Revealing Skype Traffic: when randomness plays with you

69
Revealing Skype Traffic: when randomness plays with you Μαρία-Ελεάνα Μούκα Αμ:1916

description

Revealing Skype Traffic: when randomness plays with you . Μαρία-Ελεάνα Μούκα Αμ:1916. Τι ακριβώς είναι το Skype?. - PowerPoint PPT Presentation

Transcript of Revealing Skype Traffic: when randomness plays with you

Page 1: Revealing Skype Traffic: when randomness plays with you

Revealing Skype Traffic: when randomness plays with you

Μαρία-Ελεάνα ΜούκαΑμ:1916

Page 2: Revealing Skype Traffic: when randomness plays with you

Τι ακριβώς είναι το Skype?

• ένα πολύ δημοφιλές VoIP software που τράβηξε την προσοχή όχι μόνο της ερευνητικής κοινότητας αλλά και των φορέων εκμετάλλευσης δικτύων.(αναπτυχθηκε το 2003 από τους ιδρυτες του Kazaa πλεον εχει φτασει τα 100000000 χρηστες)

• Τα πρωτόκολλα που χρησιμοποιεί το Skype καθώς και οι αλγόριθμοί του αποτελούν κλειστή πηγή (ιδιόκτητος σχεδιασμός) και είναι άγνωστα προς τους υπόλοιπους.

Page 3: Revealing Skype Traffic: when randomness plays with you

• Nα καταφέρουμε (παρά τους ισχυρούς μηχανισμούς αποκρυπτογράφησης που χρησιμοποιεί το Skype και παρά το γεγονός ότι η κίνηση είναι ασαφής) να αποκαλύψουμε την κίνηση στο Skype σε real time,ανεξάρτητα με το πρωτόκολλο επιπέδου μεταφοράς που χρησιμοποιείται (TCP,UDP)

• Με ποιο τρόπο όμως μπορούμε να το

πετύχουμε?

Σκοπός μας…

Page 4: Revealing Skype Traffic: when randomness plays with you

• Προτείνεται ένα πλαίσιο βασισμένο σε δύο συμπληρωματικές και επεκτασιμες τεχνικές:

(1) η 1η τεχνική βασίζεται στο Pearson’s Chi-Square test αλλά είναιαγνωστικιστικό στα VoIP χαρακτηριστικά που είναι συσχετισμένα με τα χαρακτηριστικά

κίνησης(προσέγγιση CSC)(2) η 2η τεχνική βασίζεται σε ένα

στοχαστικό χαρακτηρισμό της κίνησης στοSkype(προσέγγιση NBC)

Τρόποι για να το επιτύχουμε…

Page 5: Revealing Skype Traffic: when randomness plays with you

• για την 1η τεχνική:

χρησιμοποιείται για την ανίχνευση των δακτυλικών αποτυπωμάτων του Skype από τη δομή του packetframing αξιοποιώντας την τυχαιότητα που εισάγεται στο επίπεδο των bit κατά της διαδικασία κρυπτογράφησης

Πιο Συγκεκριμένα…

Page 6: Revealing Skype Traffic: when randomness plays with you

• για την 2η τεχνική:

βασίζεται στο ρυθμό άφιξης των πακέτων και το μέγεθος του πακέτου,τα οποία χρησιμοποιούνται ως χαρακτηριστικά γνωρίσματα της διαδικασίας απόφασης βασισμένη στο Naive Bayesian Classifiers(Αφελείς Bayesian ταξινομητές).

Πιο Συγκεκριμένα…

Page 7: Revealing Skype Traffic: when randomness plays with you

• Για να αξιολογήσουμε τις παραπάνω τεχνικές ως προς την αποτελεσματικότητά τους αναπτύσσουμε ένα off line cross-checking ευριστικό που βασίζεται στην βαθυά επιθεώρηση πακέτων και στη συσχέτιση ροών.

• Αυτό το ευριστικό μας επιτρέπει να ποσοτικοποιήσουμε την ποσότητα των ψευδώς αρνητικών και ψευδώς θετικών που συλλέχθηκαν από τις δύο παραπάνω τεχνικές.

• Αποτελέσματα μετρήσεων από διαφορετικά δίκτυα δείχνουν ότι αυτές οι τεχνικές είναι αποτελεσματικές στον προσδιορισμό της Skype κυκλοφορίας.

Αξιολόγηση Τεχνικών…

Page 8: Revealing Skype Traffic: when randomness plays with you

• Καθοριστική για την ανάλυση της κυκλοφορίας.

• Καθοριστική για τον χαρακτηρισμό και τον σχεδιασμό του δικτύου και μπορούμε μέσω αυτής να κάνουμε κάποιες προβλέψεις.

• Συμφέρον Φορέων εκμετάλλευσης δικτύων: παρακολουθώντας την κίνηση στο Skype και τις επιδόσεις σχεδιάζουν νέες τιμολογικές πολιτικές και στρατηγικές διαφοροποίησης της κυκλοφορίας.

Γιατί ενδιαφερόμαστε τόσο πολύ για την αναγνώριση της κυκλοφορίαςστο Skype?

Page 9: Revealing Skype Traffic: when randomness plays with you

• Αναπτύσσουμε ένα Payload Based Classifier

(PBC)

• Το PBC βασίζεται στην παραδοσιακή τεχνική της επιθεώρησης των πακέτων σε βάθος σε συνδιασμό με μία ανάλυση για κάθε host η οποία μας επιτρέπει να αναγνωρίσουμε τους clients του Skype και το traffic που δημιουργείται από αυτούς

Πως διασταυρώνουμε ότι με τις 2 αναφερθείσες τεχνικές

παίρνουμε σωστά αποτελέσματα?

Page 10: Revealing Skype Traffic: when randomness plays with you

• Χρησιμοποιούμε το PBC για τη διασταύρωση των αποτελεσματων που επιτεύχθηκαν με τις στατιστικές προσεγγίσεις.

• Από ελεγχόμενα πειράματα και από πραγματικά΄ίχνη κίνησης μεσω του PBC δημιουργείται ενα dataset στο οποίο χαρακτηρίζουμε/ταξινομούμε τα Skype flows

Αναλυτικότερα…(1)

Page 11: Revealing Skype Traffic: when randomness plays with you

• Το dataset αυτό χρησιμοποιείται για να ποσοτικοποιήσει τον αριθμό των NBC/CSC ψευδώς θετικών και ψευδώς αρνητικών αποτελεσμάτων τους.

• Τρέχοντας λοιπόν σε αυτό το dataset τις 2 διαφορετικές τεχνικές μας (NBC,CSC) μπορούμε να τις αξιολογήσουμε.

Αναλυτικότερα…(2)

Page 12: Revealing Skype Traffic: when randomness plays with you

Η κοινή χρήση των 2 τακτικών περιορίζει αρκετα τον αριθμό των ψευδών θετικών και αρνητικών αποτελεσμάτων

Αναλυτικότερα…(3)

Page 13: Revealing Skype Traffic: when randomness plays with you

• Πρωτότυπη μελέτη της κυκλοφορίας που προκύπτει από έναν πελάτη Skype

• Στοχος:να αποκομιστεί ενα μοντέλο των πηγων κινησης του Skype(traffic source model)

• πηγές κυκλοφορίας/κίνησης ώστε να χτίσουμε αποτελεσματικές μεθόδους ταυτοποίησης

The Skype Source Model-Khaos Model

Page 14: Revealing Skype Traffic: when randomness plays with you

• Για να αποκτήσουμε ένα traffic source model εκτελούμε αρκετά πειράματα σε ελεγχόμενο περιβάλλον:

πλατφόρμα δοκιμών στην οποία συμμετέχουν διάφοροι υπολογιστές συνδεδεμένοι μεταξύ τους μεLinux NAT,Firewall,Router κτλ

• Δοκιμάστηκαν διαφορετικές εκδοχές του Skype που είχαν εγκατασταθεί και έτρεχαν σε διαφορετικά λειτουργικά συστήματα (και διαφορετικα σεναρια δικτυων)

The Skype Source Model-Khaos Model

Page 15: Revealing Skype Traffic: when randomness plays with you

• Το Skype προσφέρει VoIP δυνατότητες με δύο τρόπους:

(1) End-to-end(E2E):η κίνηση δημιουργείται ανάμεσα σε 2

hosts καθένα από τα οποία τρέχει έναν Skype Client

(2)End-to-out(E2O):η κίνηση δημιουργείται ανάμεσα σε έναν end- host και ένα PSTN τηλέφωνο μέσω Skype-out services

The Skype Source Model-Khaos Model

Page 16: Revealing Skype Traffic: when randomness plays with you

• Δεδομένου ότι το Skype υποστηρίζει φωνή, βίντεο, chat και μεταφορά δεδομένων έχουμε διαφορετικές πηγές πληροφοριών

• Αν και κάθε πηγη εχει διαφορετικά χαρ/κα όλες οι πηγές παράγουν blocks πληροφοριών που πολυπλέκονται σε ένα πλαίσιο (πολυπλεξία)

The Skype Source Model

Page 17: Revealing Skype Traffic: when randomness plays with you

The Skype Source Model

Λαμβάνοντας υπόψιν την «πηγή» φωνή ο κωδικοποιητής φωνής που χρησιμοποιείται κατά τη διάρκεια μίας κλήσης (Voice Codec ) έχει ως εξόδους blocks κωδικοποιημένης φωνής.

Page 18: Revealing Skype Traffic: when randomness plays with you

• Ο framer είναι υπεύθυνος για τη δημιουργία των Skype frames πολυπλέκοντας σε ένα πλαίσιο/frame ένα η περισσότερα blocks

• Μόλις δημιουργηθεί ένα frame συμπιέζεται αριθμητικά από τον Archiver και κρυπτογραφείται από το Cypher

The Skype Source Model

Page 19: Revealing Skype Traffic: when randomness plays with you

• Τέλος ένα προσθετο μη κρυπτογραφημένο header μπορεί να είναι παρών και συμβολίζεται με την έναρξη του μηνύματος (SoM/start of message) στην εικονα

• Το SoM παίζει σημαντικό ρόλο στο PBC

• Το αποτελεσμα της παραπάνω εικόνας είναι ένα Skype message το οποίο θα ενθυλακωθεί ειτε σε UDP τμήμα είτε σε TCP τμήμα

The Skype Source Model

Page 20: Revealing Skype Traffic: when randomness plays with you

• Στην πλευρά της εισόδου έχουμε 3 σημαντικές παραμέτρους με καθοριστικό ρόλο για τα χαρ/κα της κυκλοφορίας/κίνησης που θα προκύψει

(1) Rate (2) ΔΤ (3) RF

The Skype Source Model

Page 21: Revealing Skype Traffic: when randomness plays with you

Είναι o ρυθμος/ποσοστό των bits που χρησιμοποιειται από την πηγή(πχ το voice codec rate)

Rate

Page 22: Revealing Skype Traffic: when randomness plays with you

Αντιπροσωπεύει το framing time του Skype message , δηλαδή είναι το χρονικό διάστημα μεταξύ των 2 μεταγενέστερων Skype messages που ανήκουν στο ίδιο flow

ΔΤ

Page 23: Revealing Skype Traffic: when randomness plays with you

Είναι πλεονάζων παράγοντας δηλαδή ο αριθμός των προηγούμενων block που το Skype αναμεταδίδει ανεξάρτητα από το εγκριθέν Codec κατά μήκος με το τρέχον block

RF

Page 24: Revealing Skype Traffic: when randomness plays with you

Όλες οι παραπάνω παράμετροι μπορούν να αλλάξουν κατά τη διαρκεια της συνδεσης ανάλογα με τις συνθήκες στο δίκτυο όπως παρατηρούμε και στο παραπανω σχημα

The Skype Source Model

Page 25: Revealing Skype Traffic: when randomness plays with you

Voice Call η παραπάνω εικόνα αναφέρεται σε ένα

ίχνος μηνύματος που παρατηρείται κατά τη διάρκεια μιας κλήσης μεταξυ δυο πελατων/clients στους οποίους τεχνητά επιβαλαμε το διαθέσιμο εύρος ζώνης.

The Skype Source Model

Page 26: Revealing Skype Traffic: when randomness plays with you

• Το 1ο διάγραμμα δείχνει τον μέσο ρυθμό των bits (bits/sec) και το επιβαλλόμενο εύρος ζώνης.

• Το 2ο διάγραμμα δείχνει το ΔΤ

• Το 3ο διαγραμμα δειχνει το μέγεθος πακέτου σε σχεση με το χρονο

The Skype Source Model

Page 27: Revealing Skype Traffic: when randomness plays with you

Παρατηρώντας το μέγεθος του μηνύματος τα αποτελέσματα του μεταβαλλόμενου ρυθμού των bits (codec και framer) είναι ορατά.Δηλαδή παρατηρούμε ότι κατά την έναρξη της σύνδεσης (0-30 sec) τα μυνήματα έχουν περίπου 2πλό μέγεθος συγκριτικά με το μέγεθος των μυνημάτων στο 2ο μέρος της κλήσης[40-150 sec]

The Skype Source Model

Page 28: Revealing Skype Traffic: when randomness plays with you

• Η επιλογή του πρωτοκόλλου μεταφορας(TCP,UDP) εχει ισχυρή επίπτωση στον τροπο κρυπτογραφησης μηνυματων

• Όταν χρησιμοποιείται TCP πρωτόκολλο το Skype κρυπτογραφεί όλο το περιεχόμενο όλων των μηνυμάτων.

• Όταν χρησιμοποιεί UDP πρωτόκολλο ο Skype παραλήπτης πρέπει να εξάγει από το application layer header καποια επιπροσθετη πληροφορία για να ανιχνεύσει και να αντιμετωπίσει ένα πιθανό λάθος

The start of message-SoM

Page 29: Revealing Skype Traffic: when randomness plays with you

• Ετσι με το UDP το Skype δεν μπορει να κρυπτογραφήσει ολόκληρο το μήνυμα.

• Το Skype στέλνει και λαμβάνει UDP τμήματα χρησιμοποιώντας μια σταθερή θύρα για να αποφύγει μια επιπλέον σηματοδότηση που θα χρειαζόταν στην περίπτωση μιας δυναμικής θύρας.

• Οποτε κάποια application layer headers πρέπει να προστεθούν στον πολυπλέκτη ώστε να υπάρχουν διαφορετικά μηνύματα (φωνή,βιντεο ..) στο ιδιο flow μεταφορών

The start of message-SoM

Page 30: Revealing Skype Traffic: when randomness plays with you

Όταν τα Skype messages ενθυλακώνονται σε UDP τμήματα μια μερίδα των Skype messages μπορούν να αναγνωριστούν από το UDP payload ,αυτό ακριβως ονομάζουμε αρχή μηνύματος/SoM

Τι ακριβώς είναι το SoM τελικά?

Page 31: Revealing Skype Traffic: when randomness plays with you

Παρατηρώντας τα ενθηλακωμένα UDP messages μεταξύ 2 clients τα εξής πεδία αναγνωρίζονται:

1) ID:το 1ο και το 2ο byte (16 bits) που χρησιμοποιούνται για να αναγνωρίσουν μοναδικά το μήνυμα(επιλέγεται τυχαια από τον αποστολεα και αντιγραφεται στην απαντηση του παραληπτη)

2) Fun:ενα 5bito πεδιο (3ο byte) που οριζει τον τυπο του payload

3) Frame:περιέχει μια πιθανή πολυπλεγμένη ακολουθια κρυπτογραφημένων πληροφοριών και blocks φωνης

End-to-end messages

Page 32: Revealing Skype Traffic: when randomness plays with you

• Αρχικό Στάδιο των Skypeout κλήσεων:

(1) σηματοδότηση μεταξύ πελάτη/client και κάποιων υπερ-κόμβων(super-nodes)

• Δεύτερο Στάδιο: ένα φωνητικό

κωδικοποιημένο stream μηνυμάτων ενεργοποιείται μεταξύ του caller και του gateway node και μετατρέπεται η κλήση σε PSTN

Skypeout Messages

Page 33: Revealing Skype Traffic: when randomness plays with you

• Πaρατηρώντας το payload των UDP ενθυλακωμένων φωνητ μηνυμάτων βλέπουμε ότι μετα από ένα μεταβλητό αριθμό αρχικών μηνυμάτων τα πρώτα 4 bytes παίρνουν την ίδια τιμή .

• Αυτά τα 4 bytes θεωρούμε ότι χρησιμοποιούνται από την PSTN πύλη ως αναγνωριστικό σύνδεσης(connection identifier,CID) αν και κατα τη διάρκεια της σύνδεσης είναι πιθανό να αλλάξουν.

Skypeout Messages-CID(connection identifier)

Page 34: Revealing Skype Traffic: when randomness plays with you

Χρησιμοποιούμε 3 είδη classifier , οι οποίοι εκμεταλλεύονται διαφορετικές πτυχές και χαρ/κα της κυκλοφορίας του Skype για την ταυτοπoίηση της κυκλοφορίας του Skype:

(1) Nyx (Chi-square-classifier,CSC)

(2) Erebos (Naïve-Bayes-Classifier,NBC)

(3) Hemera (Payload-Based Classifier,PBC)

Πώς να προχωρήσουμε με την ταυτοποίηση της

κυκλοφορίας του Skype?

Page 35: Revealing Skype Traffic: when randomness plays with you

• Επικεντρώνεται σε μηχανισμόυς κρυπτογράφησης

• Η απόφαση που παίρνει βασίζεται στην ανάλυση της τυχαιότητας του περιεχομένου του μυνήματος,την οποία εισήγαγε η κρυπτογράφηση.

• Μας επιτρέπει να ξεχωρίσουμε την κίνηση από Skype clients από άλλες VoIP πηγές καθώς χρησιμοποιούν διαφορετικό header

Nyx

Page 36: Revealing Skype Traffic: when randomness plays with you

• Στοχαστικός χαρακτηρισμός των ιδιοτήτων της κίνησης που παράγεται από την πηγή χρησιμοποιώντας το μέγεθος πακέτου και το χάσμα μεταξύ πακέτων

• Η απόφασή του Erebos στηρίζεται με βάση την ομοιότητα των πιθανών Skype flows με τα αναμενόμενα στοχαστικά χαρ/κα

Erebos

Page 37: Revealing Skype Traffic: when randomness plays with you

• Βασίζεται σε μια παραδοσιακή βαθυά επιθεώρηση των πακέτων

• Ισχύει μόνο για UDP flows

Hemera

Page 38: Revealing Skype Traffic: when randomness plays with you

• Χρησιμοποιέι το Pearson’s Chi-Square statistical test για να εκτιμήσει αν και ποια τμήματα μηνύματος είναι κρυπτογραφημένα

• Σκοπός του τεστ αυτού:ελέγχει αν το μήνυμα υπό ανάλυση συμφωνεί σε μορφή με τα Skype messages και αντίστοιχα αποκαλύπτει τα δακτυλικά αποτυπώματα

• Ανάλογα με το είδος του flow έχουμε διαφορετικά χαρ/κα στο περιεχόμενο του μηνύματος

The Classifiers-Nyx(Αναλυτικότερα..)

Page 39: Revealing Skype Traffic: when randomness plays with you

στο τεστ αυτό βλεπουμε τη συμπεριφορα του αντικειμενου -για ένα συνολο φορων - και βλεπουμε αν εχει την αναμενομενη συμπεριφορα υπολογιζοντας την απόκλιση των τιμών που παρατηρήθηκαν στην έξοδο σε σχέση με την αναμενόμενη κατανομή των εκροών.

• nTOT: πεπερασμένος αριθμός φορών που επαναλαμβάνουμε το παραπάνω τεστ

• i=τιμή εξόδου • Pi: πιθανότητα να έχουμε την i εξοδο• N πιθανές έξοδοι • Ei:αναμενομενος αριθμος των εμφανισεων i (Ei= nTOT* Pi)

The Classifiers-Nyx(Αναλυτικότερα..)

Page 40: Revealing Skype Traffic: when randomness plays with you

• Oi:αριθμος εμφανισεων του i στο πείραμα

• Μέτρηση Απόκλισης της παρατηρουμενης συμπεριφορας σε σχεση με την αναμενομενη συμπεριφορα:

n-1χ^2=Σ((Oi-Ei)^2)/Eii=0

The Classifiers-Nyx(Αναλυτικότερα..)

Page 41: Revealing Skype Traffic: when randomness plays with you

• Αν το αντικείμενο συμπεριφέρεται όπως αναμενεται ,συμφωνα με την κατανομη chi-square , εχει n-1 βαθμους ελευθεριας

• Αν υποθέσουμε ότι η εξοδος του αντικειμένου είναι αυτή με πιθανοτητα pi και ξανακάνουμε το πειραμα αυτή η υποθεση απορριπτεται αν στο προηγ αθροισμα εχουμε αποτελεσμα είναι μεγαλυτερο του 1-α (α=ποσοστιμοριο κατανομης).

• Χρησιμοποιώντας αυτή την ιδεα χτιζουμε την CSC ιδεα, ελεγχοντας αν το περιεχομενο ενός μηνυματος που ανηκει σε ένα flow συμφωνει με την παραπανω Skype συμπεριφορα

The Classifiers-Nyx(Αναλυτικότερα..)

Page 42: Revealing Skype Traffic: when randomness plays with you

• Για κάθε μήνυμα που ανήκει στο ιδιο flow θεωρούμε τα πρωτα G groups των b bits και υπολογίζουμε για κάθε block g = 1, . . .G, τις μεταβλητές Og (i:μετράει τισ φορές που το g block πηρε την τιμή i) αξιολογούμε το τεστ για κάθε ομαδα από bits:

2^(b-1)(χg)^2=Σ((Oi^g-Ei)^2)/Ei

i=0

Πως ακριβώς δουλευει το πειραμά μας ?

Page 43: Revealing Skype Traffic: when randomness plays with you

• Ελέγχουμε τα xg^2 για να δούμε αν η υπόθεσή μας επαληθεύεται

• Για την υπόθεσή μας χρησιμοποιούμε τον πίνακα με τα χαρ/κα των περιεχόμενων των μηνυμάτων:

Πως ακριβώς δουλευει το πειραμά μας ?

Page 44: Revealing Skype Traffic: when randomness plays with you

• Για να ελενξουμε αν μια ομαδα g είναι random, deterministic η mixed (random+constant bits) θεωρουμε ως αναμενομενη συμπεριφορά αυτή:

Ei = nTOT /(2^b) nTOT:αριθμος μηνυματων που ανηκουν στο ιδιο flow• Συγκρίνουμε το xg^2 με κάποια κατώτατα

ορια που προκύπτουν από την κατανομή chi-square

Πως ακριβώς δουλευει το πειραμά μας ?

Page 45: Revealing Skype Traffic: when randomness plays with you

• Συμβολίζουμε τα κατώτατα όρια:x^2(Rnd), x^2(Mixed), and x^2(Det)

• ΚΡΙΤΗΡΙΑ (ταξινομουμε τα flows με βαση αυτά):

(1) E2E over UDP(random blocks πρεπει να ναι ομοια με την κατανομη μας ,mixed blocks που περιεχουν deterministic bits εχουν μεγαλα Xg

max(Xg^2)<x^2(Rnd) and min(Xg^2)>X^2(Mixed)

Συνεχεια..

Page 46: Revealing Skype Traffic: when randomness plays with you

(2) E2O over UDP.(SoM deterministic)Min(Xg^2)>X^2(Det) and max (Xg^2)<X^2(Rnd)

(3)E2E or E2O over TCP.Max(Xg^2)<X(Rnd) (όλα τα groups random) Else NotSkype!!

Συνεχεια…

Page 47: Revealing Skype Traffic: when randomness plays with you

• στο διαγραμμα αυτό εχουμε Xg^2 versus Ntot για τα 3 ειδη των group(deterministic,random,mixed)

• Οσο μεγαλωνει το Ntot μεγαλωνει και το Xg^2 και για τα deterministic και για τα mixed groups

• Τα κατωτατα ορια δεν είναι σημαντικα εδώ αφου η συμπεριφορα τους είναι ευδιακριτη(των 3 γκρουπ)

• Μειωση παραμετρων ->x^2(Rnd)=x^2(Mixed)=x^2(Det)

Συνεχεια…

Page 48: Revealing Skype Traffic: when randomness plays with you

• Χρησιμοποιει ιδιαιτερα χαρακτηριστικα του real time traffic

• Ο αλγοριθμος (NBC) στηρίζεται στον χαρακτηρισμο της κινησης συνδιαζοντας τον voice codec με τον framer για στοχαστικο χαρακτηρισμο του skype traffic

• Η ομοιοτητα της μετρουμενης κινησης με το skype traffic μετραται από τον NBC αλγοριθμο

Erebos-Naïve Bayes Classifier

Page 49: Revealing Skype Traffic: when randomness plays with you

• Βασικη ιδεα:υποθετουμε ότι παρατηρουμε ένα αντικειμενο που περιγραφεται από παρατηρησιμες ποσοτητες που ονομαζονται features.

• Εχουμε ένα vector X οπου X=[Xi] αναπαριστα την iοστη τιμη του feature X

• Μετα υπολογιζουμε την πιθανοτητα P(C|X) δηλαδη την πιθανοτητα ότι το αντικειμενο ανηκει στην κλαση C

Συνεχεια…

Page 50: Revealing Skype Traffic: when randomness plays with you

• Feature Selection..

• Θελουμε να επιλεξουμε ένα μικρο αριθμο features προκειμενου να ταυτοπoιησουμε τα Skype flows

• Επιλεγουμε ως features:

• Message size(window of w messages)

x=[s1,s2,s3,…,swMessage size dependent on spesific codec

Συνεχεια…

Page 51: Revealing Skype Traffic: when randomness plays with you

• Το επομενο feature είναι :

• the average-inter packet gap

• Εκτιμαται ότι ισουται με 1/w φορες επι την ωρα μεταξυ της παραλαβης του πρωτου και w-στου πακετου στο παράθυρο(ανεξαρτητο του Codec)

• Y=[τ]=[(tw-t1)/w]

Συνεχεια…

Page 52: Revealing Skype Traffic: when randomness plays with you

• Feature characterization• Βασισμενοι στο Skype Source Model

χαρακτηριζουμε την κατανομη του message size για κάθε πιθανο Codec

• Ένα Codec μπορει να βρισκεται σε διαφορετικα σημεια εργασιας και αναπαριστουμε το message size με Gaussian κατανομη για ένα συγκεκριμενο σημειο εργασιας

Συνεχεια…

Page 53: Revealing Skype Traffic: when randomness plays with you

• Ένα σημειο εργασιας σε διαφορετικες ρυθμισεις συμφωνα με τις εξης παραμετρους

• Rate• header length• Redundancy factor RF• Message framing time ΔΤ

Συνεχεια…

Page 54: Revealing Skype Traffic: when randomness plays with you

• Derivation of the beliefs• στο σχημα εχουμε το σχηματικο διαγραμμα

του NBC το οποιο συνδιαζει 2 σετ του NBC • Το ένα χρησιμοποιειται για το message size• Το άλλο για το average IPG• Sequence of beliefs at time k for codec j

υπολογιζεται παιρνοντας το time average των maximum beliefs του j

E[Bs^j ] = Ek[Bs^(k,j) ].

Συνεχειa..

Page 55: Revealing Skype Traffic: when randomness plays with you

• Για να κανουμε set ένα belief παιρνουμε το Max των beliefs του j

MaxBs = max (E[Bs^j ]) j

Οποτε το πιθανο codec είναι

Codec = argmax(max (E[Bs ^j])).j

Συνεχειa..

Page 56: Revealing Skype Traffic: when randomness plays with you

• Για να αποφασισουμε αν ένα flow είναι skype voice flow χρησιμοποιουμε το message size και τους average-IPG classifiers υπολογιζοντας το minimun των προηγουμενων derived beliefs

B=min(MaxBs,E[Bτ]) και το συγκρινουμε με το κατωτατο οριο Βmin

If B>Bmin then εχουμε ένα Skype voice flow

Συνεχειa..

Page 57: Revealing Skype Traffic: when randomness plays with you

• Τα σχηματα δειχνουν τα beliefs που παιρνουμε τρεχοντας τον NBC στο ιδιο flow

• Το πρωτο σχημα δειχνει τους average IPC classifiers

• Το δευτερο σχημα δειχνει την εξελιξη του belief κατά τη διαρκεια ζωης του ISAAC message size

Συνεχειa..

Page 58: Revealing Skype Traffic: when randomness plays with you

• Η έξοδος του size message με βάση το NBC είναι πιο ασαφής,δεδομένου ότι το size message εχει μεγαλύτερες διακυμάνσεις.

• Ειδικότερα, είναι δυνατόν να τηρεί τη μεταβατική φάση σε περίπου 25 δευτερόλεπτα και 170 δευτερολεπτα αντίστοιχα

• Και στις δύο περιπτώσεις, το ανώτατο παράθυρο πεποίθησης είναι τις περισσότερες φορές μεγαλύτερο από -5

Page 59: Revealing Skype Traffic: when randomness plays with you

• PBC• Αποτελει παραδοσιακη τεχνικη για την

ανιχνευση διαφορετικων τυπων κινησης από μια συνολικη κινηση

• Εκμεταλλευεται τη γνωση του protocol header format αντιστοιχιζοντας τα σε γνωστα headers εφαρμογων και το SoM στα UDP πακετα και ο PBC αλγοριθμος αποκαλυπτει το Skype traffic

• Λογω των δυσκολιων εξαιτιας της κρυπτογραφησης χρειαζεται επιπροσθετη πληροφορια per host

Hemera:Payload based classifier

Page 60: Revealing Skype Traffic: when randomness plays with you

• Είναι ακριβο (λογω επιθεωρησης του payload για κάθε host )

• Όταν εχουμε TCP πρωτοκολλο δεν μπορουμε να τον χρησιμοποιησουμε

• Κάθε φορα που το format του SoM αλλαζει πρεπει να τον ενημερωνουμε

• Απαιτει να παρατηρει όλα τα flows από ένα source host αρα σε δενδρικες συνδεσεις δικτυου δεν μπορουμε να τον χρησιμοποιησουμε

Μειονεκτηματα του PBC

Page 61: Revealing Skype Traffic: when randomness plays with you

• Βασιζεται στο ότι ενας Skype client χρησιμοποιει το ιδιο UDP port για να παραλαβει και να στειλει traffic

• Για να ξεκινησει ένα voice connection signaling messages ανταλλασονται αναμεσα στα σημεια οδηγωντασ σε E2E flows

• Εκμεταλλευομενοι αυτή τη συμπεριφορα είναι πιθανο να αναγνωρισουμε τον skype client που τρεχει σε δεδομενο host μεσω του couple (source IP,source UDP port)

Per host identification

Page 62: Revealing Skype Traffic: when randomness plays with you

• Παρουσιαζουμε τα αποτελεσματα τρεχοντας τους classifiers σε real data traffic,εχουμε τα εξης dataset

• CAMPUS:95 ωρες trace collection(TCP data flows,no P2P traffic)

• ISP: μια μερα trace collection(voice and video via ADSL)

• Το σχημα δειχνει ολους τους πιθανους συνδιασμους των flow classification, αναπαριστα τα ψευδη θετικα και αρνητικα αποτελ

Experiments…

Page 63: Revealing Skype Traffic: when randomness plays with you

• Εδώ ο PBC αναγνωριζει 1024 Ε2Ε flows kai 163 E2O flows

• Oταν χρησιμοποιουμε μονο τον NBC εχουμε ένα σημαντικο αριθμο από discarted flows (FN%=28.40)

• Λογω του ότι δεν επιτρεπεται μεταφορα videos μεσω του PSTN gateway το ποσοστο του NBC-FN είναι πολύ μικροτερο συγκριτικα με την Ε2Ε

Experiments…

Page 64: Revealing Skype Traffic: when randomness plays with you

• Λιγα skype calls βλεπουμε να εχουμε ισως λογω του χαμηλου ρυθμου που προσφερεται για κλησει ς από τον ISP

Experiments…

Page 65: Revealing Skype Traffic: when randomness plays with you

• CSC αναγνωριζει πανω από 400.000 flows πραγμα λογικο αφου οι εφαρμογες που στηριζονται στο TCP συνηθως μεταφερουν data με με dedermenistic header στο segment start

Experiments…

Page 66: Revealing Skype Traffic: when randomness plays with you

NBC:αποτελεσματικο στην αναγνωριση ολων των voice traffic over IP ανεξαρτητως εφαρμ

CSC: :αποτελεσματικο στην αναγνωριση του skype traffic μεσω UDP πρωτ,σε TCP πρωτοκολλο προσδιοριζει την κρυπτογραφημενη συμπιεσμενη κνηση,προσδιοριζοντας ετσι σημαντικο μεροσ κινησηςΣυνδιασμος των παραπανω: αποτελεσματικο στην αναγνωριση του skype traffic ειτε μεσω UDP ειτε μεσω TCP, σχεδον μηδενικα σφαλματα

NBC,CSC,Join of them

Page 67: Revealing Skype Traffic: when randomness plays with you

• Στα παραπανω σχηματα εξεταζεται η ευαισθησια των NBC(fig 7) CSC(fig 8) για συγκεκριμενο ορισμο κατωτατων οριων τα οποια χρησιμοποιουνται κατά τη διαδικασια ληψης αποφασεων και εφαρμοζεται πανω στο dataset που δημιουργηθηκε εφαρμοζοντας PBC στο Campus UDP traffic

Parameter tuning

Page 68: Revealing Skype Traffic: when randomness plays with you

• Στα αριστερο σχηματα αναλυεται το αποτελεσμα της του NBC και στο δεξιο της κοινης χρησης του NBC και CSC

• To μεγαλο ποσοστο των FN αριστερα είναι λογικο αφου τα data/video/chat flows θεωρουνται E2E flows στο PBC benchmark dataset αρα σωστα απορριπτονται από το NBC

Parameter tuning

Page 69: Revealing Skype Traffic: when randomness plays with you

Ευχαριστώ!!!!

Ερωτήσεις?