Network-based HTTPS Client Identification Using SSL/TLS Fingerprinting

Kód výsledku v IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F00216224%3A14610%2F15%3A00080521" target="_blank" >RIV/00216224:14610/15:00080521 - isvavai.cz</a>

Výsledek na webu

<a href="http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7299941" target="_blank" >http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7299941</a>

DOI - Digital Object Identifier

<a href="http://dx.doi.org/10.1109/ARES.2015.35" target="_blank" >10.1109/ARES.2015.35</a>

Jazyk výsledku

angličtina

Název v původním jazyce

Network-based HTTPS Client Identification Using SSL/TLS Fingerprinting

Popis výsledku v původním jazyce

The growing share of encrypted network traffic complicates network traffic analysis and network forensics. In this paper, we present real-time lightweight identification of HTTPS clients based on network monitoring and SSL/TLS fingerprinting. Our experiment shows that it is possible to estimate the User-Agent of a client in HTTPS communication via the analysis of the SSL/TLS handshake. The fingerprints of SSL/TLS handshakes, including a list of supported cipher suites, differ among clients and correlate to User-Agent values from a HTTP header. We built up a dictionary of SSL/TLS cipher suite lists and HTTP User-Agents and assigned the User-Agents to the observed SSL/TLS connections to identify communicating clients. We discuss host-based and network-based methods of dictionary retrieval and estimate the quality of the data. The usability of the proposed method is demonstrated on two case studies of network forensics.

Název v anglickém jazyce

Network-based HTTPS Client Identification Using SSL/TLS Fingerprinting

Popis výsledku anglicky

The growing share of encrypted network traffic complicates network traffic analysis and network forensics. In this paper, we present real-time lightweight identification of HTTPS clients based on network monitoring and SSL/TLS fingerprinting. Our experiment shows that it is possible to estimate the User-Agent of a client in HTTPS communication via the analysis of the SSL/TLS handshake. The fingerprints of SSL/TLS handshakes, including a list of supported cipher suites, differ among clients and correlate to User-Agent values from a HTTP header. We built up a dictionary of SSL/TLS cipher suite lists and HTTP User-Agents and assigned the User-Agents to the observed SSL/TLS connections to identify communicating clients. We discuss host-based and network-based methods of dictionary retrieval and estimate the quality of the data. The usability of the proposed method is demonstrated on two case studies of network forensics.

Druh

D - Stať ve sborníku

CEP obor

IN - Informatika

OECD FORD obor

—

Projekt

<a href="/cs/project/VF20142015037" target="_blank" >VF20142015037: Dekódování šifrovaných datových komunikací</a><br>

Návaznosti

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Rok uplatnění

2015

Kód důvěrnosti údajů

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Název statě ve sborníku

2015 10th International Conference on Availability, Reliability and Security

ISBN

9781467365901

ISSN

—

e-ISSN

—

Počet stran výsledku

8

Strana od-do

389-396

Název nakladatele

IEEE

Místo vydání

Toulouse

Místo konání akce

Toulouse

Datum konání akce

—

Typ akce podle státní příslušnosti

WRD - Celosvětová akce

Kód UT WoS článku

—