Service-Level Monitoring of HTTPS Traffic / Identification des Services dans le Trafic HTTPS

Shbair, Wazen M.

03 May 2017

Dans cette thèse, nous dressons tout d'abord un bilan des différentes techniques d'identification de trafic et constatons l'absence de solution permettant une identification du trafic HTTPS à la fois précise et respectueuse de la vie privée des utilisateurs. Nous nous intéressons dans un premier temps à une technique récente, néanmoins déjà déployée, permettant la supervision du trafic HTTPS grâce à l'inspection du champ SNI, extension du protocole TLS. Nous montrons que deux stratégies permettent de contourner cette méthode. Comme remédiation, nous proposons une procédure de vérification supplémentaire basée sur un serveur DNS de confiance. Les résultats expérimentaux montrent que cette solution pragmatique est efficace. Ensuite, nous proposons une architecture qui permet l'identification des services dans le trafic HTTPS, en se basant sur l'apprentissage automatique. Nous avons ainsi défini un nouvel ensemble de caractéristiques statistiques combinées avec une identification à deux niveaux, identifiant d'abord le fournisseur de services, puis le service, selon notre évaluation à partir de trafic réel. Enfin, nous améliorons cette architecture afin de permettre l'identification du trafic en temps réel en ne considérant que les premiers paquets des flux plutôt que leur totalité. Pour évaluer notre approche, nous avons constitué un dataset comportant les flux complets de chargement des principaux sites web et l'avons rendu public pour comparaison. Nous présentons également un prototype de logiciel reconstituant les flux HTTPS en temps réel puis les identifiant / In this thesis, we provide a privacy preserving for monitoring HTTPS services. First, we first investigate a recent technique for HTTPS services monitoring that is based on the Server Name Indication (SNI) field of the TLS handshake. We show that this method has many weakness, which can be used to cheat monitoring solutions.To mitigate this issue, we propose a novel DNS-based approach to validate the claimed value of SNI. The evaluation show the ability to overcome the shortage. Second, we propose a robust framework to identify the accessed HTTPS services from a traffic dump, without relying neither on a header field nor on the payload content. Our evaluation based on real traffic shows that we can identify encrypted HTTPS services with high accuracy. Third, we have improved our framework to monitor HTTPS services in real-time. By extracting statistical features over the TLS handshake packets and a few application data packets, we can identify HTTPS services very early in the session. The obtained results and a prototype implementation show that our method offers good identification accuracy, high HTTPS flow processing throughput, and a low overhead delay

HTTPS

Supervision

Sécurité

Analyse de trafic

Pare-feu

HTTPS

Security monitoring

Traffic analysis

Firewall

005.8

Non-observabilité des communications à faible latence

Bernard, Nicolas

23 September 2008

Cette thèse s'articule autour de deux parties, toutes deux liées à la protection de la vie privée dans les réseaux informatiques en général et sur l'Internet en particulier.<br /><br />Dans la première partie, nous proposons un système permettant d'établir des communications interactives non-observables, c'est-à-dire telles qu'un observateur ne puisse pas déterminer vers quelle(s) destination(s) sont établies ces communications, ni même, en fait, être certain qu'il y a bien de vraies communications!<br />Ce système innove par le niveau de protection qu'il vise, puisque même un observateur très puissant ne devrait pas être à même de la contourner.<br />Cette protection se base sur l'Onion-Routing et le complète avec des méthodes sophistiquées destinées à déjouer l'analyse de trafic.<br /><br />Dans la seconde partie, nous nous intéressons plus particulièrement au protocole DNS.<br />Bien qu'il soit possible de le protéger avec notre proposition de la partie précédente, cela dégrade ses performances (en termes de latence), ce qui à son tour a un impact sur celles des protocoles qui utilisent DNS.<br />Dans cette partie, nous proposons une solution spécifique à DNS, qui fournit à la fois un bon niveau de protection et de meilleures performances.<br /><br />Ces deux systèmes peuvent bien sûr se combiner, mais aussi être utilisés comme des briques séparées, avec d'autre mécanismes de protection de la vie privée.

sécurité réseau

vie privée

non-observabilité

anonymat

DNS

Onion-Routing

analyse de trafic

A lightweight framework to build honeytanks

Vanderavero, Nicolas

18 December 2007

As the Internet becomes an ubiquitous medium of communication, it carries more and more malicious activities like spam, worms or denial of service attacks. One solution to detect and collect such malicious traffic is to use honeypots. They are devices or pieces of information that are not part of the usual production system. Their goals are to lure the attackers into a trap to study them, divert their attention from another target or collect statistics. In this work, we propose a lightweight framework to build honeytanks, which are very efficient low-interaction honeypots. We present and evaluate techniques and algorithms to simulate the presence of a large number of hosts with various degrees of realism and scalability, from a completely stateless approach to a stateful approach able, amongst other things, to mimic the behavior of various TCP/IP stacks. Our framework is based on ASAX, a generic and lightweight data stream analyzer. We instantiate ASAX to build powerful traffic handlers. We introduce several extensions to ASAX and to RUSSEL, its programming language. These extensions allow us to develop new concurrent programming techniques to simulate hosts and protocols in a simple and modular way. We use a recently optimized version of ASAX that makes it possible to simulate tens of thousands hosts while keeping the simulation at a high level of realism. To show the benefits of our approach, i.e., greater simplicity, flexibility, and independence of other technologies, we compare our honeytanks to Honeyd and Nepenthes, two well-known low-interaction honeypots.

Analyse de trafic

Générateur de trafic

Traffic generator

Honeytank

Security

Traffic analysis

Honeypot

Intrusion detection

Pot de miel

ASAX

Sécurité

Détection d'intrusion

Peformances de Niveau Applicatif en Environnement Filaire et sans Fil

Hafsaoui, Aymen

29 September 2011

L'intérêt pour l'analyse passive de traces a considérablement augmenté, nous offrant de nouvelles approches pour analyser et améliorer les performances réseaux. L'hétérogénéité d'Internet est en constante évolution : nouvelles technologies d'accès, des clients avec mobiles et toujours de plus en plus de services et d'applications. D'autre part, l'intérêt pour la mesure de performance des réseaux d'entreprises ne cesse de se développer. Ces sujets sont d'une importance cruciale pour les fournisseurs de services Internet, gestionnaires de réseaux et des entreprises, puisqu'ils ont déjà reçu une attention considérable de la part de la communauté de recherche. Malgré ces efforts, un certain nombre de questions reste ouvert. Dans cette thèse on traite le trafic TCP, qui représente la majorité des flux Internet. Lors de cette analyse, nous nous concentrons sur les connexions complètes, du point de vue TCP. Le présent travail se compose de trois parties traitant différent aspects sur les approches actuelles d'analyse de performances de TCP, l'étude des performances et la détection d'anomalies de niveau applicatif. Dans la première partie, nous présentons les travaux les plus importants, les traces réseaux sur lesquelles nous nous sommes basé ainsi que les problèmes rencontrés lors de l'étude des performances de TCP au niveau applicatif. Nous présentons un premier aperçu de l'impact de l'application sur les transferts TCP. Nous démontrons que si les pertes peuvent avoir un impact négatif sur les petits transferts TCP, l'application affecte de manière significative le temps de transfert de la majorité des flux. Dans cette partie, nous démontrons que certaines mesures peuvent être biaisées par des technologies spécifiques mises en oeuvre dans les réseaux Cellulaires. Dans la seconde partie, nous comparons sur des traces passives, les performances de clients Internet, d'un même operateur sur les trafics : Cellulaires, FTTH et ADSL. Nous montrons que l'étude des paramètres classiques d'analyse de performance ne permet pas d'expliquer totalement les performances perçues par les clients. Ensuite, nous validons une approche plus fine, permettant de décomposer chaque connexion TCP, bien formée, en intervalles de temps. Notre approche de décomposition de connexion TCP permet d'extraire automatiquement l'impact du comportement de l'application, l'accès, le serveur et le client. Nous regroupons, avec des algorithmes adéquats, les transferts avec des performances similaires sur les différents types d'accès. Puis, nous proposons une caractérisation de certains aspects de l'analyse de trafic dans un reseau d'entreprise. Dans la dernière partie, nous nous concentrons sur la problématique de profilage d'anomalies sur les connexions TCP, définis comme correct mais avec des performances anormales. Notre méthode permet d'identifier la cause des problèmes de performance, qui peuvent être soit des pertes ou bien des temps perdus lors de la préparation des données ou du transfert. Nous appliquons cette approche pour le cas de plusieurs traces de trafic Internet et entreprise. Nous démontrons l'existence d'une adaptation spécifique pour la récupération sur les pertes sur le réseau Cellulaire qui semble plus efficace que sur les réseaux filaires.

TCP

Analyse de trafic

Trace passive

performance

impact de l'application

pertes

Cellulaire

FTTH

ADSL

wifi

Trafic entreprise

anomalies

Google

messagerie

Orange

connexion courte

fin de connexion

Debit applicatif

Decomposition des connexions

Traffic monitoring in home networks : from theory to practice / Supervision du trafic dans les réseaux domestiques : de la théorie à la pratique

Aouini, Zied

15 December 2017

Les réseaux domestiques sont confrontés à une évolution continue et deviennent de plus en plus complexes. Leur complexité a évolué selon deux dimensions interdépendantes. D'une part, la topologie du réseau domestique devient plus complexe avec la multiplication des équipements et des technologies de connectivité. D'autre part, l'ensemble des services accessibles via le réseau domestique ne cesse de s’élargir. Un tel contexte a rendu la gestion du réseau domestique plus difficile pour les Fournisseurs d’Accès Internet (FAI) et les utilisateurs finaux. Dans ce manuscrit, nous nous concentrons sur la deuxième dimension de la complexité décrite ci-dessus liée au trafic circulant depuis/vers le réseau domestique. Notre première contribution consiste à proposer une architecture pour la supervision du trafic dans les réseaux domestiques. Nous fournissons une étude comparative de certains outils open source existants. Ensuite, nous effectuons une évaluation de performances expérimentale d’un sous ensemble des processus impliqués dans notre architecture. Sur la base des résultats obtenus, nous discutons les limites et les possibilités de déploiement de ce type de solution. Dans notre deuxième contribution, nous présentons notre analyse à large échelle des usages et du trafic résidentiel basée sur une trace de trafic réelle impliquant plus de 34 000 clients. Premièrement, nous présentons notre méthode de collecte et de traitement des données. Deuxièmement, nous présentons nos observations statistiques vis-à-vis des différentes couches de l’architecture Internet. Ensuite, nous effectuons une analyse subjective auprès de 645 clients résidentiels. Enfin, nos résultats fournissent une synthèse complète des usages et des caractéristiques des applications résidentielles. Dans notre troisième contribution, nous proposons une nouvelle méthode pour la classification en temps réel du trafic résidentiel. Notre méthode, laquelle est basée sur l’utilisation d’un algorithme d’apprentissage statistique de type C5.0, vise à combler les carences identifiées dans la littérature. Ensuite, nous détaillons notre implémentation d’une sonde légère sur un prototype de passerelle résidentielle capable de capturer, de suivre et d'identifier d’une manière fine les applications actives dans le réseau domestique. Cette implémentation nous permet, en outre, de valider nos principes de conception via un banc d'essai réaliste mis en place à cet effet. Les résultats obtenus indiquent que notre solution est efficace et faisable. / Home networks are facing a continuous evolution and are becoming more and more complex. Their complexity has evolved according to two interrelated dimensions. On the one hand, the home network topology (devices and connectivity technologies) tends to produce more complex configurations. On the other hand, the set of services accessed through the home network is growing in a tremendous fashion. Such context has made the home network management more challenging for both Internet Service Provider (ISP) and end-users. In this dissertation, we focus on the traffic dimension of the above described complexity. Our first contribution consists on proposing an architecture for traffic monitoring in home networks. We provide a comparative study of some existing open source tools. Then, we perform a testbed evaluation of the main software components implied in our architecture. Based on the experiments results, we discuss several deployment limits and possibilities. In our second contribution, we conduct a residential traffic and usages analysis based on real trace involving more than 34 000 customers. First, we present our data collection and processing methodology. Second, we present our findings with respect to the different layers of the TCP/IP protocol stack characteristics. Then, we perform a subjective analysis across 645 of residential customers. The results of both evaluations provide a complete synthesis of residential usage patterns and applications characteristics. In our third contribution, we propose a novel scheme for real-time residential traffic classification. Our scheme, which is based on a machine learning approach called C5.0, aims to fulfil the lacks identified in the literature. At this aim, our algorithm is evaluated using several traffic inputs. Then, we detail how we implemented a lightweight probe able to capture, track and identify finely applications running in the home network. This implementation allowed us to validate our designing principles upon realistic test conditions. The obtained results show clearly the efficiency and feasibility of our solution.

Réseau domestique

Performances réseau

Mesures passives

Classification du trafic

Algorithmes d'apprentissage statistique

Passerelle domestique

Analyse du trafic

Supervision des flux

Home network

Network performances

Passive measurements

Traffic classification

Machine Learning algorithms

Home gateway

Traffic analysis

Flow monitoring