浅谈侧信道流量检测技术

赛博攻防悟道 · 公众号 · · 2024-02-19 12:52

正文

在计算机安全中，侧信道（side-channel）攻击是一种收集计算机软硬件在运行时所释放出的额外信号来进行信息推测和密文破译的攻击模式，这些额外信号包括电磁辐射、声发射、功率波动、热输出变化等，是设备运行计算时带有规律的能量轨迹。

最早的侧信道（side-channel）攻击

根据NSA解密文件显示，早在1943年，一名贝尔电话工程师就发现每当有人在电传打字机上打字时，会导致附近的示波器的读数波动，接着NSA进一步发现任何接近电传打字机的人，只要能读到它的电磁辐射，就有可能通过示波的能量轨迹破译出它的打字击键信息，这个秘密直到1980年代才被公开。

思科的ETA (Encrypted Traffic Analytics)技术

2016年，思科的工程师David McGrew专门针对TLS加密流量研发了一种增强的NetFlow日志（ETA）。

传统 NetFlow中存在的5 个基本日志：单向流的持续时间、客户端发送的数据包数量、服务器发送的数据包数量、客户端发送的字节数、服务器发送的字节数。

增强的ETA 日志包括新的 IDP 、 SPLT 和BD 这三个日志，IDP日志是采集TCP会话握手后的第一个报文包及有效荷载，一般包含TLS C lient He llo或会话第一次明文HTTP请求等，可以提取报文元数据做TLS指纹和其他明文网络特征。而后两种 SPLT 和BD 日志是一种网络流量侧信道信号记录。

Sequence of Packet Lengths and Times (数据包有效负载长度序列和到达时间): 双向流采样前50个数据包的有效负载长度，以及这些采样数据包的序列到达时间（间隔时间）。

Byte distribution （字节分布）：某一特定字节值在报文的加密载荷中出现的概率，这可以推测出加密荷载中包含的明文字节，以分辨某种网络协议或推测明文字节特征。

这两种特征工程数据是对流量通信时所产生的额外信号进行侧信道分析，其中的SPLT特征最为重要， SPLT的特征是 Packet lengths和Arrival times，较容易被误解为数据包报文长度/时间间隔，而正确的理解如下：

X轴代表序列时间
Y轴代表数据包有效负载长度
有效负载的X轴宽度是数据报文的到达时间
X轴上方代表上行流量，X轴下方是下行流量

这基本上是实现了一个TLS加密会话记录的频域（frequency domain）和时域（time domain）示波器，下图是Google搜索和木马病毒的SPLT通信示波，通过流量分析的推测，可以看到左右两个图中的每个标签行为实际上对应了明显的信号规律。

浅谈侧信道流量检测技术

正文

请到「今天看啥」查看全文