Protocol ¡Iden:fica:on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Probabilis:c ¡Iden:fica:on ¡for ¡Hard ¡to ¡classify ¡Protocol ¡ ¡ Elie ¡Bursztein ¡ PhD ¡Student ¡ ¡LSV ¡ENS-‑CACHAN ¡CNRS ¡INRIA ¡DGA ¡
Protocol ¡Iden:fica:on ¡ Outline ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ • What ¡is ¡a ¡hard ¡to ¡classify ¡ Introduc:on ¡ protocol ¡? ¡ • Iden:fica:on ¡based ¡on ¡payload ¡ Payload ¡ analysis ¡ • Iden:fica:on ¡based ¡on ¡ Classifier ¡ discriminator ¡ Combining ¡ • Combining ¡techniques ¡for ¡a ¡beOer ¡ Techniques ¡ classifica:on ¡ • What ¡is ¡next ¡? ¡ Conclusion ¡ 2 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ The ¡Internet ¡Galaxy ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Opte ¡project ¡ 3 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Knowing ¡what ¡is ¡going ¡on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Monitoring ¡ Internet ¡ Users ¡ 4 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ WISTP ¡2008 ¡ The ¡impact ¡of ¡fur:ve ¡protocols ¡on ¡a ¡large ¡university ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ University ¡of ¡Calgary ¡ 5 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ The ¡IANA ¡ ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Internet ¡Assigned ¡Numbers ¡ Jon ¡Postel ¡ Authority ¡(IANA) ¡ � Founded ¡in ¡1970 ¡ � Manage ¡DNS ¡root ¡ � Coordinate ¡IP ¡and ¡AS ¡ ¡ � Assign ¡a ¡standard ¡port ¡to ¡ protocol ¡ 6 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Some ¡well ¡known ¡ports ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Protocol ¡ Port ¡ HTTP ¡ 80 ¡ POP ¡ 110 ¡ FTP ¡ 21 ¡ SMTP ¡ 25 ¡ SMB/CISF ¡ 139 ¡ But ¡what ¡is ¡the ¡default ¡port ¡for ¡Emule ¡??? ¡ 7 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Protocols ¡Examples ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Easy ¡to ¡classify ¡ Hard ¡to ¡classify ¡ � Use ¡fixed ¡port ¡ � Use ¡dynamic ¡port ¡ � Have ¡an ¡open ¡specifica:on ¡ � Hijhack ¡well ¡known ¡port ¡ � Well ¡know ¡message ¡type ¡and ¡ � Introduce ¡randomness ¡in ¡ size ¡ ¡ message ¡ � Use ¡cryptography ¡to ¡avoid ¡ payload ¡analysis ¡ ¡ 8 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Mo:va:on ¡for ¡fur:ve ¡protocol ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ � Figh:ng ¡coercion ¡ � Preserving ¡freedom ¡of ¡speech ¡ � Bypass ¡connec:vity ¡restric:on ¡ � Exchange ¡illegal ¡data ¡ “ This ¡helps ¡against ¡situa5ons ¡were ¡the ¡eMule ¡ Protocol ¡is ¡unjustly ¡discriminated ¡or ¡even ¡ completely ¡blocked ¡from ¡a ¡network ¡by ¡iden5fying ¡ its ¡packets. ” ¡ 9 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Traffic ¡in ¡Germany ¡(2007) ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ Ipoque ¡ 10 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ P2P ¡repar::on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ 11 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ P2P ¡usage ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ 12 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Use ¡of ¡cryptography ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ 13 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Payload ¡Classifica:on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ � Inspect ¡the ¡packet ¡payload ¡ � Known ¡to ¡be ¡the ¡most ¡accurate ¡method ¡ � Payload ¡not ¡always ¡available ¡ � Juridical ¡reason ¡ � Encryp:on ¡ 14 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Example ¡of ¡Signature ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ � ¡Nice ¡signature ¡ pcmatch ¡ssh ¡m/^SSH-‑([.\d]+)-‑/ ¡i/protocol ¡$1/ ¡p|ssh| ¡ � A ¡not ¡so ¡nice ¡signature ¡ pcmatch ¡edonkey ¡m`^[\xc5\xd4\xe3-‑\xe5].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19 ¡ \x1a\x1b\x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\x4a ¡ \x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58[\x60\x81\x82\x90\x91\x9 ¡ 3\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\xa3\xa4]|\x59................?[ ¡-‑~ ¡ ]|\x96....$)` ¡ ¡f/p2p/ ¡ ¡i/eDonkey2000 ¡or ¡emule ¡P2P ¡filesharing ¡generic ¡signature/ ¡ 15 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Combining ¡Payload ¡Score ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ � Payload ¡score ¡use ¡a ¡ weighted ¡moving ¡average ¡ formula: ¡ Confidence ¡in ¡signature ¡ ¡ Posi:on ¡of ¡the ¡match ¡ Number ¡of ¡payload ¡ � This ¡formula ¡take ¡into ¡account ¡signature ¡ confidence ¡ 16 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ HTTP ¡Tunnel ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ CONNECT ¡irc.********.org:6667 ¡HTTP/1.0 ¡ HTTP ¡ HTTP/1.0 ¡200 ¡Connec:on ¡established ¡ USER ¡0 ¡0 ¡0 ¡:: ¡ ¡ NICK ¡**** ¡ ¡ IRC ¡ :irc.********.org ¡001 ¡**** ¡:Welcome ¡to ¡the ¡ ****!0@xxx ¡ 17 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ Classifier ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ � Analyze ¡the ¡shape ¡of ¡the ¡session ¡ � Use ¡discriminators ¡ ¡ � Packet ¡size ¡ � Packet ¡delay ¡ � Packet ¡Entropy ¡ 18 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Protocol ¡Iden:fica:on ¡ HTTP ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-‑cachan.fr ¡ WISTP ¡2008 ¡ HTTP ¡server ¡stream ¡ 1600 ¡ 1400 ¡ 1200 ¡ 1000 ¡ packet ¡size ¡ 800 ¡ 600 ¡ 400 ¡ 200 ¡ 0 ¡ 1 ¡ 4 ¡ 7 ¡ 10 ¡ 13 ¡ 16 ¡ 19 ¡ 22 ¡ 25 ¡ 28 ¡ 31 ¡ 34 ¡ 37 ¡ 40 ¡ 43 ¡ 46 ¡ 49 ¡ 52 ¡ 55 ¡ 58 ¡ 61 ¡ 64 ¡ 67 ¡ 70 ¡ 73 ¡ 76 ¡ 79 ¡ 82 ¡ 85 ¡ 88 ¡ 91 ¡ 94 ¡ 97 ¡ 100 ¡ packet ¡number ¡ 19 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡
Recommend
More recommend