方法使專家能夠在網(wǎng)絡安全調查中超越IP

普利茅斯大學的網(wǎng)絡安全專家已經(jīng)開發(fā)出一種技術，使數(shù)字取證調查員能夠評估個人的互聯(lián)網(wǎng)使用，而不是僅僅關注使用互聯(lián)網(wǎng)協(xié)議(IP)地址的流量。

傳統(tǒng)上，網(wǎng)絡審查員必須集中精力進行任何數(shù)字調查的知識產(chǎn)權分析，因為它是唯一可用的特征，而實際上調查員希望詢問的是個人而不是計算機。

隨著平板電腦，智能手機和智能手表(IP地址不斷變化)的增長，它不再是一種可靠且一致的方式來理解來自個人用戶的流量。

現(xiàn)在，大學安全，通信和網(wǎng)絡研究中心(CSCAN)的學者已經(jīng)開發(fā)出一種方法，僅使用流量的元數(shù)據(jù)而不是整體有效載荷來識別網(wǎng)絡流量中的個人用戶行為。

這意味著維護用戶信息的隱私，并且即使使用端到端加密通信，該方法也是可行的，端到端加密通信在各種因特網(wǎng)服務中是常見的。

在兩個月內涉及46名用戶的測試中，該應用程序實現(xiàn)了90%的平均識別率，一些用戶的識別性能達到100%。

大學網(wǎng)絡安全和數(shù)字取證教授Nathan Clarke與研究員李福東博士和大學計算機，電子和數(shù)學學院院長Steve Furnell教授一起領導了這項研究。

克拉克教授說：“互聯(lián)網(wǎng)和基于云的應用程序的普及，以及技術演進，已經(jīng)導致用戶依賴于更大的網(wǎng)絡連接 - 從而產(chǎn)生更多的流量 - 比以往任何時候都要多。而互聯(lián)網(wǎng)協(xié)議提供了一定的水平信息，找到一種方法來了解用戶正在做什么，而不僅僅是簡單的機器長期以來一直是網(wǎng)絡分析的圣杯。我們相信這種新方法有可能做到這一點，提供更詳細的個人互聯(lián)網(wǎng)使用情況，但也有助于加強未來的網(wǎng)絡安全。“

該研究發(fā)表在計算機與安全部，是由工程與物理科學研究委員會(EPSRC)資助的為期四年的合作項目的一部分。

在兩個月的時間內，總共累積了大約112GB的IP頭信息(包括138億個單獨的交互或數(shù)據(jù)包)。這包括諸如日期和時間，發(fā)送方和接收方的IP地址，數(shù)據(jù)包長度和流量類型等信息。

但是，當應用專注于元數(shù)據(jù)的普利茅斯應用程序時，它將專門針對46個參與者的數(shù)據(jù)包數(shù)量減少到550萬以下。

研究表明，這種情況的結果是，交通量大大減少 - 超過96% - 并且調查人員必須分析，使他們能夠專注于特定的嫌疑人或使他們能夠忽視交通，并專注于什么是剩下。

克拉克教授補充說：“這些結果向我們提供了一系列分析，表明用戶互動的使用是創(chuàng)建行為概況的可靠手段。我們已經(jīng)在擴展這項工作，并研究如何使其更適用于數(shù)字法醫(yī)調查員，同時努力使互聯(lián)網(wǎng)成為每個人更安全的地方。“