Framework for Captured Network Communication Processing
| but.committee | prof. Ing. Miroslav Švéda, CSc. (předseda) doc. RNDr. Pavel Smrž, Ph.D. (místopředseda) doc. Dr. Ing. Otto Fučík (člen) doc. Mgr. Lukáš Holík, Ph.D. (člen) Prof. Ing. Pavol Návrat, Ph.D. (člen) doc. Ing. Ondřej Ryšavý, Ph.D. (člen) | cs |
| but.defence | Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: Jaké změny by framework vyžadoval, aby podporoval jiné transportní protokoly zajišťující spolehlivé spojení jako např. SCTP či MPTCP? | cs |
| but.jazyk | angličtina (English) | |
| but.program | Informační technologie | cs |
| but.result | práce byla úspěšně obhájena | cs |
| dc.contributor.advisor | Ryšavý, Ondřej | en |
| dc.contributor.author | Pluskal, Jan | en |
| dc.contributor.referee | Veselý, Vladimír | en |
| dc.date.accessioned | 2020-06-23T08:18:39Z | |
| dc.date.available | 2020-06-23T08:18:39Z | |
| dc.date.created | 2014 | cs |
| dc.description.abstract | Práce pojednává o možnostech získávání dat a jejich analýzy ze zachycené síťové komunikace. Jsou zhodnoceny možnosti aktuálně dostupných řešení jednotlivých nástrojů i celých prostředí pro síťovou forenzní analýzu. Provedením analýzy těchto nástrojů byly zjištěny nedostatky, pro které není možná integrace již hotových řešení pro záměry projektu SEC6NET, a dále byly stanoveny cíle, které navržené řešení musí splňovat. Na základě cílů a znalostí z předchozích prototypů řešení byla provedena dekompozice problému na jednotlivé funkčně související bloky, které byly implementovány jako nezávislé moduly schopny spolupráce. Správná funkcionalita je po každé změně v implementaci testována pomocí sad Unit testů, které pokrývají majoritní část kódu. Před zahájením samotného vývoje bylo nutné zhodnotit aktuální situaci v komerčních i open-source sférách řešení. Srovnání nástrojů používaných pro forenzní síťovou analýzu nám dalo jasnou představu, na kterou část trhu chce naše řešení směřovat a jaká funkčnost je v jednotlivých nástrojích nepříliš povedená. Následně byly stanoveny hlavní požadavky a směr, kterým by se měl vývoj ubírat. Na začátku vývoje rekonstrukčního frameworku stála fáze vytvoření návrhu architektury a dekompozice průběhu zpracování zachycené komunikace do ucelených částí jednotlivých modulů. Využití předchozích znalostí a zkušeností získaných vývojem rekonstrukčního nástroje Reconsuite nám pomohlo při formování fronty zpracování, kterou budou data při zpracování procházet. Následně byly navrženy základní komponenty provádějící práci se zachycenou komunikací v různých formátech PCAP souborů, rozdělení komunikace na konverzace, provedení defragmentace na úrovni IP a v případě komunikace TCP provedení reassemblingu daných toků. V rané části vývoje jsme se zaměřili na komunikaci zapouzdřenou v nízkoúrovňových protokolech Ethernet, IPv4/IPv6, TCP a UDP. Po definici rozhraní komponent bylo nutné provést další výzkum síťových protokolů a vytvoření algoritmů pro jejich zpracování ze zachycené komunikace, která se liší od standardní a není tedy možné ji zpracovávat dobře známými postupy z RFC či jader operačních systémů. Protože proces zpracování zachycených dat se na komunikaci přímo nepodílí, tak v případě, kdy dojde ke ztrátě či poškození při zachycení, nebo je komunikace směřována jinou cestou, atd., není možné data získat pomocí znovu zasílání, ale je nutné využít jiné mechanismy k označení či obnově takto chybějících dat - algoritmus provádějící IP defragmentaci a TCP reassembling. Po implementaci a otestování byl zjištěn problém se separací jednotlivých TCP toků (TCP sessions), který nebylo možné řešit původním návrhem. Po analýze tohoto problému byla změněna architektura procesní pipeline s výsledným zvýšením počtu rekonstruovaných dat v desítkách procent. V závěrečné fázi je popsána metodologie jakou bylo porvedeno testování výkonu implementovaného řešení a srovnání s již existujícími nástroji. Protože rekonstrukce aplikačních dat je příliš specifická záležitost, při srovnání výkonu byla měřena rychlost zpracování a potřebná paměť pouze při provádění separace toků, IPv4 defragmentace a TCP reassemblingu, tedy operace společné pro všechny rekonstrukční nástroje. Srovnání ukázalo, že Netfox.Framework předčí své konkurenty Wireshark i Network monitor v rychlosti zpracování, tak v úspoře paměti. Jako testovací data byl použit jak generovaný provoz, tak i vzorky reálné komunikace zachycené v laboratorním prostředí. | en |
| dc.description.abstract | This thesis discusses network forensic data analysis possibilities, together with data mining methods to extract data from an intercepted communication. Applicability of commonly available (open-source and proprietary) tools and whole frameworks is evaluated and basic requirements for complex analysis tool are stated based on that review. Using experiences gained in the past experimentation with prototypes, functionally related components were designed based on a Divide and Conquer methodology. Components were implemented as autonomous modules that are able to cooperate each one with another. By committing series of tests some deficiencies were identified in processing of non-standard data captures that were fixed by improvement of reconstruction algorithms. The basic functionality of individual components are validated using UnitTests with more then major code coverage. Finally, the performance of capture processing was benchmarked and compared to similar oriented tools. | cs |
| dc.description.mark | A | cs |
| dc.identifier.citation | PLUSKAL, J. Framework for Captured Network Communication Processing [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014. | cs |
| dc.identifier.other | 128385 | cs |
| dc.identifier.uri | http://hdl.handle.net/11012/188800 | |
| dc.language.iso | en | cs |
| dc.publisher | Vysoké učení technické v Brně. Fakulta informačních technologií | cs |
| dc.rights | Standardní licenční smlouva - přístup k plnému textu bez omezení | cs |
| dc.subject | Zákonný odposlech | en |
| dc.subject | prostředí pro analýzu síťového provozu | en |
| dc.subject | Netfox.Framework | en |
| dc.subject | Netfox.Detective | en |
| dc.subject | NPlangCompiler | en |
| dc.subject | TCP znovu sestavení toků | en |
| dc.subject | Lawful interception | cs |
| dc.subject | network forensic framework analysis | cs |
| dc.subject | Netfox.Framework | cs |
| dc.subject | Netfox.Detective | cs |
| dc.subject | NPlangCompiler | cs |
| dc.subject | TCP reassembling | cs |
| dc.title | Framework for Captured Network Communication Processing | en |
| dc.title.alternative | Framework for Captured Network Communication Processing | cs |
| dc.type | Text | cs |
| dc.type.driver | masterThesis | en |
| dc.type.evskp | diplomová práce | cs |
| dcterms.dateAccepted | 2014-06-25 | cs |
| dcterms.modified | 2020-06-01-09:43:31 | cs |
| eprints.affiliatedInstitution.faculty | Fakulta informačních technologií | cs |
| sync.item.dbid | 128385 | en |
| sync.item.dbtype | ZP | en |
| sync.item.insts | 2021.11.12 17:14:44 | en |
| sync.item.modts | 2021.11.12 16:31:11 | en |
| thesis.discipline | Počítačové sítě a komunikace | cs |
| thesis.grantor | Vysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémů | cs |
| thesis.level | Inženýrský | cs |
| thesis.name | Ing. | cs |