27C3 - Version 1.6.3

27th Chaos Communication Congress
We come in peace

Speakers
Florian Adamsky
Schedule
Day Day 2 - 2010-12-28
Room Saal 3
Start time 18:30
Duration 01:00
Info
ID 4097
Event type Lecture
Track Science
Language used for presentation German
Feedback

Techniken zur Identifizierung von Netzwerk-Protokollen

Der Vortrag soll Techniken aufzeigen, mit denen man Netzwerk-Protokolle identifizieren kann, die in Layer 7 des OSI-Modells angesiedelt sind. Alle Techniken - darunter auch die Deep Packet Inspection (DPI) - werden technisch erläutert und kritisch bewertet.

Der Fokus des Vortrags liegt auf dem SPID-Algorithmus, den Hjelmvik und John entwickelten. Dieser Algorithmus inspiziert die Netzwerk-Protokolle mit statistischen Merkmalen. Die Ergebnisse der statistischen Analyse geben Aufschluss, wie man Protocol Obfuscation in Zukunft verbessern kann, um zu verhindern das Protokolle erkannt werden.

Auf die folgenden Techniken zur Identifizierung von Netzwerk-Protokollen wird inhaltlich eingangen: Port-Nummern, Deep-Packet-Inspection, Maschinen-Lern-Algorithmen und der hybride Ansatz SPID. Alle Techniken werden nach den folgenden Anforderungen abgewogen. Erstens sollen Protokolle in naher Echtzeit erkannt werden. Zweitens soll eine möglichst robuste und sichere Erkennung von Protokollen möglich sein. Und Drittens soll die Technik auf leistungsarmer und kostengünstiger Hardware laufen.

Nach der Abwägung werden die technischen Einzelheiten des SPID-Algorithmus erläutert und ausgewählte statistische Merkmale beleuchtet. Diese bilden nachfolgend die Grundlage, um Protocol Obfuscation zu verbessern. Abschließend werden verschiedene Evaluierungs-Ergebnisse präsentiert.