Your browser does not support JavaScript!

Αρχική    Identification of events on encrypted network traffic and characterization of malicious servers on the internet  

Αποτελέσματα - Λεπτομέρειες

Προσθήκη στο καλάθι
[Προσθήκη στο καλάθι]
Κωδικός Πόρου 000460299
Τίτλος Identification of events on encrypted network traffic and characterization of malicious servers on the internet
Άλλος τίτλος Αναγνώριση γεγονότων σε κρυπτογραφημένη κίνηση δικτύου και κατηγοριοποίηση κακόβουλων εξυπηρετητών στο διαδίκτυο
Συγγραφέας Παπαδογιαννάκη, Ευαγγελία Μ
Σύμβουλος διατριβής Ιωαννίδης, Σωτήρης
Μέλος κριτικής επιτροπής Δημητρόπουλος, Ξενοφώντας
Πρατικάκης, Πολύβιος
Παπαδοπούλη, Μαρία
Φατούρου, Παναγιώτα
Αθανασόπουλος, Ηλίας
Πολυχρονάκης, Μιχάλης
Περίληψη Η συνεχώς αναπτυσσόμενη καθιέρωση των πρωτοκόλλων για την κρυπτογράφηση της κίνησης του δικτύου (όπως το TLS πρωτόκολλο), έχει αλλάξει τα δεδομένα στην εποπτεία του δικτύου. Με τη ραγδαία αύξηση των μηχανισμών κρυπτογράφησης, τα παραδοσιακά συστήματα για επιθεώρηση της κίνησης του δικτύου που στηρίζονται στην επεξεργασία των περιεχομένων των πακέτων, σταδιακά χάνουν την αποτελεσματικότητα τους, καθώς παράλληλα, κακόβουλοι χρήστες του δικτύου εκμεταλλεύο- νται την κρυπτογράφηση για να κρύψουν τις δραστηριότητες τους και να αποφύγουν την ανεύρεση της παρουσίας τους. Σε αυτήν την εργασία, προτείνουμε μία γλώσσα προτύπων για να περιγράψουμε τα μοτίβα που υπάρχουν στις ακολουθίες πακέτων δικτύου, με σκοπό τη λεπτομερή ανίχνευση συμβάντων ακόμα και σε κίνηση δικτύου που έχει κρυπτογραφηθεί. Η πρώτη περίπτωση χρήσης που εξετάζουμε είναι η λεπτομερής ανίχνευση δραστηριότητας εφαρμογών δικτύωσης χρηστών και επικοινωνίας. ∆είχνουμε πως είναι δυνατή η δημιουργία μίας τέτοιας γλώσσας που να περιγράφει με εκφραστικότητα ενέργειες όπως την ανταλλαγή μηνυμάτων και την επικοινωνία μέσω κλήσης ή βιντεοκλήσης χρησιμοποιώντας τις διαδεδομένες εφαρμογές Facebook, Skype, Viber, WhatsApp. Μία δεύτερη περίπτωση χρήσης για τη γλώσσα προτύπων που προτείνουμε είναι η ανίχνευση περιστατικών εισβολών σε συστήματα εποπτεύοντας κίνηση δικτύου που είναι κρυπτογραφημένη. ´Οπως και στην προηγούμενη περίπτωση, εξετάζουμε αν είναι εφικτό, και αν ναι σε τι λεπτομέρεια, να αναγνωρίσουμε τη δραστηριότητα που προέρχεται από εργαλεία διείσδυσης (penetration tools) ή επικοινωνία δικτύων προγραμμάτων ρομπότ (botnets). Παρέχουμε μία αποδοτική υλοποίηση για αυτήν την γλώσσα προτύπων, την οποία ενσωματώνουμε σε δύο διαφορετικά συστήματα επιθεώρησης κίνησης του δικτύου. Αξιολογούμε την υλοποίηση μας χρησιμοποιώντας τα κριτήρια της απόδοσης τόσο σε επίπεδο ορθότητας και ακρίβειας, όσο και σε επίπεδο επιδόσεων. Τέλος, δείχνουμε πως η γλώσσα που προτείνουμε μπορεί να ‘εξορυχθεί’ (data mining) αυτόματα, περιορίζοντας το φόρτο εργασίας για τη διαμόρφωση και συντήρηση ενός μεγάλου συνόλου από πρότυπα. Η διαδικασία που αναφέραμε στην παραπάνω παράγραφο, περιγράφεται από μία παθητικού τύπου εποπτεία και ανάλυση των πακέτων δικτύου. Επιπρόσθετα, χρησιμοποιήσαμε μία πιο παρεμβατική μέθοδο, έτσι ώστε να επικοινωνήσουμε με εξυπηρετητές μέσω διευθύνσεων IP που βρίσκονται διαθέσιμες σε δημόσιες λίστες με πληροφορίες για κακόβουλες δραστηριότητες. Ο σκοπός μας είναι να καταλάβουμε το οικοσύστημα των δικτύων προγραμμάτων ρομπότ (botnets). Συγκεκριμένα, χρησιμοποιούμε ένα εργαλείο ανοικτού κώδικα για να παράξουμε αποτυπώματα TLS για κάθε ένα από τους εξυπηρετητές που επικοινωνούμε. Στην έρευνα μας καταφέραμε να συλλέξουμε πληροφορίες σε ένα διάστημα 7 μηνών. Τα αποτυπώματα αυτά εκφράζουν τις απαντήσεις των εξυπηρετητών σε μία αλληλουχία από 10 ‘‘TLS Client Hello’’μηνύματα με διαφορετικά χαρακτηριστικά (π.χ. έκδοση TLS , επιλεγμένος αλγόριθμος κρυπτογράφησης κ.τ.λ.). Αυτό που ϑέλουμε να εξετάσουμε είναι η δυνατότητα να αναγνωρίσουμε την ιδιότητα και δραστηριότητα αυτών των εξυπηρετητών χρησιμοποιώντας μόνο αυτά τα αποτυπώματα, μέσα σε λίστες από αποτυπώματα για τα οποία δεν έχουμε πρωτύτερη γνώση. Μέσω των αποτελεσμάτων μας, βλέπουμε πως τα αποτυπώματα που υπολογίζονται, επαναλαμβάνονται μεταξύ εξυπηρετητών που συμμετέχουν στην ίδια οικογένεια δικτύων προγραμμάτων ρομπότ (botnets). Επίσης βλέπουμε πως σπάνια αλληλοεπικαλύπτονται με αποτυπώματα από εξυπηρετητές για τους οποίους είναι γνωστή η ορθή χρήση τους. Τα ευρήματα αυτά μας παροτρύνουν να χρησιμοποιήσουμε αυτή τη μεθοδολογία για να αναγνωρίζουμε και να ταυτοποιούμε εξυπηρετητές που εμπλέκονται σε κακόβουλες δραστηριότητες. Στη συνέχεια, παρουσιάζουμε μία εκτενή βιβλιογραφική μελέτη σχετικά με τα εργαλεία για την εποπτεία του δικτύου μετά την καθιέρωση των πρωτοκόλλων κρυπτο- γράφησης. Αυτό που παρατηρούμε είναι πως παρόλο που η επιστημονική κοινότητα έχει προτείνει μία πληθώρα τεχνικών για το σκοπό αυτό, υπάρχουν ακόμα ελλείψεις και μειονεκτήματα. Τέλος, δεν παραλείπουμε να εξετάσουμε τις τεχνικές που υπάρχουν για την αποτροπή της ανάλυσης των κρυπτογραφημένων επικοινωνιών σε περιπτώσεις κακόβου- λης χρήσης και λογοκρισίας. Συζητάμε αν το σύστημα μας μπορεί να ανταπεξέλθει σε τέτοιες περιπτώσεις.
Φυσική περιγραφή xix, 121 σ. : σχεδ., πιν., εικ. (μερ. εγχρ.) ; 30 εκ.
Γλώσσα Αγγλικά
Θέμα Botnet server
Encrypted traffic inspection
Network packet metadata
TLS fingerprint
TLS protocol
Αποτυπώματα TLS
Εξυπηρετητές σε botnet
Επεξεργασία κρυπτογραφημένης κίνησης
Μεταπληροφορίες πακέτων δικτύου
Πρωτόκολλο TLS
Ημερομηνία έκδοσης 2024-03-22
Συλλογή   Σχολή/Τμήμα--Σχολή Θετικών και Τεχνολογικών Επιστημών--Τμήμα Επιστήμης Υπολογιστών--Διδακτορικές διατριβές
  Τύπος Εργασίας--Διδακτορικές διατριβές
Εμφανίσεις 23

Ψηφιακά τεκμήρια
No preview available

Κατέβασμα Εγγράφου
Προβολή Εγγράφου
Εμφανίσεις : 1