Detail práce
Methods for Intelligent Network Forensics
Tato disertační práce je souborem vybraných recenzovaných prací autora spojených tématem forenzní analýzy počítačových sítí. Práce byly publikovány v posledním desetiletí v časopisech a konferencích zaměřujících se na oblast informatiky se specializací na digitální forenzní analýzu. Tato práce se nedívá na síťovou forenzní analýzu jako disciplínu monitorování síťové bezpečnosti, ale zajímá se o pomoc při forenzním vyšetřování kriminalisty z policejních složek (LEA). Rozdíl spočívá spíše v zaměření se na získávání důkazů o nezákonných činnostech než na odhalování síťových útoků nebo bezpečnostních incidentů.
Práce reviduje metody používané pro zpracování zachyceného síťového provozu při síťovém forenzním vyšetřování. Dále provádí kritickou analýzu síťových forenzních a analytických nástrojů (NFAT), které jsou běžně používané vyšetřovateli bezpečnostních složek (LEA). Analýza spočívá v identifikaci jejich slabin, navrhuje vylepšení a nové přístupy k řešení problémů. Zvláštní pozornost je věnována zpracování neúplné síťové komunikace, ke které běžně dochází při nekvalitním odposlechu poskytovateli internetových služeb (ISP). Řešení spočívá ve vynechání chybějících částí komunikace a inteligentním převinutí analyzátoru aplikačního protokolu, které zanedbá chybějící segmenty s využitím informací získaných z síťové a transportní vrstvy. Vyvinuté metody byly následně použity k obohacení sad funkcí používaných pro identifikaci aplikačních protokolů, které navíc umožňují nejen identifikaci aplikačního protokolu, ale také jemnější identifikaci aplikace. Toto rozšíření může poskytnout užitečné metainformace v případě, že bylo použito šifrování. V následném výzkumu jsou analyzovány výkonnostní charakteristiky zpracování zachycené síťové komunikace pouze jedním strojem. Dále je navržena, implementována a vyhodnocena lineárně škálovatelná architektura pro zajištění distribuovaného zpracování na více výpočetních prvcích. Práce je završena zaměřením se na zpracování virtuálních sítí a tunelované komunikace, kde jako modelový příklad bylo zvoleno použití Generic Stream Encapsulation, který doposud nebyl podporován žádným síťovým forenzním analytickým nástrojem.
Prezentovaný výzkum je volně dostupný vyjma článků s omezeným přístupem. Tam, kde to bylo možné, byly metody implementovány do nástroje pro forenzní vyšetřování a analýzu sítě s otevřeným zdrojovým kódem - Netfox Detective. Metody byly ověřeny pomocí přiložených datových sad. Všechny datové sady a výsledky jsou volně dostupné a odkazované z příslušných publikací.
síťová forenzní analýza, identifikace aplikačního protoklu, zpracování zachycených dat
@phdthesis{FITPT894, author = "Jan Pluskal", type = "Diserta\v{c}n\'{i} pr\'{a}ce", title = "Methods for Intelligent Network Forensics", school = "Vysok\'{e} u\v{c}en\'{i} technick\'{e} v Brn\v{e}, Fakulta informa\v{c}n\'{i}ch technologi\'{i}", year = 2023, location = "Brno, CZ", language = "english", url = "https://www.fit.vut.cz/study/phd-thesis/894/" }