Hämäännytetyn ja haitallisen tietoliikenteen havainnointi avoimen lähdekoodin ohjelmistoilla
Kuisti, Jari (2016)
Kuisti, Jari
2016
Tietotekniikan koulutusohjelma
Tieto- ja sähkötekniikan tiedekunta - Faculty of Computing and Electrical Engineering
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2016-05-04
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201604193817
https://urn.fi/URN:NBN:fi:tty-201604193817
Tiivistelmä
Hämäännytetyllä tietoliikenteellä tarkoitetaan tietoliikenneprotokollan toiminnan tarkoituksenmukaista monimutkaistamista. Tavoitteena on hämäännyttää liikennettä tutkiva verkkosensori, jonka tarkoituksena on tunnistaa liikennöivä sovellus, eli suorittaa liikenteen luokitus. Verkkosensorit perustuvat tavallisesti pakettien syvätarkastukseen ja liikenteen tilastolliseen analyysiin. Syvätarkastuksen avulla tutkitaan IP-paketin hyötykuormaa. Tilastollinen analyysi pyrkii tutkimaan liikenteelle ominaisia piirteitä, kuten pakettikokoa tai pakettien välistä saapumisaikaa. Tässä diplomityössä tutkitaan hämäännytetyn ja haitallisen verkkoliikenteen tunnistamista.
Tämän diplomityön keskeisimmät tutkimuskysymykset ovat: Kykenevätkö avoimen lähdekoodin pakettien syvätarkastusohjelmistot luokittelemaan hämäännytettyä liikennettä? Kuinka hämäännytettyä liikennettä voidaan havaita? Kuinka muodostetaan liikennettä, jota on vaikea havaita?
Tutkimus suoritettiin sitä varten kehitetyssä suljetussa testausympäristössä, jossa generoitiin hämäännytettyä liikennettä sekä avoimen lähdekoodin hämäännyttämisohjelmistojen avulla, että haitallisten takaporttiohjelmistojen avulla. Haitallisista takaporttiohjelmistoista laadittiin liikenneanalyysi eri ilmaisohjelmistojen avulla. Testausympäristössä otettiin käyttöön kolme eri avoimen lähdekoodin pakettien syvätarkastusohjelmistoa, joiden avulla testattiin generoidun liikenteen luokittelua. Hämäännyttämis- ja takaporttiohjelmistojen muodostamasta liikenteestä laadittiin myös tilastollinen analyysi.
Tutkimuksen keskeisimpinä tuloksina havaittiin, että oletusasetuksilla DPI-kirjastot kykenevät luokittelemaan hämäännytettyä liikennettä. Kuitenkin pääosa hämäännytetystä liikenteestä luokiteltiin tuntematon-luokkaan, kuten alkuperäinen oletus olikin. Vääriä positiivisia luokituksia syntyi eniten säännöllisiin lausekkeisiin perustuvassa DPI-kirjastossa. Työn tuloksissa esitetään, kuinka osalle tuntemattomaksi luokitellusta liikenteestä voidaan kehittää omat protokolladekooderinsa. Selkeimmät tapaukset ovat ne, joiden hyötykuormasta voidaan lukea selväkielisiä merkkijonoja tai yhteydenmuodostuskättely on tunnistettavissa. Osaan esitetyistä hämäännytysmenetelmistä ei voida soveltaa pakettien syvätarkastusta, koska liikenne on salakirjoitettua ja yhteydenmuodostuskättelystä on vaikea havaita tunnistettavia piirteitä. Näihin menetelmiin voidaan hyödyntää tilastollista analyysiä. Esimerkiksi jaetun salaisuuden avulla salatun takaporttiohjelmiston liikenne on mahdollista tunnistaa pakettikokojakauman avulla. Tilastollisen analyysin tuloksia ei voida kuitenkaan yleistää kaikkiin menetelmiin, sillä hämäännytettävällä sovelluksella on mahdollisesti vaikutusta edellä esitettyihin eri jakaumiin.
Tämän diplomityön keskeisimmät tutkimuskysymykset ovat: Kykenevätkö avoimen lähdekoodin pakettien syvätarkastusohjelmistot luokittelemaan hämäännytettyä liikennettä? Kuinka hämäännytettyä liikennettä voidaan havaita? Kuinka muodostetaan liikennettä, jota on vaikea havaita?
Tutkimus suoritettiin sitä varten kehitetyssä suljetussa testausympäristössä, jossa generoitiin hämäännytettyä liikennettä sekä avoimen lähdekoodin hämäännyttämisohjelmistojen avulla, että haitallisten takaporttiohjelmistojen avulla. Haitallisista takaporttiohjelmistoista laadittiin liikenneanalyysi eri ilmaisohjelmistojen avulla. Testausympäristössä otettiin käyttöön kolme eri avoimen lähdekoodin pakettien syvätarkastusohjelmistoa, joiden avulla testattiin generoidun liikenteen luokittelua. Hämäännyttämis- ja takaporttiohjelmistojen muodostamasta liikenteestä laadittiin myös tilastollinen analyysi.
Tutkimuksen keskeisimpinä tuloksina havaittiin, että oletusasetuksilla DPI-kirjastot kykenevät luokittelemaan hämäännytettyä liikennettä. Kuitenkin pääosa hämäännytetystä liikenteestä luokiteltiin tuntematon-luokkaan, kuten alkuperäinen oletus olikin. Vääriä positiivisia luokituksia syntyi eniten säännöllisiin lausekkeisiin perustuvassa DPI-kirjastossa. Työn tuloksissa esitetään, kuinka osalle tuntemattomaksi luokitellusta liikenteestä voidaan kehittää omat protokolladekooderinsa. Selkeimmät tapaukset ovat ne, joiden hyötykuormasta voidaan lukea selväkielisiä merkkijonoja tai yhteydenmuodostuskättely on tunnistettavissa. Osaan esitetyistä hämäännytysmenetelmistä ei voida soveltaa pakettien syvätarkastusta, koska liikenne on salakirjoitettua ja yhteydenmuodostuskättelystä on vaikea havaita tunnistettavia piirteitä. Näihin menetelmiin voidaan hyödyntää tilastollista analyysiä. Esimerkiksi jaetun salaisuuden avulla salatun takaporttiohjelmiston liikenne on mahdollista tunnistaa pakettikokojakauman avulla. Tilastollisen analyysin tuloksia ei voida kuitenkaan yleistää kaikkiin menetelmiin, sillä hämäännytettävällä sovelluksella on mahdollisesti vaikutusta edellä esitettyihin eri jakaumiin.