Traffic analysis
Dopravní analýza je proces zachycení a zkoumání zpráv, aby se odvodit informace z vzorů v komunikaci . To lze provést, i když jsou zprávyzašifrované a nelze dešifrovat . Obecně platí, že čím vyšší je počet zpráv pozorovaných, nebo dokonce zachyceny a uloženy, tím více odvodit z provozu.Dopravní analýza může být provedena v rámci vojenské rozvědky nebo pult-inteligence , a je problémem v oblasti počítačové bezpečnosti .
Úkoly dopravní analýzy mohou být podporovány specializovanými počítačových programů, včetně komerčně dostupných programů, jako jsou ty, které nabízí i2, Visual Analytics, Memex, Orion Scientific, Pacific Northwest National Labs, Genesis EW je GenCOM apartmá, SynerScope a další. Pokročilé techniky analýzy provozu může zahrnovat různé formy sociální sítě analýzy .
Obsah[ skrýt ] |
Ve vojenském kontextu, analýzu provozu je základní součástí signálů inteligence , a může být zdrojem informací o záměrech a činnosti nepřítele.Reprezentativní vzory patří:
Časté komunikace - může znamenat plánování
Rychlé, krátké, komunikace - může znamenat jednání
Nedostatek komunikace - může signalizovat nedostatek aktivity, nebo dokončení uzavřeného plánu
Časté komunikace se konkrétních stanic z centrální stanice - může upozornit na velení
Kdo mluví komu - může uvést, které stanice jsou "na starosti" nebo "kontrolního stanoviště" konkrétní sítě. To dále znamená, něco o personálu spojených s každou stanici
Kdo mluví, když - může uvést, které stanice jsou aktivní v souvislosti s událostmi, což znamená něco o informace, které jsou předány a možná něco o pracovníky / přístup na ty spojené s některými stanicemi
Kdo změní od stanice ke stanici, nebo střední až střední - může znamenat pohyb, strach z odposlechu
Tam je úzký vztah mezi analýzy provozu a dešifrování (obyčejně volalcodebreaking ). callsigns a adresy jsou často zašifrovány , vyžadující pomoc při jejich identifikaci. Objem dopravy může být často příznakem adresáta význam, dávat rady k probíhající cílů nebo pohyby na cryptanalysts.
Dopravní tok zabezpečení je použití opatření, která skrývají přítomnost a vlastnosti platných zpráv v síti, aby se zabránilo analýzu provozu. To může být provedeno pracovních postupů, nebo k ochraně vyplývající z funkcí v souvislosti s některými kryptografických zařízení. Používané techniky patří:
Změna rozhlasové callsigns často
šifrování zprávy je odesílání a přijímání adresy ( codress zprávy )
působit obvod se objeví obsazeno po celou dobu, nebo hodně času odesláním fiktivní provoz
zaslání kontinuální šifrované signál , zda je či není dopravní přenášeny. Toto je také nazýváno maskovací nebo odkaz na šifrování .
Dopravní-flow bezpečnost je jedním z aspektů bezpečnosti komunikací .
Tato sekce je tón nebo styl nemusí odrážet encyklopedické tón používaný na Wikipedii. (listopad 2011) |
Tato sekce není citovat žádnéodkazy nebo zdroje . (listopad 2011) |
V Communications Metadata Intelligence , nebo COMINT metadata je termín v COMINT s odkazem na pojem vyrábějící inteligence analyzoval pouze technické metadata, tedy, je velký praktický příklad pro analýzu provozu v inteligenci.
Zatímco tradičně shromažďování informací v COMINT je odvozen z záchytné přenosy, klepnutím na cílové tyto komunikace a sledování obsahu rozhovorů,se metadata inteligence není založen na obsahu, ale z technických komunikačních data .
Non-obsah COMINT se obvykle používá zjistit informace o uživateli určité vysílače, například umístění, kontakty, objemové aktivity, rutina a jeho výjimky.
For Například, pokud certain emitor je známý jako vysílače určité jednotky a pomocí DF (zaměřovací) nářadí, pozice emitoru is umístitelný, a proto se změny umístění lze sledovat. Tak jsme schopni pochopit, že to některé jednotky se pohybuje z jednoho bodu do druhého, aniž by poslouchal objednávkách nebo zprávy. Pokud víme, že tato jednotka zprávy zpět na povel na určitém vzoru, a víme, že jiná jednotka hlásí na stejném modelu na stejném příkazu, pak se obě jednotky jsou pravděpodobně souvisí, a že závěr je založen na metadata přenosy Dvě jednotky ", a nikoliv o obsahu jejich vysílání.
Pomocí všechny, nebo co nejvíce metadat dostupných se běžně používá vybudovat elektronickou objednávku z bitvy (EOB) - mapování různé entity v bojiště a jejich spojení. Samozřejmě by EOB být postaven klepnutím všechny rozhovory a snaží se pochopit, která jednotka je kde, ale s použitím metadat s automatickým analytický nástroj umožňuje mnohem rychlejší a přesnější EOB vybudování, že vedle klepnutím staví mnohem lepší a úplnější obraz .
Britští analytici v první světové válce si všiml, že volací značka německého viceadmirála Reinhard Scheer , poroučet nepřátelské loďstvo, byly převedeny na pozemní stanici. admirál loďstva Beatty , neznalý praxe Scheer změny volací při odchodu přístav, zamítl její význam a zanedbávaného Pokoj 40 pokusy analytiků, aby se místo. Německé loďstvo sortied, a Britové byli pozdě v jejich plnění v bitvě u Jutska . [ 1 ] Pokud je analýza provozu bylo přijato více vážně, by Britové udělali lépe než "draw".[ původní výzkum? ]
Francouzské vojenské zpravodajské, tvarovaný Kerckhoffs 's odkazem, že postavil síť odposlouchávají stanic na západní frontě v předválečných dob.Když Němci překročili hranice francouzské vypracoval hrubé prostředky pro směr-nález na základě zajištěného intenzity signálu. Záznam znamení call-a objemu provozu dále umožnila jim umožní určit německé bojové skupiny a rozlišovat mezi rychle se pohybující kavalérie a pomalejší pěchotu. [ 1 ]
Na počátku druhé světové války , letadlová loď HMS Glorious byla evakuace piloty a letadla z Norska . Dopravní analýza vyrábí indikace Scharnhorst aGneisenau byly pohybující se do Severního moře, ale admiralita odmítl zprávu jako neprokázané. Kapitán Glorious nedodržel dostatečnou hlídku, a následně byl překvapen a potopila se. Harry Hinsley , mladý Bletchley Parkspojení do admirality, později prohlásil, že jeho zprávy z dopravních analytiků byla přijata mnohem vážněji poté. [ 2 ]
Během plánování a zkušebny pro útok na Pearl Harbor , jen velmi málo provozu prošel rádiem, s výhradou odposlechu. Lodě, jednotky, a zapojené příkazy byly všechny v Japonsku a v kontaktu po telefonu, kurýrní, signální lampa, nebo dokonce vlajky. Nic z tohoto obchodu byl zastaven, a nemohla být analyzována. [ 1 ]
Špionáž úsilí proti Pearl Harbor před prosincem neposlal neobvyklý počet zpráv, japonské lodě pravidelně volal na Havaji a zprávy byly na palubě personálem konzulárních úřadů. Alespoň jeden takový plavidlo provádět některé japonské důstojníky námořnictva Intelligence. Takové zprávy mohou být analyzovány. To bylo navrhl, [ 3 ] se však, objem diplomatické dopravy do az některých stanic konzulárních by ukázaly, zajímavá místa v Japonsku, které by proto měla navrhovaná místa soustředit analýzu provozu a dešifrování úsilí. [ pochvalná zmínka potřebovaný ]
Admirál Nagumo 's Pearl Harbor Attack Force podjet rádiového ticha, se svými rádia fyzicky uzamčena. To je nejasné jestliže toto podvedl USA, Pacifik loďstvo inteligence byla schopna lokalizovat japonské nosiče ve dnech bezprostředně předcházejících útok na Pearl Harbor ( Kahn ).
Japonské námořnictvo hrálo rádio hry k potlačení analýzu provozu (viz příklady níže) s útokem v platnost po vyplula na konci listopadu. Radisty obvykle přidělené leteckým dopravcům, s charakteristickou Morseova abeceda " pěst ", který se přenáší z vnitrozemských vodách japonských, což naznačuje, že dopravci byli ještě u Japonska ( Kahn ) [ 4 ]
Provoz Quicksilver , část britského plánu podvodu na invazi v Normandii vdruhé světové válce , krmil německý zpravodajské kombinace pravé a falešné informace o vojskových nasazení ve Velké Británii, což Němcům usuzovat na pořadí bitvy, který navrhl invazi na Pas-de-Calais místo v Normandii. Na fiktivní divize vytvořené pro tuto podvodu byly dodány s reálnými radiostanic, které udržovala toku zpráv v souladu s tímto klamem.[ 5 ] p. 233
Dopravní analýza je také znepokojení v oblasti počítačové bezpečnosti .Útočník může získat důležité informace o sledování frekvence a časování síťových paketů. Načasování útoku na SSH protokolu lze použít časové informace odvodit informace o heslech , neboť v průběhu interaktivní relaci, SSH přenáší každý úhoz jako zprávu. [ 6 ] Čas mezi stisky zpráv mohou být studovány pomocí skrytých Markovových modelů . Song, et al. tvrdí, že to může obnovit heslo padesátkrát rychleji než hrubou silou .
Cibule směrování systémy se používají pro získání anonymity. Dopravní analýza může být použit k útoku anonymních komunikačních systémů, jako jeTor anonymita sítě . Steven J. Murdoch a George Danezis z University of Cambridge, představila [ 7 ] Výzkum ukazuje, že dopravní-analýza umožňuje protivníci odvodit, které uzly relé anonymní proudy. Tím se snižuje anonymitu poskytované Tor. Jsou ukázaly, že jinak nespojené streamy mohou být spojeny zpět do stejného iniciátoru.
Remailer systémy mohou být také napaden přes analýzu provozu. Pokud zpráva je pozorována jít na určím serveru a identické délky (pokud nyní anonymizovány) zpráva je vidět ukončení server brzy po, může dopravní analytik schopen (automaticky) připojte odesílatele s konečným přijímačem.Varianty operací remailer existují, které mohou traffic analysis méně efektivní.
Je těžké je porazit analýzu provozu bez jak šifrování zpráv a maskování kanál.Pokud se žádné skutečné zprávy odesílány, lze kanál maskovány [ 8 ]zasláním fiktivní provoz, podobně jako šifrovanou komunikaci, a tím udržet využití šířky pásma konstantní. [ 9 ] "Je velmi těžké skrýt informace o velikosti a načasování zprávy. Známé řešení vyžadují Alice poslat nepřetržitý proud zpráv na maximální šířky pásma , že bude někdy používat ... To by mohlo být přijatelné pro vojenské aplikace, ale to není pro většinu civilních aplikací. "Vojensko-versus-civilní problémy se použije v situacích, kdy je uživatel účtované za objem odeslaných informací.
Dokonce i pro přístup k internetu, kde není za paket poplatek, ISP , aby statistické předpokladu, že spojení z uživatelských stránek nebude obsazeno 100% času. Uživatel nemůže jednoduše zvýšit šířku pásma spojení, protože maskování zaplní stejně. Pokud maskování, které často mohou být zabudovány do end-to-end encryptors, se stává běžnou praxí, bude ISP muset změnit své dopravní předpoklady.