Bài báo:
SplitSight: Multi-Dimensional Verification for Client-Side TLS Interception
Nhóm tác giả:
- Vũ Nguyễn Minh Quang – ATTT2023.2 – Tác giả chính
- Phạm Tấn Gia Quốc – ATTT2023.2 – Tác giả chính
- Phan Quang Vũ – ATTT2023.2 – Đồng tác giả
- Khương Ngọc Toàn – ATTT2023.2 – Đồng tác giả
Giảng viên hướng dẫn:
- ThS. Trần Tuấn Dũng
Tóm tắt:
Các cuộc tấn công chèn Root Certificate Authority (CA) là một mối đe dọa nghiêm trọng đối với bảo mật TLS, cho phép kẻ tấn công chặn và giải mã lưu lượng mạng trong khi trình duyệt vẫn hiển thị kết nối như một phiên HTTPS hợp lệ. Điều này tạo ra nguy cơ lớn đối với quyền riêng tư và an toàn thông tin của người dùng.
Nghiên cứu này giới thiệu SplitSight – một framework phát hiện tấn công dựa trên nguyên lý split-view: khi chứng chỉ TLS mà phía client quan sát được khác với chứng chỉ được xác minh từ các điểm kiểm tra bên ngoài, hệ thống sẽ xác định khả năng tồn tại của hành vi chặn và can thiệp lưu lượng.
Hệ thống sử dụng kiến trúc Native Messaging để vượt qua các hạn chế sandbox của trình duyệt, cho phép trích xuất chứng chỉ theo thời gian thực từ TLS stack của hệ điều hành. Một cơ chế chấm điểm đa chiều thích ứng được áp dụng, kết hợp sáu yếu tố xác minh bao gồm: so sánh fingerprint (30%), kiểm tra sự tồn tại trong Certificate Transparency log (25%), trạng thái thu hồi OCSP (15%), so sánh với cache lịch sử (10%), phân tích tính hợp lệ của chuỗi chứng chỉ (10%) và phát hiện bất thường thống kê (10%). Ngoài ra, kiểm tra DNS CAA được thiết kế cho các phiên bản mở rộng trong tương lai.
Phương pháp chấm điểm theo trọng số cho phép hệ thống đưa ra các kết luận chi tiết hơn, phân biệt giữa các trường hợp bị can thiệp rõ ràng, chứng chỉ đáng ngờ hoặc kết nối an toàn. Kiến trúc còn hỗ trợ cơ chế đồng thuận đa tác nhân (multi-agent consensus) với các ràng buộc đa dạng về ASN và vị trí địa lý nhằm phát hiện các cuộc tấn công chỉ xảy ra tại một khu vực cụ thể.
Kết quả thực nghiệm với ba công cụ MITM phổ biến (Burp Suite, mitmproxy và Charles Proxy) cho thấy hệ thống đạt độ chính xác phát hiện 99.3%, tỷ lệ báo động sai 0.5%, với độ trễ xác minh trung vị 387 ms ở lần kiểm tra đầu và chỉ 8 ms khi sử dụng bộ nhớ đệm.
Nhóm tác giả xin chân thành cảm ơn ThS. Trần Tuấn Dũng đã tận tình hỗ trợ và phản hồi kịp thời trong quá trình thực hiện nghiên cứu, giúp bài báo được hoàn thiện và đạt chất lượng tốt hơn.
Bài báo được công bố tại hội nghị quốc tế:
International Conference on Intelligent Information Technology (ICIIT 2026) – hội nghị khoa học quốc tế xếp loại ISI/Scopus, lần thứ 11 được tổ chức, diễn ra tại Đà Nẵng từ ngày 05–08/03/2026.
Hội nghị do FPT University, Swinburne Vietnam và HKCBEES đồng tổ chức, nhằm tạo diễn đàn học thuật cho các nhà nghiên cứu, giảng viên và sinh viên trao đổi và công bố các kết quả nghiên cứu trong lĩnh vực công nghệ thông tin thông minh. Các bài báo được chấp nhận sẽ được xuất bản trong ACM International Conference Proceedings, lưu trữ tại ACM Digital Library, và được lập chỉ mục bởi Ei Compendex, Scopus, đồng thời được gửi xét duyệt vào ISI Web of Science.
Thông tin chi tiết tại: https://web.facebook.com/share/p/1Co5Gz8xUE/
Đông Xanh - Cộng tác viên truyền thông Trường Đại học Công nghệ Thông tin
