УДК 004.056.52
Е.В. Щерба, E.V. Shcherba, e-mail: evscherba@gmail.com М.В. Щерба, M.V. Shcherba, e-mail: mariz3@mail.ru Омский государственный технический университет, г. Омск, Россия Omsk State Technical University, Omsk, Russia
ПОДХОДЫ К ОБНАРУЖЕНИЮ ТРАФИКА АНОНИМНЫХ РАСПРЕДЕЛЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ
APPROACHES TO THE ANONYMOUS NETWORKS TRAFFIC DETECTION PROBLEM
В работе представлен обзорный анализ существующих подходов к обнаружению трафика и даны методические рекомендации по их применению для обнаружения трафика анонимных распределенных компьютерных сетей. Указаны требования к разрабатываемой системе обнаружения Tor трафика и потенциальные возможности этой системы.
In this paper we present a review of existing approaches to the traffic detection problem and give guidelines for their practical use for anonymous networks traffic detection. Also we specify the requirements for the system being developed for Tor traffic detection and the potential of this system.
Ключевые слова: киберпреступность, обнаружение трафика, анонимные сети, Tor
Keywords: cybercrime, traffic detection, anonymous networks, Tor
Интернет дал человеку безграничные возможности в области передачи, распространения и рассылки информации, позволил выполнять финансово-банковские операции, несмотря на расстояние и границы. Злоумышленники используют эти возможности для многих видов преступной деятельности. Механизмы анонимизации в сети Интернет позволяют преступникам оставаться незамеченными. Злоумышленники используют Tor, I2P и другие оверлейные сети для анонимного взаимодействия и передачи нелегального и вредоносного контента. Многоуровневое шифрование, применение луковичной либо чесночной маршрутизации и распределенный характер данных сетей делают практически бесполезным перехват трафика. Отсутствие логической связи между отправителем и сообщением гарантирует надёжную анонимность [1]. Это способствовало возникновению в сети Tor площадок для торговли оружием и наркотическими средствами. Кроме того, данные сети используются для организации ботнетов и проведения заказных DDoS-атак на узлы Internet.
Несмотря на ряд исследований, в настоящее время не существует эффективных технических решений для деанонимизации злоумышленников в анонимных распределенных компьютерных сетях. Для борьбы с киберпреступностью в данных сетях власти прибегают к методам социальной инженерии, внедряя в сети свои площадки, скрытые сервисы и промежуточные маршрутизаторы, переводя тем самым сети под свой контроль. Наиболее эффективным техническим решением среди прочих является обнаружение и блокирование трафика анонимных распределенных сетей [2]. Данный подход с разной степенью успешности применяется в КНР, Республике Казахстан, Иране и некоторых других государствах, возмож-
108
Динамика систем, механизмов и машин, № 4, 2014
ность блокирования рассматривается в Японии. В июне 2013 года на 40-м заседании Национального антитеррористического комитета РФ директор ФСБ А. Бортников выступил с инициативой о необходимости блокировки доступа из российского сегмента сети интернет к серверам Tor и другим анонимным (proxy) серверам на законодательном уровне. Вместе с тем, несмотря на наличие ряда разработок в этой области [3, 4], задача обнаружения трафика сети Tor не является полностью решенной. Трафик Tor и других сетей маскируется под легальный зашифрованный TLS трафик, что максимально усложняет задачу его обнаружения в ходе процедур DPI (deep packet inspection).
Разработчиками Tor был предложен механизм опосредованной передачи трафика через легальные сервисы (pluggable transports). С этой целью поток Tor трафика трансформиру-
ется для передачи между клиентами сети и Тог-мостом в трафик легальных сетевых приложений (например, Skype), что позволяет вводить в заблуждение механизм DPI [5]. Запущенные на Тог-мостах службы производят обратную трансформацию трафика, после чего данные клиентов попадают в сеть Тог. Применяемый метод обфускации определяется используемыми модулями подобных сервисов (Obfsproxy, Flashproxy, ScrambleSuit, StegoTorus, SkypeMorph), что дополнительно усложняет задачу для механизмов обнаружения. Следует заметить, что структура обфусцированного трафика не всегда полностью соответствует цели обфускации, что может быть использовано для его обнаружения [6].
Несмотря на применяемое маскирование и шифрование, трафик Tor и других анонимных распределенных компьютерных сетей подвержен скрытым зависимостям и закономерностям [7]. Предлагается использовать методы математического и имитационного моделирования, алгоритмы и методы теории распознавания образов и статистического анализа для решения задачи обнаружения трафика анонимных распределенных компьютерных сетей.
Проблема идентификации Internet трафика исследуется уже более 20 лет. Традиционный подход к идентификации (port based approach), основанный на номерах портов, закрепленных за известными сетевыми службами, остаётся наиболее простым и быстрым способом идентификации трафика. Вместе с тем снижающаяся эффективность данного подхода обусловила возникновение сигнатурного подхода к анализу трафика (payload based approach). Данный подход основан на синтаксическом анализе потока трафика в целях поиска известных битовых последовательностей (сигнатур), генерируемых различными сетевыми приложениями (pattern matching).
В результате эволюции указанного подхода был предложена эффективная технология идентификации сетевых пакетов по их содержимому, включая данные прикладного уровня (DPI). Вместе с тем DPI имеет ряд ограничений (законодательные противоречия, высокие требования к вычислительным ресурсам для идентификации в режиме реального времени, невозможность анализа шифрованного трафика). Указанные проблемы не позволяют ограничиться использованием DPI для идентификации Tor трафика.
Все качественные и количественные характеристики TLS трафика сети Tor (либо другой анонимной сети) можно условно разделить на две группы. Первая группа включает характеристики (используемые номера портов, срок действия TLS сертификатов, имя издателя сертификата, выбор криптоалгоритмов, расширения сертификатов и др.), явно указывающие на принадлежность трафика к сети Tor (либо другим анонимным сетям). На основе данной группы характеристик планируется разработать общую базу сигнатур трафика анонимных распределенных сетей. Однако необходимо учитывать, что программная реализация Tor имеет открытый код, а разработчики системы имеют возможность оперативной модификации параметров трафика, влияющих на его обнаружение при помощи сигнатур. Обнаружение подключений к сети Tor по используемому перечню алгоритмов шифрования в сообщении TLS Client Hello является классическим примером его сигнатурного обнаружения (используется стандартный перечень из 28 пунктов, рис. 1).
109
Динамика систем, механизмов и машин, № 4, 2014
сО 0а сО 14 00 39 00 38 сО Of сО 05 00 35 сО 07
сО 09 сО 11 сО 13 00 33 00 32 сО 0с сО Ое сО 02
сО 04 00 04 00 05 00 2 f сО 03 сО 12 00 16 00 13
сО Od сО 03 f е ff 00 0а 00 ff
Рис. 1. Типовая сигнатура для обнаружения Tor подключений
Вместе с тем, при необходимости этот перечень может быть модифицирован. Таким образом, необходимо предусмотреть возможность автоматизированной актуализации базы сигнатур в целях симметричного ответа и адаптации к реакции разработчиков и злоумышленников.
В ходе следующего этапа исследований должна быть выделена группа качественных и количественных характеристик трафика (временные задержки ответов, используемые алгоритмы шифрования и выработки общего ключа, количество пакетов, служебная информация протокола TLS, его версия), косвенно указывающих на возможность принадлежности трафика к Tor (либо другим анонимным сетям). Данные характеристики, косвенно указы-
вающие на возможность принадлежности трафика к Tor (либо другим сетям), не обеспечивают максимальной точности обнаружения Tor трафика. Вместе с тем их совокупное применение позволит существенно повысить достоверность и надёжность его обнаружения. Преимущество характеристик второй группы также состоит в том, что они в меньшей степени подвержены влиянию разработчиков и злоумышленников. Например, не существует технической возможности снизить временные задержки, связанные с многоуровневым шифрованием. Для совокупного применения этих характеристик предлагается разработать композитную метрику TLS трафика (вычисляемую на основе указанных характеристик). Разработка метрики планируется на основе сбора и статистического анализа больших массивов TLS данных (включая данные сети Tor). Аномальные значения данной метрики с определенной вероятностью (в зависимости от значения) могут свидетельствовать о принадлежности трафика к Tor (либо другим сетям).
Исходя из результатов обнаружения аномалий TLS трафика, планируется осуществлять генерацию сигнатур Tor трафика для регулярной автоматизированной актуализации базы сигнатур. Таким образом, комплексное взаимодействие двух указанных подходов позволит улучшить известные результаты в данной области (снизить вероятность ошибок обнаружения первого и второго рода). Для решения указанной задачи планируется разработка алгоритма актуализации базы сигнатур трафика анонимных распределенных компьютерных сетей на основе методов машинного обучения.
Для преодоления механизмов обфускации трафика планируется разработка алгоритма обнаружения трафика анонимных распределенных сетей в общем потоке трафика сетевых приложений на основе методов теории распознавания образов. Современный подход к анализу и идентификации трафика основывается на применении алгоритмов распознавания образов (pattern recognition) с применением технологий машинного обучения (machine learning). Данный подход, в отличие от классического DPI, позволяет анализировать и идентифицировать даже зашифрованный и обфусцированный трафик. При этом эффективность корректной идентификации трафика, и в частности трафика анонимных распределенных сетей, сильно зависит от выбранного набора критериев и полноты описания идентифицируемого типа трафика. Применение обучения без учителя помогает адаптироваться к постоянным изменениям внутренней структуры сетевого трафика. Необходимо исследовать методы классификации трафика (наивный байесовский классификатор, дерево классификации, метод опорных векторов) для оценки их применимости к классификации обфусцированного трафика сети Tor.
Очевидно, что для эффективного обнаружения трафика анонимных распределенных компьютерных сетей требуется совокупное применение всех указанных подходов. Разработ-
110
Динамика систем, механизмов и машин, № 4, 2014
ка методов обнаружения зашифрованного и обфусцированного трафика анонимных распределенных компьютерных сетей позволит получить относительную оценку доли данного трафика в общем объёме пользовательского Интернет-трафика и абсолютную оценку числа пользователей данных сетей. Инструментарий, построенный на основе предлагаемых методов, позволит определять тенденции и закономерности по отдельным видам компьютерных инцидентов, устанавливать связи между конкретными преступлениями (будет способствовать расследованию преступлений), блокировать взаимодействие злоумышленников и террористов в данных сетях в режиме реального времени.
Библиографический список
4. Dingledine, R. Tor: The second-generation onion router / R. Dingledine, N. Mathewson, P. Syverson // In Proceedings of the 13th USENIX Security Symposium, USENIX Association, Berkeley, CA, USA. - Vol. 13. - P. 21-21.
5. Winter, P. How China is blocking Tor (2012) [Электронный ресурс] / P. Winter, S Lindskog. - Режим доступа: http:// arxiv.org/pdf/1204.0447.pdf, свободный (дата обращения: 15.05.2014).
6. Barker, J. Using Traffic Analysis to Identify Tor Usage - A Proposed Study / J. Barker, P. Hannay, C. Bolan // Proceedings of the 2010 International Conference on Security & Management. - 2010. - P. 620 - 623.
7. Gilad, Y. Spying in the Dark: TCP and Tor Traffic Analysis / Y. Gilad, A. Herzberg //
Proceedings of the 12th international conference on Privacy Enhancing Technologies. - 2012. - P. 100-119.
8. SkypeMorph: Protocol Obfuscation for Tor Bridges / H. Moghaddam, B. Li, M. Derakhshani, I. Goldberg // In Proceedings of the 2012 ACM conference on Computer and communications security (CCS '12). - 2012. - P. 97-108.
9. Houmansadr, A. The Parrot Is Dead: Observing Unobservable Network Communications / A. Houmansadr, C. Brubaker, V. Shmatikov // In Proceedings of the 2013 IEEE Symposium on Security and Privacy. - 2013. - P. 65-79.
10. Granerud, A. O. Identifying TLS abnormalities in Tor [Электронный реcурс]. -Режим доступа: http://brage.bibsys.no/xmlui/bitstream/handle/11250/ 143950/Identifying_TLS _abnormalities_in_Tor_AndersOlausGranerud.pdf, свободный (дата обращения: 15.05.2014).
111