隐蔽信道是信息安全领域的一项关键技术,也成为了近年来的一大研究热点。基于WEB的隐蔽信道作为一种应用较为普遍的网络隐蔽信道,也越来越受到研究者们的关注。现有的WEB隐蔽信道技术主要有基于WEB封皮变化的隐蔽通信技术和WEB隧道通信技术两大类,而基于应用签名的检测技术和基于协议指纹的识别技术可以分别对这两种隐蔽信道进行检测。通过对两种WEB隐蔽信道的设计及其检测技术的深入分析,本文提出了一种基于HTTP的多路径隐蔽信道的设计方案并设计了一种可用于对WEB隧道进行检测的基于特征向量的流量识别技术。在WEB隐蔽信道的设计中,利用HTTP封皮中的"User-Agent"字段和多路传输技术,采用多台主机同时发送秘密信息片段的方法,使该信道可以成功抵抗基于应用签名的WEB隐蔽信道检测方案。通过设计一个发送冗余矩阵,在多路径下数据片段的乱序问题可以得到解决。同时,通过一个发送主通信端口的设计,该隐蔽信道可以在隐蔽传输的同时模拟正常的HTTP通信过程,从而也能够躲避基于协议指纹的WEB隧道识别技术。在WEB隧道的检测中,通过对WEB应用特点的分析和TCP数据包的分类处理,提取正常WEB通信数据的一些重要统计特征。利用这些统计特征,可以从数据包交互序列中挖掘可疑WEB通信中的通信特征,如平均资源请求大小、平均响应大小、数据包的搭配度、资源请求次数和请求响应次数等。将这些特征组成可疑通信的特征向量,经过一个已训练好的两类别SVM(支持向量机)分类器,识别该通信是否为WEB隧道通信。该检测方法能够成功识别出基于明文的HTTP隧道和基于密文的HTTPS隧道。