27C3 - Version 1.6.3
27th Chaos Communication Congress
We come in peace
Speakers | |
---|---|
Florian Adamsky |
Schedule | |
---|---|
Day | Day 2 - 2010-12-28 |
Room | Saal 3 |
Start time | 18:30 |
Duration | 01:00 |
Info | |
ID | 4097 |
Event type | Lecture |
Track | Science |
Language used for presentation | German |
Feedback | |
---|---|
Did you attend this event? Give Feedback |
Techniken zur Identifizierung von Netzwerk-Protokollen
Der Vortrag soll Techniken aufzeigen, mit denen man Netzwerk-Protokolle identifizieren kann, die in Layer 7 des OSI-Modells angesiedelt sind. Alle Techniken - darunter auch die Deep Packet Inspection (DPI) - werden technisch erläutert und kritisch bewertet.
Der Fokus des Vortrags liegt auf dem SPID-Algorithmus, den Hjelmvik und John entwickelten. Dieser Algorithmus inspiziert die Netzwerk-Protokolle mit statistischen Merkmalen. Die Ergebnisse der statistischen Analyse geben Aufschluss, wie man Protocol Obfuscation in Zukunft verbessern kann, um zu verhindern das Protokolle erkannt werden.
Auf die folgenden Techniken zur Identifizierung von Netzwerk-Protokollen wird inhaltlich eingangen: Port-Nummern, Deep-Packet-Inspection, Maschinen-Lern-Algorithmen und der hybride Ansatz SPID. Alle Techniken werden nach den folgenden Anforderungen abgewogen. Erstens sollen Protokolle in naher Echtzeit erkannt werden. Zweitens soll eine möglichst robuste und sichere Erkennung von Protokollen möglich sein. Und Drittens soll die Technik auf leistungsarmer und kostengünstiger Hardware laufen.
Nach der Abwägung werden die technischen Einzelheiten des SPID-Algorithmus erläutert und ausgewählte statistische Merkmale beleuchtet. Diese bilden nachfolgend die Grundlage, um Protocol Obfuscation zu verbessern. Abschließend werden verschiedene Evaluierungs-Ergebnisse präsentiert.