آمار
| تعداد نشریات | 36 |
| تعداد شمارهها | 1,192 |
| تعداد مقالات | 8,579 |
| تعداد مشاهده مقاله | 6,989,895 |
| تعداد دریافت فایل اصل مقاله | 4,033,385 |
بهبود روشهای انتساب بار داده در فرآیند جرمشناسی شبکههای کامپیوتری به کمک فیلتر بلوم سلسله مراتبی در زمان | ||
| پدافند الکترونیکی و سایبری | ||
| مقاله 7، دوره 7، شماره 3 - شماره پیاپی 23، آبان 1398، صفحه 71-81 اصل مقاله (746.24 K) | ||
| نوع مقاله: مقاله پژوهشی | ||
| نویسندگان | ||
| زینب ساسان1؛ مهدی خرازی* 2 | ||
| 1کارشناس ارشد دانشگاه صنعتی شریف | ||
| 2استادیار دانشگاه صنعتی شریف | ||
| تاریخ دریافت: 19 شهریور 1397، تاریخ پذیرش: 14 اسفند 1397 | ||
| چکیده | ||
| انتساب حملات سایبری در سطح شبکههای کامپیوتری به عوامل آن، یکی از مهمترین مراحل جرمشناسی شبکه محسوب میشوند. در فرآیند انتساب در برخی موارد تنها به بار داده بستههای تبادلشده در شبکه دسترسی وجود دارد و از این رو روشهای انتساب بار داده معرفی شدهاند. در روشهای انتساب بار داده باید کل ترافیک در قالب خلاصه ذخیره شده و حریم خصوصی کاربران حفظ شود که برای این منظور از ساختار داده تصادفی فیلتر بلوم استفاده میشود. پژوهشهایی که تاکنون در این حوزه انجام شده تلاش میکنند تا خطای مثبت- نادرست فیلترهای بلوم را کاهش داده و نسبت کاهش حجم داده را بهبود دهند ولی تاکنون پژوهش قابل توجهی در خصوص عملیاتی کردن این روشها در سطح شبکههای کامپیوتری انجام نشده است. خروجی یک روش انتساب بار داده، باید شناسههای جریانی باشد که مشکوک به انتقال نمونه ترافیک مخرب هستند. چالشی که در راستای عملیاتی کردن این روشها در این پژوهش به آن پرداخته شده، زیاد بودن تعداد پرسوجوها در فرآیند یک انتساب است. زیاد بودن پرسوجوها از زیاد بودن شناسههای جریان و فیلترهای بلوم در بازههای زمانی طولانی مدت ناشی میشود. در این پژوهش راهکاری مبتنیبر سلسلهمراتب زمان ارائهشده که فضای پرسوجو را کاهش داده و سعی میکند تعداد شناسههای جریان که به اشتباه گزارش شدهاند را کاهش دهد. ارزیابیها نشان میدهد در رویکرد مبتنی بر سلسلهمراتب زمان، احتمال رخ ندادن خطا در برخی از شاخههای سلسلهمراتب وجود داشته و از شناسههای جریان مربوط به آن شاخه برای پرسوجو صرفنظر میشود. این موضوع در نهایت میتواند به کاهش خطای نهایی سامانه انتساب بار داده منجر شود بهطوری که مقدار خطای سامانه در سناریوی طراحیشده، در روش قبلی برابر با 66/5 درصد بوده و این مقدار به 98/3 درصد کاهش پیدا کرده و ۸۴۰۰ شناسه جریان کمتری به اشتباه گزارش میشود. | ||
| کلیدواژهها | ||
| جرمشناسی دیجیتال؛ جرمشناسی شبکه؛ روشهای انتساب بار داده؛ روشهای انتساب بار داده عملیاتی | ||
| عنوان مقاله [English] | ||
| Improving Payload Attribution Techniques in Computer Network Criminology with Time based Hierarchical Bloom Filter | ||
| نویسندگان [English] | ||
| z. Sasan1؛ M. Kharazi2 | ||
| چکیده [English] | ||
| In the light of increased network attacks, payload attribution is an essential part of any forensics analysis of the attack. Usually attribution has to be done based on the payload of the packets. In such techniques network traffic should be stored in its entirety while user privacy is preserved. Bloom filters have been an ideal tool for such requirements. Previous works in this area have tried to minimize the false positive error rate associated with the bloom filter while improving on the data reduction ratio but there has not been any notable research on practical implementations in computer networks. A payload attribution technique should provide a list of connections which are suspects of carrying a specific payload (i.e. malware signature). The problem arises with the fact that there are too many queries required, given the large number of connections and the number of bloom filters involved over long time periods, which results in a large aggregate error rate. In this work, we propose a technique with which a time-based hierarchical bloom filter configuration is proposed to tackle the noted problem. Our evaluation shows that with this proposed technique we are able to limit the false positive error rate of the system as compared to the previously proposed techniques. This leads to an overall error reduction in the payload attribution system. More specifically, the error rate compared to previous work drops from 5.66% to 3.98% which results in reducing the number of incorrectly identified flows by 8400. | ||
| کلیدواژهها [English] | ||
| Network Forensics, Payload Attribution | ||
| مراجع | ||
|
[1] E. S. Pilli, R. C. Joshi, and R. Niyogi, "Network forensic frameworks: Survey and research challenges", digital investigation, vol. 7, pp. 14-27, 2010.## [2] K. Shanmugasundaram, H. Brönnimann, and N. Memon, "Payload attribution via hierarchical bloom filters", in Proceedings of the 11th ACM Conference on Computer and Communications Security, Washington, DC, USA, pp. 31-41, 2004.## [3] D. D. Clark and S. Landau, "Untangling attribution", Harv. Nat'l Sec. J., vol. 2, pp. 323-353, 2011.## [4] B. H. Bloom, "Space/time trade-offs in hash coding with allowable errors", Communications of the ACM, vol. 13, pp. 422-426, 1970.## [5] A. Almulhem and I. Traore, "A survey of connection-chains detection techniques", in 2007 IEEE Pacific Rim Conference on Communications, Computers and Signal Processing, Victoria, B.C., Canada, pp. 219-222, 2007.## [6] S. C. Lee and C. Shields, "Challenges to automated attack traceback", IT professional, vol. 4, pp. 12-18, 2002.## [7] A. Mairh, D. Barik, K. Verma, and D. Jena, "Honeypot in network security: a survey", in International conference on communication, computing & security, ODISHA, India, pp. 600-605, 2011.## [8] A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, et al., "Hash-based IP traceback," ACM SIGCOMM Computer Communication Review, vol. 31, pp. 3-14, 2001.## [9] C. Gong and K. Sarac, "IP traceback based on packet marking and logging", in IEEE International Conference on Communications, Seoul, Korea, pp. 1043-1047, 2005.## [10] S. M. Bellovin, M. Leech, and T. Taylor, "ICMP traceback messages", Internet draft: draftietfitrace 03. txt, 2003.## [11] C. Gong and K. Sarac, "IP traceback based on packet marking and logging", in IEEE International Conference on Communications, Seoul, Korea, pp. 1043-1047, 2005.## [12] L. Fan, P. Cao, J. Almeida, and A. Z. Broder, "Summary cache: a scalable wide-area web cache sharing protocol", IEEE/ACM Transactions on Networking (TON), vol. 8, pp. 281-293, 2000.## [13] F. M. Cuenca-Acuna, C. Peery, R. P. Martin, and T. D. Nguyen, "Planetp: Using gossiping to build content addressable peer-to-peer information sharing communities", in High Performance Distributed Computing, 2003. Proceedings. 12th IEEE International Symposium on, pp. 236-246, 2003.## [14] A. Broder and M. Mitzenmacher, "Network applications of bloom filters: A survey", Internet mathematics, vol. 1, pp. 485-509, 2004.## [15] K. Shanmugasundaram, N. Memon, A. Savant, and H. Bronnimann, "ForNet: A distributed forensics network", in International Workshop on Mathematical Methods, Models, and Architectures for Computer Network Security, Petersburg, Russia, pp. 1-16, 2003.## [16] M. Ponec, P. Giura, J. Wein, and H. Brönnimann, "New payload attribution methods for network forensic investigations", ACM Transactions on Information and System Security (TISSEC), vol. 13, pp. 15-47, 2010.## [17] Chen, Yan, et al. "CAS: Content Attribution System for Network Forensics." International Conference on Trustworthy Computing and Services. Springer, Berlin, Heidelberg, 2014.## [18] Wei, Yichen, et al. "Winnowing multihashing structure with wildcard query." Asia-Pacific Web Conference. Springer, Cham, 2014.## [19] Hosseini, S. Mohammad, and Amir Hossein Jahangir. "An Effective Payload Attribution Scheme for Cybercriminal Detection Using Compressed Bitmap Index Tables and Traffic Downsampling." IEEE Transactions on Information Forensics and Security 13.4 (2018): 850-860.## [20] M. H. Haghighat, M. Tavakoli, and M. Kharrazi, "Payload attribution via character dependent multi-bloom filters", IEEE Transactions on Information Forensics and Security, vol. 8, pp. 705-716, 2013.## [21] L. Zhang and Y. Guan, "TOPO: A topology-aware single packet attack traceback scheme", in Securecomm and Workshops, Securecomm and Workshops, 2006, pp. 1-10, 2006.## | ||
|
آمار تعداد مشاهده مقاله: 367 تعداد دریافت فایل اصل مقاله: 244 |
||