Portal de Periódicos da CAPES

SSH Traffic Identification Using EM Clustering

2012; THE KOREAN INSTITUTE OF COMMUNICATIONS AND INFORMATION SCIENCES (KICS); Volume: 37B; Issue: 12 Linguagem: Inglês

10.7840/kics.2012.37b.12.1160

2287-3880

Kyoung-Lyoon Kim, Myung‐Sup Kim, Hyoung-Joong Kim,

Network Packet Processing and Optimization

네트워크 트래픽 모니터링에 있어서 트래픽을 사용하는 목적을 알아내는 것은 서비스 품질, 방화벽의 동작, 보안 측면에 있어서 중요한 이슈가 되고 있다. 트래픽을 사용하는 목적을 알게 되면 이를 방화벽에서 거부하거나 허용할 수 있고 이는 서비스 품질, 보안적 측면에서 효과적인 운용이 가능해진다. 하지만 수많은 어플리케이션은 보안이나 서비스 측면에서 트래픽을 암호화시키고 있어 효과적인 트래픽 모니터링이 어렵다. 본 논문에서는 암호화된 트래픽을 사용하는 SSH(Secure Shell) 프로토콜을 분석하고 SSH 터널링, SFTP(SSH File Transfer Protocol)와 일반 SSH 트래픽의 차이점을 분석하고 식별할 수 있는 방법을 제시하고 실험을 통해 검증했다. Identifying traffic is an important issue for many networking applications including quality of service, firewall enforcement, and network security. Once we know the purpose of using the traffic in the firewall, we can allow or deny it and provide quality of service, and effective operation in terms of security. However, a number of applications encrypts traffics in order to enhance security or privacy. As a result, effective traffic monitoring is getting more difficult. In this paper, we analyse SSH encrypted traffic and identify differences among SSH tunneling, SFTP, and normal SSH traffics. By using EM clustering, we identify traffics and validate experiment results.