Detail publikace
Towards Identification of Network Applications in Encrypted Traffic
Matoušek Petr, doc. Ing., Ph.D., M.A. (UIFS FIT VUT)
Ryšavý Ondřej, doc. Ing., Ph.D. (UIFS FIT VUT)
Otisky TLS, JA4, šifrovaný provoz, identifikace aplikací, strojové učení
Monitorování síťového provozu pro detekci bezpečnostních hrozeb a správu sítě je v současné době obtížné vzhledem k rozšření šifrování komunikace. Tento článek se zaměřuje na identifikaci aplikací zapouzdřených v tunelu TLS (Transport Layer Security).
Pro identifikaci využíváme tři klasifikační techniky: metodu otisků TLS (TLS fingerprinting), identifikaci na základě SNI a strojové učení. Každá metoda má své silné stránky i omezení: metoda otisků TLS vyžaduje pravidelně aktualizovanou databází hešů známých aplikací. Detekce na základě SNI je citlivá na obfuskaci řetězce SNI. Metody umělé inteligence, kam patří strojové učení, závisí na kvalitě a objemu anotovaných trénovacích dat.
Pro vyhodnocení zkoumaných technik jsme vytvořili novou anotovanou datovou sadu komunikace TLS pro běžné desktopové a mobilní aplikace. Výsledky experimentů ukazují, že komunikace TLS různých aplikací má stejné atributy a je těžko rozlišitelná. Kombinací těchto metod můžeme identifikovat skupiny kandidátských aplikací s vysokou přesností, což je důležité pro správu sítě. Na závěr diskutujeme praktické využití zkoumané techniky pro detekci aplikací v šifrované komunikaci.
@INPROCEEDINGS{FITPUB13289,
author = "Ivana Burgetov\'{a} and Petr Matou\v{s}ek and Ond\v{r}ej Ry\v{s}av\'{y}",
title = "Towards Identification of Network Applications in Encrypted Traffic",
pages = "213--221",
booktitle = "The Proceedings of the 8th Cyber Security in Networking Conference (CSNet 2024)",
series = "IEEE Explore",
volume = 8,
year = 2024,
location = "Paris, FR",
publisher = "IEEE Communications Society",
ISBN = "979-8-3315-3410-3",
doi = "10.1109/CSNet64211.2024",
language = "english",
url = "https://www.fit.vut.cz/research/publication/13289"
}