introduc on
play

Introduc:on protocol ? Iden:fica:on based on payload - PowerPoint PPT Presentation

Mar 16, 2024 •384 likes •729 views

Protocol Iden:fica:on Elie Bursztein eb@lsv.ens-cachan.fr WISTP 2008 Probabilis:c Iden:fica:on for Hard to classify Protocol Elie Bursztein PhD Student

  1. Protocol ¡Iden:fica:on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Probabilis:c ¡Iden:fica:on ¡for ¡Hard ¡to ¡classify ¡Protocol ¡ ¡ Elie ¡Bursztein ¡ PhD ¡Student ¡ ¡LSV ¡ENS-­‑CACHAN ¡CNRS ¡INRIA ¡DGA ¡

  2. Protocol ¡Iden:fica:on ¡ Outline ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ • What ¡is ¡a ¡hard ¡to ¡classify ¡ Introduc:on ¡ protocol ¡? ¡ • Iden:fica:on ¡based ¡on ¡payload ¡ Payload ¡ analysis ¡ • Iden:fica:on ¡based ¡on ¡ Classifier ¡ discriminator ¡ Combining ¡ • Combining ¡techniques ¡for ¡a ¡beOer ¡ Techniques ¡ classifica:on ¡ • What ¡is ¡next ¡? ¡ Conclusion ¡ 2 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  3. Protocol ¡Iden:fica:on ¡ The ¡Internet ¡Galaxy ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Opte ¡project ¡ 3 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  4. Protocol ¡Iden:fica:on ¡ Knowing ¡what ¡is ¡going ¡on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Monitoring ¡ Internet ¡ Users ¡ 4 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  5. Protocol ¡Iden:fica:on ¡ WISTP ¡2008 ¡ The ¡impact ¡of ¡fur:ve ¡protocols ¡on ¡a ¡large ¡university ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ University ¡of ¡Calgary ¡ 5 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  6. Protocol ¡Iden:fica:on ¡ The ¡IANA ¡ ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Internet ¡Assigned ¡Numbers ¡ Jon ¡Postel ¡ Authority ¡(IANA) ¡ � Founded ¡in ¡1970 ¡ � Manage ¡DNS ¡root ¡ � Coordinate ¡IP ¡and ¡AS ¡ ¡ � Assign ¡a ¡standard ¡port ¡to ¡ protocol ¡ 6 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  7. Protocol ¡Iden:fica:on ¡ Some ¡well ¡known ¡ports ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Protocol ¡ Port ¡ HTTP ¡ 80 ¡ POP ¡ 110 ¡ FTP ¡ 21 ¡ SMTP ¡ 25 ¡ SMB/CISF ¡ 139 ¡ But ¡what ¡is ¡the ¡default ¡port ¡for ¡Emule ¡??? ¡ 7 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  8. Protocol ¡Iden:fica:on ¡ Protocols ¡Examples ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Easy ¡to ¡classify ¡ Hard ¡to ¡classify ¡ � Use ¡fixed ¡port ¡ � Use ¡dynamic ¡port ¡ � Have ¡an ¡open ¡specifica:on ¡ � Hijhack ¡well ¡known ¡port ¡ � Well ¡know ¡message ¡type ¡and ¡ � Introduce ¡randomness ¡in ¡ size ¡ ¡ message ¡ � Use ¡cryptography ¡to ¡avoid ¡ payload ¡analysis ¡ ¡ 8 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  9. Protocol ¡Iden:fica:on ¡ Mo:va:on ¡for ¡fur:ve ¡protocol ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ � Figh:ng ¡coercion ¡ � Preserving ¡freedom ¡of ¡speech ¡ � Bypass ¡connec:vity ¡restric:on ¡ � Exchange ¡illegal ¡data ¡ “ This ¡helps ¡against ¡situa5ons ¡were ¡the ¡eMule ¡ Protocol ¡is ¡unjustly ¡discriminated ¡or ¡even ¡ completely ¡blocked ¡from ¡a ¡network ¡by ¡iden5fying ¡ its ¡packets. ” ¡ 9 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  10. Protocol ¡Iden:fica:on ¡ Traffic ¡in ¡Germany ¡(2007) ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ Ipoque ¡ 10 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  11. Protocol ¡Iden:fica:on ¡ P2P ¡repar::on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ 11 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  12. Protocol ¡Iden:fica:on ¡ P2P ¡usage ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ 12 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  13. Protocol ¡Iden:fica:on ¡ Use ¡of ¡cryptography ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ 13 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  14. Protocol ¡Iden:fica:on ¡ Payload ¡Classifica:on ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ � Inspect ¡the ¡packet ¡payload ¡ � Known ¡to ¡be ¡the ¡most ¡accurate ¡method ¡ � Payload ¡not ¡always ¡available ¡ � Juridical ¡reason ¡ � Encryp:on ¡ 14 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  15. Protocol ¡Iden:fica:on ¡ Example ¡of ¡Signature ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ � ¡Nice ¡signature ¡ pcmatch ¡ssh ¡m/^SSH-­‑([.\d]+)-­‑/ ¡i/protocol ¡$1/ ¡p|ssh| ¡ � A ¡not ¡so ¡nice ¡signature ¡ pcmatch ¡edonkey ¡m`^[\xc5\xd4\xe3-­‑\xe5].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19 ¡ \x1a\x1b\x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\x4a ¡ \x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58[\x60\x81\x82\x90\x91\x9 ¡ 3\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\xa3\xa4]|\x59................?[ ¡-­‑~ ¡ ]|\x96....$)` ¡ ¡f/p2p/ ¡ ¡i/eDonkey2000 ¡or ¡emule ¡P2P ¡filesharing ¡generic ¡signature/ ¡ 15 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  16. Protocol ¡Iden:fica:on ¡ Combining ¡Payload ¡Score ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ � Payload ¡score ¡use ¡a ¡ weighted ¡moving ¡average ¡ formula: ¡ Confidence ¡in ¡signature ¡ ¡ Posi:on ¡of ¡the ¡match ¡ Number ¡of ¡payload ¡ � This ¡formula ¡take ¡into ¡account ¡signature ¡ confidence ¡ 16 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  17. Protocol ¡Iden:fica:on ¡ HTTP ¡Tunnel ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ CONNECT ¡irc.********.org:6667 ¡HTTP/1.0 ¡ HTTP ¡ HTTP/1.0 ¡200 ¡Connec:on ¡established ¡ USER ¡0 ¡0 ¡0 ¡:: ¡ ¡ NICK ¡**** ¡ ¡ IRC ¡ :irc.********.org ¡001 ¡**** ¡:Welcome ¡to ¡the ¡ ****!0@xxx ¡ 17 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  18. Protocol ¡Iden:fica:on ¡ Classifier ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ � Analyze ¡the ¡shape ¡of ¡the ¡session ¡ � Use ¡discriminators ¡ ¡ � Packet ¡size ¡ � Packet ¡delay ¡ � Packet ¡Entropy ¡ 18 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

  19. Protocol ¡Iden:fica:on ¡ HTTP ¡ Elie ¡ ¡Bursztein ¡ ¡ eb@lsv.ens-­‑cachan.fr ¡ WISTP ¡2008 ¡ HTTP ¡server ¡stream ¡ 1600 ¡ 1400 ¡ 1200 ¡ 1000 ¡ packet ¡size ¡ 800 ¡ 600 ¡ 400 ¡ 200 ¡ 0 ¡ 1 ¡ 4 ¡ 7 ¡ 10 ¡ 13 ¡ 16 ¡ 19 ¡ 22 ¡ 25 ¡ 28 ¡ 31 ¡ 34 ¡ 37 ¡ 40 ¡ 43 ¡ 46 ¡ 49 ¡ 52 ¡ 55 ¡ 58 ¡ 61 ¡ 64 ¡ 67 ¡ 70 ¡ 73 ¡ 76 ¡ 79 ¡ 82 ¡ 85 ¡ 88 ¡ 91 ¡ 94 ¡ 97 ¡ 100 ¡ packet ¡number ¡ 19 ¡ 05/15/2008 ¡ Outline: ¡Introduc:on ¡> ¡Payload ¡> ¡Classifier ¡> ¡Combining ¡> ¡Conclusion ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Introduc)on 1 Introduc)on Founda)on Drilling Agriculture Mining

Introduc)on 1 Introduc)on Founda)on Drilling Agriculture Mining

Introduc)on 1 Introduc)on Founda)on Drilling Agriculture Mining Recycling Construc)on Road Building Steel Produc)on Dredging Forging Logging Energy/Power

458 views • 16 slides
An Introduc+on to the Pharmaceu+cal Industry? By James

An Introduc+on to the Pharmaceu+cal Industry? By James

An Introduc+on to the Pharmaceu+cal Industry? By James McDermo9 Contents Introduc+on Drug Development Lifecycle The Patent Clock The

271 views • 23 slides
Introduc)on to Distributed Systems Arvind Krishnamurthy Todays Lecture Introduc)on

Introduc)on to Distributed Systems Arvind Krishnamurthy Todays Lecture Introduc)on

Introduc)on to Distributed Systems Arvind Krishnamurthy Todays Lecture Introduc)on Course details RPCs Primary-backup systems (start discussion) Distributed Systems are everywhere! Some of the most powerful services are

539 views • 53 slides
Introduc Introduc Intr troduction to oducti tion t tion to Digi n to Di Digit gital I

Introduc Introduc Intr troduction to oducti tion t tion to Digi n to Di Digit gital I

E E LE LE 882 882 Introduc Introduc Intr troduction to oducti tion t tion to Digi n to Di Digit gital I ital Im tal Image P l Image age Pr e Proc Process ocessin ocessing essing ing Course Instructor: Prof. L ing Gua n

358 views • 22 slides
Introduc)on to the Analysis of RNA-seq Data Lecture

Introduc)on to the Analysis of RNA-seq Data Lecture

Introduc)on to the Analysis of RNA-seq Data Lecture 9: September 18, 2012 Introduc)on What is RNA-seq? RNA-seq refers to the method

492 views • 34 slides
Introduc)on to Chroma)n IP sequencing (ChIP-seq) data

Introduc)on to Chroma)n IP sequencing (ChIP-seq) data

Introduc)on to Chroma)n IP sequencing (ChIP-seq) data analysis Introduc)on to Bioinforma)cs Using NGS Data 27 January 2016 Agata Smialowska BILS,

1.07k views • 69 slides
Introduc)on to Chroma)n IP sequencing (ChIP-seq) data

Introduc)on to Chroma)n IP sequencing (ChIP-seq) data

Introduc)on to Chroma)n IP sequencing (ChIP-seq) data analysis Introduc)on to Bioinforma)cs using NGS data Linkping, 21 April 2016 Agata

947 views • 78 slides
Introduc)on to Sta)s)cs 02-223 How to Analyze Your Own

Introduc)on to Sta)s)cs 02-223 How to Analyze Your Own

Introduc)on to Sta)s)cs 02-223 How to Analyze Your Own Genome Fall 2013 Why Use Sta)s)cs? Anecdotal evidence is unreliable Why does the phone

367 views • 20 slides
Introduc*on Our Mission & What we do Our Core

Introduc*on Our Mission & What we do Our Core

OUTLINE Introduc*on Our Mission & What we do Our Core Areas Partners Geographical & Sector Distribu*on RMF In-Depth INTRODUCTION

364 views • 34 slides
Introduc)on We are going to look at how change occurs in

Introduc)on We are going to look at how change occurs in

Introduc)on We are going to look at how change occurs in a large, sexually reproducing popula)on: mountain sheep. Well be developing ideas that

402 views • 13 slides
Introduc=on: The Big Ques=on Q: Why did the field of

Introduc=on: The Big Ques=on Q: Why did the field of

8/22/11 The Origins of Molecular Biology: A Mendelian and Darwinian View of the World Introduc=on: The Big Ques=on Q: Why did the field of

160 views • 14 slides
Introduc)on to single-cell genome assembly Kasia (Katarzyna)

Introduc)on to single-cell genome assembly Kasia (Katarzyna)

Introduc)on to single-cell genome assembly Kasia (Katarzyna) Zaremba-Niedzwiedzka Uppsala University Outline: introduc)on Assembly basics Assembly

585 views • 37 slides
CSE 344 Introduc/on to Data Management Sec/on 9: AWS,

CSE 344 Introduc/on to Data Management Sec/on 9: AWS,

CSE 344 Introduc/on to Data Management Sec/on 9: AWS, Hadoop, Pig La/n Srini (sviyer@cs) Homework 8 (Last hw J ) Huge Graphs out there!

588 views • 31 slides
CoralCDN Farzad Golshaeian 27/01/2011 Overview Introduc>on

CoralCDN Farzad Golshaeian 27/01/2011 Overview Introduc>on

CoralCDN Farzad Golshaeian 27/01/2011 Overview Introduc>on CoralCDN Usage Inner Workings Conclusions CoralCDN 2 Introduc>on Content

458 views • 8 slides
Contents Introduc)on Basis of Islamic inheritance Estate Planning in rela)on to

Contents Introduc)on Basis of Islamic inheritance Estate Planning in rela)on to

Contents Introduc)on Basis of Islamic inheritance Estate Planning in rela)on to Shariah Law Islamic Inheritance Introduc)on Compliance Sources of Islamic Law Primary - Quran Secondary Narrated by the Prophet

398 views • 26 slides
Introduc)on to Gene)cs 02-223 How to Analyze Your Own

Introduc)on to Gene)cs 02-223 How to Analyze Your Own

Introduc)on to Gene)cs 02-223 How to Analyze Your Own Genome Fall 2013 Overview Primer on gene<cs Cell, chromosomes, and DNA Mendels

541 views • 26 slides
Ethereum Name Service Nick Johnson <nick@notdot.net> Why do we need another name service?

Ethereum Name Service Nick Johnson <nick@notdot.net> Why do we need another name service?

Ethereum Name Service Nick Johnson <nick@notdot.net> Why do we need another name service? Aspects of a name system 1. Name lookup 2. Name registration 3. Governance What makes a good name system? Separation of concerns

443 views • 12 slides
The Classical Relative Error Bounds for Computing a 2 + b 2 and c / a 2 + b 2 in Binary

The Classical Relative Error Bounds for Computing a 2 + b 2 and c / a 2 + b 2 in Binary

The Classical Relative Error Bounds for Computing a 2 + b 2 and c / a 2 + b 2 in Binary Floating-Point Arithmetic are Asymptotically Optimal Claude-Pierre Jeannerod Jean-Michel Muller Antoine Plet Inria, CNRS, ENS Lyon, Universit e

464 views • 23 slides
Relational reasoning via probabilistic coupling Gilles Barthe, Thomas Espitau, Benjamin Grgoire,

Relational reasoning via probabilistic coupling Gilles Barthe, Thomas Espitau, Benjamin Grgoire,

Relational reasoning via probabilistic coupling Gilles Barthe, Thomas Espitau, Benjamin Grgoire, Justin Hsu, Lo Stefanesco, Pierre-Yves Strub IMDEA Software, ENS Cachan, ENS Lyon, Inria, University of Pennsylvania November 28, 2015 1

799 views • 52 slides
Norm of polynomials in Large Random Matrices Camille M ale Ecole Normale Sup erieure de

Norm of polynomials in Large Random Matrices Camille M ale Ecole Normale Sup erieure de

Norm of polynomials in Large Random Matrices Camille M ale Ecole Normale Sup erieure de Lyon T el ecom-Paris Tech, 12 October 2010 Camille M ale (ENS de Lyon) Norm of Polynomials in large RM 1 / 25 Introduction

827 views • 44 slides
Kleene Algebra with Converse Talk at RAMICS 14 Paul Brunet & Damien Pous LIP, CNRS, ENS

Kleene Algebra with Converse Talk at RAMICS 14 Paul Brunet & Damien Pous LIP, CNRS, ENS

Kleene Algebra with Converse Talk at RAMICS 14 Paul Brunet & Damien Pous LIP, CNRS, ENS de Lyon, INRIA, Universit de Lyon, UMR 5668 April 28 th , 2014 April 28 th , 2014 Paul Brunet (ENS de Lyon, Universit de Lyon) Kleene Algebra

864 views • 73 slides
European Nuclear Society Dan planeta Young Generation Network Zemlja Career development in

European Nuclear Society Dan planeta Young Generation Network Zemlja Career development in

European Nuclear Society Dan planeta Young Generation Network Zemlja Career development in a challenging environment Why Young Generation Networks are essential Vienna, August 17, 2015 Eileen Langegger ENS YGN Chair Whom/What

363 views • 10 slides
T Teaching Quanti hi Q ti Pierre Merckl (France, ENS de Lyon, Centre Max Weber) (France, ENS

T Teaching Quanti hi Q ti Pierre Merckl (France, ENS de Lyon, Centre Max Weber) (France, ENS

T Teaching Quanti hi Q ti Pierre Merckl (France, ENS de Lyon, Centre Max Weber) (France, ENS de Lyon, Centre Max Weber) Claire Zalc (France, CNRS, Institut dhistoire moderne et contemporaine) SSHA Annual Conference Chicago (Ill ) Friday 22

507 views • 19 slides
NO DISCLOSURES Annette Stralovich-Romani, RD, CNSC Adult Critical Care Nutritionist UCSF

NO DISCLOSURES Annette Stralovich-Romani, RD, CNSC Adult Critical Care Nutritionist UCSF

5/9/2015 NO DISCLOSURES Annette Stralovich-Romani, RD, CNSC Adult Critical Care Nutritionist UCSF Medical Center Incidence & consequences of malnutrition On hospital admission: 30-50% On ICU admission: 50-55% Underfeeding

83 views • 7 slides

More recommend