惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

GbyAI
GbyAI
N
News and Events Feed by Topic
D
DataBreaches.Net
MongoDB | Blog
MongoDB | Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Engineering at Meta
Engineering at Meta
T
Tailwind CSS Blog
博客园_首页
Microsoft Azure Blog
Microsoft Azure Blog
Y
Y Combinator Blog
博客园 - Franky
Hugging Face - Blog
Hugging Face - Blog
月光博客
月光博客
A
About on SuperTechFans
I
InfoQ
S
Securelist
Last Week in AI
Last Week in AI
S
Schneier on Security
C
CXSECURITY Database RSS Feed - CXSecurity.com
Hacker News: Ask HN
Hacker News: Ask HN
Schneier on Security
Schneier on Security
Know Your Adversary
Know Your Adversary
腾讯CDC
大猫的无限游戏
大猫的无限游戏
S
Security @ Cisco Blogs
博客园 - 三生石上(FineUI控件)
Simon Willison's Weblog
Simon Willison's Weblog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Tor Project blog
美团技术团队
aimingoo的专栏
aimingoo的专栏
G
Google Developers Blog
罗磊的独立博客
Vercel News
Vercel News
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
The Cloudflare Blog
S
Secure Thoughts
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Latest news
Latest news
Recent Announcements
Recent Announcements
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
L
LINUX DO - 热门话题
Security Latest
Security Latest
TaoSecurity Blog
TaoSecurity Blog
Cyberwarzone
Cyberwarzone
有赞技术团队
有赞技术团队

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Скрытые каналы – противодействие утечке информации по сетевым скрытым каналам (часть 3)
f_mike (HEX. · 2026-05-04 · via Все публикации подряд на Хабре

Уровень сложностиПростой

Время на прочтение5 мин

Охват и читатели843

Аналитика

В первых двух статьях цикла мы обсудили проблему утечки информации по сетевым скрытым каналам и разобрали несколько реальных примеров построения таких скрытых каналов. Сегодня мы поговорим о том, как выстраивать процесс защиты от утечки информации по скрытым каналам.

Общая схема противодействия

В рамках противодействия утечке информации по скрытым каналам предусмотрено несколько шагов:

  • идентификация скрытых каналов: сначала мы хотим понять, какие скрытые каналы теоретически могут быть построены в системе;

  • анализ скрытых каналов: затем мы хотим оценить их «опасность», рассчитав их пропускную способность;

  • принятие решение о конкретных мерах противодействия: и исходя из этой оценки решить, что мы с ними делаем – вводим меры противодействия, а может быть не делаем ничего, выдвигая требования к периодическому аудиту.

Эти шаги есть и в ГОСТ Р 53113, о котором уже говорили в предыдущих статьях. Теперь поговорим подробнее о каждом шаге.

Идентификация скрытых каналов

На данном этапе происходит анализ возможностей по построению скрытых каналов в системе. Данный шаг не надо путать с обнаружением скрытых каналов. Задача идентификации – выявление потенциальных скрытых каналов, которые могут быть реализованы в исследуемой системе. Задача обнаружения – в нахождении уже функционирующих в исследуемой системе скрытых каналов.

Методы идентификации – определение неявных информационных потоков. В литературе рассматриваются методы идентификации путем построения различных структур данных:

  • матрица разделяемых ресурсов;

  • дерево скрытых информационных потоков;

  • граф скрытых информационных потоков;

  • диаграмма последовательности сообщений.

При идентификации путем построения матрицы все общие ресурсы, которые могут модифицироваться субъектом, перечисляются, а затем каждый ресурс тщательно проверяется на возможное использование для передачи информации. Таким образом заполняется матрица связей. Далее проводится транзитное замыкание матрицы, а именно определяются все возможные цепочки взаимодействий в матрице, благодаря чему обнаруживаются скрытые пути передачи информации.

Другие методы идентификации действуют примерно тем же образом. Всё это – строгие математические подходы, требующие достаточно детального описания исследуемой системы и глубокого исследования информационных потоков внутри нее. Методы идентификации не зависят от характера скрытого канала, не важно сетевой он или нет. Про адаптацию данных методов к скрытым каналам в IP сетях можно почитать в этой статье.

После данного этапа мы имеем перечень идентифицированных в данной информационной системе скрытых каналов. Теперь надо переходить к анализу этих скрытых каналов.

Анализ скрытых каналов

Основная задача анализа скрытых каналов – определение количества информации, которое можно передать с использованием идентифицированных каналов. Основной целью является определение скрытых каналов с высокой пропускной способностью среди всех идентифицированных, ведь именно пропускная способность – основная метрика «опасности» скрытого канала.

А вот, что считать высокой или низкой пропускной способностью – вопрос открытый. Пороговое значение должно быть определено в политике информационной безопасности организации, однако ему тоже надо там откуда-то появиться. Здесь мы можем основываться либо на «Оранжевой книге», уже упоминавшейся в предыдущих частях цикла. В ней предлагается считать опасными скрытые каналы с пропускной способностью более 1 бит/с. В некоторых источниках можно найти рекомендации по пороговому значению в 100 бит/с. Однако, строгих требований в нормативных документах вы не найдете. Так что, это пороговое значение выбирается на усмотрение отдела информационной безопасности конкретной организации.

Оценка пропускной способности скрытого канала не отличается от оценки пропускной способности любого другого канала связи. Для каналов без шума пропускная способность ν может быть определена согласно формуле ниже, где N(t) – количество возможных последовательностей символов, или сообщений, которое можно передать за время t.

\lim_{t \to \infty} \frac{\log_2 N(t)}{t}

Формула достаточно простая, и мы ей уже пользовались в неявном виде в предыдущей статье цикла при оценке пропускной способности скрытых каналов в приведенных примерах.

Однако, для сетевых скрытых каналов шум в сети – задержки и потери пакетов – критичен, и все сетевые скрытые каналы являются каналами с шумом. Тогда можно рассмотреть другой подход к оценке, основанный на расчете взаимной информации случайных величин X и Y, описывающих входные и выходные характеристики скрытого канала соответственно. В формуле ниже \tau – среднее время передачи одного пакета.

\nu = \max_{X} \left\{ \frac{I(X,Y)}{\tau} \right\}

Взаимная информация случайных величин X и Y оценивается как разность энтропии случайной величины Y и условной энтропии случайной величины Y относительно случайной величины X . В формулах ниже p_{\text{вх}}(j) – вероятность отправки символа j, p_{\text{вых}}(i) – вероятность распознавания получателем символа i, p_{\text{вых}}(i \mid j) – условная вероятность распознавания получателем символа i при отправке символа j.

I(X,Y) = H(Y) - H(Y \mid X)H(Y) = -\sum_{i=1}^{n} p_{\text{вых}}(i) \log_2 p_{\text{вых}}(i)H(Y \mid X) = -\sum_{j=1}^{n} p_{\text{вх}}(j) \sum_{i=1}^{n} p_{\text{вых}}(i \mid j) \log_2 p_{\text{вых}}(i \mid j)

Теперь для каждого из идентифицированных скрытых каналов мы имеем оценку их пропускной способности. Пора решать, что мы будем с этими скрытыми каналами делать.

Внедрение мер противодействия утечке информации по скрытым каналам

Пусть задано значение пропускной способности скрытого канала  \nu_{\text{0}} такое, что функционирование скрытых каналов с пропускной способностью, не превосходящей \nu_{\text{0}}, является допустимым. Тогда все идентифицированные скрытые каналы поделятся на два множества – «не опасные» и «опасные».

Для «не опасных» скрытых каналов мы не должны внедрять никаких мер противодействия. Однако, мы должны проводить периодический аудит таких скрытых каналов, ведь в случае изменения характеристик основного канала связи пропускная способность скрытого канала связи также может измениться.

Цель превентивных мер противодействия «опасным» скрытым каналам – ограничить их пропускную способность до значения \nu_{\text{0}} либо «подавить», другими словами, полностью устранить возможность их построения, то есть тоже снизить их пропускную способность, но уже до нуля.

Чем больше ошибок происходит при передаче информации и ее дальнейшем декодировании, тем ниже пропускная способность канала связи. Значит, если мы будем внедрять ошибки в скрытый канал, мы снизим его пропускную способность. Как это сделать? К примеру, если мы кодируем информацию в длина пакетов, то средство защиты может «удлинять» каждый пакет на определенную величину, в результате чего на стороне приемника скрытой информации мы будем получать ошибки. В случае кодирования скрытой информации в длинах межпакетных интервалов средство защиты может вносить случайные задержки перед отправкой каждого пакета, что приведет к аналогичному результату.

Другой способ – генерация фиктивного трафика, который также будет нарушать схему кодирования.

Если говорить про подавление скрытого канала, то это те же методы, но в «пределе». То есть средство защиты добавляет не случайное значение к длине пакета или длине межпакетного интервала, а, к примеру, отправляет все пакеты одинаковой длины, либо через одинаковые промежутки времени. Скрытые каналы на основе изменения полей заголовков передаваемых пакетов устраняет шифрование канала связи.

Превентивные меры противодействия сетевым скрытым каналам потенциально приводят к существенному понижению пропускной способности легитимного канала связи и к потере функциональных возможностей протоколов. В таком случае, может быть принято решение о внедрении не превентивной меры противодействия. Ведь мы имеем список идентифицированных скрытых каналов – то есть тех, что могут быть построены в рамках нашей системы, но не обязательно будут построены. Тогда мы можем в пассивном режиме наблюдать за каналом связи, и если мы в ходе наблюдения увидим подозрительную активность, уже тогда внедрим превентивные меры.

В рамках такого подхода применяются методы обнаружения скрытых каналов. Это отдельная большая и достаточно сложная тема, и о ней мы поговорим в следующей статье цикла.

Следите за обновлениями блога!

Предыдущие статьи цикла: