Анализ трафика

Анализ трафика - это процесс перехвата и изучения сообщений с целью извлечения информации из шаблонов связи , который может выполняться, даже если сообщения зашифрованы . ^[1] В общем, чем больше количество сообщений было обнаружено или даже перехвачено и сохранено, тем больше можно сделать вывод из трафика. Анализ трафика может выполняться в контексте военной разведки , контрразведки или анализа образа жизни и является проблемой компьютерной безопасности .

Задачи анализа трафика могут поддерживаться специальными компьютерными программами. Методы расширенного анализа трафика могут включать в себя различные формы анализа социальных сетей .

Нарушение анонимности сетей [ править ]

Метод анализа трафика может использоваться для нарушения анонимности анонимных сетей, например, TOR ^[1] . Существует два метода атаки с анализом трафика: пассивный и активный.

В методе пассивного анализа трафика злоумышленник извлекает функции из трафика определенного потока на одной стороне сети и ищет эти функции на другой стороне сети.
В методе активного анализа трафика злоумышленник изменяет тайминги пакетов потока в соответствии с определенным шаблоном и ищет этот шаблон на другой стороне сети; следовательно, злоумышленник может связать потоки с одной стороны с другой стороной сети и нарушить ее анонимность. Показано, что хотя к пакетам добавляется синхронизирующий шум, существуют активные методы анализа трафика, устойчивые к такому шуму. ^[1]

В военной разведке [ править ]

В военном контексте анализ трафика является основной частью разведки сигналов и может быть источником информации о намерениях и действиях цели. Типичные образцы включают:

Частое общение - может обозначать планирование
Быстрое, короткое общение - может означать переговоры
Отсутствие общения - может указывать на отсутствие активности или завершение окончательного плана
Частое общение с определенными станциями с центральной станции - может выделить цепочку команд
Кто с кем разговаривает - может указать, какие станции являются «ответственными» или «контрольными станциями» конкретной сети. Это также подразумевает кое-что о персонале, связанном с каждой станцией.
Кто когда говорит - может указать, какие станции активны в связи с событиями, что подразумевает что-то о передаваемой информации и, возможно, что-то о персонале / доступе тех, кто связан с некоторыми станциями
Кто переходит от станции к станции или от средней к средней - может указывать на движение, боязнь перехвата

Существует тесная взаимосвязь между анализом трафика и криптоанализом (обычно называемым взломом кода ). Позывные и адреса часто зашифрованы , поэтому требуется помощь в их идентификации. Объем трафика часто может быть признаком важности адресата, подсказывая криптоаналитикам ожидаемые цели или перемещения.

Безопасность транспортного потока [ править ]

Безопасность потока трафика - это использование мер, которые скрывают присутствие и свойства действительных сообщений в сети для предотвращения анализа трафика. Это может быть выполнено с помощью рабочих процедур или защиты, обусловленной особенностями, присущими некоторому криптографическому оборудованию. Используемые методы включают:

часто меняют позывные по радио
шифрование адресов отправки и получения сообщения ( codress messages )
заставляя канал казаться занятым все время или большую часть времени, отправляя фиктивный трафик
отправка непрерывного зашифрованного сигнала независимо от того, передается трафик или нет. Это также называется маскированием или шифрованием ссылок .

Безопасность трафика - один из аспектов безопасности связи .

Анализ метаданных COMINT [ править ]

В этом разделе есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалить эти сообщения-шаблоны )

Тон или стиль этого раздела могут не отражать энциклопедический тон, используемый в Википедии . См. Рекомендации в руководстве Википедии по написанию лучших статей . ( Ноябрь 2011 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

В этом разделе не процитировать любые источники . Пожалуйста, помогите улучшить этот раздел , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален . ( Ноябрь 2011 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

( Узнайте, как и когда удалить этот шаблон сообщения )

Communications' Metadata Intelligence , или метаданные Comint термин в связи интеллекта (Comint) , ссылаясь на концепцию производства интеллекта, анализируя только технические метаданные , следовательно, представляет собой большой практический пример для анализа трафика в разведке. ^[2]

В то время как традиционно сбор информации в COMINT основан на перехвате передач, прослушивании коммуникаций цели и мониторинге содержания разговоров, аналитика метаданных основана не на содержании, а на технических коммуникационных данных.

Неконтентный COMINT обычно используется для вывода информации о пользователе определенного передатчика, такой как местоположение, контакты, объем активности, распорядок и его исключения.

Примеры [ править ]

Например, если излучатель известен как радиопередатчик определенного устройства, и с помощью инструментов пеленгации (DF) положение излучателя можно определить, изменение местоположения от одной точки к другой может быть вычислено без прослушивания. к любым заказам или отчетам. Если одно устройство отчитывается команде по определенному шаблону, а другое устройство сообщает об этом же шаблоне той же команде, то два модуля, вероятно, связаны, и этот вывод основан на метаданных передач двух модулей, а не на по содержанию своих передач.

Использование всех или большей части доступных метаданных обычно используется для построения электронного боевого порядка (EOB) - сопоставления различных сущностей на поле битвы и их связей. Конечно, EOB можно построить, нажав на все разговоры и пытаясь понять, какой блок находится где, но использование метаданных с помощью инструмента автоматического анализа позволяет намного быстрее и точнее построить EOB, которое наряду с нажатием создает гораздо лучшую и полную картину. .

Первая мировая война [ править ]

Британские аналитики во время Первой мировой войны заметили, что позывной немецкого вице-адмирала Рейнхарда Шеера , командующего вражеским флотом, был переведен на наземную станцию. Адмирал флота Битти , не подозревая о том, что Шеер меняет позывные при выходе из гавани, не принял во внимание его важность и проигнорировал попытки аналитиков Комнаты 40 разъяснить суть дела. Немецкий флот вышел в атаку, и англичане опоздали, встретив их в Ютландской битве . ^[3] Если бы к анализу трафика отнеслись более серьезно, британцы могли бы добиться большего, чем «ничья». ^{[ оригинальное исследование? ]}
Французская военная разведка, формируется Kerckhoffs наследства «s, воздвигла сеть станций перехвата на Западном фронте в период довоенного. Когда немцы пересекли границу, французы разработали грубые средства пеленгации, основанные на интенсивности перехваченного сигнала. Запись позывных и интенсивности движения позволила им идентифицировать немецкие боевые группы и различать быстро движущуюся кавалерию и более медленную пехоту. ^[3]

Вторая мировая война [ править ]

В начале Второй мировой войны , на авианосец HMS Glorious было эвакуировать пилот и самолеты из Норвегии . Анализ движения показал, что « Шарнхорст» и « Гнейзенау» двигались в Северное море, но Адмиралтейство отклонило это сообщение как недоказанное. Капитан Glorious не внимательно следил за ним и впоследствии был застигнут врасплох и потоплен. Гарри Хинсли , молодой представитель Адмиралтейства в Блетчли-парке , позже сказал, что после этого к его отчетам дорожных аналитиков стали относиться гораздо серьезнее. ^[4]
Во время планирования и репетиции нападения на Перл-Харбор по радио передавалось очень мало трафика, подлежащего перехвату. Все задействованные корабли, подразделения и команды находились в Японии и поддерживали связь по телефону, курьером, сигнальной лампой или даже флагом. Никакой из этого трафика не был перехвачен и не мог быть проанализирован. ^[3]
Шпионские усилия против Перл-Харбора до декабря не привели к необычному количеству сообщений; Японские суда регулярно заходили на Гавайи, и консульский персонал доставлял на них сообщения. По крайней мере, на одном таком судне находились офицеры разведки ВМС Японии. Такие сообщения не могут быть проанализированы. Было высказано предположение ^[5] , что объем дипломатического трафика к определенным консульским пунктам и от них мог указывать на места, представляющие интерес для Японии, которые, таким образом, могли бы предложить места для концентрации усилий по анализу трафика и расшифровке. ^{[ необходима цитата ]}
Атакующий отряд адмирала Нагумо в Перл-Харборе шел в режиме радиомолчания с физически отключенными радиоприемниками. Неясно, обмануло ли это США; Разведке Тихоокеанского флота не удалось обнаружить японские авианосцы в дни, непосредственно предшествовавшие атаке на Перл-Харбор . ^[3]
Японский флот играл радио игру для подавления анализа трафика (смотрите примеры ниже) с атакой силой после того, как он плавал в конце ноября. Радисты обычно назначаются перевозчикам с характерным « кулаком » кода Морзе , передаваемым из внутренних вод Японии, что свидетельствует о том, что перевозчики все еще находились рядом с Японией. ^[3]^[6]
Операция Quicksilver , часть британского плана обмана для вторжения в Нормандию во время Второй мировой войны , предоставила немецкой разведке комбинацию правдивой и ложной информации о развертывании войск в Великобритании, в результате чего немцы вывели боевой порядок, который предполагал вторжение в Па-де-Кале вместо Нормандии. Вымышленные подразделения, созданные для этого обмана, были снабжены настоящими радиостанциями, которые поддерживали поток сообщений, согласующийся с обманом. ^[7]

В компьютерной безопасности [ править ]

Анализ трафика также является проблемой компьютерной безопасности . Злоумышленник может получить важную информацию, отслеживая частоту и время передачи сетевых пакетов. Атака по времени на протокол SSH может использовать информацию о времени для вывода информации о паролях, поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши в виде сообщения. ^[8] Время между нажатиями клавиш можно изучить с помощью скрытых марковских моделей . Сонг и др. утверждают, что он может восстановить пароль в пятьдесят раз быстрее, чем атака полным перебором .

Системы луковой маршрутизации используются для получения анонимности. Анализ трафика может использоваться для атак на анонимные системы связи, такие как анонимная сеть Tor . Адам Бэк, Ульф Мёллер и Антон Стиглик представляют атаки анализа трафика на системы, обеспечивающие анонимность. ^[9] Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили ^[10] исследование, показывающее, что анализ трафика позволяет злоумышленникам определить, какие узлы ретранслируют анонимные потоки. Это снижает анонимность, обеспечиваемую Tor. Они показали, что потоки, не связанные в противном случае, могут быть связаны с одним и тем же инициатором.

Системы ремейлеров также могут быть атакованы с помощью анализа трафика. Если наблюдается сообщение, идущее на сервер повторной рассылки, а сообщение идентичной длины (если теперь оно анонимизировано) выходит из сервера вскоре после этого, аналитик трафика может иметь возможность (автоматически) соединить отправителя с конечным получателем. Существуют различные варианты операций ремейлера, которые могут снизить эффективность анализа трафика.

Контрмеры [ править ]

Трудно победить анализ трафика без шифрования сообщений и маскировки канала. Когда фактические сообщения не отправляются, канал можно замаскировать ^[11] путем отправки фиктивного трафика, подобного зашифрованному, тем самым сохраняя постоянное использование полосы пропускания. ^[12] «Очень сложно скрыть информацию о размере или времени отправки сообщений. Известные решения требуют, чтобы Алиса отправляла непрерывный поток сообщений с максимальной пропускной способностью, которую она когда-либо будет использовать ... Это может быть приемлемо для военных приложений, но это не для большинства гражданских приложений ". Противостояние военных и гражданских возникает в ситуациях, когда с пользователя взимается плата за объем отправленной информации.

Даже для доступа в Интернет, при котором не взимается плата за каждый пакет, интернет-провайдеры делают статистическое предположение, что соединения с пользовательских сайтов не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность ссылки, поскольку маскирование также заполнит ее. Если маскирование, которое часто может быть встроено в сквозные шифровальщики, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.

См. Также [ править ]

Болтовня (разведка сигналов)
Хранилище данных
ЭШЕЛОН
Электронный боевой порядок
ELINT
Анализ модели жизни
SIGINT
Анализ социальных сетей
Хранение телекоммуникационных данных
Зендская проблема

Ссылки [ править ]

^ a b c Солтани, Рамин; Гекель, Деннис; Таусли, Дон; Хумансадр, Амир (27 ноября 2017 г.). «К доказуемо невидимым следам сетевого потока». 2017 51-я конференция Asilomar по сигналам, системам и компьютерам . С. 258–262. arXiv : 1711.10079 . DOI : 10,1109 / ACSSC.2017.8335179 . ISBN 978-1-5386-1823-3. S2CID 4943955 .
^ "Словарь военных и связанных терминов" (PDF) . Министерство обороны . 12 апреля 2001 г.
^ a b c d e Кан, Дэвид (1974). Взломщики кодов: история секретного письма . Макмиллан. ISBN 0-02-560460-0. Кан-1974.
^ Хауленд, Вернон В. (2007-10-01). «Утрата HMS Glorious: анализ действия» . Архивировано из оригинала на 2001-05-22 . Проверено 26 ноября 2007 .
^ Костелло, Джон (1995). Дни позора: Макартур, Рузвельт, Черчилль - Шокирующая правда раскрыта: как их тайные сделки и стратегические промахи вызвали бедствия в Пир-Харборе и на Филиппинах . Карман. ISBN 0-671-76986-3.
^ Layton, Эдвин Т .; Роджер Пино, Джон Костелло (1985). «И я был там»: Перл-Харбор и Мидуэй - Нарушая секреты . Уильям Морроу и компания ISBN 0-688-04883-8.
^ Мастерман John C (1972) [1945]. Система двойного креста в войне 1939-1945 годов . Издательство Австралийского национального университета. п. 233. ISBN. 978-0-7081-0459-0.
^ Песня, Рассвет Сяодун; Вагнер, Давид; Тянь, Сюйцин (2001). «Временной анализ нажатий клавиш и временных атак на SSH». 10-й симпозиум по безопасности USENIX. Цитировать журнал требует |journal=( помощь )
^ Адам Бэк; Ульф Мёллер и Антон Стиглик (2001). «Атаки анализа трафика и компромиссы в системах обеспечения анонимности» (PDF) . Springer Proceedings - 4-й международный семинар по сокрытию информации.
^ Мердок, Стивен Дж .; Джордж Данезис (2005). «Анализ недорогого трафика Tor» (PDF) .
^ Xinwen Фу, Брайан Грэм, Риккардо Беттати и Вэй Чжао. «Атаки и меры противодействия активному анализу трафика» (PDF) . Архивировано из оригинального (PDF) 13 сентября 2006 года . Проверено 6 ноября 2007 . CS1 maint: несколько имен: список авторов ( ссылка )
^ Нильс Фергюсон и Брюс Шнайер (2003). Практическая криптография . Джон Вили и сыновья.

Фергюсон, Нильс; Шнайер, Брюс (2003). Практическая криптография . п. 114. ISBN 0-471-22357-3.
Ван XY, Chen S, Jajodia S (ноябрь 2005 г.). «Отслеживание анонимных одноранговых вызовов VoIP в Интернете» (PDF) . Труды 12-й конференции ACM по безопасности компьютерных коммуникаций (CCS 2005) . Архивировано из оригинального (PDF) 30 августа 2006 года.
FMV Швеция
Объединение данных из нескольких источников в операциях коалиции НАТО

Дальнейшее чтение [ править ]

http://www.cyber-rights.org/interception/stoa/interception_capabilities_2000.htm - исследование Дункана Кэмпбелла
https://web.archive.org/web/20070713232218/http://www.onr.navy.mil/02/baa/docs/07-026_07_026_industry_briefing.pdf
Избранные статьи анонимно - на Free Haven

[:0-1] Солтани, Рамин; Гекель, Деннис; Таусли, Дон; Хумансадр, Амир (27 ноября 2017 г.). «К доказуемо невидимым следам сетевого потока». 2017 51-я конференция Asilomar по сигналам, системам и компьютерам . С. 258–262. arXiv : 1711.10079 . DOI : 10,1109 / ACSSC.2017.8335179 . ISBN 978-1-5386-1823-3. S2CID 4943955 .

[2] "Словарь военных и связанных терминов" (PDF) . Министерство обороны . 12 апреля 2001 г.

[Kahn-3] Кан, Дэвид (1974). Взломщики кодов: история секретного письма . Макмиллан. ISBN 0-02-560460-0. Кан-1974.

[4] Хауленд, Вернон В. (2007-10-01). «Утрата HMS Glorious: анализ действия» . Архивировано из оригинала на 2001-05-22 . Проверено 26 ноября 2007 .

[5] Костелло, Джон (1995). Дни позора: Макартур, Рузвельт, Черчилль - Шокирующая правда раскрыта: как их тайные сделки и стратегические промахи вызвали бедствия в Пир-Харборе и на Филиппинах . Карман. ISBN 0-671-76986-3.

[6] Layton, Эдвин Т .; Роджер Пино, Джон Костелло (1985). «И я был там»: Перл-Харбор и Мидуэй - Нарушая секреты . Уильям Морроу и компания ISBN 0-688-04883-8.

[7] Мастерман John C (1972) [1945]. Система двойного креста в войне 1939-1945 годов . Издательство Австралийского национального университета. п. 233. ISBN. 978-0-7081-0459-0.

[Song2001-8] Песня, Рассвет Сяодун; Вагнер, Давид; Тянь, Сюйцин (2001). «Временной анализ нажатий клавиш и временных атак на SSH». 10-й симпозиум по безопасности USENIX. Цитировать журнал требует |journal=( помощь )

[9] Адам Бэк; Ульф Мёллер и Антон Стиглик (2001). «Атаки анализа трафика и компромиссы в системах обеспечения анонимности» (PDF) . Springer Proceedings - 4-й международный семинар по сокрытию информации.

[10] Мердок, Стивен Дж .; Джордж Данезис (2005). «Анализ недорогого трафика Tor» (PDF) .

[11] Xinwen Фу, Брайан Грэм, Риккардо Беттати и Вэй Чжао. «Атаки и меры противодействия активному анализу трафика» (PDF) . Архивировано из оригинального (PDF) 13 сентября 2006 года . Проверено 6 ноября 2007 . CS1 maint: несколько имен: список авторов ( ссылка )

[12] Нильс Фергюсон и Брюс Шнайер (2003). Практическая криптография . Джон Вили и сыновья.

[1]