СОРМ это техническая инфраструктура для наблюдения в России.
Он восходит к 1995 году и эволюционировал с СОРМ-1 (захват телефонной и мобильной связи) и СОРМ-2 (перехват интернет-трафика, 1999 год) до нынешнего СОРМ-3.
В настоящее время SORM собирает информацию со всех форм связи, обеспечивая долгосрочное хранение всей информации и данных о абонентах, включая фактические записи и местоположения.
В 2014 году система была расширена до социальных медиа-платформ, и Министерство связи приказало компаниям установить новое оборудование с возможностью Deep Packet Inspection (DPI).
В 2016 году СОРМ-3 добавила дополнительные классификационные правила, которые применяются ко всем поставщикам услуг Интернета в России.
Deep Packet lnspection - DPI трафик неоднороден, состоит из множества приложений, протоколов и сервисов, основным механзмом идентификации приложений в DPI является анализ сигнатур (Signature Analysis).
Каждое приложение имеет свои уникальные характеристики, которые занесены в базу данных сигнутур (Bigdata).
Сопоставление образца из базы с анализируемым трафиком, позволяет точно определить приложение или протокол. Но так как появляются новые приложения, базу данных необходимо обновлять. Трафик основывается на информации в заголовке IP-пакета-MAC-адрес-стандартны- е порты. DPI-губокого анализа трафика, сопоставление образца из базы с анализируемым трафиком, позволяет точно определить приложение или протокол.
Например URL внутри пакета содержимое сообщений мессенджеров, голосовой трафик skype, p2p-пакеты, bittorrent.
Анализ образца (Pattern analysis). Поведенческий анализ(Behavioral analysis). Эвристический анализ(Неuristic analysis). Анализ протокола, состояния(Protocol, s- tate analysis).
Например: Алгоритм Twofish-FK (Twofish Family Key) предназназначен в рамках конкретных организаций для защиты наблюдаемого трафика, несовместимость варинтов достигается путем применения дополнительного ключа (FK) для всех субъектов алгоритма Twofish-FK. То есть конкретное значение используемого FK формирует (контур совместимости). Инструменты, основанные на контроле полезной нагрузки, например полном захвате пакетов, теряют эффективность, зашифрованный трафик уже регулярно составляет более половины передаваемого объема данных в байтах. По мере роста объема трафика с использованием протокола требуется
увеличение пропускной способности. На каждую транзакцию требуется дополнительно 15 Кбит/с. В итоге объем зашифрованного трафика растет за счет роста числа транзакций, а также байтов в каждой из них.
Не стоит искать зашифрованный трафик по заранее определенному набору портов, наверняка будет отправлять зашифрованные данные по различным портам. Всеобъемлющий Интернет компаниям становится все важнее использовать безопасную сетевую инфраструктуру, которая обеспечивает целостность данных и потоков информации, передаваемых по сети. Это крайне важно для успешного распространения развивающейся концепции Всеобъемлющего Интернета. Система DPI не может заглянуть внутрь зашифрованного пакета для анализа содержимого.
Приведу еще один пример, связанный с Twofish-FK алгоритм математичекая модель описывает поведение системы математическим языком, к каналу передачи данных подцепим (скомпилированный) алгоритмы twofish - fk переписанный исходный текст на языке С.
Вот что у нас получилось: Если мы запускаем скрипт, запускает процесс шифрование каналов связи алгоритмом twofish - fk. Решение сказочных и реальных изобретательских задач: По каналу связи получена последовательность байтов, что спрятано за байтами и строками? Тот, кто первый верно ответит на вопрос, получит пятерку в журнал.
