stringtranslate.com

Анализ трафика

Анализ трафика — это процесс перехвата и изучения сообщений с целью извлечения информации из шаблонов в коммуникации . Он может выполняться даже тогда, когда сообщения зашифрованы . [1] В общем, чем больше количество наблюдаемых сообщений, тем больше информации можно извлечь. Анализ трафика может выполняться в контексте военной разведки , контрразведки или анализа образа жизни , а также является проблемой компьютерной безопасности .

Задачи анализа трафика могут поддерживаться специальными компьютерными программами . Расширенные методы анализа трафика, которые могут включать различные формы анализа социальных сетей .

Анализ трафика исторически был жизненно важным методом криптоанализа , особенно когда попытка взлома зависит от успешного внедрения атаки с известным открытым текстом , что часто требует вдохновенной догадки, основанной на том, насколько конкретный операционный контекст может повлиять на то, что сообщает противник, чего может быть достаточно для создания короткого криба.

Нарушение анонимности сетей

Метод анализа трафика может быть использован для взлома анонимных сетей, например, TOR . [1] Существует два метода атаки с анализом трафика: пассивный и активный.

В военной разведке

В военном контексте анализ трафика является базовой частью разведки сигналов и может быть источником информации о намерениях и действиях цели. Типичные шаблоны включают:

Существует тесная связь между анализом трафика и криптоанализом (обычно называемым взломом кодов ). Позывные и адреса часто шифруются , требуя помощи в их идентификации. Объем трафика часто может быть признаком важности адресата, давая криптоаналитикам подсказки относительно предстоящих целей или движений.

Безопасность транспортного потока

Безопасность потока трафика — это использование мер, скрывающих наличие и свойства действительных сообщений в сети для предотвращения анализа трафика. Это может быть сделано с помощью операционных процедур или защиты, обеспечиваемой функциями, присущими некоторому криптографическому оборудованию. Используемые методы включают:

Безопасность транспортного потока является одним из аспектов безопасности связи .

Анализ метаданных COMINT

Разведка метаданных коммуникаций , или метаданные COMINT , — это термин в разведке коммуникаций (COMINT), относящийся к концепции создания разведданных путем анализа только технических метаданных , следовательно, это отличный практический пример анализа трафика в разведке. [2]

В то время как традиционно сбор информации в COMINT осуществляется путем перехвата передач, прослушивания коммуникаций цели и мониторинга содержания разговоров, разведывательные метаданные основаны не на содержании, а на технических коммуникационных данных.

Неконтентный COMINT обычно используется для получения информации о пользователе определенного передатчика, такой как местоположение, контакты, объем активности, режим работы и его исключения.

Примеры

Например, если излучатель известен как радиопередатчик определенного подразделения, и с помощью инструментов пеленгации (DF) местоположение излучателя можно определить, изменение местоположения от одной точки к другой можно вывести, не слушая никаких приказов или отчетов. Если одно подразделение отчитывается перед командованием по определенному шаблону, а другое подразделение отчитывается по тому же шаблону перед тем же командованием, два подразделения, вероятно, связаны. Этот вывод основан на метаданных передач двух подразделений, а не на содержании их передач.

Использование всех или как можно большего количества доступных метаданных обычно используется для построения электронного боевого порядка (EOB) путем отображения различных сущностей на поле боя и их связей. Конечно, EOB можно построить, прослушивая все разговоры и пытаясь понять, где находится какое подразделение, но использование метаданных с автоматическим инструментом анализа позволяет гораздо быстрее и точнее построить EOB, что, наряду с прослушиванием, создает гораздо лучшую и полную картину.

Первая мировая война

Вторая мировая война

В компьютерной безопасности

Анализ трафика также является проблемой в компьютерной безопасности . Злоумышленник может получить важную информацию, отслеживая частоту и время сетевых пакетов. Атака по времени на протокол SSH может использовать информацию о времени для получения информации о паролях , поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши как сообщение. [8] Время между сообщениями о нажатии клавиши можно изучить с помощью скрытых марковских моделей . Сонг и др. утверждают, что это позволяет восстановить пароль в пятьдесят раз быстрее, чем атака методом грубой силы .

Системы маршрутизации лука используются для получения анонимности. Анализ трафика может использоваться для атак на анонимные системы связи, такие как сеть анонимности Tor . Адам Бэк, Ульф Мёллер и Антон Стиглик представляют атаки анализа трафика на системы, обеспечивающие анонимность. [9] Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили [10] исследование, показывающее, что анализ трафика позволяет злоумышленникам делать выводы о том, какие узлы ретранслируют анонимные потоки. Это снижает анонимность, предоставляемую Tor. Они показали, что в противном случае не связанные потоки могут быть связаны с тем же инициатором.

Системы ремейлеров также могут быть атакованы посредством анализа трафика. Если сообщение замечено отправляющимся на сервер ремейлеров, а вскоре после этого с сервера выходит сообщение идентичной длины (но теперь анонимное), аналитик трафика может (автоматически) связать отправителя с конечным получателем. Существуют вариации операций ремейлеров, которые могут сделать анализ трафика менее эффективным.

Анализ трафика включает в себя перехват и изучение угроз кибербезопасности для сбора ценной информации об анонимных данных, проходящих через выходной узел . Используя технику, основанную на сканировании темной паутины и специализированном программном обеспечении, можно определить конкретные характеристики сетевого трафика клиента в темной паутине. [11]

Контрмеры

Трудно победить анализ трафика без шифрования сообщений и маскировки канала. Когда реальные сообщения не отправляются, канал можно замаскировать [12] , отправив фиктивный трафик, аналогичный зашифрованному трафику, тем самым сохраняя постоянное использование полосы пропускания. [13] «Очень сложно скрыть информацию о размере или времени сообщений. Известные решения требуют, чтобы Алиса отправляла непрерывный поток сообщений с максимальной полосой пропускания, которую она когда-либо будет использовать... Это может быть приемлемо для военных приложений, но не для большинства гражданских приложений». Проблемы военных и гражданских применяются в ситуациях, когда с пользователя взимается плата за объем отправленной информации.

Даже для доступа в Интернет, где нет попакетной платы, интернет-провайдеры делают статистическое предположение, что соединения с сайтов пользователей не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность канала, поскольку маскировка заполнит и ее. Если маскировка, которая часто может быть встроена в сквозные шифраторы, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.

Смотрите также

Ссылки

  1. ^ abc Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (2017-11-27). «На пути к доказуемо невидимым отпечаткам сетевых потоков». 51-я Асиломарская конференция по сигналам, системам и компьютерам 2017 г. IEEE. стр. 258–262. arXiv : 1711.10079 . doi :10.1109/ACSSC.2017.8335179. ISBN 978-1-5386-1823-3. S2CID  4943955.{{cite conference}}: CS1 maint: date and year (link)
  2. ^ "Словарь военных и связанных с ними терминов" (PDF) . Министерство обороны . 12 апреля 2001 г. Архивировано из оригинала (PDF) 2009-11-08.
  3. ^ abcde Кан, Дэвид (1974). Взломщики кодов: История тайнописи . Macmillan. ISBN 0-02-560460-0. Кан-1974.
  4. ^ Хоуленд, Вернон В. (2007-10-01). "Потеря HMS Glorious: Анализ действий". Архивировано из оригинала 2001-05-22 . Получено 2007-11-26 .
  5. ^ Костелло, Джон (1995). Дни позора: Макартур, Рузвельт, Черчилль — шокирующая правда раскрыта: как их секретные сделки и стратегические просчеты привели к катастрофам в Пир-Харборе и на Филиппинах . Карманный. ISBN 0-671-76986-3.
  6. ^ Лейтон, Эдвин Т.; Роджер Пино, Джон Костелло (1985). «И я был там»: Перл-Харбор и Мидуэй — Разрушение секретов . William Morrow & Co. ISBN 0-688-04883-8.
  7. ^ Мастерман, Джон С. (1972) [1945]. Система двойного креста в войне 1939-1945 гг . Издательство Австралийского национального университета. стр. 233. ISBN 978-0-7081-0459-0.
  8. ^ Сонг, Дон Сяодун; Вагнер, Дэвид; Тянь, Сюцин (2001). «Анализ времени нажатия клавиш и атаки по времени на SSH». 10-й симпозиум по безопасности USENIX. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  9. ^ Адам Бэк; Ульф Мёллер и Антон Стиглик (2001). "Атаки анализа трафика и компромиссы в системах обеспечения анонимности" (PDF) . Труды Springer - 4-й международный семинар по сокрытию информации. Архивировано (PDF) из оригинала 2013-06-23 . Получено 2013-10-05 .
  10. ^ Мердок, Стивен Дж.; Джордж Данезис (2005). "Анализ трафика низкой стоимости Tor" (PDF) . Архивировано (PDF) из оригинала 2013-11-26 . Получено 2005-10-18 .
  11. ^ Gokhale, C.; Olugbara, OO (2020-08-17). «Анализ трафика Dark Web угроз кибербезопасности через южноафриканское адресное пространство интернет-протокола». SN Computer Science . 1 (5): 273. doi : 10.1007/s42979-020-00292-y . ISSN  2661-8907.
  12. ^ Xinwen Fu, Bryan Graham, Riccardo Bettati и Wei Zhao. "Атаки и контрмеры с использованием активного анализа трафика" (PDF) . Архивировано из оригинала (PDF) 2006-09-13 . Получено 2007-11-06 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  13. ^ Нильс Фергюсон и Брюс Шнайер (2003). Практическая криптография . John Wiley & Sons.

Дальнейшее чтение