Graduate papers
  
Description of the graduate paper
Form of studies Bachelor
Title of the study programm Computer Systems
Title in original language TLS 1.3 un QUIC šifrētas datplūsmas uz metadatiem balstītas kriminālistikas analīzes praktisko ierobežojumu novērtējums
Title in English Evaluating the Practical Limits of Metadata-Based Forensic Analysis for TLS 1.3 and QUIC Encrypted Traffic
Department Faculty Of Computer Science Information Tehnology And Energy
Scientific advisor Ints Meijers
Reviewer Ēriks Kļaviņš
Abstract Mūsdienu šifrēšanas protokoli — Transport Layer Security (TLS) 1.3 un Quick UDP Internet Connections (QUIC) — ir izņēmuši dziļo pakešu pārbaudi no tīkla forenzikas instrumentu kopuma, šifrējot lietderīgo slodzi, savienojuma izveides metadatus un lielu daļu paketes galvenes. Tā kā aptuveni 95 procenti tīmekļa datplūsmas tagad ir šifrēta, kriminālistikas izmeklētājiem jāpaļaujas uz novērojamiem metadatiem, piemēram, paketes lielumu, starplaikiem, plūsmas statistiku un protokola pirkstu nospiedumiem, lai noteiktu un raksturotu datplūsmu bez piekļuves lietderīgajai slodzei. Šis darbs novērtē uz metadatiem balstītas forenzikas analīzes praktiskos ierobežojumus, izmantojot kontrolētu laboratorijas eksperimentu. Tika ģenerēti un uztverti seši datplūsmas scenāriji — regulārs bākas signāls, mainīgs bākas signāls, liela datu noplūde, neliela datu noplūde, neitrāla bāzlīnija un QUIC klienta pirkstu nospieduma anomālija — radot 12 000 marķētu plūsmu. Četrpadsmit metadatu pazīmes tika iegūtas, izmantojot ZEEK un papildinošu dpkt cauruļvadu, un tika apmācīts un novērtēts Random Forest klasifikators, izmantojot stratificētu krusteniskās validācijas metodi. Tika izstrādāta robežzonu sistēma, lai katras klases F1 vērtības attēlotu trīs operatīvajās kategorijās — Veiksme, Neuzticams un Atteice — sniedzot kriminālistikas praktiķiem kvantitatīvu pamatu lēmumiem par metadatu pierādījumu pietiekamību. Klasifikators sasniedza 91,75 procentu kopējo precizitāti (91,64 procentu piecu kārtu krusteniskās validācijas vidējo rādītāju), visus sešus scenārijus ievietojot robežzonu sistēmas Veiksmes zonā. TLS 1.3 datplūsma tika klasificēta uzticamāk nekā QUIC (92,87 procenti pret 88,19 procentiem precizitātes, 4,68 procentpunktu atšķirība), apstiprinot forenzikas redzamības atšķirību, kas atbilst literatūrai. Iegūtie rezultāti pierāda, ka metadatu analīze ir praktiski piemērojama visā pārbaudīto scenāriju klāstā, sniedzot kriminālistikas praktiķiem kvantitatīvus lēmumu kritērijus par to, kad metadatu pierādījumi atbalsta automatizētu reakciju.
Keywords TLS 1.3, QUIC, encrypted traffic analysis, metadata forensics, machine learning classification, network security, forensic limitations
Keywords in English TLS 1.3, QUIC, šifrētas datplūsmas analīze, metadatu forenzika, mašīnmācīšanās klasifikācija, tīkla drošība, forenzikas ierobežojumi
Language eng
Year 2026
Date and time of uploading 26.05.2026 00:20:26