方法使專家能夠在網絡安全調查中超越IP

普利茅斯大學的網絡安全專家已經開發(fā)出一種技術，使數字取證調查員能夠評估個人的互聯(lián)網使用，而不是僅僅關注使用互聯(lián)網協(xié)議(IP)地址的流量。

傳統(tǒng)上，網絡審查員必須集中精力進行任何數字調查的知識產權分析，因為它是唯一可用的特征，而實際上調查員希望詢問的是個人而不是計算機。

隨著平板電腦，智能手機和智能手表(IP地址不斷變化)的增長，它不再是一種可靠且一致的方式來理解來自個人用戶的流量。

現(xiàn)在，大學安全，通信和網絡研究中心(CSCAN)的學者已經開發(fā)出一種方法，僅使用流量的元數據而不是整體有效載荷來識別網絡流量中的個人用戶行為。

這意味著維護用戶信息的隱私，并且即使使用端到端加密通信，該方法也是可行的，端到端加密通信在各種因特網服務中是常見的。

在兩個月內涉及46名用戶的測試中，該應用程序實現(xiàn)了90%的平均識別率，一些用戶的識別性能達到100%。

大學網絡安全和數字取證教授Nathan Clarke與研究員李福東博士和大學計算機，電子和數學學院院長Steve Furnell教授一起領導了這項研究。

克拉克教授說：“互聯(lián)網和基于云的應用程序的普及，以及技術演進，已經導致用戶依賴于更大的網絡連接 - 從而產生更多的流量 - 比以往任何時候都要多。而互聯(lián)網協(xié)議提供了一定的水平信息，找到一種方法來了解用戶正在做什么，而不僅僅是簡單的機器長期以來一直是網絡分析的圣杯。我們相信這種新方法有可能做到這一點，提供更詳細的個人互聯(lián)網使用情況，但也有助于加強未來的網絡安全。“

該研究發(fā)表在計算機與安全部，是由工程與物理科學研究委員會(EPSRC)資助的為期四年的合作項目的一部分。

在兩個月的時間內，總共累積了大約112GB的IP頭信息(包括138億個單獨的交互或數據包)。這包括諸如日期和時間，發(fā)送方和接收方的IP地址，數據包長度和流量類型等信息。

但是，當應用專注于元數據的普利茅斯應用程序時，它將專門針對46個參與者的數據包數量減少到550萬以下。

研究表明，這種情況的結果是，交通量大大減少 - 超過96% - 并且調查人員必須分析，使他們能夠專注于特定的嫌疑人或使他們能夠忽視交通，并專注于什么是剩下。

克拉克教授補充說：“這些結果向我們提供了一系列分析，表明用戶互動的使用是創(chuàng)建行為概況的可靠手段。我們已經在擴展這項工作，并研究如何使其更適用于數字法醫(yī)調查員，同時努力使互聯(lián)網成為每個人更安全的地方。“