| Studiju veids |
bakalaura akadēmiskās studijas |
| Studiju programmas nosaukums |
Datorsistēmas |
| Nosaukums |
TLS 1.3 un QUIC šifrētas datplūsmas uz metadatiem balstītas kriminālistikas analīzes praktisko ierobežojumu novērtējums |
| Nosaukums angļu valodā |
Evaluating the Practical Limits of Metadata-Based Forensic Analysis for TLS 1.3 and QUIC Encrypted Traffic |
| Struktūrvienība |
33000 Datorzinātnes, informācijas tehnoloģijas un enerģētikas fakultāte |
| Darba vadītājs |
Ints Meijers |
| Recenzents |
Ēriks Kļaviņš |
| Anotācija |
Mūsdienu šifrēšanas protokoli — Transport Layer Security (TLS) 1.3 un Quick UDP Internet Connections (QUIC) — ir izņēmuši dziļo pakešu pārbaudi no tīkla forenzikas instrumentu kopuma, šifrējot lietderīgo slodzi, savienojuma izveides metadatus un lielu daļu paketes galvenes. Tā kā aptuveni 95 procenti tīmekļa datplūsmas tagad ir šifrēta, kriminālistikas izmeklētājiem jāpaļaujas uz novērojamiem metadatiem, piemēram, paketes lielumu, starplaikiem, plūsmas statistiku un protokola pirkstu nospiedumiem, lai noteiktu un raksturotu datplūsmu bez piekļuves lietderīgajai slodzei.
Šis darbs novērtē uz metadatiem balstītas forenzikas analīzes praktiskos ierobežojumus, izmantojot kontrolētu laboratorijas eksperimentu. Tika ģenerēti un uztverti seši datplūsmas scenāriji — regulārs bākas signāls, mainīgs bākas signāls, liela datu noplūde, neliela datu noplūde, neitrāla bāzlīnija un QUIC klienta pirkstu nospieduma anomālija — radot 12 000 marķētu plūsmu. Četrpadsmit metadatu pazīmes tika iegūtas, izmantojot ZEEK un papildinošu dpkt cauruļvadu, un tika apmācīts un novērtēts Random Forest klasifikators, izmantojot stratificētu krusteniskās validācijas metodi. Tika izstrādāta robežzonu sistēma, lai katras klases F1 vērtības attēlotu trīs operatīvajās kategorijās — Veiksme, Neuzticams un Atteice — sniedzot kriminālistikas praktiķiem kvantitatīvu pamatu lēmumiem par metadatu pierādījumu pietiekamību.
Klasifikators sasniedza 91,75 procentu kopējo precizitāti (91,64 procentu piecu kārtu krusteniskās validācijas vidējo rādītāju), visus sešus scenārijus ievietojot robežzonu sistēmas Veiksmes zonā. TLS 1.3 datplūsma tika klasificēta uzticamāk nekā QUIC (92,87 procenti pret 88,19 procentiem precizitātes, 4,68 procentpunktu atšķirība), apstiprinot forenzikas redzamības atšķirību, kas atbilst literatūrai. Iegūtie rezultāti pierāda, ka metadatu analīze ir praktiski piemērojama visā pārbaudīto scenāriju klāstā, sniedzot kriminālistikas praktiķiem kvantitatīvus lēmumu kritērijus par to, kad metadatu pierādījumi atbalsta automatizētu reakciju. |
| Atslēgas vārdi |
TLS 1.3, QUIC, encrypted traffic analysis, metadata forensics, machine learning classification, network security, forensic limitations |
| Atslēgas vārdi angļu valodā |
TLS 1.3, QUIC, šifrētas datplūsmas analīze, metadatu forenzika, mašīnmācīšanās klasifikācija, tīkla drošība, forenzikas ierobežojumi |
| Valoda |
eng |
| Gads |
2026 |
| Darba augšupielādes datums un laiks |
26.05.2026 00:20:26 |