Detail publikace
Towards Identification of Network Applications in Encrypted Traffic
Otisky TLS, JA4, šifrovaný provoz, identifikace aplikací, strojové učení
Monitorování síťového provozu pro detekci bezpečnostních hrozeb a správu sítě je
v současné době obtížné vzhledem k rozšření šifrování komunikace. Tento článek
se zaměřuje na identifikaci aplikací zapouzdřených v tunelu TLS (Transport Layer
Security).
Pro identifikaci využíváme tři klasifikační techniky: metodu otisků TLS (TLS
fingerprinting), identifikaci na základě SNI a strojové učení. Každá metoda má
své silné stránky i omezení: metoda otisků TLS vyžaduje pravidelně aktualizovanou
databází hešů známých aplikací. Detekce na základě SNI je citlivá na obfuskaci
řetězce SNI. Metody umělé inteligence, kam patří strojové učení, závisí na
kvalitě a objemu anotovaných trénovacích dat.
Pro vyhodnocení zkoumaných technik jsme vytvořili novou anotovanou datovou sadu
komunikace TLS pro běžné desktopové a mobilní aplikace. Výsledky experimentů
ukazují, že komunikace TLS různých aplikací má stejné atributy a je těžko
rozlišitelná. Kombinací těchto metod můžeme identifikovat skupiny kandidátských
aplikací s vysokou přesností, což je důležité pro správu sítě. Na závěr
diskutujeme praktické využití zkoumané techniky pro detekci aplikací v šifrované
komunikaci.
@inproceedings{BUT193364,
author="Ivana {Burgetová} and Petr {Matoušek} and Ondřej {Ryšavý}",
title="Towards Identification of Network Applications in Encrypted Traffic",
booktitle="The Proceedings of the 8th Cyber Security in Networking Conference (CSNet 2024)",
year="2024",
series="IEEE Explore",
volume="8",
pages="213--221",
publisher="IEEE Communications Society",
address="Paris",
doi="10.1109/CSNet64211.2024",
isbn="979-8-3315-3410-3",
url="https://www.fit.vut.cz/research/publication/13289/"
}