Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Revealing Skype Traffic: when randomness plays with you Μαρία-Ελεάνα Μούκα Αμ:1916.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Revealing Skype Traffic: when randomness plays with you Μαρία-Ελεάνα Μούκα Αμ:1916."— Μεταγράφημα παρουσίασης:

1 Revealing Skype Traffic: when randomness plays with you Μαρία-Ελεάνα Μούκα Αμ:1916

2 Τι ακριβώς είναι το Skype? • ένα πολύ δημοφιλές VoIP software που τράβηξε την προσοχή όχι μόνο της ερευνητικής κοινότητας αλλά και των φορέων εκμετάλλευσης δικτύων.(αναπτυχθηκε το 2003 από τους ιδρυτες του Kazaa πλεον εχει φτασει τα χρηστες) • Τα πρωτόκολλα που χρησιμοποιεί το Skype καθώς και οι αλγόριθμοί του αποτελούν κλειστή πηγή (ιδιόκτητος σχεδιασμός) και είναι άγνωστα προς τους υπόλοιπους.

3 • Nα καταφέρουμε (παρά τους ισχυρούς μηχανισμούς αποκρυπτογράφησης που χρησιμοποιεί το Skype και παρά το γεγονός ότι η κίνηση είναι ασαφής) να αποκαλύψουμε την κίνηση στο Skype σε real time,ανεξάρτητα με το πρωτόκολλο επιπέδου μεταφοράς που χρησιμοποιείται (TCP,UDP) • Με ποιο τρόπο όμως μπορούμε να το πετύχουμε? Σκοπός μας…

4 • Προτείνεται ένα πλαίσιο βασισμένο σε δύο συμπληρωματικές και επεκτασιμες τεχνικές: (1) η 1 η τεχνική βασίζεται στο Pearson’s Chi-Square test αλλά είναι αγνωστικιστικό στα VoIP χαρακτηριστικά που είναι συσχετισμένα με τα χαρακτηριστικά κίνησης(προσέγγιση CSC) (2)η 2 η τεχνική βασίζεται σε ένα στοχαστικό χαρακτηρισμό της κίνησης στοSkype(προσέγγιση NBC) Τρόποι για να το επιτύχουμε…

5 • για την 1 η τεχνική: χρησιμοποιείται για την ανίχνευση των δακτυλικών αποτυπωμάτων του Skype από τη δομή του packetframing αξιοποιώντας την τυχαιότητα που εισάγεται στο επίπεδο των bit κατά της διαδικασία κρυπτογράφησης Πιο Συγκεκριμένα…

6 • για την 2 η τεχνική: βασίζεται στο ρυθμό άφιξης των πακέτων και το μέγεθος του πακέτου,τα οποία χρησιμοποιούνται ως χαρακτηριστικά γνωρίσματα της διαδικασίας απόφασης βασισμένη στο Naive Bayesian Classifiers(Αφελείς Bayesian ταξινομητές). Πιο Συγκεκριμένα…

7 • Για να αξιολογήσουμε τις παραπάνω τεχνικές ως προς την αποτελεσματικότητά τους αναπτύσσουμε ένα off line cross-checking ευριστικό που βασίζεται στην βαθυά επιθεώρηση πακέτων και στη συσχέτιση ροών. • Αυτό το ευριστικό μας επιτρέπει να ποσοτικοποιήσουμε την ποσότητα των ψευδώς αρνητικών και ψευδώς θετικών που συλλέχθηκαν από τις δύο παραπάνω τεχνικές. • Αποτελέσματα μετρήσεων από διαφορετικά δίκτυα δείχνουν ότι αυτές οι τεχνικές είναι αποτελεσματικές στον προσδιορισμό της Skype κυκλοφορίας. Αξιολόγηση Τεχνικών…

8 • Καθοριστική για την ανάλυση της κυκλοφορίας. • Καθοριστική για τον χαρακτηρισμό και τον σχεδιασμό του δικτύου και μπορούμε μέσω αυτής να κάνουμε κάποιες προβλέψεις. • Συμφέρον Φορέων εκμετάλλευσης δικτύων: παρακολουθώντας την κίνηση στο Skype και τις επιδόσεις σχεδιάζουν νέες τιμολογικές πολιτικές και στρατηγικές διαφοροποίησης της κυκλοφορίας. Γιατί ενδιαφερόμαστε τόσο πολύ για την αναγνώριση της κυκλοφορίαςστο Skype?

9 • Αναπτύσσουμε ένα Payload Based Classifier (PBC) • Το PBC βασίζεται στην παραδοσιακή τεχνική της επιθεώρησης των πακέτων σε βάθος σε συνδιασμό με μία ανάλυση για κάθε host η οποία μας επιτρέπει να αναγνωρίσουμε τους clients του Skype και το traffic που δημιουργείται από αυτούς Πως διασταυρώνουμε ότι με τις 2 αναφερθείσες τεχνικές παίρνουμε σωστά αποτελέσματα?

10 • Χρησιμοποιούμε το PBC για τη διασταύρωση των αποτελεσματων που επιτεύχθηκαν με τις στατιστικές προσεγγίσεις. • Από ελεγχόμενα πειράματα και από πραγματικά΄ίχνη κίνησης μεσω του PBC δημιουργείται ενα dataset στο οποίο χαρακτηρίζουμε/ταξινομούμε τα Skype flows Αναλυτικότερα…(1)

11 • Το dataset αυτό χρησιμοποιείται για να ποσοτικοποιήσει τον αριθμό των NBC/CSC ψευδώς θετικών και ψευδώς αρνητικών αποτελεσμάτων τους. • Τρέχοντας λοιπόν σε αυτό το dataset τις 2 διαφορετικές τεχνικές μας (NBC,CSC) μπορούμε να τις αξιολογήσουμε. Αναλυτικότερα…(2)

12 Η κοινή χρήση των 2 τακτικών περιορίζει αρκετα τον αριθμό των ψευδών θετικών και αρνητικών αποτελεσμάτων Αναλυτικότερα…(3)

13 • Πρωτότυπη μελέτη της κυκλοφορίας που προκύπτει από έναν πελάτη Skype • Στοχος:να αποκομιστεί ενα μοντέλο των πηγων κινησης του Skype(traffic source model) • πηγές κυκλοφορίας/κίνησης ώστε να χτίσουμε αποτελεσματικές μεθόδους ταυτοποίησης The Skype Source Model-Khaos Model

14 • Για να αποκτήσουμε ένα traffic source model εκτελούμε αρκετά πειράματα σε ελεγχόμενο περιβάλλον: πλατφόρμα δοκιμών στην οποία συμμετέχουν διάφοροι υπολογιστές συνδεδεμένοι μεταξύ τους μεLinux NAT,Firewall,Router κτλ • Δοκιμάστηκαν διαφορετικές εκδοχές του Skype που είχαν εγκατασταθεί και έτρεχαν σε διαφορετικά λειτουργικά συστήματα (και διαφορετικα σεναρια δικτυων) The Skype Source Model-Khaos Model

15 • Το Skype προσφέρει VoIP δυνατότητες με δύο τρόπους: (1) End-to-end(E2E):η κίνηση δημιουργείται ανάμεσα σε 2 hosts καθένα από τα οποία τρέχει έναν Skype Client (2)End-to-out(E2O):η κίνηση δημιουργείται ανάμεσα σε έναν end- host και ένα PSTN τηλέφωνο μέσω Skype-out services The Skype Source Model-Khaos Model

16 • Δεδομένου ότι το Skype υποστηρίζει φωνή, βίντεο, chat και μεταφορά δεδομένων έχουμε διαφορετικές πηγές πληροφοριών • Αν και κάθε πηγη εχει διαφορετικά χαρ/κα όλες οι πηγές παράγουν blocks πληροφοριών που πολυπλέκονται σε ένα πλαίσιο (πολυπλεξία) The Skype Source Model

17 Λαμβάνοντας υπόψιν την «πηγή» φωνή ο κωδικοποιητής φωνής που χρησιμοποιείται κατά τη διάρκεια μίας κλήσης (Voice Codec ) έχει ως εξόδους blocks κωδικοποιημένης φωνής.

18 • Ο framer είναι υπεύθυνος για τη δημιουργία των Skype frames πολυπλέκοντας σε ένα πλαίσιο/frame ένα η περισσότερα blocks • Μόλις δημιουργηθεί ένα frame συμπιέζεται αριθμητικά από τον Archiver και κρυπτογραφείται από το Cypher The Skype Source Model

19 • Τέλος ένα προσθετο μη κρυπτογραφημένο header μπορεί να είναι παρών και συμβολίζεται με την έναρξη του μηνύματος (SoM/start of message) στην εικονα • Το SoM παίζει σημαντικό ρόλο στο PBC • Το αποτελεσμα της παραπάνω εικόνας είναι ένα Skype message το οποίο θα ενθυλακωθεί ειτε σε UDP τμήμα είτε σε TCP τμήμα The Skype Source Model

20 • Στην πλευρά της εισόδου έχουμε 3 σημαντικές παραμέτρους με καθοριστικό ρόλο για τα χαρ/κα της κυκλοφορίας/κίνησης που θα προκύψει (1) Rate (2) ΔΤ (3) RF The Skype Source Model

21  Είναι o ρυθμος/ποσοστό των bits που χρησιμοποιειται από την πηγή(πχ το voice codec rate) Rate

22  Αντιπροσωπεύει το framing time του Skype message, δηλαδή είναι το χρονικό διάστημα μεταξύ των 2 μεταγενέστερων Skype messages που ανήκουν στο ίδιο flow ΔΤ

23  Είναι πλεονάζων παράγοντας δηλαδή ο αριθμός των προηγούμενων block που το Skype αναμεταδίδει ανεξάρτητα από το εγκριθέν Codec κατά μήκος με το τρέχον block RF

24 Όλες οι παραπάνω παράμετροι μπορούν να αλλάξουν κατά τη διαρκεια της συνδεσης ανάλογα με τις συνθήκες στο δίκτυο όπως παρατηρούμε και στο παραπανω σχημα The Skype Source Model

25  Voice Call  η παραπάνω εικόνα αναφέρεται σε ένα ίχνος μηνύματος που παρατηρείται κατά τη διάρκεια μιας κλήσης μεταξυ δυο πελατων/clients στους οποίους τεχνητά επιβαλαμε το διαθέσιμο εύρος ζώνης. The Skype Source Model

26 • Το 1 ο διάγραμμα δείχνει τον μέσο ρυθμό των bits (bits/sec) και το επιβαλλόμενο εύρος ζώνης. • Το 2 ο διάγραμμα δείχνει το ΔΤ • Το 3 ο διαγραμμα δειχνει το μέγεθος πακέτου σε σχεση με το χρονο The Skype Source Model

27  Παρατηρώντας το μέγεθος του μηνύματος τα αποτελέσματα του μεταβαλλόμενου ρυθμού των bits (codec και framer) είναι ορατά.Δηλαδή παρατηρούμε ότι κατά την έναρξη της σύνδεσης (0-30 sec) τα μυνήματα έχουν περίπου 2πλό μέγεθος συγκριτικά με το μέγεθος των μυνημάτων στο 2 ο μέρος της κλήσης[ sec] The Skype Source Model

28 • Η επιλογή του πρωτοκόλλου μεταφορας(TCP,UDP) εχει ισχυρή επίπτωση στον τροπο κρυπτογραφησης μηνυματων • Όταν χρησιμοποιείται TCP πρωτόκολλο το Skype κρυπτογραφεί όλο το περιεχόμενο όλων των μηνυμάτων. • Όταν χρησιμοποιεί UDP πρωτόκολλο ο Skype παραλήπτης πρέπει να εξάγει από το application layer header καποια επιπροσθετη πληροφορία για να ανιχνεύσει και να αντιμετωπίσει ένα πιθανό λάθος The start of message-SoM

29 • Ετσι με το UDP το Skype δεν μπορει να κρυπτογραφήσει ολόκληρο το μήνυμα. • Το Skype στέλνει και λαμβάνει UDP τμήματα χρησιμοποιώντας μια σταθερή θύρα για να αποφύγει μια επιπλέον σηματοδότηση που θα χρειαζόταν στην περίπτωση μιας δυναμικής θύρας. • Οποτε κάποια application layer headers πρέπει να προστεθούν στον πολυπλέκτη ώστε να υπάρχουν διαφορετικά μηνύματα (φωνή,βιντεο..) στο ιδιο flow μεταφορών The start of message-SoM

30  Όταν τα Skype messages ενθυλακώνονται σε UDP τμήματα μια μερίδα των Skype messages μπορούν να αναγνωριστούν από το UDP payload,αυτό ακριβως ονομάζουμε αρχή μηνύματος/SoM Τι ακριβώς είναι το SoM τελικά?

31 Παρατηρώντας τα ενθηλακωμένα UDP messages μεταξύ 2 clients τα εξής πεδία αναγνωρίζονται: 1)ID:το 1 ο και το 2 ο byte (16 bits) που χρησιμοποιούνται για να αναγνωρίσουν μοναδικά το μήνυμα(επιλέγεται τυχαια από τον αποστολεα και αντιγραφεται στην απαντηση του παραληπτη) 2)Fun:ενα 5bito πεδιο (3 ο byte) που οριζει τον τυπο του payload 3)Frame:περιέχει μια πιθανή πολυπλεγμένη ακολουθια κρυπτογραφημένων πληροφοριών και blocks φωνης End-to-end messages

32 • Αρχικό Στάδιο των Skypeout κλήσεων: (1) σηματοδότηση μεταξύ πελάτη/client και κάποιων υπερ-κόμβων(super-nodes) • Δεύτερο Στάδιο: ένα φωνητικό κωδικοποιημένο stream μηνυμάτων ενεργοποιείται μεταξύ του caller και του gateway node και μετατρέπεται η κλήση σε PSTN Skypeout Messages

33 • Πaρατηρώντας το payload των UDP ενθυλακωμένων φωνητ μηνυμάτων βλέπουμε ότι μετα από ένα μεταβλητό αριθμό αρχικών μηνυμάτων τα πρώτα 4 bytes παίρνουν την ίδια τιμή. • Αυτά τα 4 bytes θεωρούμε ότι χρησιμοποιούνται από την PSTN πύλη ως αναγνωριστικό σύνδεσης(connection identifier,CID) αν και κατα τη διάρκεια της σύνδεσης είναι πιθανό να αλλάξουν. Skypeout Messages- CID(connection identifier)

34 Χρησιμοποιούμε 3 είδη classifier, οι οποίοι εκμεταλλεύονται διαφορετικές πτυχές και χαρ/κα της κυκλοφορίας του Skype για την ταυτοπoίηση της κυκλοφορίας του Skype: (1) Nyx (Chi-square-classifier,CSC) (2) Erebos (Naïve-Bayes-Classifier,NBC) (3) Hemera (Payload-Based Classifier,PBC) Πώς να προχωρήσουμε με την ταυτοποίηση της κυκλοφορίας του Skype?

35 • Επικεντρώνεται σε μηχανισμόυς κρυπτογράφησης • Η απόφαση που παίρνει βασίζεται στην ανάλυση της τυχαιότητας του περιεχομένου του μυνήματος,την οποία εισήγαγε η κρυπτογράφηση. • Μας επιτρέπει να ξεχωρίσουμε την κίνηση από Skype clients από άλλες VoIP πηγές καθώς χρησιμοποιούν διαφορετικό header Nyx

36 • Στοχαστικός χαρακτηρισμός των ιδιοτήτων της κίνησης που παράγεται από την πηγή χρησιμοποιώντας το μέγεθος πακέτου και το χάσμα μεταξύ πακέτων • Η απόφασή του Erebos στηρίζεται με βάση την ομοιότητα των πιθανών Skype flows με τα αναμενόμενα στοχαστικά χαρ/κα Erebos

37 • Βασίζεται σε μια παραδοσιακή βαθυά επιθεώρηση των πακέτων • Ισχύει μόνο για UDP flows Hemera

38 • Χρησιμοποιέι το Pearson’s Chi-Square statistical test για να εκτιμήσει αν και ποια τμήματα μηνύματος είναι κρυπτογραφημένα • Σκοπός του τεστ αυτού:ελέγχει αν το μήνυμα υπό ανάλυση συμφωνεί σε μορφή με τα Skype messages και αντίστοιχα αποκαλύπτει τα δακτυλικά αποτυπώματα • Ανάλογα με το είδος του flow έχουμε διαφορετικά χαρ/κα στο περιεχόμενο του μηνύματος The Classifiers- Nyx(Αναλυτικότερα..)

39 στο τεστ αυτό βλεπουμε τη συμπεριφορα του αντικειμενου -για ένα συνολο φορων - και βλεπουμε αν εχει την αναμενομενη συμπεριφορα υπολογιζοντας την απόκλιση των τιμών που παρατηρήθηκαν στην έξοδο σε σχέση με την αναμενόμενη κατανομή των εκροών. • nTOT: πεπερασμένος αριθμός φορών που επαναλαμβάνουμε το παραπάνω τεστ • i=τιμή εξόδου • Pi: πιθανότητα να έχουμε την i εξοδο • N πιθανές έξοδοι • Ei:αναμενομενος αριθμος των εμφανισεων i (Ei= nTOT* Pi) The Classifiers- Nyx(Αναλυτικότερα..)

40 • Oi:αριθμος εμφανισεων του i στο πείραμα • Μέτρηση Απόκλισης της παρατηρουμενης συμπεριφορας σε σχεση με την αναμενομενη συμπεριφορα: n-1 χ^2=Σ((Oi-Ei)^2)/Ei i=0 The Classifiers- Nyx(Αναλυτικότερα..)

41 • Αν το αντικείμενο συμπεριφέρεται όπως αναμενεται,συμφωνα με την κατανομη chi- square, εχει n-1 βαθμους ελευθεριας • Αν υποθέσουμε ότι η εξοδος του αντικειμένου είναι αυτή με πιθανοτητα pi και ξανακάνουμε το πειραμα αυτή η υποθεση απορριπτεται αν στο προηγ αθροισμα εχουμε αποτελεσμα είναι μεγαλυτερο του 1-α (α=ποσοστιμοριο κατανομης). • Χρησιμοποιώντας αυτή την ιδεα χτιζουμε την CSC ιδεα, ελεγχοντας αν το περιεχομενο ενός μηνυματος που ανηκει σε ένα flow συμφωνει με την παραπανω Skype συμπεριφορα The Classifiers- Nyx(Αναλυτικότερα..)

42 • Για κάθε μήνυμα που ανήκει στο ιδιο flow θεωρούμε τα πρωτα G groups των b bits και υπολογίζουμε για κάθε block g = 1,...G, τις μεταβλητές Og (i:μετράει τισ φορές που το g block πηρε την τιμή i) αξιολογούμε το τεστ για κάθε ομαδα από bits: 2^(b-1) (χg)^2=Σ((Oi^g-Ei)^2)/Ei i=0 Πως ακριβώς δουλευει το πειραμά μας ?

43 • Ελέγχουμε τα xg^2 για να δούμε αν η υπόθεσή μας επαληθεύεται • Για την υπόθεσή μας χρησιμοποιούμε τον πίνακα με τα χαρ/κα των περιεχόμενων των μηνυμάτων: Πως ακριβώς δουλευει το πειραμά μας ?

44 • Για να ελενξουμε αν μια ομαδα g είναι random, deterministic η mixed (random+constant bits) θεωρουμε ως αναμενομενη συμπεριφορά αυτή: Ei = nTOT /(2^b) nTOT:αριθμος μηνυματων που ανηκουν στο ιδιο flow • Συγκρίνουμε το xg^2 με κάποια κατώτατα ορια που προκύπτουν από την κατανομή chi-square Πως ακριβώς δουλευει το πειραμά μας ?

45 • Συμβολίζουμε τα κατώτατα όρια: x^2(Rnd), x^2(Mixed), and x^2(Det) • ΚΡΙΤΗΡΙΑ (ταξινομουμε τα flows με βαση αυτά): (1) E2E over UDP(random blocks πρεπει να ναι ομοια με την κατανομη μας,mixed blocks που περιεχουν deterministic bits εχουν μεγαλα Xg max(Xg^2) X^2(Mixed) Συνεχεια..

46 (2) E2O over UDP.(SoM deterministic) Min(Xg^2)>X^2(Det) and max (Xg^2)

47 • στο διαγραμμα αυτό εχουμε Xg^2 versus Ntot για τα 3 ειδη των group(deterministic,random,mixed) • Οσο μεγαλωνει το Ntot μεγαλωνει και το Xg^2 και για τα deterministic και για τα mixed groups • Τα κατωτατα ορια δεν είναι σημαντικα εδώ αφου η συμπεριφορα τους είναι ευδιακριτη(των 3 γκρουπ) • Μειωση παραμετρων - > x^2(Rnd)=x^2(Mixed)=x^2(Det) Συνεχεια…

48 • Χρησιμοποιει ιδιαιτερα χαρακτηριστικα του real time traffic • Ο αλγοριθμος (NBC) στηρίζεται στον χαρακτηρισμο της κινησης συνδιαζοντας τον voice codec με τον framer για στοχαστικο χαρακτηρισμο του skype traffic • Η ομοιοτητα της μετρουμενης κινησης με το skype traffic μετραται από τον NBC αλγοριθμο Erebos-Naïve Bayes Classifier

49 • Βασικη ιδεα:υποθετουμε ότι παρατηρουμε ένα αντικειμενο που περιγραφεται από παρατηρησιμες ποσοτητες που ονομαζονται features. • Εχουμε ένα vector X οπου X=[Xi] αναπαριστα την iοστη τιμη του feature X • Μετα υπολογιζουμε την πιθανοτητα P(C|X) δηλαδη την πιθανοτητα ότι το αντικειμενο ανηκει στην κλαση C Συνεχεια…

50 • Feature Selection.. • Θελουμε να επιλεξουμε ένα μικρο αριθμο features προκειμενου να ταυτοπoιησουμε τα Skype flows • Επιλεγουμε ως features: • Message size(window of w messages) x=[s1,s2,s3,…,sw Message size dependent on spesific codec Συνεχεια…

51 • Το επομενο feature είναι : • the average-inter packet gap • Εκτιμαται ότι ισουται με 1/w φορες επι την ωρα μεταξυ της παραλαβης του πρωτου και w-στου πακετου στο παράθυρο(ανεξαρτητο του Codec) • Y=[τ]=[(tw-t1)/w] Συνεχεια…

52 • Feature characterization • Βασισμενοι στο Skype Source Model χαρακτηριζουμε την κατανομη του message size για κάθε πιθανο Codec • Ένα Codec μπορει να βρισκεται σε διαφορετικα σημεια εργασιας και αναπαριστουμε το message size με Gaussian κατανομη για ένα συγκεκριμενο σημειο εργασιας Συνεχεια…

53 • Ένα σημειο εργασιας σε διαφορετικες ρυθμισεις συμφωνα με τις εξης παραμετρους • Rate • header length • Redundancy factor RF • Message framing time ΔΤ Συνεχεια…

54 • Derivation of the beliefs • στο σχημα εχουμε το σχηματικο διαγραμμα του NBC το οποιο συνδιαζει 2 σετ του NBC • Το ένα χρησιμοποιειται για το message size • Το άλλο για το average IPG • Sequence of beliefs at time k for codec j υπολογιζεται παιρνοντας το time average των maximum beliefs του j  E[Bs^j ] = Ek[Bs^(k,j) ]. Συνεχειa..

55 • Για να κανουμε set ένα belief παιρνουμε το Max των beliefs του j MaxBs = max (E[Bs^j ]) j Οποτε το πιθανο codec είναι Codec = argmax(max (E[Bs ^j])). j Συνεχειa..

56 • Για να αποφασισουμε αν ένα flow είναι skype voice flow χρησιμοποιουμε το message size και τους average-IPG classifiers υπολογιζοντας το minimun των προηγουμενων derived beliefs B=min(MaxBs,E[Bτ]) και το συγκρινουμε με το κατωτατο οριο Βmin If B>Bmin then εχουμε ένα Skype voice flow Συνεχειa..

57 • Τα σχηματα δειχνουν τα beliefs που παιρνουμε τρεχοντας τον NBC στο ιδιο flow • Το πρωτο σχημα δειχνει τους average IPC classifiers • Το δευτερο σχημα δειχνει την εξελιξη του belief κατά τη διαρκεια ζωης του ISAAC message size Συνεχειa..

58 • Η έξοδος του size message με βάση το NBC είναι πιο ασαφής,δεδομένου ότι το size message εχει μεγαλύτερες διακυμάνσεις. • Ειδικότερα, είναι δυνατόν να τηρεί τη μεταβατική φάση σε περίπου 25 δευτερόλεπτα και 170 δευτερολεπτα αντίστοιχα • Και στις δύο περιπτώσεις, το ανώτατο παράθυρο πεποίθησης είναι τις περισσότερες φορές μεγαλύτερο από -5

59 • PBC • Αποτελει παραδοσιακη τεχνικη για την ανιχνευση διαφορετικων τυπων κινησης από μια συνολικη κινηση • Εκμεταλλευεται τη γνωση του protocol header format αντιστοιχιζοντας τα σε γνωστα headers εφαρμογων και το SoM στα UDP πακετα και ο PBC αλγοριθμος αποκαλυπτει το Skype traffic • Λογω των δυσκολιων εξαιτιας της κρυπτογραφησης χρειαζεται επιπροσθετη πληροφορια per host Hemera:Payload based classifier

60 • Είναι ακριβο (λογω επιθεωρησης του payload για κάθε host ) • Όταν εχουμε TCP πρωτοκολλο δεν μπορουμε να τον χρησιμοποιησουμε • Κάθε φορα που το format του SoM αλλαζει πρεπει να τον ενημερωνουμε • Απαιτει να παρατηρει όλα τα flows από ένα source host αρα σε δενδρικες συνδεσεις δικτυου δεν μπορουμε να τον χρησιμοποιησουμε Μειονεκτηματα του PBC

61 • Βασιζεται στο ότι ενας Skype client χρησιμοποιει το ιδιο UDP port για να παραλαβει και να στειλει traffic • Για να ξεκινησει ένα voice connection signaling messages ανταλλασονται αναμεσα στα σημεια οδηγωντασ σε E2E flows • Εκμεταλλευομενοι αυτή τη συμπεριφορα είναι πιθανο να αναγνωρισουμε τον skype client που τρεχει σε δεδομενο host μεσω του couple (source IP,source UDP port) Per host identification

62 • Παρουσιαζουμε τα αποτελεσματα τρεχοντας τους classifiers σε real data traffic,εχουμε τα εξης dataset • CAMPUS:95 ωρες trace collection(TCP data flows,no P2P traffic) • ISP: μια μερα trace collection(voice and video via ADSL) • Το σχημα δειχνει ολους τους πιθανους συνδιασμους των flow classification, αναπαριστα τα ψευδη θετικα και αρνητικα αποτελ Experiments…

63 • Εδώ ο PBC αναγνωριζει 1024 Ε2Ε flows kai 163 E2O flows • Oταν χρησιμοποιουμε μονο τον NBC εχουμε ένα σημαντικο αριθμο από discarted flows (FN%=28.40) • Λογω του ότι δεν επιτρεπεται μεταφορα videos μεσω του PSTN gateway το ποσοστο του NBC-FN είναι πολύ μικροτερο συγκριτικα με την Ε2Ε Experiments…

64 • Λιγα skype calls βλεπουμε να εχουμε ισως λογω του χαμηλου ρυθμου που προσφερεται για κλησει ς από τον ISP Experiments…

65 • CSC αναγνωριζει πανω από flows πραγμα λογικο αφου οι εφαρμογες που στηριζονται στο TCP συνηθως μεταφερουν data με με dedermenistic header στο segment start Experiments…

66 NBC:αποτελεσματικο στην αναγνωριση ολων των voice traffic over IP ανεξαρτητως εφαρμ CSC: :αποτελεσματικο στην αναγνωριση του skype traffic μεσω UDP πρωτ,σε TCP πρωτοκολλο προσδιοριζει την κρυπτογραφημενη συμπιεσμενη κνηση,προσδιοριζοντας ετσι σημαντικο μεροσ κινησης Συνδιασμος των παραπανω: αποτελεσματικο στην αναγνωριση του skype traffic ειτε μεσω UDP ειτε μεσω TCP, σχεδον μηδενικα σφαλματα NBC,CSC,Join of them

67 • Στα παραπανω σχηματα εξεταζεται η ευαισθησια των NBC(fig 7) CSC(fig 8) για συγκεκριμενο ορισμο κατωτατων οριων τα οποια χρησιμοποιουνται κατά τη διαδικασια ληψης αποφασεων και εφαρμοζεται πανω στο dataset που δημιουργηθηκε εφαρμοζοντας PBC στο Campus UDP traffic Parameter tuning

68 • Στα αριστερο σχηματα αναλυεται το αποτελεσμα της του NBC και στο δεξιο της κοινης χρησης του NBC και CSC • To μεγαλο ποσοστο των FN αριστερα είναι λογικο αφου τα data/video/chat flows θεωρουνται E2E flows στο PBC benchmark dataset αρα σωστα απορριπτονται από το NBC Parameter tuning

69 Ευχαριστώ!!!! Ερωτήσεις?


Κατέβασμα ppt "Revealing Skype Traffic: when randomness plays with you Μαρία-Ελεάνα Μούκα Αμ:1916."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google