Analýza a identifikace chování Tor klientů

Abstract

Projekt Tor je všeobecne známa anonymizačná technológia. Komunikácia pomocou Tor-u je založená na niekoľkých vrstvách šifrovania a náhodnom smerovaní, ktoré by mali garantovať vysokú úroveň súkromia. Táto práca však ukazuje, že súkromie Tor-u je značne obmedzené, pokiaľ sledovacie systémy začnú využívať techniky hlbokého učenia a sledujú pri tom komunikáciu klienta aj jeho cieľu. Výstupom tejto práce je klasifikačný model na báze hlbokého učenia (konvolučná neurónová sieť), ktorý bol vyhodnotený pomocou komplexných experimentov na nových dátových sadách, zachytených na reálnej sieti. Navrhovaný algoritmus dokáže rozhodnúť (s presnosťou vyššou ako 90%), či dve spojenia pozorované na rôznych miestach predstavujú jednu a tú istú komunikáciu medzi klientom a serverom. Pozitívny výsledok môže odhaliť konkrétny cieľ, s ktorým klient komunikuje, a teda predstavuje možnú bezpečnostnú slabinu, oslabujúcu celý proces anonymizácie. V porovnaní s existujúcimi prácami je nami vyvinutý model schopný pracovať s rozšírenými údajmi o IP toku namiesto úplných paketových záznamov.

The Tor project is a well-known anonymization technology. The communication using Tor is based on multiple layers of encryption and randomized routes, which should guarantee a high level of privacy. However, this thesis shows that the privacy of Tor is quite limited when surveillance systems adopt deep learning techniques and observe both client's and target's traffic. The outcome of this thesis is a Deep Learning based classification model (Convolutional Neural Network) that was evaluated using comprehensive experiments with new Tor datasets captured from real network traffic. The proposed algorithm is able to decide (with accuracy higher than 90%), whether the two connections observed in different places belong to the same communication between the client and the server. The positive result discloses a particular target of a client, thus represents a possible privacy weakness of the whole anonymization process. Compared to the existing works, the developed model is able to work with extended IP flow data, instead of full packet traces.