ENISA 暗号化されたトラフィック分析に関する報告書（ユースケース分析）

こんにちは 、丸山満彦です。

ENISAが興味深い報告書を出していますね。。。

● ENISA

・2020.04.23 Encrypted Traffic Analysis: Use Cases & Security Challenges

・2020.04.23 Encrypted Traffic Analysis

・2019.11.[PDF] [Downloaded]ENCRYPTED TRAFFIC ANALYSIS - Use Cases & Security Challenges

暗号化されたトラフィック解析のユースケースを調査し、セキュリティ上の課題についてまとめたものですね。。。

通信回線上でデータが暗号化されていると情報が盗み見られることは無くなりますが、一方で悪意のあるデータの送付や不法なデータダウンロード等が暗号化されて行われるとそれを検出することが難しくなります。

一方、機械学習等の人工知能技術の進歩により、暗号化されたままでも不正なデータの検出ができるのはないかということも考えられます。。。ということで、6つのユースケースを使って検討しています。。。

で、そのユースケースは、

1. アプリケーションの識別
2. ネットワーク分析
3. ユーザー情報の識別
4. 暗号化されたマルウェアの検出
5. ファイル/デバイス/ウェブサイト/ロケーションのフィンガープリンティング
6. DNS トンネリング検出

となります。。。

 

1. INTRODUCTION

1.1 SCOPE AND OBJECTIVES

1.2 OUTLINE

 

2. CHALLENGES OF ENCRYPTION IN SECURITY

2.1 TRAFFIC ANALYSIS

2.2 DEPLOYING ENCRYPTION PROTOCOLS

2.3 PERFORMANCE OF ENCRYPTION PROTOCOLS

2.4 MPACT OF NEW TECHNOLOGIES

 

3. TAXONOMY OF ENCRYPTED TRAFFIC ANALYSIS

3.1 FEATURE EXTRACTION TAXONOMY

 

4. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   APPLICATION IDENTIFICATION

4.1 PROBLEM DESCRIPTION

4.2 DATA DRIVEN METHODS FOR APPLICATION PROTOCOL CLASSIFICATION

4.3 DATA DRIVEN METHODS FOR APPLICATION TYPE CLASSIFICATION

4.4 APPLICATION IDENTIFICATION RECOMMENDATIONS

 

5. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   NETWORK ANALYTICS

5.1 APPLICATION CLASSIFICATION

5.2 APPLICATION USAGE CLASSIFICATION

5.2.1 VoIP Conversation Decoding

 

6. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   USER INFORMATION IDENTIFICATION

6.1 IDENTIFY USERS’ OPERATING SYSTEM, BROWSER AND APPLICATION

 

7. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   DETECTION OF ENCRYPTED MALWARE TRAFFIC

7.1 THE INCREASE OF HTTPS TRAFFIC

7.2 PROBLEM STATEMENT

7.3 INSPECTION SOLUTION

7.4 A SOLUTION NOT REQUIRING DECRYPTION

7.4.1 Features to detect malware with ML

7.4.2 Representation of data for ML

 

8. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   FINGERPRINTING

8.1 PROBLEM DESCRIPTION

8.2 FILE FINGERPRINTING

8.3 WEBSITE FINGERPRINTING

8.4 DEVICE IDENTIFICATION

8.5 LOCATION ESTIMATION

 

9. ENCRYPTED TRAFFIC ANALYSIS USE CASE:
   DNS TUNNELLING DETECTION

9.1 TECHNICAL BACKGROUND AND PROBLEM DESCRIPTION

9.2 DNS TUNNELING DETECTION

 

10.ENCRYPTED TRAFFIC ANALYSIS TECHNIQUES

10.1OFFLINE ANALYSIS (ML & DL TECHNIQUES)

10.2COMPUTATIONS (DIRECTLY) ON ENCRYPTED TRAFFIC

10.3INSPECTION USING SIDE-CHANNEL INFORMATION (METADATA)

10.4MIDDLEBOXES AND INTERCEPTION OF ENCRYPTED TRAFFIC

10.4.1 Security Impact of HTTPS Interception

 

11.IMPROPER TLS PRACTICES

11.1IMPROPER PRACTICES AND THEIR IMPACT

11.1.1 Lack of Certificate Validation

11.1.2 Man-in-the-middle attack on a TLS connection

11.1.3 Improper Use of HTTP Redirects

11.1.4 Weak Ciphers and Deprecated Protocols

11.1.5 Other improper practices

11.2THE NEW PROTOCOL AND ITS IMPACT

11.2.1 Introduction to TLS 1.3

11.3PROPER TLS PRACTICES

11.3.1 Certificates validation and pinning

11.3.2 HTTP redirects

11.3.3 Private Keys

11.3.4 Using latest versions of TLS and deprecating older ones

11.3.5 Deploying TLS

11.3.6 Certificate signing and trusted CAs

11.4PERSPECTIVE OF THE INDUSTRY

11.4.1 Widely spread malpractice

 

12.CONCLUSIONS

 

13.REFERENCES

 

A ANNEX: TECHNICAL BACKGROUND

A.1 COMMUNICATION IN COMPUTING SYSTEMS

A.2 MACHINE LEARNING BACKGROUND