Inteligentní síťové forenzní metody

but.committeedoc. Dr. Ing. Petr Hanáček (předseda) Ing. Josef Kaderka, Ph.D. (člen) prof. Ing. Róbert Lórencz, CSc. (člen) doc. Ing. Zdeněk Martinásek, Ph.D. (člen) doc. RNDr. Tomáš Pitner, Ph.D. (člen)cs
but.defenceStudent přednesl cíle a výsledky, kterých v rámci řešení disertační práce dosáhl. V rozpravě student odpověděl na otázky komise a oponentů a hostů. Diskuze je zaznamenána na diskuzních lístcích, které jsou přílohou protokolu. Počet diskuzních lístků: 5. Komise se v závěru jednomyslně usnesla, že student splnil podmínky pro udělení akademického titulu doktor.cs
but.jazykangličtina (English)
but.programVýpočetní technika a informatikacs
but.resultpráce byla úspěšně obhájenacs
dc.contributor.advisorRyšavý, Ondřejen
dc.contributor.authorPluskal, Janen
dc.contributor.refereeSheppard, Johnen
dc.contributor.refereeSlay, Jillen
dc.date.accessioned2023-05-13T06:53:29Z
dc.date.available2023-05-13T06:53:29Z
dc.date.created2023cs
dc.description.abstractTato disertační práce je souborem vybraných recenzovaných prací autora spojených tématem forenzní analýzy počítačových sítí. Práce byly publikovány v posledním desetiletí v časopisech a konferencích zaměřujících se na oblast informatiky se specializací na digitální forenzní analýzu. Tato práce se nedívá na síťovou forenzní analýzu jako disciplínu monitorování síťové bezpečnosti, ale zajímá se o pomoc při forenzním vyšetřování kriminalisty z policejních složek (LEA). Rozdíl spočívá spíše v zaměření se na získávání důkazů o nezákonných činnostech než na odhalování síťových útoků nebo bezpečnostních incidentů. Práce reviduje metody používané pro zpracování zachyceného síťového provozu při síťovém forenzním vyšetřování. Dále provádí kritickou analýzu síťových forenzních a analytických nástrojů (NFAT), které jsou běžně používané vyšetřovateli bezpečnostních složek (LEA). Analýza spočívá v identifikaci jejich slabin, navrhuje vylepšení a nové přístupy k řešení problémů. Zvláštní pozornost je věnována zpracování neúplné síťové komunikace, ke které běžně dochází při nekvalitním odposlechu poskytovateli internetových služeb (ISP). Řešení spočívá ve vynechání chybějících částí komunikace a inteligentním převinutí analyzátoru aplikačního protokolu, které zanedbá chybějící segmenty s využitím informací získaných z síťové a transportní vrstvy. Vyvinuté metody byly následně použity k obohacení sad funkcí používaných pro identifikaci aplikačních protokolů, které navíc umožňují nejen identifikaci aplikačního protokolu, ale také jemnější identifikaci aplikace. Toto rozšíření může poskytnout užitečné metainformace v případě, že bylo použito šifrování. V následném výzkumu jsou analyzovány výkonnostní charakteristiky zpracování zachycené síťové komunikace pouze jedním strojem. Dále je navržena, implementována a vyhodnocena lineárně škálovatelná architektura pro zajištění distribuovaného zpracování na více výpočetních prvcích. Práce je završena zaměřením se na zpracování virtuálních sítí a tunelované komunikace, kde jako modelový příklad bylo zvoleno použití Generic Stream Encapsulation, který doposud nebyl podporován žádným síťovým forenzním analytickým nástrojem. Prezentovaný výzkum je volně dostupný vyjma článků s omezeným přístupem. Tam, kde to bylo možné, byly metody implementovány do nástroje pro forenzní vyšetřování a analýzu sítě s otevřeným zdrojovým kódem - Netfox Detective. Metody byly ověřeny pomocí přiložených datových sad. Všechny datové sady a výsledky jsou volně dostupné a odkazované z příslušných publikací.en
dc.description.abstractThis dissertation is a collection of the author's peer-reviewed papers, with a common topic of computer network forensic analysis, published in journals and conferences in computer science, digital forensics. In contrast to understanding network forensics as a discipline of network security monitoring, this work's merit is to aid law enforcement agency (LEA) officers in conducting network forensic investigations. The distinction lies in putting emphasis on extracting evidence from illicit activities rather than detecting network attacks or security incidents. This work revisits methods used for the forensic investigation of captured network traffic by critically analyzing tools commonly used by LEA investigators. The objective is to identify weaknesses, design solutions, and propose new approaches. Particular interest is given to processing incomplete network communication that typically occurs in low-quality interception provided by Internet Service Providers (ISPs). The proposed method involves omitting missing parts and intelligently rewinding the protocol parsers to pass the missing segments using information from transport and internet layers. This process allowed the creation of novel features for the application protocol identification, thus additionally enabling application protocol identification and finer-grained application identification. Subsequent research analyzed the performance characteristics of single-machine captured network communication and designed, implemented, and evaluated a linearly scalable architecture for distributed computation. Lastly, the problem of overlay and tunneled communication was tackled by thoroughly analyzing Generic Stream Encapsulation (GSE). The presented research is publicly available, except for the limitations enforced by the publishing houses. When applicable, methods have been implemented into the open source network forensic investigation and analysis tool, Netfox Detective, and verified using enclosed datasets. All data sets and results are available and referenced in their respective publications.cs
dc.description.markPcs
dc.identifier.citationPLUSKAL, J. Inteligentní síťové forenzní metody [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.cs
dc.identifier.other153343cs
dc.identifier.urihttp://hdl.handle.net/11012/209423
dc.language.isoencs
dc.publisherVysoké učení technické v Brně. Fakulta informačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectsíťová forenzní analýzaen
dc.subjectidentifikace aplikačního protokluen
dc.subjectzpracování zachycených daten
dc.subjectnetwork forensic analysiscs
dc.subjectapplication protocol identificationcs
dc.subjectcaptured network traffic processingcs
dc.titleInteligentní síťové forenzní metodyen
dc.title.alternativeMethods for Intelligent Network Forensicscs
dc.typeTextcs
dc.type.driverdoctoralThesisen
dc.type.evskpdizertační prácecs
dcterms.dateAccepted2023-05-04cs
dcterms.modified2023-05-04-11:04:39cs
eprints.affiliatedInstitution.facultyFakulta informačních technologiícs
sync.item.dbid153343en
sync.item.dbtypeZPen
sync.item.insts2023.05.13 08:53:29en
sync.item.modts2023.05.13 08:12:45en
thesis.disciplineVýpočetní technika a informatikacs
thesis.grantorVysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémůcs
thesis.levelDoktorskýcs
thesis.namePh.D.cs
Files
Original bundle
Now showing 1 - 5 of 5
Loading...
Thumbnail Image
Name:
final-thesis.pdf
Size:
8.28 MB
Format:
Adobe Portable Document Format
Description:
final-thesis.pdf
Loading...
Thumbnail Image
Name:
Posudek-Vedouci prace-894_s1.pdf
Size:
36.26 KB
Format:
Adobe Portable Document Format
Description:
Posudek-Vedouci prace-894_s1.pdf
Loading...
Thumbnail Image
Name:
Posudek-Oponent prace-894_o1.pdf
Size:
30.07 KB
Format:
Adobe Portable Document Format
Description:
Posudek-Oponent prace-894_o1.pdf
Loading...
Thumbnail Image
Name:
Posudek-Oponent prace-894_o2.pdf
Size:
140.75 KB
Format:
Adobe Portable Document Format
Description:
Posudek-Oponent prace-894_o2.pdf
Loading...
Thumbnail Image
Name:
review_153343.html
Size:
1.64 KB
Format:
Hypertext Markup Language
Description:
review_153343.html
Collections