- nelegální obsah
- zátěž sítě
- nevýhody přístupu
- použijeme vlastní porty
- zapouzdření přes jiný protokol
- šifrování
- problém se signatury
- šifrování
- omezená množina - po přidání nového nová množina
- kde najít daný řetězec - celý paket vs část, …
- typicky začátek hlavička aplikačního protokolu, zbytek uživatelské data
- není jednoduchá úloha - vyhledávání řetězců
- např. tabulka s 1000 signatur, každou hledám v paketu
- omezené na pouze viděné packety jako u signatur
- blíž nule a dál od prahové hodnoty = více důvěryhodné
- čím blíže prahové hodnotě, tím méně důvěryhodně
- Entropie = míra neočekávanosti, opak informační
- nemusí fungovat - více různých aplikací může mít stejné otisky
- dost závisí na tls knihovně
- verze aplikací - nová verze tls, verze knihoven
- problém - např u web prohlížeče nefunguje moc dobře - otisk je pouze pro daný web server, různé připojení jiný server
- dobré pro identifikace malware - rozšíří se a používá stejné nastavení/knihovny
- sítě v průmyslu - ideální - omezené, predikovatelné
- daný počet zařízení - přidání je náročné a je potřeba technik
- stanovené komunikace