• 전자통신동향분석
• /
• 제38권5호
• /
• pp.71-80
• /
• 2023

With the rapid advancement of the Internet, the use of encrypted traffic has surged in order to protect data during transmission. Simultaneously, network attacks have also begun to leverage encrypted traffic, leading to active research in the field of encrypted traffic analysis to overcome the limitations of traditional detection methods. In this paper, we provide an overview of the encrypted traffic analysis field, covering the analysis process, domains, models, evaluation methods, and research trends. Specifically, it focuses on the research trends in the field of anomaly detection in encrypted network traffic analysis. Furthermore, considerations for model development in encrypted traffic analysis are discussed, including traffic dataset composition, selection of traffic representation methods, creation of analysis models, and mitigation of AI model attacks. In the future, the volume of encrypted network traffic will continue to increase, particularly with a higher proportion of attack traffic utilizing encryption. Research on attack detection in such an environment must be consistently conducted to address these challenges.

• ETRI Journal
• /
• 제42권3호
• /
• pp.311-323
• /
• 2020

Encrypted traffic classification plays a vital role in cybersecurity as network traffic encryption becomes prevalent. First, we briefly introduce three traffic encryption mechanisms: IPsec, SSL/TLS, and SRTP. After evaluating the performances of support vector machine, random forest, naïve Bayes, and logistic regression for traffic classification, we propose the combined approach of entropy estimation and artificial neural networks. First, network traffic is classified as encrypted or plaintext with entropy estimation. Encrypted traffic is then further classified using neural networks. We propose using traffic packet's sizes, packet's inter-arrival time, and direction as the neural network's input. Our combined approach was evaluated with the dataset obtained from the Canadian Institute for Cybersecurity. Results show an improved precision (from 1 to 7 percentage points), and some application classification metrics improved nearly by 30 percentage points.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권8호
• /
• pp.3804-3819
• /
• 2018

The increasing popularity of HTTP adaptive video streaming services has dramatically increased bandwidth requirements on operator networks, which attempt to shape their traffic through Deep Packet inspection (DPI). However, Google and certain content providers have started to encrypt their video services. As a result, operators often encounter difficulties in shaping their encrypted video traffic via DPI. This highlights the need for new traffic classification methods for encrypted HTTP adaptive video streaming to enable smart traffic shaping. These new methods will have to effectively estimate the quality representation layer and playout buffer. We present a new machine learning method and show for the first time that video quality representation classification for (YouTube) encrypted HTTP adaptive streaming is possible. The crawler codes and the datasets are provided in [43,44,51]. An extensive empirical evaluation shows that our method is able to independently classify every video segment into one of the quality representation layers with 97% accuracy if the browser is Safari with a Flash Player and 77% accuracy if the browser is Chrome, Explorer, Firefox or Safari with an HTML5 player.

• 한국정보통신학회논문지
• /
• 제25권3호
• /
• pp.449-455
• /
• 2021

본 논문에서는 기존의 웹애플리케이션 모니터링 시스템을 기반으로 한 암호화 웹트랜잭션 공격탐지 시스템을 제안한다. 기존의 웹트래픽 보안 시스템들은 클라이언트와 서버간의 암호화 구간인 네트워크 영역에서 암호화된 패킷을 기반으로 공격을 탐지하고 방어하기 때문에 암호화된 웹트래픽에 대한 공격 탐지가 어려웠지만, 웹애플리케이션 모니터링 시스템의 기술을 활용하게 되면 웹애플리케이션 서버의 메모리 내에서 이미 복호화 되어 있는 정보를 바탕으로 다양한 지능적 사이버 공격에 대한 탐지가 가능해 진다. 또한, 애플리케이션 세션 아이디를 통한 사용자 식별이 가능해지기 때문에 IP 변조 공격, 대량의 웹트랜잭션 호출 사용자, DDoS 공격 등 사용자별 통계기반의 탐지도 가능해 진다. 이와 같이 암호화 웹트래픽에 대한 비 암호화 구간에서의 정보 수집 및 탐지를 통하여 암호화 트래픽에 숨어 있는 다양한 지능적 사이버공격에 대한 대응이 가능할 것으로 사료된다.

• 한국통신학회논문지
• /
• 제37B권12호
• /
• pp.1160-1167
• /
• 2012

네트워크 트래픽 모니터링에 있어서 트래픽을 사용하는 목적을 알아내는 것은 서비스 품질, 방화벽의 동작, 보안 측면에 있어서 중요한 이슈가 되고 있다. 트래픽을 사용하는 목적을 알게 되면 이를 방화벽에서 거부하거나 허용할 수 있고 이는 서비스 품질, 보안적 측면에서 효과적인 운용이 가능해진다. 하지만 수많은 어플리케이션은 보안이나 서비스 측면에서 트래픽을 암호화시키고 있어 효과적인 트래픽 모니터링이 어렵다. 본 논문에서는 암호화된 트래픽을 사용하는 SSH(Secure Shell) 프로토콜을 분석하고 SSH 터널링, SFTP(SSH File Transfer Protocol)와 일반 SSH 트래픽의 차이점을 분석하고 식별할 수 있는 방법을 제시하고 실험을 통해 검증했다.

• 전자통신동향분석
• /
• 제33권1호
• /
• pp.68-77
• /
• 2018

Data deduplication is a common used technology in backup systems and cloud storage to reduce storage costs and network traffic. To preserve data privacy from servers or malicious attackers, there has been a growing demand in recent years for individuals and companies to encrypt data and store encrypted data on a server. In this study, we introduce two cryptographic primitives, Convergent Encryption and Message-Locked Encryption, which enable deduplication of encrypted data between clients and a storage server. We analyze the security of these schemes in terms of dictionary and poison attacks. In addition, we introduce deduplication systems that can be implemented in real cloud storage, which is a practical application environment, and describes the proof of ownership on client-side deduplication.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권7호
• /
• pp.2261-2280
• /
• 2014

Recently, network traffic has become more complex and diverse due to the emergence of new applications and services. Therefore, the importance of application-level traffic classification is increasing rapidly, and it has become a very popular research area. Although a lot of methods for traffic classification have been introduced in literature, they have some limitations to achieve an acceptable level of performance in real-time application-level traffic classification. In this paper, we propose a novel application-level traffic classification method using payload size sequence (PSS) signature. The proposed method generates unique PSS signatures for each application using packet order, direction and payload size of the first N packets in a flow, and uses them to classify application traffic. The evaluation shows that this method can classify application traffic easily and quickly with high accuracy rates, over 99.97%. Furthermore, the method can also classify application traffic that uses the same application protocol or is encrypted.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2024년도 춘계학술발표대회
• /
• pp.285-287
• /
• 2024

개인정보 및 네트워크 데이터 보호 등의 목적으로 암호화 통신이 보급됨에 따라 암호화 통신 바탕의 IoT기반 인프라 및 서비스가 급속히 구축, 확산되고 있다. 이러한 암호화 통신은 기존 네트워크 장비로는 내용 확인이 불가능하다는 점을 악용하여 악성코드를 은닉하고, 탐지기법을 우회하기 위한 수단으로 사용하는 사례가 꾸준히 발생하고 있다. 암호화 트래픽 분석 기술이란 암호화 통신에서 발생한 트래픽을 해독하지 않고 분석하는 기술로 암호화 통신을 악용한 사례에 대응하기 위한 수단으로써 그 필요성이 대두되고 있다. 본 논문에서는 암호화 통신과 암호화 트래픽에 대해 설명하고 암호화 트래픽 분석 기술의 연구 동향에 대해 분석한다.

• 한국통신학회논문지
• /
• 제40권11호
• /
• pp.2160-2168
• /
• 2015

네트워크 트래픽이 복잡, 다양해짐에 따라 발생하는 네트워크 보안문제 해결을 위해 다양한 암호화 프로토콜 중 하나인 SSL/TLS가 널리 사용되고 있다. 하지만 현재의 트래픽 분석 시스템은 암호화 트래픽을 프로토콜 레벨에 한정적으로 분석하고 있는 실정이다. 효과적인 네트워크 자원 관리를 위해서는 암호화 트래픽에 대한 서비스 단위 분석이 요구된다. 본 논문에서는 SSL/TLS 암호화 응용 트래픽의 페이로드 시그니쳐를 자동으로 추출하고, 이를 바탕으로 네트워크 트래픽 상에서 SSL/TLS 응용 서비스를 식별하는 방법을 제안한다. 이는 암호화 세션이 맺어질 때 초기에 발생하는 SSL/TLS Handshake 중 인증서 교환 레코드의 인증서 발행 대상정보를 시그니쳐로 이용하여 서비스를 식별을 하는 것이다. 본 논문에서 제안하는 방법은 95%에 가까운 SSL/TLS 트래픽을 분석 하였으며, 이 때 추출한 시그니쳐를 별도의 트래픽 트레이스에 적용시켜 각 서비스 별로 최대 95%의 정확도를 내어 그 성능과 가능성을 증명하였다.

• 한국통신학회논문지
• /
• 제36권2B호
• /
• pp.131-140
• /
• 2011

최근 인터넷 사용자의 증가와 고속 네트워크 망을 통한 네트워크 트래픽의 급증으로 효율적인 네트워크 트래픽 관리의 필요성이 더욱 커졌다. 효율적인 트래픽 관리를 위해서는 응용 프로그램 별 트래픽 분류의 연구가 선행되어야 하며 이미 많은 기존 논문에서 응용레벨 트래픽 분류에 대한 다양한 알고리즘을 제시하고 있다. 하지만 P2P기반의 Skype응용에 대해서는 분석율이 떨어져 이에 대한 연구가 더 필요한 실정이다. 본 논문에서는 payload 시그니쳐 기반 분석, 기계학습 기반 분석 등 기존의 방법론에 의존하지 않고 Skype응용의 트래픽 특성을 분석해 사용자들의 {IP, port} 리스트를 추출하고 이를 이용해 네트워크 내에 발생하는 Skype응용 프로그램의 트래픽을 정확하게 탐지하는 실시간 탐지 알고리즘을 제안한다 제안된 방법론은 학내 네트워크에 적용하여 그 타당성을 검증하였다.