Detail publikace
Towards identification of network applications in encrypted traffic
Otisky TLS, JA4, šifrovaný provoz, identifikace aplikací, strojové učení
Monitorování síťového provozu za účelem detekce bezpečnostních hrozeb a správy
výkonu sítě je složité kvůli šifrování většiny komunikace. Tento článek se zabývá
problémem identifikace síťových aplikací na základě dat vytvořených TLS spojení
(Transport Layer Security). Bylo provedeno hodnocení tří hlavních přístupů
k klasifikaci provozu šifrovaného pomocí TLS: metoda otisků, identifikace
založená na Server Name Indication (SNI) a klasifikátory založené na strojovém
učení. Každá metoda má své silné stránky a omezení: otisky se opírají
o pravidelně aktualizovanou databázi známých hashů, SNI je náchylné k zamlžování
nebo chybějícím informacím a techniky umělé inteligence, jako je strojové učení,
vyžadují dostatečné množství anotovaných trénovacích dat. Porovnání těchto metod
poukazuje na výzvy spojené s identifikací jednotlivých aplikací, protože
vlastnosti TLS jsou mezi aplikacemi značně sdílené. Nicméně i při identifikaci
souboru kandidátských aplikací lze získat cenné poznatky o monitorování sítě,
a to s vysokou přesností všemi zvažovanými metodami. Pro usnadnění dalšího
výzkumu v této oblasti byl vytvořen nový veřejně dostupný dataset komunikace TLS,
který obsahuje anotovaná spojení populárních desktopových a mobilních aplikací.
Dále jsou představeny výsledky tří různých přístupů k vylepšení klasifikace
provozu TLS na základě kombinace základních klasifikátorů a kontextu. Na závěr
jsou navrženy praktické příklady použití a identifikovány směry budoucího výzkumu
s cílem dále zlepšit metody identifikace aplikací.
@article{BUT198668,
author="Ivana {Burgetová} and Petr {Matoušek} and Ondřej {Ryšavý}",
title="Towards identification of network applications in encrypted traffic",
journal="ANNALES DES TELECOMMUNICATIONS-ANNALS OF TELECOMMUNICATIONS",
year="2025",
volume="2025",
number="9",
pages="1--18",
doi="10.1007/s12243-025-01114-z",
issn="1958-9395",
url="https://link.springer.com/article/10.1007/s12243-025-01114-z"
}