JA4+ - 네트워크 핑거프린팅 표준 제품군

JA4+는 강화된 위협 사냥과 분석을 위한 사용자 친화적이고 인간과 기계가 읽을 수 있는 네트워크 지문 분석 방법의 모음입니다. 사용 사례에는 멀웨어 감지, 위협 행위자 식별, 세션 하이재킹 방지 등이 포함됩니다. JA4+는 고유한 a_b_c 형식을 사용하여 특정 지문 섹션을 분석할 수 있게 해서 더 깊은 통찰력을 제공합니다. 예를 들어, GreyNoise는 TLS 암호를 변경하는 경우에도 지문의 일관된 부분에 초점을 맞춤으로써 행위자를 추적하기 위해 JA4+를 사용합니다. JA4+는 TLS, HTTP, SSH, TCP를 포함한 다양한 프로토콜을 지원하며 클라이언트와 서버 지문 분석을 위한 방법을 제공합니다. Python, Rust, Zeek, C 및 Wireshark 플러그인으로 사용할 수 있으며 GreyNoise, Zeek, Arkime와 같은 도구에서 지원이 증가하고 있습니다. JA4 (TLS 클라이언트 지문 분석)는 BSD 3-Clause 라이선스하에 오픈소스로 제공되지만, JA4+의 다른 방법은 FoxIO 라이선스 1.1하에 있으며 학술 및 내부 비즈니스 사용을 허용하지만 상업화를 위해 OEM 라이선스가 필요합니다. JA4+ 지문은 일반적으로 연간으로 업데이트되는 애플리케이션 TLS 라이브러리 업데이트와 함께 진화하도록 설계되었으며, 고유한 암호 목록을 우선시하고 서명 알고리즘을 통합함으로써 암호화 방해와 확장 랜덤화와 같은 문제를 해결합니다. 이 프로젝트는 지문 데이터베이스에 대한 기여와 벤더 및 오픈소스 프로젝트와의 협력을 환영합니다.