Inteligentní síťové forenzní metody
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
P
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Tato disertační práce je souborem vybraných recenzovaných prací autora spojených tématem forenzní analýzy počítačových sítí. Práce byly publikovány v posledním desetiletí v časopisech a konferencích zaměřujících se na oblast informatiky se specializací na digitální forenzní analýzu. Tato práce se nedívá na síťovou forenzní analýzu jako disciplínu monitorování síťové bezpečnosti, ale zajímá se o pomoc při forenzním vyšetřování kriminalisty z policejních složek (LEA). Rozdíl spočívá spíše v zaměření se na získávání důkazů o nezákonných činnostech než na odhalování síťových útoků nebo bezpečnostních incidentů. Práce reviduje metody používané pro zpracování zachyceného síťového provozu při síťovém forenzním vyšetřování. Dále provádí kritickou analýzu síťových forenzních a analytických nástrojů (NFAT), které jsou běžně používané vyšetřovateli bezpečnostních složek (LEA). Analýza spočívá v identifikaci jejich slabin, navrhuje vylepšení a nové přístupy k řešení problémů. Zvláštní pozornost je věnována zpracování neúplné síťové komunikace, ke které běžně dochází při nekvalitním odposlechu poskytovateli internetových služeb (ISP). Řešení spočívá ve vynechání chybějících částí komunikace a inteligentním převinutí analyzátoru aplikačního protokolu, které zanedbá chybějící segmenty s využitím informací získaných z síťové a transportní vrstvy. Vyvinuté metody byly následně použity k obohacení sad funkcí používaných pro identifikaci aplikačních protokolů, které navíc umožňují nejen identifikaci aplikačního protokolu, ale také jemnější identifikaci aplikace. Toto rozšíření může poskytnout užitečné metainformace v případě, že bylo použito šifrování. V následném výzkumu jsou analyzovány výkonnostní charakteristiky zpracování zachycené síťové komunikace pouze jedním strojem. Dále je navržena, implementována a vyhodnocena lineárně škálovatelná architektura pro zajištění distribuovaného zpracování na více výpočetních prvcích. Práce je završena zaměřením se na zpracování virtuálních sítí a tunelované komunikace, kde jako modelový příklad bylo zvoleno použití Generic Stream Encapsulation, který doposud nebyl podporován žádným síťovým forenzním analytickým nástrojem. Prezentovaný výzkum je volně dostupný vyjma článků s omezeným přístupem. Tam, kde to bylo možné, byly metody implementovány do nástroje pro forenzní vyšetřování a analýzu sítě s otevřeným zdrojovým kódem - Netfox Detective. Metody byly ověřeny pomocí přiložených datových sad. Všechny datové sady a výsledky jsou volně dostupné a odkazované z příslušných publikací.
This dissertation is a collection of the author's peer-reviewed papers, with a common topic of computer network forensic analysis, published in journals and conferences in computer science, digital forensics. In contrast to understanding network forensics as a discipline of network security monitoring, this work's merit is to aid law enforcement agency (LEA) officers in conducting network forensic investigations. The distinction lies in putting emphasis on extracting evidence from illicit activities rather than detecting network attacks or security incidents. This work revisits methods used for the forensic investigation of captured network traffic by critically analyzing tools commonly used by LEA investigators. The objective is to identify weaknesses, design solutions, and propose new approaches. Particular interest is given to processing incomplete network communication that typically occurs in low-quality interception provided by Internet Service Providers (ISPs). The proposed method involves omitting missing parts and intelligently rewinding the protocol parsers to pass the missing segments using information from transport and internet layers. This process allowed the creation of novel features for the application protocol identification, thus additionally enabling application protocol identification and finer-grained application identification. Subsequent research analyzed the performance characteristics of single-machine captured network communication and designed, implemented, and evaluated a linearly scalable architecture for distributed computation. Lastly, the problem of overlay and tunneled communication was tackled by thoroughly analyzing Generic Stream Encapsulation (GSE). The presented research is publicly available, except for the limitations enforced by the publishing houses. When applicable, methods have been implemented into the open source network forensic investigation and analysis tool, Netfox Detective, and verified using enclosed datasets. All data sets and results are available and referenced in their respective publications.
This dissertation is a collection of the author's peer-reviewed papers, with a common topic of computer network forensic analysis, published in journals and conferences in computer science, digital forensics. In contrast to understanding network forensics as a discipline of network security monitoring, this work's merit is to aid law enforcement agency (LEA) officers in conducting network forensic investigations. The distinction lies in putting emphasis on extracting evidence from illicit activities rather than detecting network attacks or security incidents. This work revisits methods used for the forensic investigation of captured network traffic by critically analyzing tools commonly used by LEA investigators. The objective is to identify weaknesses, design solutions, and propose new approaches. Particular interest is given to processing incomplete network communication that typically occurs in low-quality interception provided by Internet Service Providers (ISPs). The proposed method involves omitting missing parts and intelligently rewinding the protocol parsers to pass the missing segments using information from transport and internet layers. This process allowed the creation of novel features for the application protocol identification, thus additionally enabling application protocol identification and finer-grained application identification. Subsequent research analyzed the performance characteristics of single-machine captured network communication and designed, implemented, and evaluated a linearly scalable architecture for distributed computation. Lastly, the problem of overlay and tunneled communication was tackled by thoroughly analyzing Generic Stream Encapsulation (GSE). The presented research is publicly available, except for the limitations enforced by the publishing houses. When applicable, methods have been implemented into the open source network forensic investigation and analysis tool, Netfox Detective, and verified using enclosed datasets. All data sets and results are available and referenced in their respective publications.
Description
Citation
PLUSKAL, J. Inteligentní síťové forenzní metody [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Výpočetní technika a informatika
Comittee
doc. Dr. Ing. Petr Hanáček (předseda)
Ing. Josef Kaderka, Ph.D. (člen)
prof. Ing. Róbert Lórencz, CSc. (člen)
doc. Ing. Zdeněk Martinásek, Ph.D. (člen)
doc. RNDr. Tomáš Pitner, Ph.D. (člen)
Date of acceptance
2023-05-04
Defence
Student přednesl cíle a výsledky, kterých v rámci řešení disertační práce dosáhl. V rozpravě student odpověděl na otázky komise a oponentů a hostů. Diskuze je zaznamenána na diskuzních lístcích, které jsou přílohou protokolu. Počet diskuzních lístků: 5. Komise se v závěru jednomyslně usnesla, že student splnil podmínky pro udělení akademického titulu doktor.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení