Detail práce

Methods for Intelligent Network Forensics

Disertační práce Student: Pluskal Jan Akademický rok: 2022/2023 Vedoucí: Ryšavý Ondřej, doc. Ing., Ph.D.
Název česky
Inteligentní síťové forenzní metody
Jazyk práce
anglický
Abstrakt

Tato disertační práce je souborem vybraných recenzovaných prací autora spojených tématem forenzní analýzy počítačových sítí. Práce byly publikovány v posledním desetiletí v časopisech a konferencích zaměřujících se na oblast informatiky se specializací na digitální forenzní analýzu. Tato práce se nedívá na síťovou forenzní analýzu jako disciplínu monitorování síťové bezpečnosti, ale zajímá se o pomoc při forenzním vyšetřování kriminalisty z policejních složek (LEA). Rozdíl spočívá spíše v zaměření se na získávání důkazů o nezákonných činnostech než na odhalování síťových útoků nebo bezpečnostních incidentů.

Práce reviduje metody používané pro zpracování zachyceného síťového provozu při síťovém forenzním vyšetřování. Dále provádí kritickou analýzu síťových forenzních a analytických nástrojů (NFAT), které jsou běžně používané vyšetřovateli bezpečnostních složek (LEA). Analýza spočívá v identifikaci jejich slabin, navrhuje vylepšení a nové přístupy k řešení problémů. Zvláštní pozornost je věnována zpracování neúplné síťové komunikace, ke které běžně dochází při nekvalitním odposlechu poskytovateli internetových služeb (ISP). Řešení spočívá ve vynechání chybějících částí komunikace a inteligentním převinutí analyzátoru aplikačního protokolu, které zanedbá chybějící segmenty s využitím informací získaných z síťové a transportní vrstvy. Vyvinuté metody byly následně použity k obohacení sad funkcí používaných pro identifikaci aplikačních protokolů, které navíc umožňují nejen identifikaci aplikačního protokolu, ale také jemnější identifikaci aplikace. Toto rozšíření může poskytnout užitečné metainformace v případě, že bylo použito šifrování. V následném výzkumu jsou analyzovány výkonnostní charakteristiky zpracování zachycené síťové komunikace pouze jedním strojem. Dále je navržena, implementována a vyhodnocena lineárně škálovatelná architektura pro zajištění distribuovaného zpracování na více výpočetních prvcích. Práce je završena zaměřením se na zpracování virtuálních sítí a tunelované komunikace, kde jako modelový příklad bylo zvoleno použití Generic Stream Encapsulation, který doposud nebyl podporován žádným síťovým forenzním analytickým nástrojem.

Prezentovaný výzkum je volně dostupný vyjma článků s omezeným přístupem. Tam, kde to bylo možné, byly metody implementovány do nástroje pro forenzní vyšetřování a analýzu sítě s otevřeným zdrojovým kódem - Netfox Detective. Metody byly ověřeny pomocí přiložených datových sad. Všechny datové sady a výsledky jsou volně dostupné a odkazované z příslušných publikací.

Klíčová slova

síťová forenzní analýza, identifikace aplikačního protoklu, zpracování zachycených dat

Ústav
Studijní program
Výpočetní technika a informatika, obor Výpočetní technika a informatika
Soubory
Stav
obhájeno
Obhajoba
4. května 2023
Citace
PLUSKAL, Jan. Methods for Intelligent Network Forensics. Brno, 2022. Disertační práce. Vysoké učení technické v Brně, Fakulta informačních technologií. 2023-05-04. Vedoucí práce Ryšavý Ondřej. Dostupné z: https://www.fit.vut.cz/study/phd-thesis/894/
BibTeX
@phdthesis{FITPT894,
    author = "Jan Pluskal",
    type = "Diserta\v{c}n\'{i} pr\'{a}ce",
    title = "Methods for Intelligent Network Forensics",
    school = "Vysok\'{e} u\v{c}en\'{i} technick\'{e} v Brn\v{e}, Fakulta informa\v{c}n\'{i}ch technologi\'{i}",
    year = 2023,
    location = "Brno, CZ",
    language = "english",
    url = "https://www.fit.vut.cz/study/phd-thesis/894/"
}
Nahoru