发送节点和接收节点上安装flow_label_cc.py和helper.py脚本以及secret.txt文件。在我们的试验中，我们使用直接从其存储库收集的IPv6CC。然后，必须执行以下步骤：配置并启动帮助程序：必须在www.example.com中指定两个端点的网络地址 helper.py，方法是为SOURCE_IPv6_ADDRESS和DESTINA-TION_IPv6_ADDRESS常量赋值。启动隐蔽发送者：使用发送者角色运行脚本，指定要传输的文件和要注入的隐写数据包的数量：python3 flow_label_cc.py-f..secret.txt-r发送器-N 250启动隐蔽的接收器：使用接收器角色运行脚本。与前一种情况类似，指定预期的隐写数据包的数量和包含秘密的文件，········Luca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009755Ⓧ◆ⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍⓍ∼−Ⓧ◆表1不同IDS在处理包含使用IPv6 CC创建的隐蔽通道的流量（scp会话或合成TCP/UDP流）时的性能;“突发"和”交织“分别表示使用公开流的所有数据包或混合隐写/非隐写数据包的注入过程。 观察到的规则图例：连续TCP小段超过阈值;应 答 溢 出 利 用 ; □ 数 据 包 具 有 无 效 时 间 戳 ; ■ 跳 过 Ap p p l a y e r 协 议 检测 。Ⓧ ◆ Ⓧ ◆Ⓧ ◆ Ⓧ ◆Ⓧ ◆ Ⓧ ◆Ⓧ ◆ Ⓧ ◆流标签，朴素模式流量类，朴素模式跳数限制，朴素模式流量标签，开始/停止交通类，启动/停止跳数限制，启动/停止流标签，数据包标记流量类别，数据包标记跳数限制，数据包标记流量标签，可靠的标记交通等级，可靠标识啤酒花极限，可靠的标记-评估通道的错误/成功率python3 flow_label_cc.py-f..secret.txt-r接收器-N 250运行公开通信：为了模拟实际威胁，IPv6CC仅实现隐蔽通道。然后，用户必须helper.py。图 4报告了输出和获得的性能结果。如图所示，所有250个组块都已被注入和传输。隐蔽通信的持续时间等于8，620 ms，平均注入时间为0。隐蔽信道的平均带宽为579.71比特/秒，并且秘密消息被无差错或丢失地发送4. 影响IPv6CC的主要影响是在渗透领域测试活动和参考社区是网络/系统管理员之一，包括安全和取证专家。IPv6CC对于从事信息隐藏、威胁分析和隐私领域的研究人员也很有用[2]。4.1. 渗透测试为了评估IPv6CC的真正重要性，我们调查了流行的入侵检测系统（IDS），即，Snort [18]、Zeek/Bro [19]和Suricata [20]对网络隐蔽通道是“可渗透的”。我们进行了不同的测试。具体而言，我们使用图1中所示的所有工作模式进行了试验。第2.3节和套件的所有通道。我们评估了大小为5和10 Kbit的消息的泄漏。对于交错注射的情况，我们将-l和-p设置为等于10包- ets。关于公开流量，我们考虑了两种主要情况：攻击者将数据注入到scp生成的流中或通过iPerf生成的TCP/UDP流量的混合中[21]。为了具有足够的统计相关性，每个测试重复5次。试验显示，大多数情况下对各种参数不敏感，因此表1以“浓缩”方式显示结果如图所示，Zeek没有为所有隐蔽通道升起任何标志，尽管它们被注入scp或iPerf流量。相反，Snort提出了两个标志，即，ConcretiveTCPSmall Segments ExceedingThreshold和Concretive-Response Overflow Exploit，在表中分别表示为和。然而，它们不能用于发现隐蔽通道，因为当IDS处理“干净”流量时也会引发当在身份验证质询后发送过大的有效负载时，在SSH通信期间会发生标记“拒绝响应溢出漏洞利用”，而一般的Concreative TCPSmall Segments ExceedingThreshold对配置参数高度敏感。同样，Suricata提出了两个警报，即，具有无效时间戳的数据包和Applayer Pro- tocolDetection Skipped，在表中分别表示为□和■。 尽管存在隐蔽信道（即，发生率落在20 - 100%范围内）。因此，缺乏特定的事件或触发规则导致噪声行为，不能被认为是有效的检测IPv6隐蔽通道“开箱即用”在这种情况下，IPv6 CC对于调整和配置工具以揭示隐藏的通信尝试或测试开始出现的ad-hoc解决方案非常重要[22]。·IDsSnort兄弟/齐克Suricata突发交错突发交错突发交错公开流量：SCP流标签、朴素模式流量类、朴素模式跳数限制、朴素模式Ⓧ ◆Ⓧ ◆Ⓧ ⓍⓍ ◆––––––□（20%）–––––流标签、开始/停止流量类、开始/停止跳数限制、开始/停止Ⓧ ◆Ⓧ ◆Ⓧ ◆Ⓧ ◆––––––□（20%）–––––流标签，数据包标记流量类，数据包标记跳数限制，数据包标记Ⓧ ◆Ⓧ ◆Ⓧ ◆Ⓧ ◆––––––––––––流量标签，可靠标记流量等级，可靠标记跳数限制，可靠标记Ⓧ ◆Ⓧ ◆Ⓧ ◆Ⓧ ◆––––––––––––公开流量：iPerf TCP/UDPLuca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009756∼表2当注入到SCP流中时，所实现的基于IPv6的隐蔽通道的性能。在所有试验中，成功率为100%（表中值是所有试验的平均值数据长度持续时间[ms]注射时间[ms]提取时间[ms]带宽[Kbit/s]5 Kb10 Kb5 Kb10 Kb5 Kb10 Kb5 Kb10 Kb朴素模式流标签74.11151.970.290.300.180.1867.5165.86业务类别194.50377.840.300.300.180.1825.8426.45跳限制1,485.893,027.750.290.300.180.183.363.31启动/停止流标签76.92151.190.300.310.180.1865.0666.21业务类别189.41378.940.300.300.180.1826.4126.47跳限制1,489.393,009.510.290.290.190.183.363.32分组标记流标签101.10238.380.400.470.310.4149.5641.96业务类别324.36896.820.510.710.430.6815.4211.16跳限制10,411.2038,793.171.863.402.073.860.480.26可靠的标记流标签112.13292.680.440.580.300.4144.9034.36业务类别332.74950.050.530.750.440.6715.0310.55跳限制10,391.8938,503.881.893.462.063.830.480.264.2. 研究问题准确评估网络隐蔽通道的影响仍然是一个悬而未决的问题，这也是安全和取证专家面临的一个新挑战[2，3]。关键的一步是量化它们的带宽，以了解威胁是否有足够的能力在特定环境中被认为是有害的，并设计合适的缓解技术。为此，我们测试了通过IPv6CC构建的通道的性能，这些通道用于在位于热那亚研究区的两台具有本地IPv6连接的主机之间泄露数据。意大利国家研究委员会和哈根的FernUniversität。第一台主机在3.90 GHz Intel Core i9- 9900 KF上运行Ubuntu 20.04，内存为32GB，而第二台主机运行Ubuntu18.04在3.40 GHz的英特尔酷睿i7-6700与64 GB的RAM。我们进行了与第4.1节相同的试验。表2报告了仅限于scp病例的收集结果。如图所示，通信的持续时间和实现的速率根据所利用的协议字段的容量而变化，即，以跳数限制为目标的通道是最慢的，而使用流标签的通道是最快的。从模拟攻击的角度来看，窄带通道适用于操作远程后门或支持高级持续威胁。相反，更大容量的方法允许漏出大量数据，例如，当利用24小时SCP会话的流标签时，最高可达700 Mbytes/天。结果还表明，注入/渗出时间可忽略不计。因此，IPv6CC可以吸引一批希望研究新的检测技术的安全开发人员，例如，异常能量消耗[23]或利用代码增强的框架[24]。4.3. 网络工程与安全即使在[14]中已经设想了使用流标签作为隐藏通信的向量，隐蔽通道仍然难以检测，因为它们严重依赖于特定于实现的细节。然后，像IPv6CC这样的工具可以帮助验证对标准的遵守，或者通过设计促进协议对隐写威胁的“免疫”扩散。另一个重要方面涉及满足特定安全约束的网络设计。例如，我们测试了通过6in4隧道路由的IPv6CC信道[25]，这是主要的过渡机制[26]。结果表明，隧道不会破坏隐藏在数据包流中的信息。然而，隐蔽通信可能会失败，由于所使用的最大努力的性质隧道代 理丢弃分 组以服务于 其他竞争流 。因 此，互 联网在IPv4/IPv6可用性方面的巴尔干化不应被视为一种内置保护。滥用协议不同部分的可能性为攻击者提供了比防御者更大的优势。幸运的是，注入技术可以简化为定义良好的模式[27]，因此IPv6CC可以帮助系统化工程测试周期，以构建更安全的网络。另一个主要问题是分析可能的拒绝服务攻击。事实上，滥用流标签等字段可能会导致多个条目，从而导致转发流量的节点中的资源耗尽[28]。5. 结论在本文中，我们提出了IPv6CC，即，一套网络隐蔽通道，用于测试网络是否存在隐藏的通信和渗透企图。结果表明，它的有效性，以帮助专业人员在解决新的风险所产生的隐写恶意软件。由于其模块化和简单的设计，该工具可以扩展到支持其他类型的隐蔽通道，例如针对有效载荷长度的通道：这是我们正在进行的活动的一部分。与此同时，我们希望IPv6CC将吸引一个用户社区，根据他们的需求扩展该工具。竞合利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作致谢这项工作得到了欧盟项目SIMARGL 的支持，赠款协议编号833042。引用[1]Caviglione L，Choraiti M，Corona I，Janicki A，Mazurczyk W，PawlickiM，etal. Tight arms race：overview of current malware threats and trendsintheir detection. IEEE Access2021;9：5371-96.[2]Mazurczyk W，Caviglione L.信息隐藏是恶意软件检测的一个挑战。IEEE安全隐私2015;13（2）：89-93.Luca Caviglione，Andreas Schaffhauser，Marco Zuppelli etal.软件X 17（2022）1009757[3] [10]张文辉，张文辉.信息隐藏的新威胁：前进的道路。IT教授2018;20（3）：31-9。[4] 里昂GF. Nmap网络扫描：网络发现和安全扫描的官方nmap项目指南。不安全;2009年。[5] ProvosN ， HoneymanP.HideandSeek ： AnIntroductiontoSteganography。IEEE安全隐私2003;1（3）：32-44.[6] Zander S，Armitage G，Branch P.计算机网络协议中的隐蔽通道和反措施的调查。IEEE Commun Surv Tutor2007;9（3）：44-57.[7] Mazurczyk W，Caviglione L.现代智能手机中的隐写术和缓解技术。IEEECommun Surv Tutor2014;17（1）：334-57.[8] 克拉菲湾追踪IPv6演进：我们拥有的数据和我们需要的数据ACMSIGCOMMComput Commun Rev2011;41（3）：43-8.[9] Lucena NB，Lewandowski G，Chapin SJ. IPv6中的隐蔽通道。In：关于隐私增强技术的国际研讨会。Springer; 2005，p. 147比66[10][10]杨文，杨文.基于IPv6过渡机制的信息泄漏隐蔽通道的建立与检测。上一篇：北欧安全IT系统会议Springer; 2016，p. 85比100[11]Mazurczyk W，Powójski K，Caviglione L. IPv6隐蔽通道在野外。第三届中欧网络安全会议论文集。 2019. p. 1比6[12]鲍尔·M HTTP中的新隐蔽通道：将不知情的Web浏览器添加到匿名集。见：2003年ACM电子社会隐私问题研讨会会议记录。2003年。p. 七二比八[13]Fridrich J.在数字图像中数据隐藏的应用。In：ISSPA'99. 第五届国际信号处理及其应用研讨会论文集。1.一、IEEE; 1999年，第9[14]Amante S，Carpenter B，Jiang S，Rajahalme J. IPv6流标签规范，RFC6437，RFC编辑器。2011年。[15] 史卡皮2022年，https://scapy.net。[2022年1月]。[16] Netfilterqueue。2022年，https://github.com/kti/python-netfilterqueue。[Ac-2022年1月[17] Ip6tables。2022年，https://man7.org/linux/man-pages/man8/ip6tables.8.html。[2022年1月]。[18]哼 2022年，https://www.snort.org。 [2022年1月]。[19]奇克 2022年，https://zeek.org。 [2022年1月]。[20] Suricata。2022年，https://suricata-ids.org。[2022年1月]。[21] Iperf速度测试工具。2022年，https://iperf.fr。[2022年1月[22]放大图片作者：Koziak T，Wasielewska K，Janicki A.如何使入侵检测系统能够抵御隐写传输，欧洲跨学科网络安全会议。2021. p. 七十七比八十二[23][10]杨文，李文，李文.测量网络安全的能耗。IEEE Commun Mag 2017;55（7）：58-63.[24][10]张文辉，张文辉，张文辉. Linux环境下用于检测隐写恶意软件和隐蔽通道的内核级跟踪.计算机网络2021;191：108010。[25]飓风电力IPv6隧道服务。2022年，https://www.tunnelbroker.net。[2022年1月]。[26][10]杨文辉，陈文辉，陈文辉.调查IPv6流量。在：被动和主动网络测量国际会议。Springer; 2012，p. 11-20[27]Wendzel S，Zander S，Fechner B，Herdin C.基于模式的网络隐蔽通道技术研究与分类。ACM Comput Surv2015;47（3）：1-26.[28]作者：J. M. Internet拒绝服务注意事项，RFC 4732，RFC编辑器。2006年。