2016
HTTPS Traffic Analysis and Client Identification Using Passive SSL/TLS Fingerprinting
HUSÁK, Martin, Milan ČERMÁK, Tomáš JIRSÍK a Pavel ČELEDAZákladní údaje
Originální název
HTTPS Traffic Analysis and Client Identification Using Passive SSL/TLS Fingerprinting
Autoři
HUSÁK, Martin (203 Česká republika, garant, domácí), Milan ČERMÁK (203 Česká republika, domácí), Tomáš JIRSÍK (203 Česká republika, domácí) a Pavel ČELEDA (203 Česká republika, domácí)
Vydání
EURASIP Journal on Information Security, 2016, 2510-523X
Další údaje
Jazyk
angličtina
Typ výsledku
Článek v odborném periodiku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Německo
Utajení
není předmětem státního či obchodního tajemství
Odkazy
Kód RIV
RIV/00216224:14610/16:00089221
Organizační jednotka
Ústav výpočetní techniky
UT WoS
000387412900001
Klíčová slova anglicky
Network monitoring;HTTPS;User-Agent;SSL;TLS;Fingerprinting
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 18. 4. 2019 15:31, Mgr. Alena Mokrá
Anotace
V originále
The encryption of network traffic complicates legitimate network monitoring, traffic analysis, and network forensics. In this paper, we present real-time lightweight identification of HTTPS clients based on network monitoring and SSL/TLS fingerprinting. Our experiment shows that it is possible to estimate the User-Agent of a client in HTTPS communication via the analysis of the SSL/TLS handshake. The fingerprints of SSL/TLS handshakes, including a list of supported cipher suites, differ among clients and correlate to User-Agent values from a HTTP header. We built up a dictionary of SSL/TLS cipher suite lists and HTTP User-Agents and assigned the User-Agents to the observed SSL/TLS connections to identify communicating clients. The dictionary was used to classify live HTTPS network traffic. We were able to retrieve client types from 95.4 % of HTTPS network traffic. Further, we discussed host-based and network-based methods of dictionary retrieval and estimated the quality of the data.
