مرکز منطقه ای اطلاع رسانی علوم و فناوری فصلنامه فناوری اطلاعات و ارتباطات ایران 2717-0411 17 63 2025 8 2 Confidential Payload Attribution on Encrypted Traffic of Enterprise Networks انتساب داده روی ترافیک رمز شده سازمانی بدون نقض محرمانگی 123 138 fa سید محمد حسینی دانشگاه صنعتی شریف امیرحسین جهانگیر دانشگاه شریف مهدی سلطانی دانشگاه صنعتی شریف 2024 11 26 <p style="direction: ltr;">The widespread use of encryption protocols is accompanied by an increased risk of organizational-level security devices becoming ineffective. When network traffic is encrypted, many security tasks such as intrusion detection and network forensics that rely on processing content of flows&rsquo; payloads become ineffective. Existing practical approaches to this problem are based on TLS interception methods, which not only violate confidentiality but also impose security issues. This paper introduces a confidential payload attribution system called "JormYab". JormYab is a practical approach to enable data attribution on standard encrypted traffic for organizational networks. JormYab, which can be easily deployed in an enterprise network, is based on a simple traffic digesting mechanism and does not violate confidentiality. Our practical and realistic evaluations show that JormYab can store a history of standard encrypted traffic of an enterprise network for use in network forensic investigations. The realistic scenarios we have used in our research also reveal common challenges and problems in the process of payload attribution investigations, and based on them, we discuss effective methods to address the issues.</p> <p>استفاده فراگیر از پروتکل&zwnj;های رمزنگاری با افزایش خطر ناتوانی دستگاه&zwnj;های امنیتی سطح سازمانی همراه است. وقتی ترافیک شبکه رمزگذاری می&zwnj;شود، بسیاری از وظایف امنیتی مانند تشخیص نفوذ و جرم&zwnj;شناسی شبکه که به پردازش محتوای جریان&zwnj;ها وابسته&zwnj;اند، بی&zwnj;اثر می&zwnj;گردند. رویکردهای عملی موجود برای این مشکل بر اساس روش رهگیری TLS هستند که نه تنها محرمانگی را نقض ، بلکه مشکلات امنیتی نیز ایجاد می&zwnj;کنند. این مقاله یک سامانه انتساب داده محرمانه به نام &laquo;جرم&zwnj;یاب&raquo; را معرفی می&zwnj;کند. جرم&zwnj;یاب یک رویکرد عملی برای فراهم کردن امکان انتساب داده بر روی ترافیک رمزگذاری شده استاندارد برای شبکه&zwnj;های سازمانی است. جرم&zwnj;یاب که به راحتی در شبکه&zwnj;های سازمانی قابل استقرار است، بر اساس یک سازوکار ساده مبتنی بر چکیده&zwnj;سازی ترافیک عمل می&zwnj;کند و محرمانگی را نقض نمی&zwnj;کند. ارزیابی&zwnj;های عملی و واقع&zwnj;گرایانه ما نشان می&zwnj;دهند که جرم&zwnj;یاب می&zwnj;تواند تاریخچه&zwnj;ای از ترافیک رمزگذاری شده استاندارد یک شبکه سازمانی را برای استفاده در تجسس&zwnj;های جرم&zwnj;شناسی شبکه ذخیره کند. سناریوهای واقع&zwnj;گرایانه&zwnj;ای که ما در تحقیقات خود استفاده کرده&lrm;&zwnj;ایم، چالش&zwnj;ها و مشکلات عمومی در فرآیند تجسس&zwnj;های انتساب داده را نیز آشکار می&zwnj;کند و بر اساس آن&zwnj;ها، روش&zwnj;های موثری را برای رفع مشکلات مورد بحث قرار می&zwnj;دهیم.</p> http://jour.aicti.ir/en/Article/Download/48687