|
|
Methods for Intelligent Network Forensics
Pluskal, Jan ; Sheppard, John (referee) ; Slay, Jill (referee) ; Ryšavý, Ondřej (advisor)
Tato disertační práce je souborem vybraných recenzovaných prací autora spojených tématem forenzní analýzy počítačových sítí. Práce byly publikovány v posledním desetiletí v časopisech a konferencích zaměřujících se na oblast informatiky se specializací na digitální forenzní analýzu. Tato práce se nedívá na síťovou forenzní analýzu jako disciplínu monitorování síťové bezpečnosti, ale zajímá se o pomoc při forenzním vyšetřování kriminalisty z policejních složek (LEA). Rozdíl spočívá spíše v zaměření se na získávání důkazů o nezákonných činnostech než na odhalování síťových útoků nebo bezpečnostních incidentů. Práce reviduje metody používané pro zpracování zachyceného síťového provozu při síťovém forenzním vyšetřování. Dále provádí kritickou analýzu síťových forenzních a analytických nástrojů (NFAT), které jsou běžně používané vyšetřovateli bezpečnostních složek (LEA). Analýza spočívá v identifikaci jejich slabin, navrhuje vylepšení a nové přístupy k řešení problémů. Zvláštní pozornost je věnována zpracování neúplné síťové komunikace, ke které běžně dochází při nekvalitním odposlechu poskytovateli internetových služeb (ISP). Řešení spočívá ve vynechání chybějících částí komunikace a inteligentním převinutí analyzátoru aplikačního protokolu, které zanedbá chybějící segmenty s využitím informací získaných z síťové a transportní vrstvy. Vyvinuté metody byly následně použity k obohacení sad funkcí používaných pro identifikaci aplikačních protokolů, které navíc umožňují nejen identifikaci aplikačního protokolu, ale také jemnější identifikaci aplikace. Toto rozšíření může poskytnout užitečné metainformace v případě, že bylo použito šifrování. V následném výzkumu jsou analyzovány výkonnostní charakteristiky zpracování zachycené síťové komunikace pouze jedním strojem. Dále je navržena, implementována a vyhodnocena lineárně škálovatelná architektura pro zajištění distribuovaného zpracování na více výpočetních prvcích. Práce je završena zaměřením se na zpracování virtuálních sítí a tunelované komunikace, kde jako modelový příklad bylo zvoleno použití Generic Stream Encapsulation, který doposud nebyl podporován žádným síťovým forenzním analytickým nástrojem. Prezentovaný výzkum je volně dostupný vyjma článků s omezeným přístupem. Tam, kde to bylo možné, byly metody implementovány do nástroje pro forenzní vyšetřování a analýzu sítě s otevřeným zdrojovým kódem - Netfox Detective. Metody byly ověřeny pomocí přiložených datových sad. Všechny datové sady a výsledky jsou volně dostupné a odkazované z příslušných publikací.
|
guest ::
