트래픽 분석

Traffic analysis

트래픽 분석은 통신 패턴에서 정보를 추론하기 위해 메시지를 가로채고 검사하는 과정으로,[1] 메시지가 암호화되어 있는 경우에도 수행할 수 있습니다.일반적으로 관찰되는 메시지 수가 많을수록 더 많은 정보를 추론할 수 있습니다.트래픽 분석은 군사정보, 방첩정보 또는 생활패턴 분석의 맥락에서 수행될 수 있으며 컴퓨터 보안에 대한 우려 사항입니다.

트래픽 분석 태스크는 전용 컴퓨터 소프트웨어 프로그램에 의해 지원될 수 있습니다.고급 트래픽 분석 기술에는 다양한 형태의 소셜 네트워크 분석이 포함될 수 있습니다.

트래픽 분석은 역사적으로 암호 분석에서 필수적인 기술이었다. 특히 크랙 시도가 알려진 플레인텍스트 공격을 성공적으로 시딩하는 것에 달려 있는 경우, 이는 종종 짧은 크립을 확립하기에 충분한 특정 운영 컨텍스트가 적의 통신에 어떻게 영향을 미칠 수 있는지에 기초해 영감을 얻은 추측이 필요하다.

네트워크의 익명성을 깨다

트래픽 분석 방법을 사용하여 TOR [1]의 익명 네트워크의 익명성을 해제할 수 있습니다.트래픽 분석 공격에는 패시브와 액티브의 2가지 방법이 있습니다.

  • 패시브 트래픽 분석 방식에서는 공격자는 네트워크 한쪽의 특정 흐름 트래픽에서 기능을 추출하여 네트워크 반대쪽에서 이러한 기능을 찾습니다.
  • 액티브한 트래픽 분석 방식에서는 공격자는 흐름의 패킷 타이밍을 특정 패턴에 따라 변경하고 네트워크 반대편에서 해당 패턴을 찾습니다.따라서 공격자는 한쪽의 플로우를 네트워크의 다른 쪽에 링크하여 익명성을 침해할 수 있습니다.패킷에 타이밍 노이즈가 추가되지만 이러한 [failed verification][1]노이즈에 대해 견고한 액티브한 트래픽 분석 방법이 있음을 알 수 있습니다.

군사정보부에서

군사적 맥락에서 트래픽 분석은 신호 인텔리전스의 기본 부분이며 대상의 의도와 행동에 대한 정보의 소스가 될 수 있습니다.대표적인 패턴은 다음과 같습니다.

  • 빈번한 커뮤니케이션– 계획을 나타낼 수 있습니다.
  • 신속하고 짧은 커뮤니케이션– 협상을 나타낼 수 있습니다.
  • 커뮤니케이션 부족– 활동 부족 또는 최종 계획의 완료를 나타낼 수 있습니다.
  • 중앙 스테이션에서 특정 스테이션으로의 빈번한 통신– 명령 계통을 강조할 수 있습니다.
  • 누가 누구에게 말을 걸었는가 – 특정 네트워크의 '담당' 또는 '제어 스테이션'을 나타낼 수 있습니다.이는 각 스테이션과 관련된 인력에 대해 더욱 시사하는 바가 있습니다.
  • 누가 언제 – 이벤트와 관련하여 어떤 스테이션이 활성 상태인지 나타낼 수 있습니다. 이는 전달되는 정보에 대한 내용 및 일부 스테이션과 관련된 인력/접근에 대한 내용일 수 있습니다.
  • 스테이션에서 스테이션으로 또는 중간에서 중간으로 변경 – 이동, 방해에 대한 두려움을 나타낼 수 있습니다.

트래픽 분석과 암호 분석 사이에는 밀접한 관계가 있습니다(일반적으로 코드 브레이킹이라고 불립니다).시그니처와 주소는 자주 암호화되므로 식별에 도움이 필요합니다.트래픽량은 종종 수신인의 중요성의 신호일 수 있으며, 암호 분석가에게 보류 중인 목표나 움직임에 대한 힌트를 제공합니다.

트래픽 흐름 보안

트래픽 흐름 보안이란 트래픽 분석을 방지하기 위해 네트워크상에서 유효한 메시지의 존재와 속성을 숨기는 수단을 사용하는 것입니다.이것은, 조작 순서 또는 일부의 암호화 기기에 고유의 기능에 의한 보호로 실시할 수 있습니다.사용되는 기술은 다음과 같습니다.

  • 무선 의 빈번한 변경
  • 메시지의 송수신 주소 암호화(코드 메시지)
  • 더미 트래픽을 송신함으로써 회선이 항상 또는 대부분의 시간 동안 비지 상태로 보이게 한다.
  • 트래픽이 송신되고 있는지 아닌지에 관계없이, 연속적으로 암호화된 신호를 송신합니다.이를 마스킹 또는 링크 암호화라고도 합니다.

트래픽 흐름 보안은 통신 보안의 한 측면입니다.

COMINT 메타데이터 분석

Communications's Metadata Intelligence(COMINT 메타데이터)는 Communications Intelligence(COMINT)의 용어로서 기술 메타데이터만을 분석함으로써 인텔리전스를 생성하는 개념을 의미하기 때문에 인텔리전스 [2]트래픽 분석의 훌륭한 실용적인 예가 됩니다.

전통적으로 COMINT에서의 정보 수집은 전송을 가로채고 타깃의 통신을 도청하며 대화 내용을 감시하는 것으로 이루어지지만 메타데이터의 인텔리전스는 콘텐츠를 기반으로 하는 것이 아니라 기술적인 커뮤니케이션 데이터를 기반으로 합니다.

비콘텐츠 COMINT는 일반적으로 위치, 연락처, 액티비티 볼륨, 루틴 및 예외와 같은 특정 송신기의 사용자에 대한 정보를 추론하기 위해 사용됩니다.

예를 들어, 이미터가 특정 유닛의 무선 송신기로서 알려져 있고, 방향 검출(DF) 툴을 사용하여 이미터의 위치를 특정할 수 있는 경우, 주문이나 보고를 듣지 않고 한 지점에서 다른 지점으로의 위치 변경을 추론할 수 있다.한 유닛이 특정 패턴의 명령어에 대해 보고하고 다른 유닛이 동일한 패턴의 명령어에 대해 보고하는 경우, 두 유닛은 아마도 관련이 있을 수 있으며, 그 결론은 두 유닛의 전송 내용이 아닌 메타데이터에 기초합니다.

일반적으로 이용 가능한 메타데이터의 전부 또는 대부분을 사용하여 전장의 다양한 실체와 그 접속을 매핑하는 EOB(Electronic Order of Battle)를 구축합니다.물론 EOB는 모든 대화를 탭하고 어떤 유닛이 어디에 있는지 파악함으로써 구축될 수 있지만, 메타데이터를 자동 분석 툴과 함께 사용하면 훨씬 빠르고 정확한 EOB 구축이 가능하며 탭과 함께 훨씬 더 나은 전체 그림을 구축할 수 있습니다.

제1차 세계 대전

  • 제1차 세계대전의 영국 분석가들은 독일 해군 부제독 라인하르트 셰어의 호출 부호가 육상 기지로 옮겨진 것을 알아차렸다.출항과 동시에 부호를 바꾸는 쉬어의 관행을 모르는 함대 비티 제독은 그 중요성을 무시하고 40호실 분석가들의 주장을 무시했다.독일 함대는 출격했고, 영국 [3]함대는 유틀란 전투에서 그들을 만나는 데 늦었다.교통 분석을 좀 더 진지하게 받아들였더라면 영국은 [original research?]무승부보다 더 잘했을지도 모른다.
  • 케르크호프스의 유산으로 형성된 프랑스 군사정보부는 전쟁 전 서부 전선에 요격 기지망을 구축했다.독일군이 국경을 넘어왔을 때, 프랑스는 요격된 신호 강도를 바탕으로 조잡한 방향 탐지 수단을 고안했다.호출 신호와 교통량을 기록함으로써 독일 전투 집단을 식별하고 빠르게 움직이는 기병과 느린 [3]보병을 구분할 수 있었다.

제2차 세계 대전

  • 제2차 세계대전 초기항공모함 HMS 글로리호는 노르웨이에서 조종사와 비행기를 대피시켰다.교통 분석 결과 샤른호르스트그나이제나우가 북해로 이동하고 있는 것으로 나타났지만 해군성은 이 보고서가 입증되지 않았다고 일축했다.글로리호의 선장은 충분한 망을 보지 못했고, 그 후 놀라서 가라앉았다.해군부의 젊은 블렛클리 공원 연락관인 해리 힌슬리는 나중에 교통 분석가들의 보고가 [4]그 이후로 훨씬 더 심각하게 받아들여졌다고 말했다.
  • 진주만 공격을 위한 계획과 리허설 동안, 차단될 수 있는 무선 통신은 거의 없었다.관련된 선박, 부대, 지휘부는 모두 일본에 있었고 전화, 택배, 신호등, 심지어 깃발로도 연락했다.그 트래픽은 모두 대행 수신되지 않았기 때문에 분석할 [3]수 없었습니다.
  • 12월 이전에 진주만을 상대로 한 스파이 활동은 이례적인 수의 메시지를 보내지 않았다. 일본 선박들은 정기적으로 하와이에 기항했고 영사 요원들이 메시지를 전달했다.적어도 한 척은 일본 해군 정보부 장교들을 태웠다.이러한 메시지는 분석할 수 없습니다.다만, 특정 영사국을 오가는 외교 트래픽의 양은, 일본이 관심을 가지는 장소를 나타내, 트래픽 분석이나 복호화에 [citation needed]주력하는 장소를 제안했을 가능성이 [5]있다.
  • 나구모 제독의 진주만 공격대는 물리적으로 무전기를 잠근 채 무전기를 사용하지 않고 항해했다.태평양 함대 정보부는 진주만 [3]공격 직전 며칠 동안 일본 항공모함의 위치를 파악하지 못했다.
  • 일본 해군은 11월 하순 출항 후 공격군과 함께 교통 분석을 금지하기 위한 라디오 게임(아래 예 참조)을 했다.일반적으로 통신사에 할당된 무선 사업자는 일본 내륙 해역에서 전송되는 모스 부호의 특징인 "fist"를 가지고 있으며, 이는 통신 사업자가 [3][6]아직 일본 근처에 있음을 의미한다.
  • 제2차 세계대전 노르망디 상륙을 위한 영국의 기만 계획의 일부인 퀵실버 작전은 독일 정보기관에게 영국에서의 병력 배치에 대한 진실과 거짓 정보를 제공했고, 독일군은 노르망디 대신 파스-드-칼레에 대한 침략을 암시하는 전투 순서를 추론하게 했다.이러한 속임수를 위해 만들어진 가상의 부서에는 [7]실제 무선 장치가 제공되어 속임수와 일관되게 메시지의 흐름을 유지했습니다.

컴퓨터 보안의 경우

트래픽 분석은 컴퓨터 보안에서도 관심사입니다.공격자는 네트워크 패킷의 빈도와 타이밍을 감시함으로써 중요한 정보를 얻을 수 있습니다.SSH 프로토콜에 대한 타이밍 공격은 인터랙티브 세션 중에 SSH가 각 키 스트로크를 [8]메시지로 전송하기 때문에 타이밍 정보를 사용하여 패스워드에 대한 정보를 추론할 수 있습니다.키 입력 메시지 사이의 시간은 숨겨진 마르코프 모델을 사용하여 연구할 수 있습니다.송씨무차별적인 공격보다 50배 빠른 속도로 패스워드를 복구할 수 있다고 주장한다.

양파 라우팅 시스템은 익명성을 얻기 위해 사용됩니다.트래픽 분석을 사용하여 Tor 익명 네트워크와 같은 익명 통신 시스템을 공격할 수 있습니다.Adam Back, Ulf Möeller 및 Anton Stiglic은 익명 제공 [9]시스템에 대한 트래픽 분석 공격을 제시합니다.캠브리지 대학의 Steven J. Murdoch와 George Danezis는 트래픽 분석을 통해 어떤 노드가 익명의 스트림을 중계하는지 추론할 수 있다는 연구 결과를 발표했다[10].이것은 Tor에 의해 제공되는 익명성을 감소시킨다.이들은 관련 없는 스트림을 동일한 이니시에이터에 다시 링크할 수 있음을 보여 주었습니다.

트래픽 분석을 통해 리마일러 시스템을 공격할 수도 있습니다.메시지가 재송신 서버로 전송되고, 그 직후에 같은 길이의(현재 익명화된) 메세지가 서버로부터 송신되는 것이 확인되었을 경우, 트래픽 분석가는 송신자와 최종 수신자를(자동으로) 접속할 수 있습니다.트래픽 분석의 효과를 떨어뜨릴 수 있는 리마일러 조작의 종류가 있습니다.

대책

메시지를 암호화하고 채널을 마스킹하지 않으면 트래픽 분석을 저지하기 어렵습니다.실제 메시지가 전송되지 않을 때는 암호화된 트래픽과 마찬가지로 더미 트래픽을 전송함으로써 채널을 마스킹할 수 있습니다.따라서 대역폭 사용률을 [12]일정하게 유지할 수 있습니다.메시지 크기 또는 타이밍에 대한 정보를 숨기기는 매우 어렵습니다.기존의 솔루션에서는 앨리스가 사용하는 최대 대역폭으로 연속적으로 메시지 스트림을 전송해야 합니다.이는 군사용으로는 허용될 수 있지만 대부분의 민간용으로는 허용되지 않습니다."군사 대 민간 문제는 사용자가 전송되는 정보의 양에 대해 요금이 부과되는 상황에서 적용됩니다.

ISP는 패킷 단위로 요금이 부과되지 않는 인터넷접속에서도 사용자 사이트로부터의 접속이 100% 비지 상태가 아니라고 통계적으로 가정하고 있습니다.사용자는 단순히 링크 대역폭을 늘릴 수 없습니다.이는 마스킹이 링크 대역폭도 채워지기 때문입니다.대부분의 경우 엔드 투 엔드 암호기에 내장될 수 있는 마스킹이 일반화된 경우 ISP는 트래픽 가정을 변경해야 합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c Soltani, Ramin; Goeckel, Dennis; Towsley, Don; Houmansadr, Amir (2017-11-27). Towards provably invisible network flow fingerprints (PDF). IEEE. pp. 258–262. arXiv:1711.10079. doi:10.1109/ACSSC.2017.8335179. ISBN 978-1-5386-1823-3. S2CID 4943955. Archived (PDF) from the original on 2022-05-05.{{cite conference}}: CS1 유지보수: 날짜 및 연도(링크)
  2. ^ "Dictionary of Military and Associated Terms" (PDF). Department of Defense. 12 April 2001. Archived from the original (PDF) on 2009-11-08.
  3. ^ a b c d e Kahn, David (1974). The Codebreakers: The Story of Secret Writing. Macmillan. ISBN 0-02-560460-0. Kahn-1974.
  4. ^ Howland, Vernon W. (2007-10-01). "The Loss of HMS Glorious: An Analysis of the Action". Archived from the original on 2001-05-22. Retrieved 2007-11-26.
  5. ^ Costello, John (1995). Days of Infamy: Macarthur, Roosevelt, Churchill-The Shocking Truth Revealed : How Their Secret Deals and Strategic Blunders Caused Disasters at Pear Harbor and the Philippines. Pocket. ISBN 0-671-76986-3.
  6. ^ Layton, Edwin T.; Roger Pineau, John Costello (1985). "And I Was There": Pearl Harbor And Midway -- Breaking the Secrets. William Morrow & Co. ISBN 0-688-04883-8.
  7. ^ Masterman, John C (1972) [1945]. The Double-Cross System in the War of 1939 to 1945. Australian National University Press. p. 233. ISBN 978-0-7081-0459-0.
  8. ^ Song, Dawn Xiaodong; Wagner, David; Tian, Xuqing (2001). "Timing Analysis of Keystrokes and Timing Attacks on SSH". 10th USENIX Security Symposium. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  9. ^ Adam Back; Ulf Möeller and Anton Stiglic (2001). "Traffic Analysis Attacks and Trade-Offs in Anonymity Providing systems" (PDF). Springer Proceedings - 4th International Workshop Information Hiding.
  10. ^ Murdoch, Steven J.; George Danezis (2005). "Low-Cost Traffic Analysis of Tor" (PDF).
  11. ^ Xinwen Fu, Bryan Graham, Riccardo Bettati and Wei Zhao. "Active Traffic Analysis Attacks and Countermeasures" (PDF). Archived from the original (PDF) on 2006-09-13. Retrieved 2007-11-06.{{cite web}}: CS1 maint: 여러 이름: 작성자 목록(링크)
  12. ^ Niels Ferguson & Bruce Schneier (2003). Practical Cryptography. John Wiley & Sons.

추가 정보