CNR Institutional Research Information System

The ability of creating covert channels within network traffic is increasingly exploited by malware to elude detection and remain unnoticed. Unfortunately, spotting such hidden communication attempts often requires to evaluate composite and huge volumes of data, which may lead to scalability and privacy issues. Therefore, we present an efficient method for computing suitable indicators to reveal the presence of covert channels within the bulk of traffic. To met performance criteria, we exploit code augmentation features of the Linux kernel. Privacy is guaranteed by using a counter-based mechanism, which does not require to store information on the fields of the header. We tested our idea with different covert channels targeting IPv6 traffic and results indicate that network covert channels can be detected in a scalable manner without violating the privacy of users.

Sempre più spesso, i malware sfruttano i covert channel di rete per agire indisturbati ed aggirare i sistemi standard di rilevazione. Identificare questo tipo di comunicazioni richiede la raccolta e l'ispezione del traffico, operazioni che possono causare problemi di riservatezza e/o scalabilità. In questo lavoro, presenteremo una metodologia per il rilevamento di covert channel di rete che sfrutta le potenzialità dell'extended Berkeley Packet Filter, un meccanismo di code augmentation per i kernel Linux. Come tecnica di rilevamento, proponiamo un sistema di contatori che non utilizza o immagazzina dati sensibili (ad esempio, indirizzi o identificatori univoci). La metodologia è stata testata su diversi covert channel basati su IPv6 e i risultati mostrano la possibilità di individuare efficacemente comunicazioni nascoste, pur preservando la riservatezza degli utenti.

Rilevamento Efficiente di Covert Channel Preservando la Riservatezza del Traffico

Luca Caviglione;Corrado Pizzi;Matteo Repetto
2021

Abstract

The ability of creating covert channels within network traffic is increasingly exploited by malware to elude detection and remain unnoticed. Unfortunately, spotting such hidden communication attempts often requires to evaluate composite and huge volumes of data, which may lead to scalability and privacy issues. Therefore, we present an efficient method for computing suitable indicators to reveal the presence of covert channels within the bulk of traffic. To met performance criteria, we exploit code augmentation features of the Linux kernel. Privacy is guaranteed by using a counter-based mechanism, which does not require to store information on the fields of the header. We tested our idea with different covert channels targeting IPv6 traffic and results indicate that network covert channels can be detected in a scalable manner without violating the privacy of users.
2021
Istituto di Matematica Applicata e Tecnologie Informatiche - IMATI -
Sempre più spesso, i malware sfruttano i covert channel di rete per agire indisturbati ed aggirare i sistemi standard di rilevazione. Identificare questo tipo di comunicazioni richiede la raccolta e l'ispezione del traffico, operazioni che possono causare problemi di riservatezza e/o scalabilità. In questo lavoro, presenteremo una metodologia per il rilevamento di covert channel di rete che sfrutta le potenzialità dell'extended Berkeley Packet Filter, un meccanismo di code augmentation per i kernel Linux. Come tecnica di rilevamento, proponiamo un sistema di contatori che non utilizza o immagazzina dati sensibili (ad esempio, indirizzi o identificatori univoci). La metodologia è stata testata su diversi covert channel basati su IPv6 e i risultati mostrano la possibilità di individuare efficacemente comunicazioni nascoste, pur preservando la riservatezza degli utenti.
information hiding
covert channels
security
cybersecurity
code augmentation
ebpf
File in questo prodotto:
File Dimensione Formato  
prod_454679-doc_175364.pdf

solo utenti autorizzati

Descrizione: Slide
Tipologia: Versione Editoriale (PDF)
Dimensione 1.16 MB
Formato Adobe PDF
  Visualizza/Apri   Richiedi una copia
1.16 MB Adobe PDF   Visualizza/Apri   Richiedi una copia
prod_454679-doc_175365.pdf

solo utenti autorizzati

Descrizione: Extended Abstract
Tipologia: Versione Editoriale (PDF)
Dimensione 897.29 kB
Formato Adobe PDF
  Visualizza/Apri   Richiedi una copia
897.29 kB Adobe PDF   Visualizza/Apri   Richiedi una copia

I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14243/396850
Citazioni
  • ???jsp.display-item.citation.pmc??? ND
  • Scopus ND
  • ???jsp.display-item.citation.isi??? ND
social impact