Анализ трафика

Материал из wikixw
Перейти к навигации Перейти к поиску

Статья посвящена анализу трафика в радио-или компьютерной сети. Для автомобильного трафика см. поток трафика .

Анализ трафика - это процесс перехвата и проверки сообщений для вывода информации из паттернов связи , который может быть выполнен даже при шифровании сообщений .[1] в общем, чем больше количество сообщений, наблюдаемых или даже перехваченных и сохраненных, тем больше может быть выведено из трафика. Анализ трафика может быть выполнен в контексте военной разведки , контрразведки или анализа образа жизни и является проблемой компьютерной безопасности .

Задачи анализа трафика могут поддерживаться специализированными компьютерными программами. Передовые методы анализа трафика могут включать различные формы анализа социальных сетей .

Нарушение анонимности сетей[править]

Метод анализа трафика может быть использован для нарушения анонимности анонимных сетей, например, Торов . Существует два метода анализа трафика-пассивный и активный.

  • В методе пассивного анализа трафика злоумышленник извлекает объекты из трафика определенного потока на одной стороне сети и ищет их на другой стороне сети.
  • В активном методе анализа трафика злоумышленник изменяет тайминги пакетов потока в соответствии с определенным шаблоном и ищет этот шаблон на другой стороне сети; поэтому злоумышленник может связать потоки с одной стороны с другой стороной сети и нарушить ее анонимность. Показано, что хотя к пакетам добавляется временной шум, существуют активные методы анализа трафика, устойчивые к такому шуму.

В военной разведке[править]

В военном контексте анализ трафика является основной частью разведки сигналов и может быть источником информации о намерениях и действиях цели. Репрезентативные модели включают в себя:

  • Частые коммуникации-может обозначать планирование
  • Быстрые, короткие коммуникации - могут обозначать переговоры
  • Отсутствие связи-может указывать на отсутствие деятельности или завершение окончательного плана
  • Частая связь с определенными станциями от центральной станции-может выдвинуть на первый план цепочку командования
  • Кто с кем разговаривает – может указать, какие станции являются "ответственными" или "контрольными станциями" конкретной сети. Это далее подразумевает что-то о персонале, связанном с каждой станцией
  • Кто говорит, когда-может указать, какие станции активны в связи с событиями, что подразумевает что-то о передаваемой информации и, возможно, что-то о персонале / доступе тех, кто связан с некоторыми станциями
  • Кто пересаживается со станции на станцию или со среды на среду - может указывать на движение, боязнь перехвата

Существует тесная связь между анализом трафика и криптоанализом (обычно называемым взломом кода ). Позывные и адреса часто шифруются, что требует помощи в их идентификации. Объем трафика часто может быть признаком важности адресата, давая намеки на ожидающие цели или движения криптоаналитикам.

Безопасность транспортного потока[править]

Безопасность потока трафика - это использование мер, которые скрывают наличие и свойства допустимых сообщений в сети для предотвращения анализа трафика. Это можно сделать с помощью оперативных процедур или защиты, обусловленной особенностями, присущими некоторому криптографическому оборудованию. Используемые методы включают:

  • изменение радиовызовов часто
  • шифрование адресов отправки и получения сообщений (кодресс-сообщений)
  • заставляя цепь казаться занятой в любое время или большую часть времени, посылая фиктивный трафик
  • отправка непрерывного зашифрованного сигнала, независимо от того, передается ли трафик. Это также называется маскированием или шифрованием ссылок .

Безопасность потока трафика является одним из аспектов безопасности связи .

Анализ метаданных COMINT[править]

Интеллект метаданных коммуникаций, или метаданные COMINT-это термин в communications intelligence (COMINT), относящийся к концепции создания интеллекта путем анализа только технических метаданных, следовательно, является отличным практическим примером анализа трафика в интеллекте.

В то время как традиционно сбор информации в COMINT происходит от перехвата передач, прослушивания сообщений цели и мониторинга содержания разговоров, интеллект метаданных основан не на содержании, а на технических коммуникационных данных.

Неконтентный COMINT обычно используется для вывода информации о пользователе определенного передатчика, такой как местоположения, контакты, объем активности, подпрограмма и ее исключения. Примеры

Например, если определенный излучатель известен как радиопередатчик определенного устройства, и с помощью пеленгации (DF) инструменты, положение излучателя locatable; следовательно изменения положений можно контролировать. Таким образом, мы можем понять, что это определенное подразделение перемещается из одной точки в другую, не слушая никаких приказов или отчетов. Если мы знаем, что эта единица сообщает команде по определенному шаблону, и мы знаем, что другая единица сообщает по тому же шаблону той же команде, тогда эти две единицы, вероятно, связаны, и этот вывод основан на метаданных передач двух единиц, а не на содержании их передач.

Использование всех или большей части доступных метаданных обычно используется для создания электронного боевого порядка (EOB) – отображения различных объектов на поле боя и их соединений. Конечно, EOB может быть построен, нажав все разговоры и пытаясь понять, какой блок где, но с помощью метаданных с помощью автоматического инструмента анализа позволяет гораздо быстрее и точнее EOB наращивание, что наряду с нажатием строит гораздо лучше и полная картина.

Первая ВОВ[править]

  • Британские аналитики во время Первой мировой войны заметили , что позывной немецкого вице-адмирала Рейнхарда Шеера, командующего флотом противника, был передан на наземную станцию. Адмирал Флота Битти, не зная о практике Шеера менять позывные при выходе из гавани, отмахнулся от ее важности и проигнорировал попытки аналитиков Комнаты 40 высказать свое мнение. Германский флот отправился в поход, и англичане опоздали встретить их в битве при Ютландии . если бы к анализу трафика относились более серьезно, британцы могли бы сделать лучше, чем "ничья".[оригинальное исследование?]
  • Французская военная разведка, сформированная наследием Керкхоффа, построила сеть станций перехвата на Западном фронте в довоенные времена. Когда немцы пересекли границу, французы разработали грубые средства для определения направления на основе интенсивности перехваченного сигнала. Запись позывных и объема движения также позволила им идентифицировать немецкие боевые группы и различать быстро движущуюся кавалерию и более медленную пехоту.

Вторая ВОВ[править]

  • В начале Второй мировой войны авианосец HMS Glorious эвакуировал пилотов и самолеты из Норвегии . Анализ трафика показал, что Шарнхорст и Гнейзенау двигались в Северное море, но Адмиралтейство отклонило отчет как недоказанный. Капитан "славного" не был достаточно настороже, а впоследствии был удивлен и потоплен. Гарри Хинсли, молодой Связной Блетчли-Парка при Адмиралтействе, позже сказал, что его отчеты от дорожных аналитиков были приняты гораздо более серьезно после этого.
  • Во время планирования и репетиции нападения на Перл-Харбор по радио передавалось очень мало трафика , подлежащего перехвату. Корабли, подразделения и командования находились в Японии и поддерживали связь по телефону, курьеру, сигнальной лампе или даже флагу. Ничто из этого трафика не было перехвачено и не могло быть проанализировано.
  • Шпионская деятельность против Перл-Харбора до декабря не отправила необычное количество сообщений; японские суда регулярно заходили на Гавайи, и сообщения были доставлены на борт консульским персоналом. По крайней мере, на одном таком судне находились офицеры разведки японского флота. Такие сообщения не могут быть проанализированы. Однако было высказано предположение о том, что объем дипломатического трафика в некоторые консульские учреждения и из них мог бы указывать на места, представляющие интерес для Японии, что могло бы, таким образом, предложить места для сосредоточения усилий по анализу и расшифровке трафика.[ цитата необходима]
  • Штурмовая группа адмирала Нагумо в Перл-Харборе плыла под радиомолчанием, его радиоприемники были физически заблокированы. Неясно, если это обмануло США; разведка Тихоокеанского флота не смогла найти японские носители в дни, непосредственно предшествующие нападению на Перл-Харбор (Кан ).
  • Японский флот играл в радиоигры, чтобы препятствовать анализу движения (см. примеры ниже) с силой нападения после того, как это приплыло в конце ноября. Радисты, обычно назначаемые перевозчикам, с характерным азбукой Морзе "кулак", переданным от внутренних японских вод, предполагая, что перевозчики были все еще около Японии (Кан ) [5]
  • Операция "ртуть", входившая в план британского обмана по вторжению в Нормандию во время Второй мировой войны, кормила немецкую разведку комбинацией правдивой и ложной информации о развертывании войск в Великобритании, заставляя немцев выводить боевой порядок, который предполагал вторжение в Па-де-Кале вместо Нормандии. Вымышленные подразделения, созданные для этого обмана, были снабжены реальными радиоустройствами, которые поддерживали поток сообщений, совместимый с обманом.

В компьютерной безопасности[править]

Анализ трафика также является проблемой компьютерной безопасности . Злоумышленник может получить важную информацию, контролируя частоту и синхронизацию сетевых пакетов. Временная атака на протокол SSH может использовать временную информацию для вывода информации о паролях, поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши в виде сообщения.[7] время между сообщениями о нажатиях клавиш может быть изучено с помощью скрытых марковских моделей . Песня и др. утверждают, что он может восстановить пароль в пятьдесят раз быстрее, чем атака грубой силы .

Луковые системы маршрутизации используются, чтобы получить анонимность. Анализ трафика может использоваться для атаки на анонимные системы связи, такие как сеть анонимности Tor . Адам Бэк, Ульф Меллер и Антон Стиглик представляют атаки анализа трафика против систем обеспечения анонимности . Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили исследования показывают, что анализ трафика позволяет противникам определить, какие узлы ретранслируют анонимные потоки. Это уменьшает анонимность, предоставляемую Tor. Они показали, что в противном случае несвязанные потоки могут быть связаны с тем же инициатором.

Системы Remailer также могут быть атакованы с помощью анализа трафика. При обнаружении сообщения, отправляющегося на сервер пересылки, и обнаружении сообщения идентичной длины (если оно теперь анонимизировано), выходящего из сервера вскоре после этого, аналитик трафика может быть в состоянии (автоматически) соединить отправителя с конечным получателем. Существуют варианты операций переадресации, которые могут сделать анализ трафика менее эффективным.

Контрмеры[править]

Трудно победить анализ трафика без шифрования сообщений и маскировки канала. Когда никакие фактические сообщения не отправляются, канал может быть замаскирован , посылая фиктивный трафик, подобный зашифрованному трафику, таким образом сохраняя использование полосы пропускания постоянным . " очень трудно скрыть информацию о размере или времени сообщений. Известные решения требуют, чтобы Alice отправляла непрерывный поток сообщений с максимальной пропускной способностью она всегда будет использовать...Это может быть приемлемо для военного применения, но не для большинства гражданских применений."Военно-гражданские проблемы применяются в ситуациях, когда пользователь взимается за объем отправленной информации.

Даже для доступа в Интернет, где нет платы за пакет, интернет-провайдеры делают статистическое предположение, что соединения с сайтов пользователей не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность ссылки, так как маскировка также заполнит ее. Если маскирование, которое часто может быть встроено в сквозные шифраторы, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.

См. также[править]

Читать[править]

/web.archive.org/web/20060913152709/http://students.cs.tamu.edu/xinwenfu/paper/ICCNMC03_Fu.pdf

Пруф[править]

Источник — https://wikixw.ru/index.php?title=Анализ_трафика&oldid=4422