Разработка и исследование алгоритмов классификации шифрованного гетерогенного трафика в режиме реального времени

Подавляющая доля сетевого трафика приходится на протокол HyperText Transfer Protocol (HTTP), а более 99% HTTP-трафика защищено с помощью протокола Transport Layer Security (TLS). Благодаря этому тип данных и их содержимое скрыты от стороннего наблюдателя. Другими словами, информация о том, к какому типу трафика (видеотрафик, аудиотрафик, веб-трафик и т.д.) или сервису (Yandex, Twitch, VK и т.д.) относится отдельный поток, не передается в открытом виде. Однако данная информация необходима операторам сотовой связи и администраторам сетей Wi-Fi для обеспечения высокого качества обслуживания (англ.: Quality of Service, QoS) или предоставления бесплатного доступа к определенным ресурсам. Также эта информация используется для блокировки вредоносного или законодательно запрещенного трафика.

Большинство существующих алгоритмов классификации трафика, включая разработанные в Лаборатории, ставят целью классификацию одного потока по передаваемым данным. При этом отдельные потоки считаются независимыми, даже если они сгенерированы одним приложением. Однако зачастую одно приложение генерирует несколько связанных между собой потоков. Например, анализ трафика приложений AR/VR показывает, что существующие приложения могут использовать для передачи видеоизображения несколько отдельных потоков. Поэтому сотрудниками Лаборатории был разработан новый алгоритм, учитывающий связь между потоками, сгенерированными одним приложением, что существенно повысило точность классификации трафика. Кроме того, этот алгоритм показал лучшие результаты по сравнению с классификаторами, принимающими решения о категории трафика по данным служебных сообщений TLS, в сценариях с ограниченным набором нешифрованных полей, возникающих при использовании нового дополнения Encrypted Client Hello к протоколу TLS.