انتساب داده روی ترافیک رمز شده سازمانی بدون نقض محرمانگی
محورهای موضوعی : فناوری اطلاعات و ارتباطاتسید محمد حسینی 1 , امیرحسین جهانگیر 2 , مهدی سلطانی 3
1 - دانشکده مهندسی و علوم کامپیوتر، دانشگاه شهید بهشتی، تهران، ایران
2 - دانشکده مهندسي کامپیوتر ، دانشگاه صنعتی شریف، تهران، ایران
3 - دانشکده مهندسی کامپیوتر، دانشگاه صنعتی شریف، تهران، ایران
کلید واژه: جرمشناسی شبکه, انتساب داده, ترافیک رمز شده, محرمانگی,
چکیده مقاله :
استفاده فراگیر از پروتکلهای رمزنگاری با افزایش خطر ناتوانی دستگاههای امنیتی سطح سازمانی همراه است. وقتی ترافیک شبکه رمزگذاری میشود، بسیاری از وظایف امنیتی مانند تشخیص نفوذ و جرمشناسی شبکه که به پردازش محتوای جریانها وابستهاند، بیاثر میگردند. رویکردهای عملی موجود برای این مشکل بر اساس روش رهگیری TLS هستند که نه تنها محرمانگی را نقض ، بلکه مشکلات امنیتی نیز ایجاد میکنند. این مقاله یک سامانه انتساب داده محرمانه به نام «جرمیاب» را معرفی میکند. جرمیاب یک رویکرد عملی برای فراهم کردن امکان انتساب داده بر روی ترافیک رمزگذاری شده استاندارد برای شبکههای سازمانی است. جرمیاب که به راحتی در شبکههای سازمانی قابل استقرار است، بر اساس یک سازوکار ساده مبتنی بر چکیدهسازی ترافیک عمل میکند و محرمانگی را نقض نمیکند. ارزیابیهای عملی و واقعگرایانه ما نشان میدهند که جرمیاب میتواند تاریخچهای از ترافیک رمزگذاری شده استاندارد یک شبکه سازمانی را برای استفاده در تجسسهای جرمشناسی شبکه ذخیره کند. سناریوهای واقعگرایانهای که ما در تحقیقات خود استفاده کردهایم، چالشها و مشکلات عمومی در فرآیند تجسسهای انتساب داده را نیز آشکار میکند و بر اساس آنها، روشهای موثری را برای رفع مشکلات مورد بحث قرار میدهیم.
The widespread use of encryption protocols is accompanied by an increased risk of organizational-level security devices becoming ineffective. When network traffic is encrypted, many security tasks such as intrusion detection and network forensics that rely on processing content of flows’ payloads become ineffective. Existing practical approaches to this problem are based on TLS interception methods, which not only violate confidentiality but also impose security issues. This paper introduces a confidential payload attribution system called "JormYab". JormYab is a practical approach to enable data attribution on standard encrypted traffic for organizational networks. JormYab, which can be easily deployed in an enterprise network, is based on a simple traffic digesting mechanism and does not violate confidentiality. Our practical and realistic evaluations show that JormYab can store a history of standard encrypted traffic of an enterprise network for use in network forensic investigations. The realistic scenarios we have used in our research also reveal common challenges and problems in the process of payload attribution investigations, and based on them, we discuss effective methods to address the issues.