Анализ трафика
Статья посвящена анализу трафика в радио-или компьютерной сети. Для автомобильного трафика см. поток трафика .
Анализ трафика - это процесс перехвата и проверки сообщений для вывода информации из паттернов связи , который может быть выполнен даже при шифровании сообщений .[1] в общем, чем больше количество сообщений, наблюдаемых или даже перехваченных и сохраненных, тем больше может быть выведено из трафика. Анализ трафика может быть выполнен в контексте военной разведки , контрразведки или анализа образа жизни и является проблемой компьютерной безопасности .
Задачи анализа трафика могут поддерживаться специализированными компьютерными программами. Передовые методы анализа трафика могут включать различные формы анализа социальных сетей .
Нарушение анонимности сетей[править]
Метод анализа трафика может быть использован для нарушения анонимности анонимных сетей, например, Торов . Существует два метода анализа трафика-пассивный и активный.
- В методе пассивного анализа трафика злоумышленник извлекает объекты из трафика определенного потока на одной стороне сети и ищет их на другой стороне сети.
- В активном методе анализа трафика злоумышленник изменяет тайминги пакетов потока в соответствии с определенным шаблоном и ищет этот шаблон на другой стороне сети; поэтому злоумышленник может связать потоки с одной стороны с другой стороной сети и нарушить ее анонимность. Показано, что хотя к пакетам добавляется временной шум, существуют активные методы анализа трафика, устойчивые к такому шуму.
В военной разведке[править]
В военном контексте анализ трафика является основной частью разведки сигналов и может быть источником информации о намерениях и действиях цели. Репрезентативные модели включают в себя:
- Частые коммуникации-может обозначать планирование
- Быстрые, короткие коммуникации - могут обозначать переговоры
- Отсутствие связи-может указывать на отсутствие деятельности или завершение окончательного плана
- Частая связь с определенными станциями от центральной станции-может выдвинуть на первый план цепочку командования
- Кто с кем разговаривает – может указать, какие станции являются "ответственными" или "контрольными станциями" конкретной сети. Это далее подразумевает что-то о персонале, связанном с каждой станцией
- Кто говорит, когда-может указать, какие станции активны в связи с событиями, что подразумевает что-то о передаваемой информации и, возможно, что-то о персонале / доступе тех, кто связан с некоторыми станциями
- Кто пересаживается со станции на станцию или со среды на среду - может указывать на движение, боязнь перехвата
Существует тесная связь между анализом трафика и криптоанализом (обычно называемым взломом кода ). Позывные и адреса часто шифруются, что требует помощи в их идентификации. Объем трафика часто может быть признаком важности адресата, давая намеки на ожидающие цели или движения криптоаналитикам.
Безопасность транспортного потока[править]
Безопасность потока трафика - это использование мер, которые скрывают наличие и свойства допустимых сообщений в сети для предотвращения анализа трафика. Это можно сделать с помощью оперативных процедур или защиты, обусловленной особенностями, присущими некоторому криптографическому оборудованию. Используемые методы включают:
- изменение радиовызовов часто
- шифрование адресов отправки и получения сообщений (кодресс-сообщений)
- заставляя цепь казаться занятой в любое время или большую часть времени, посылая фиктивный трафик
- отправка непрерывного зашифрованного сигнала, независимо от того, передается ли трафик. Это также называется маскированием или шифрованием ссылок .
Безопасность потока трафика является одним из аспектов безопасности связи .
Анализ метаданных COMINT[править]
Интеллект метаданных коммуникаций, или метаданные COMINT-это термин в communications intelligence (COMINT), относящийся к концепции создания интеллекта путем анализа только технических метаданных, следовательно, является отличным практическим примером анализа трафика в интеллекте.
В то время как традиционно сбор информации в COMINT происходит от перехвата передач, прослушивания сообщений цели и мониторинга содержания разговоров, интеллект метаданных основан не на содержании, а на технических коммуникационных данных.
Неконтентный COMINT обычно используется для вывода информации о пользователе определенного передатчика, такой как местоположения, контакты, объем активности, подпрограмма и ее исключения. Примеры
Например, если определенный излучатель известен как радиопередатчик определенного устройства, и с помощью пеленгации (DF) инструменты, положение излучателя locatable; следовательно изменения положений можно контролировать. Таким образом, мы можем понять, что это определенное подразделение перемещается из одной точки в другую, не слушая никаких приказов или отчетов. Если мы знаем, что эта единица сообщает команде по определенному шаблону, и мы знаем, что другая единица сообщает по тому же шаблону той же команде, тогда эти две единицы, вероятно, связаны, и этот вывод основан на метаданных передач двух единиц, а не на содержании их передач.
Использование всех или большей части доступных метаданных обычно используется для создания электронного боевого порядка (EOB) – отображения различных объектов на поле боя и их соединений. Конечно, EOB может быть построен, нажав все разговоры и пытаясь понять, какой блок где, но с помощью метаданных с помощью автоматического инструмента анализа позволяет гораздо быстрее и точнее EOB наращивание, что наряду с нажатием строит гораздо лучше и полная картина.
Первая ВОВ[править]
- Британские аналитики во время Первой мировой войны заметили , что позывной немецкого вице-адмирала Рейнхарда Шеера, командующего флотом противника, был передан на наземную станцию. Адмирал Флота Битти, не зная о практике Шеера менять позывные при выходе из гавани, отмахнулся от ее важности и проигнорировал попытки аналитиков Комнаты 40 высказать свое мнение. Германский флот отправился в поход, и англичане опоздали встретить их в битве при Ютландии . если бы к анализу трафика относились более серьезно, британцы могли бы сделать лучше, чем "ничья".[оригинальное исследование?]
- Французская военная разведка, сформированная наследием Керкхоффа, построила сеть станций перехвата на Западном фронте в довоенные времена. Когда немцы пересекли границу, французы разработали грубые средства для определения направления на основе интенсивности перехваченного сигнала. Запись позывных и объема движения также позволила им идентифицировать немецкие боевые группы и различать быстро движущуюся кавалерию и более медленную пехоту.
Вторая ВОВ[править]
- В начале Второй мировой войны авианосец HMS Glorious эвакуировал пилотов и самолеты из Норвегии . Анализ трафика показал, что Шарнхорст и Гнейзенау двигались в Северное море, но Адмиралтейство отклонило отчет как недоказанный. Капитан "славного" не был достаточно настороже, а впоследствии был удивлен и потоплен. Гарри Хинсли, молодой Связной Блетчли-Парка при Адмиралтействе, позже сказал, что его отчеты от дорожных аналитиков были приняты гораздо более серьезно после этого.
- Во время планирования и репетиции нападения на Перл-Харбор по радио передавалось очень мало трафика , подлежащего перехвату. Корабли, подразделения и командования находились в Японии и поддерживали связь по телефону, курьеру, сигнальной лампе или даже флагу. Ничто из этого трафика не было перехвачено и не могло быть проанализировано.
- Шпионская деятельность против Перл-Харбора до декабря не отправила необычное количество сообщений; японские суда регулярно заходили на Гавайи, и сообщения были доставлены на борт консульским персоналом. По крайней мере, на одном таком судне находились офицеры разведки японского флота. Такие сообщения не могут быть проанализированы. Однако было высказано предположение о том, что объем дипломатического трафика в некоторые консульские учреждения и из них мог бы указывать на места, представляющие интерес для Японии, что могло бы, таким образом, предложить места для сосредоточения усилий по анализу и расшифровке трафика.[ цитата необходима]
- Штурмовая группа адмирала Нагумо в Перл-Харборе плыла под радиомолчанием, его радиоприемники были физически заблокированы. Неясно, если это обмануло США; разведка Тихоокеанского флота не смогла найти японские носители в дни, непосредственно предшествующие нападению на Перл-Харбор (Кан ).
- Японский флот играл в радиоигры, чтобы препятствовать анализу движения (см. примеры ниже) с силой нападения после того, как это приплыло в конце ноября. Радисты, обычно назначаемые перевозчикам, с характерным азбукой Морзе "кулак", переданным от внутренних японских вод, предполагая, что перевозчики были все еще около Японии (Кан ) [5]
- Операция "ртуть", входившая в план британского обмана по вторжению в Нормандию во время Второй мировой войны, кормила немецкую разведку комбинацией правдивой и ложной информации о развертывании войск в Великобритании, заставляя немцев выводить боевой порядок, который предполагал вторжение в Па-де-Кале вместо Нормандии. Вымышленные подразделения, созданные для этого обмана, были снабжены реальными радиоустройствами, которые поддерживали поток сообщений, совместимый с обманом.
В компьютерной безопасности[править]
Анализ трафика также является проблемой компьютерной безопасности . Злоумышленник может получить важную информацию, контролируя частоту и синхронизацию сетевых пакетов. Временная атака на протокол SSH может использовать временную информацию для вывода информации о паролях, поскольку во время интерактивного сеанса SSH передает каждое нажатие клавиши в виде сообщения.[7] время между сообщениями о нажатиях клавиш может быть изучено с помощью скрытых марковских моделей . Песня и др. утверждают, что он может восстановить пароль в пятьдесят раз быстрее, чем атака грубой силы .
Луковые системы маршрутизации используются, чтобы получить анонимность. Анализ трафика может использоваться для атаки на анонимные системы связи, такие как сеть анонимности Tor . Адам Бэк, Ульф Меллер и Антон Стиглик представляют атаки анализа трафика против систем обеспечения анонимности . Стивен Дж. Мердок и Джордж Данезис из Кембриджского университета представили исследования показывают, что анализ трафика позволяет противникам определить, какие узлы ретранслируют анонимные потоки. Это уменьшает анонимность, предоставляемую Tor. Они показали, что в противном случае несвязанные потоки могут быть связаны с тем же инициатором.
Системы Remailer также могут быть атакованы с помощью анализа трафика. При обнаружении сообщения, отправляющегося на сервер пересылки, и обнаружении сообщения идентичной длины (если оно теперь анонимизировано), выходящего из сервера вскоре после этого, аналитик трафика может быть в состоянии (автоматически) соединить отправителя с конечным получателем. Существуют варианты операций переадресации, которые могут сделать анализ трафика менее эффективным.
Контрмеры[править]
Трудно победить анализ трафика без шифрования сообщений и маскировки канала. Когда никакие фактические сообщения не отправляются, канал может быть замаскирован , посылая фиктивный трафик, подобный зашифрованному трафику, таким образом сохраняя использование полосы пропускания постоянным . " очень трудно скрыть информацию о размере или времени сообщений. Известные решения требуют, чтобы Alice отправляла непрерывный поток сообщений с максимальной пропускной способностью она всегда будет использовать...Это может быть приемлемо для военного применения, но не для большинства гражданских применений."Военно-гражданские проблемы применяются в ситуациях, когда пользователь взимается за объем отправленной информации.
Даже для доступа в Интернет, где нет платы за пакет, интернет-провайдеры делают статистическое предположение, что соединения с сайтов пользователей не будут заняты 100% времени. Пользователь не может просто увеличить пропускную способность ссылки, так как маскировка также заполнит ее. Если маскирование, которое часто может быть встроено в сквозные шифраторы, станет обычной практикой, интернет-провайдерам придется изменить свои предположения о трафике.
См. также[править]
- Болтовня (сигналы разведки)
- Хранилище данных
- ЭШЕЛОН
- Электронный боевой порядок
- ЭЛЕКТРОННАЯ РАЗВЕДКА
- Анализ модели жизни
- SIGINT
- Анализ социальных сетей
- Хранение телекоммуникационных данных
- Проблема Zendian
Читать[править]
/web.archive.org/web/20060913152709/http://students.cs.tamu.edu/xinwenfu/paper/ICCNMC03_Fu.pdf
- web.archive.org/web/20060913152709/http://students.cs.tamu.edu/xinwenfu/paper/ICCNMC03_Fu.pdf
- /murdoch.is/papers/oakland05torta.pdf
- .cypherspace.org/adam/pubs/traffic.pdf