Vis enkel innførsel

dc.contributor.advisorPetrovic, Slobodan
dc.contributor.advisorHallstensen, Christoffer V.
dc.contributor.authorTorbjørnsen, Anders Sefjord
dc.date.accessioned2019-11-04T12:35:27Z
dc.date.available2019-11-04T12:35:27Z
dc.date.issued2018
dc.identifier.urihttp://hdl.handle.net/11250/2626393
dc.description.abstractWhile the Internet is moving towards more and more encryption of the network traffic, it is also a trend that is picked up by authors of malware. The traditional way of detecting malicious traffic or malicious behaviour on the network is to use a signature-based network intrusion detection system. A signature-based system relies on reading the network traffic in plaintext in order to detect patterns, which it is not able to do when the traffic is encrypted. One work-around for this problem is to use SSL/TLS inspection. Instead of breaking end users privacy by inspecting what they believe is encrypted communication, this thesis investigates the possibility of detecting malicious TLS encrypted network traffic passively. By taking a look at properties exchanged when the encrypted network communication channel is established, as well as the behaviour of the network traffic, the thesis uses these properties in a machine learning algorithm to classify network traffic as either benign or malicious. While the machine learning algorithm is easy to implement in a proof-of-concept, the lack of publicly, up-to-date datasets of benign, encrypted network traffic with TLS is almost non-existent. This leads to the creation of a TLS encrypted network traffic generator that creates a baseline for what is considered as benign TLS traffic. Malicious TLS traffic is collected from open sources, and run through a multilayer perceptron with backpropagation. Two experiments were carried out during this thesis; one leading to a correct classification rate of 83% using network behaviour. The other experiment looked at the ciphersuites found in the TLS handshake of the traffic, and had a correct classification rate of 80%.nb_NO
dc.description.abstractEttersom bruk av internett stadig beveger seg mer mot bruk av kryptert nettverkstrafikk, så er dette også en trend som er plukket opp av de som lager skadevare. Den tradisjonelle måten å detektere skadelig nettverkstrafikk eller skadelig atferd er bruken av signaturbasert inntrengingsdeteksjon. Et signaturbasert system er avhengig av å lese nettverkstrafikken i klartekst for å oppdage mønster, noe som blir umulig å gjøre dersom nettverkstrafikken er kryptert. En metode for å omgå denne problemstillingen er å benytte SSL/TLS inspeksjon. I stedet for å bryte personvernet til sluttbrukere ved å inspisere det sluttbrukere tror er kryptert kommunikasjon, så ser denne masteroppgaven på muligheten for å detektere skadelig TLS-kryptert nettverkstrafikk passivt. Ved å ta en titt på egenskaper utvekslet i det den krypterte kommunikasjonskanalen opprettes, i tillegg til atferden nettverkstraffiken har. Masteroppgaven bruker disse egeneskapene til å klassifisere trafikk som enten skadelig eller legitim. Ettersom en maskinlæringsalgoritme er enkelt å implementere i et proof-of-concept, så er det en mangel på et oppdatert offentlig datasett med legitim, TLS-kryptert nettverkstrafikk. Skadelig TLS-trafikk hentes fra åpne kilder, og kjøres gjennom en MLP-algoritme. To eskperimenter ble gjennomført i løpet av masteroppgaven; en ga en korrekt klassifiseringsprosent på 83% ved hjelp av atferd av nettversktrafikken. Det andre eksperimentet klassifiserte 80% korrekt basert ciphersuites som ble hentet ut fra TLS-håndtrykket fra trafikken.nb_NO
dc.language.isoengnb_NO
dc.publisherNTNUnb_NO
dc.subjectInformation securitynb_NO
dc.subjectTLSnb_NO
dc.subjectPrivacynb_NO
dc.titleA Study of Applied Passive TLS Analysisnb_NO
dc.typeMaster thesisnb_NO
dc.subject.nsiVDP::Teknologi: 500::Informasjons- og kommunikasjonsteknologi: 550nb_NO


Tilhørende fil(er)

Thumbnail

Denne innførselen finnes i følgende samling(er)

Vis enkel innførsel