文摘
近年来,安全通信协议在网络比如HTTPS(超文本传输协议)被广泛使用,而不是普通的web通信协议,比如HTTP(超文本传输协议)。HTTPS提供端到端加密用户和服务之间。如今,组织使用网络防火墙和入侵检测和预防系统(idp)分析网络流量检测和防止攻击和漏洞。根据组织的规模,这些设备可能有不同的功能。简单的网络入侵检测系统(NIDS)和防火墙通常没有功能检查HTTPS或加密流量,所以他们依赖于加密流量管理网络的加密的有效载荷。最近的和强大的下一代防火墙安全套接字层(SSL)检查功能,是昂贵的,可能不适合每一个组织。虚拟专用网(VPN)是一个隐藏了真实的交通服务用户和服务器之间通过创建ssl保护的通道。每一个互联网活动然后建立SSL隧道下执行。网络内的用户恶意或隐藏他的活动从网络安全管理组织可以使用VPN服务。用户可以使用任何VPN服务绕过过滤器或签名应用于网络安全设备。 These services may be the source of new virus or worm injected inside the network or a gateway to facilitate information leakage. In this paper, we have proposed a novel approach to detect VPN activity inside the network. The proposed system analyzes the communication between user and the server to analyze and extract features from network, transport, and application layer which are not encrypted and classify the incoming traffic as malicious, i.e., VPN traffic or standard traffic. Network traffic is analyzed and classified using DNS (Domain Name System) packets and HTTPS- (Hypertext Transfer Protocol Secure-) based traffic. Once traffic is classified, the connection based on the server’s IP, TCP port connected, domain name, and server name inside the HTTPS connection is analyzed. This helps in verifying legitimate connection and flags the VPN-based traffic. We worked on top five freely available VPN services and analyzed their traffic patterns; the results show successful detection of the VPN activity performed by the user. We analyzed the activity of five users, using some sort of VPN service in their Internet activity, inside the network. Out of total 729 connections made by different users, 329 connections were classified as legitimate activity, marking 400 remaining connections as VPN-based connections. The proposed system is lightweight enough to keep minimal overhead, both in network and resource utilization and requires no specialized hardware.
1。介绍
使计算机之间的通信,实现TCP / IP堆栈。堆栈实现的考虑安全传输的信息沟通(1]。这一问题引发了很多安全问题总是由不同的安全管理服务(2]。安全套接字层(SSL)通常用于提供身份验证和加密安全服务的TCP / IP堆栈(3]。
网络加密流量的趋势在很大程度上增加了在过去十年中,由于安全问题,隐私问题在特定4]。加密提供了很多好处为用户确保端到端保密和数据机密性。需要检查流量来自或运往组织的网络极大地增加了许多安全原因。其中一个原因可能是简单的验证各方参与沟通(5]。
简单的防火墙一般不配备SSL检验或卸载加密流量可以经过没有任何检查(6]。这允许恶意流量在网络隐蔽通道上,不检查防火墙(7]。有一个可怕的需要检测合法和非法的交通以最小的网络开销和整个系统的成本。这将允许任何规模的组织,以更好地管理他们的组织政策。
虚拟私有网络(VPN)服务可用于隐藏真正的交通网络,否则不允许或可能被监控(8]。用户使用正常使用VPN服务连接到一个VPN服务器传输层安全性(TLS)连接外部网络。一旦连接,它从服务器请求网站或服务(9,10]。VPN服务器产生请求代表用户对服务器的请求。加密的响应发送给用户已经建立了通道;因此,整个活动通过任何过滤网络防火墙。
用户可以使用这些技术旨在隐瞒或欺骗他们的互联网活动的组织9]。本文提出了一种新的方法来检测VPN网络内部交通。该技术提取网络流量特性和分类交通指示如果交通是否合法。提取关键特性,对已确定的网络流量和比较功能的交通发现非法或VPN交通。
系统也能够分类模式后的流量不正常的交通或普通用户活动和旗帜,特定交通流是无效的。我们测试我们的系统对五个著名的免费网络VPN服务提供商;该系统能够正确分类的。更多traffic-characterizing功能可以添加识别更多的应用程序。
2。相关工作和比较
多个VPN服务像TOR (11),热点盾牌,和其他服务有独特的指纹,并不是所有的服务可以使用类似的区分标准。山田等人讨论一个使用统计分析技术的加密流量(12]。讨论的方案,使用数据网络数据包的大小和执行时间分析接收到的数据包检测恶意流量在一个加密的通道。这种技术是非常有用的对于Web服务提供者来分析他们的服务器的流量和发现任何恶意活动来自外部网络。
一项研究在android应用程序使用VPN服务13)表明这些VPN服务可以使用第三方跟踪器跟踪用户行为,和一些可用于绕过android沙箱环境。恶意软件或病毒一旦交付给内部的设备网络,整个网络是容易受到攻击14]。
VPN客户内部网络作为一个代理,它连接到各自的VPN服务器。一旦建立连接,VPN服务提供者能够改变或窃听信息和网络流量的要求(15,16]。这吸引了许多第三方广告或跟踪实体(17,18]。任何恶意实体可以读取、保存和/或修改我们的请求和目的地的相关信息和服务。
VPN服务可以改变数据在控制的传入和传出的交通网络设备。VPN服务也能够执行TLS拦截(19)通过使用自己的证书信任本地的系统,对VPN服务正常工作。这将导致一个更具有潜在风险的情况下当设备连接包含敏感数据(13,20.]。这一问题的对策之一是证书寄13,21]。所以,检测这样的VPN服务在你的网络可以让你避免巨大损失的信息丢失。
吴作栋et al。22)提出了一个中间人的方法来检测VPN网络中的流量。本文提出了一个解决方案,使用秘密共享方案涉及大量密钥管理开销使用公钥基础设施(PKI)技术。本文假设流量系统加密和数据可在纯形式的系统分析和检测VPN流量。这是通过使用应用层代理生成针对每个连接的加密流量的副本,然后发送到系统进行进一步分析。这种技术大约双打现有系统的网络流量和计算资源,同时增加内存需求解密,对网络流量。
另一个解决方案,使用深度数据包检测技术(23)使用多个传感器在整个网络获得未加密通信端主机并将其发送回snort-based id (24)来检测异常行为在交通。它增加了整体的网络流量,因为每个网络机器上安装一个传感器是能够发现任何不寻常的活动。另一种方法是复制整个连接流量和使用预共享秘密分析任何恶意流量(25]。
确定应用程序运行在网络、网络分析是广泛使用。讨论的工作他et al。26)基本没有使用一个最有效的和网络流量分析技术用于流量分类。基于five-tuple连接分类像数据包大小,技术使用连接特点,interarrival时间、方向和数据包的顺序来识别任何android应用程序的网络签名。该计划提供了流量分类的基本理解。然而,网络流量产生的基于网络的VPN服务没有重大差异或识别特征,不同于标准的HTTPS连接。
使用未加密的交通管理、分析和分类加密流量是一个激动人心的概念,讨论了妞妞et al。27]。计划使用标签以域名系统数据集标签来识别恶意指挥和控制流量和交通可疑或正常。这个概念提供了一个独特的前瞻性分析网络流量超出five-tuple /当前连接技术之前讨论(26]。表1提供基本的属性已经讨论过的技术。讨论的技术方案铺平了道路。
我们建议的系统分析DNS记录来识别恶意或非法的VPN服务器名称。连接特性提取使用five-tuple方法。Five-tuple方法将每个新连接下列5个属性:(我)源IP(2)目的地IP(3)协议(TCP / UDP)(iv)源端口(v)目的港
以域名系统流量分析和连接管理使用five-tuple技术;我们建议的系统更进一步分析HTTPS握手。这样做是为了验证中使用的服务器名称与DNS活动用户生成的网络活动。使用这种新方法管理连接通过使用当前连接前的活动,我们能够检测和识别VPN网络内部交通。
3所示。法医分析VPN服务客户端
检测VPN服务的网络活动,我们开展的法医分析VPN服务。为了这个目的,我们选择前五名免费提供基于网络的VPN服务下面列出:(我)TOR浏览器(2)“热点盾牌”免费(3)Browsec VPN(iv)ZenMate VPN(v)Hoxx VPN
对于每一个VPN服务,我们分析了网络流量,由他们的客户,安装在用户电脑。最初的分析使用Wireshark [28]和NetworkMiner [29日]。下面详细分析讨论了每个VPN服务。
3.1。“热点盾牌”
“热点盾牌”(30.)由AnchorFree是一个领先的免费VPN服务使用。我们测试了它的两个版本:(我)windows桌面客户端应用程序(2)火狐插件
3.1.1。Windows桌面客户端应用程序
在上述的VPN服务的客户端版本,这是观察,一旦启用,HTTPS连接的服务使用标准端口443但通常只连接到一个服务器。所有的交通可能会多点交通使用相同的活动连接。图1显示当前用户的连接细节活动对热点盾牌。热点盾牌使用假冒知名服务器名称SSL证书绕过交通通过网络从服务器基于名称的过滤器,如图2在下面。
可以看出,使用服务器名称twitter.com。它不产生任何DNS条目服务器名称。NetworkMiner工具向我们展示了连接细节图3。我们可以看到,八独特的连接;在这种情况下,它通常意味着8独特的网页都是开着的。所有这些web页面的请求是由服务器的IP136.0.99.219。证书详细信息还可以看到对这个服务器IP收到。总20708包被在这个活动,116年,84年是接收数据包。
图4显示没有DNS活动等主机名被发现在交流。我们可以看到所有的用户在使用Hotspot Shield客户端生成的DNS。
3.1.2。火狐插件
热点盾牌在附加组件使用标准https端口以及标准DNS查询。检测热点盾牌内部网络的唯一方法是识别所使用的域名热点盾牌。所示图5是产生的网络流量使用Wireshark热点盾牌了。
图中可以看到6这域名ext - mi - ex - nl - ams - pr - p - 1. northghost.com在建立连接。
我们发现热点盾牌域名由两个主要部分组成:(我)服务器标识符(2)域名
这也可以在证书的细节图7,分析了NetworkMiner工具:
很明显观察到域名∗.northghost.com另一部分是一些服务器标识符可能会改变一旦reinitate连接。可以看出,连接建立了热点盾牌对只有一个服务器的IP地址216.162.47.67。总连接建立了35,207,08年包被在这个活动中,和收到11684包。
插件还生成标准DNS活动如图8。
改变了VPN的位置从附加的选项没有影响在服务器上被客户端与服务器连接标识符相同的活动并没有改变。
3.2。ZenMate
ZenMate [31日)由ZenGuard也是非常受欢迎的免费VPN服务使用。我们分析了chrome-based ZenMate的附加组件。它使用标准https端口以及标准DNS查询。检测ZenMate在网络的唯一方法是识别ZenMate VPN使用的域名。所示图9是产生的网络流量使用Wireshark ZenMate VPN捕获。
图中可以看到10这域名63. ayala-maroon.ga在建立连接。
像热点盾牌,ZenMate的域名也包含两个主要部分:(我)服务器标识符(2)域名
这也可以在证书的细节图11,分析了NetworkMiner工具:
很明显观察到域名∗.ayala-maroon.ga,部分是一些服务器标识符。ZenMate从其他VPN服务是独一无二的,因为它所连接的服务器用户不断变化。所以,任何可疑或长期活动与一个服务器无法识别的自动化工具。见图11多个主机名对同一领域中列出SSL VPN服务器提供的证书。这些服务器/主机可以使用在互联网上随机请求多个资源。显然图所示,连接这个服务器只有5,小于其他论文中讨论了VPN服务器的连接。
ZenMate提供另一个独特的特性是,它改变了域名一旦VPN服务器的位置改变了从附加的设置。如图12,服务器名称更改为34. lutz-obrien-olive.ga一旦用户已经改变了位置。
ZenMate变化对区域与用户选择的域名,但对于同一地区,域名的服务器标识符可能会改变,但是域名是相同的。如果用户不断变化的位置,一段时间后,当所有可用位置筋疲力尽,每个位置的领域可以被识别。如图所示是图13,多个域ZenMate该用户所使用的服务如下:(我)lutz-obrien-olive.ga(2)ayala-maroon.ga(3)hall-silver.ga(iv)young-purple.ga
现在可以使用此信息来准备一个过滤器来确定ZenMate VPN网络内。一个也可以注意到的最后一部分领域一直是一个颜色和结尾.ga。所以,如果我们收到了DNS请求或响应和域名结尾.ga与“-”(dash)查询中,可以是分离的“-”。一旦分开,如果最后一个字符串包含任何著名的颜色名称,我们可以把它归类为ZenMate DNS服务器。如图14,域名是由NetworkMiner分析,我们可以看到上面讨论相同的模式。
3.3。TOR浏览器
TOR浏览器(11)一般由用户隐藏他们的互联网使用活动和黑暗网络上访问资源。TOR浏览器使用洋葱路由的概念来隐藏用户的活动。我们安装TOR浏览器浏览器分析生成的网络流量。它使用一个非标准端口通信网络。它使用HTTPS最初9001多个TCP端口电路连接。电路连接建立后,TOR可以使用443正常网络或任何其他端口配置。TOR一般不会产生任何DNS流量。一个正常的TOR流从Wireshark如图15。
打开每个网站可以创建新连接服务器和服务器名称以及它们的IP地址沟通TOR浏览器在电路建立过程和加密。图16显示了一个在Wireshark TOR-based TCP流分析。
连接的细节TOR连接分析NetworkMiner图所示17。这表明,对服务器的IP5.9.42.230,总共639包的发送和收到586包的用户。
完整的用户的会话活动正在讨论也显示在图18。更有趣的是这里没有发现DNS活动为TOR浏览器。
3.4。Browsec VPN
Browsec VPN (32)是另一个免费VPN。我们使用火狐插件。它使用标准HTTPS端口以及标准DNS查询。检测Browsec VPN网络内的唯一方法是识别所使用的域名。所示图19是产生的网络流量使用Wireshark Browsec VPN捕获。
图中可以看到20.这域名nl30.tcdn.me建立了连接。像其他VPN服务,Browsec VPN的域名也可以进一步划分为更好的分析。它由三个主要部分;它也可以在证书的细节图21,分析了NetworkMiner工具:(我)国家代码(2)服务器标识符(3)域名
很明显观察到域名∗.tcdn.me另一部分由一些服务器标识符和位置标识符。在图21位置标识符问荷兰,这意味着,在图22,我们可以看到这个国家是英国。
像ZenMate VPN, Browsec VPN时也改变其DNS信息改变位置,但与ZenMate,域名是没有改变,而只改变服务器限定符。图23显示生成的DNS流量用户的活动。
3.5。Hoxx VPN
Hoxx VPN (33)是另一个免费VPN。我们使用火狐插件。它使用标准HTTPS端口以及标准DNS查询。我们可以检测Hoxx VPN网络通过识别内部使用的域名VPN服务。所示图24是产生的网络流量使用Wireshark Hoxx VPN捕获。
图中可以看到25这域名直流发电机- 146 - 185 - 141 - 219 - 5871 b377a.klafive.com在建立连接。像其他VPN服务,Hoxx VPN服务器的域名也可以进一步划分为更好的分析。它由两个主要部分组成:(我)服务器标识符(2)域名
这个部门也可以出现在证书的细节图26,分析了NetworkMiner工具。很明显观察到域名∗.klafive.com另一部分由一些服务器标识符。图27显示生成的DNS流量用户的活动。
4所示。提出了系统
提出系统区分网络活动或会议的正常流动异常。通常情况下,当用户想要连接到一个网站一个DNS请求翻译网络名字IP地址(34]。名称解析成功之后,对IP、TCP(传输控制协议)会话发起和建立必要的安全关联。这种行为可以用来监视和分析网络流量的不同特征。(35- - - - - -37]。
该系统将任何传入的数据分为多个类别根据连接的当前状态;除此之外,互联网活动前的连接也监控识别交通VPN或简单的互联网流量。检测过程中任何不合法的交通进一步分为两个主要过程:(我)特征提取(2)流量分类
4.1。特征提取
分类交通正常或VPN,提取不同特征的网络流量。现在,大多数的这些特征可以发现在当前交通流虽然有些之前收集的实际流开始。图28显示网络流量特征提取的基本流程模块的系统。分析仪提取以下信息用于交通分类。
以下4.4.1。基本的特征提取
服务器IP服务器和用户提取的第一步。提取这些信息从IPv4协议字段,源IP和目的地IP (38]。根据传输层协议、源端口和目的端口也提取(39]。
4.1.2。域名服务器分析
未加密的交通信息是重要的交通特征和行为分析用户的加密流量。对于任何web请求,由用户生成的,DNS请求是由用户的浏览器请求服务器的IP信息的名字。响应被发送到用户从服务器的DNS服务器包含IP信息34]。这些信息存储在我们的系统来验证DNS服务器名称和HTTPS证书的服务器名称不一致。
4.1.3。HTTPS协议检测
然后通过HTTPS检测模块的传入流量。系统查找HTTPS端口443。这是通过寻找HTTPS头流基于tcp的连接但服务器端口号是443。大量的应用程序和服务使用技术来改变服务器端口。这使他们通过网络防火墙和不是贴上加密的有效载荷。
4.1.4。SSL分析
提出系统解码SSL证书(40一旦检测到HTTPS。在SSL:有四个基本类型的消息(我)握手(2)改变密码规范(3)应用程序数据(iv)警报
从握手消息,我们提取的服务器信息,如名称服务器的连接。这是用于验证或检测DNS活动和服务器名称。
这些特性一旦提取使用的流量分类器分类每个连接VPN或正常的交通。
4.2。流量分类
特征提取后,我们可以分类的传入流量正常交通或VPN交通的基于tcp的连接。TCP连接状态被存储为每个新连接。一旦建立连接,它被列为合法或VPN交通基于先前的网络流量的特征提取和新的连接。这种分类可能是合法的交通或VPN交通。该方案将传入的连接如图29日下面讨论。
4.2.1。准备基于ip的分类
每个新连接的服务器IP查找在一个已经密集的基于IP的哈希表。这个哈希表包含TOR的退出节点的IP列表(11]随着以前的服务器IP VPN服务器分类系统。这样做是为了最小化资源利用率对已经分类VPN服务器。如果当前连接的服务器IP发现在这种基于IP的散列,然后交通列为VPN流量。
4.2.2。服务器基于名称的分类
如果连接不是由VPN基于ip的哈希表,分类中指定的服务器名称HTTPS客户你好消息用于分类的连接。在一般的TCP / IP通信,每当需要访问服务或网站,首先其域名转换成IP地址。这样做是为了在互联网上访问的资源(41]。在给定的时间一个IP地址绑定到一个特定的领域。使用这种技术,我们将正常域与域负责VPN服务。这种分类可以进一步分为两个步骤。
4.2.3。没有服务器名称分析
针对当前服务器名称从连接中提取,我们自持DNS查找列表,密集的网络流量。如果没有DNS条目列表中的服务器名称或相关联的服务器IP连接不是针对给定的服务器名称、VPN交通等交通分类。大多数情况下,内部的初始连接到VPN服务器,共享这些IPs与DNS与客户机的应用程序在ssl保护的通道,避免任何以域名系统过滤。
4.2.4。服务器名称分析
服务器名或域名当前连接的抬头对著名的VPN服务器的域名。维护该列表以查找服务器名称;如果发现,连接分为VPN-based连接。生成的列表是这些VPN服务器的流量分析,和一些独特的字符串提取特定于该VPN服务如前面所讨论的部分3。
5。系统评价
我们建议的解决方案的部署,如果仅用于检测,也可以是被动的。被动的部署将导致更低的延迟交通是通过开关或网关本身反映出来。被动的部署,所有的交通网络和DNS流量必须通过外螺纹接口如图30.。
我们分析了著名的交通模式可用的VPN服务使用HTTPS协议进行通信。下面列出了这些服务器:(我)TOR浏览器(2)“热点盾牌”免费(3)Browsec VPN(iv)ZenMate VPN(v)Hoxx VPN
分析了VPN的交通服务,选择标准是构建基于模式的分析。每一个VPN服务的关键特性如表所示2。TOR,我们看到非标准HTTPS行为这意味着它可能不是默认端口443。我们也可以检测TORTOR节点填充列表和更新由社区。
热点盾牌,我们测试了两款客户端。一个是Firefox浏览器的插件,其他客户端桌面应用程序。web浏览器扩展或插件,热点盾牌使用特殊域名用于独特的分类服务。在桌面应用程序中,客户机使用非标准端口HTTPS没有DNS的活动。Browsec和Hoxxvpn都测试插件的浏览器,他们独特的分类使用的域名服务器使用。
这三个服务上面讨论使用相同类型的域名在多个地理位置,例如,任何交通可以分为交通Hoxx VPN如果其域名包含∗.klafive.com。这不是ZenMate VPN。它改变域名对地理位置由用户选定。这些域名的列表是沟通过程中初始连接设置和更新频繁。这允许VPN服务ZenMate等工作通过网络使用以域名系统过滤器,如果不经常更新这些过滤器。
5.1。交通一代
跨多个系统内部网络,上述VPN服务多个客户端安装和配置。这些客户被启用,网络活动产生了上网。活动由VPN探测器监测,和警报一旦生成VPN活动检测。
5.2。流量分类预警
生成的警报上面不同的VPN服务不同类型取决于用户执行的活动。由五个用户生成的警报如表所示3。
表中所示的警告3显示每个类型的VPN服务的流量分类对其独特的特点,讨论了用于表2。通常,vpn可以分类的帮助下DNS活动让用户访问这些服务。
结果见表3显示的系统分类400 729活跃连接作为潜在的VPN连接。系统部署后,任何新连接的活动网络监控。每个系统连接到互联网管理其DNS缓存DNS信息重用。如果一个新的连接,没有DNS活动存在于服务器的系统,该系统将国旗作为潜在的VPN交通。提高系统的精度,系统忽略了已经建立的连接。
VPN分类基于IP和DNS活动可能需要定期更新到列表维护的系统。更新这些信息会增加整个系统的精度和减少假阳性和阴性结果。我们的测试表明,在TOR IP分析,实时IP信息应该填充,从而获得更好的结果。
6。结论
VPN服务通常在一个组织可能使用一个隐藏真正的沟通。这种通信可能是有害的或损坏的组织和组织可能不允许此类通信的监控网络。一个组织可能无法投资很大程度上基于ssl代理来管理其网络。本文提出了一种轻量级的方法来检测和阻止不必要的VPN客户内部的组织网络负责一些非法的活动。
我们建议的技术集中在平原的信息,这意味着不需要解密或解码任何网络通信。这有助于在低资源利用率。建议的解决方案不仅关注当前连接还跟踪这个通信网络活动负责,即。、DNS活动。这种映射的DNS下次流帮助识别正常行为的TCP / IP网络堆栈。如果没有可用的域名信息为当前连接,它可能不是正常的交通流量。该计划分析标准使用HTTPS和检测异常,因为它主要是用来隐藏这样沟通HTTPS-based过滤的防火墙。
结果表明,我们建议的系统能够识别和分类等网络流量和网络流量分类的趋势。分析讨论的VPN服务表2检测这些服务是至关重要的。这些服务提供商不断改变交通特征为他们服务。积极分析这些服务必须保持VPN探测器进行及时了解最新交通趋势。
数据可用性
使用的数据来支持本研究的结果中提供这篇文章。
的利益冲突
作者宣称没有利益冲突有关的出版。