Рассмотрено современное состояние и подходы к решению задачи выявления разных версий одной реализации протокола путем сравнения их цифровых отпечатков. На основании открытых баз данных цифровых отпечатков обозначены закономерности использования информационных полей и определены информативные признаки для решения задачи кластеризации цифровых отпечатков. Разработан метод оценки близости цифровых отпечатков реализаций протоколов с использованием однозначно идентифицирующих признаков и на основе оценки расстояния Левенштейна в многомерном пространстве. Экспериментально подтверждена продуктивность нового метода на примере базы цифровых отпечатков клиентских TLS-реализаций. Представленные результаты позволяют получать формальные количественные оценки принадлежности любой (в том числе новой) реализации сетевого протокола к группам ранее известных на основе анализа формализованного множества информативных признаков, что открывает возможности для решения различных задач информационной безопасности.
< ... >
In this paper, we propose a novel mechanism for identifying different versions of a protocol implementation based on their digital fingerprints’ comparison. Based on digital fingerprints public datasets, information fields patterns are indicated, and informative features are determined to address digital fingerprints clustering problem. As a solution, we propose Levenshtein distance in multidimensional space-based method for assessing the proximity of protocol digital fingerprints implementations using unique identifying features. The developed approach efficiency was validated by an empirical study using TLS implementations digital fingerprints dataset. The results obtained allow to perform formal quantitative estimates of the possible relation of consideredprotocols’ versions with the groups of previously known.
Keywords:
digital fingerprint, communication protocol, TLS, proximity measure, authorship, clustering, code authorship
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
