بهبود روش‌های انتساب بار داده در فرآیند جرم‌شناسی شبکه‌های کامپیوتری به کمک فیلتر بلوم سلسله مراتبی در زمان

انتساب حملات سایبری در سطح شبکه‌های کامپیوتری به عوامل آن، یکی از مهم‌ترین مراحل جرم‌شناسی شبکه محسوب می‌شوند. در فرآیند انتساب در برخی موارد تنها به بار داده بسته‌های تبادل‌شده در شبکه دسترسی وجود دارد و از این رو روش‌های انتساب بار داده معرفی شده‌اند. در روش‌های انتساب بار داده باید کل ترافیک در قالب خلاصه ذخیره شده و حریم خصوصی کاربران حفظ شود که برای این منظور از ساختار داده تصادفی فیلتر بلوم استفاده می‌شود. پژوهش‌هایی که تاکنون در این حوزه انجام شده تلاش می‌کنند تا خطای مثبت نادرست فیلترهای بلوم را کاهش داده و نسبت کاهش حجم داده را بهبود دهند ولی تاکنون پژوهش قابل توجهی در خصوص عملیاتی کردن این روش‌ها در سطح شبکه‌های کامپیوتری انجام نشده است. خروجی یک روش انتساب بار داده، باید شناسه‌های جریانی باشد که مشکوک به انتقال نمونه‌ ترافیک مخرب هستند. چالشی که در راستای عملیاتی کردن این روش‌ها در این پژوهش به آن پرداخته شده، زیاد بودن تعداد پرس‌وجوها در فرآیند یک انتساب است. زیاد بودن پرس‌وجوها از زیاد بودن شناسه‌های جریان و فیلترهای بلوم در بازه‌های زمانی طولانی مدت ناشی می‌شود. در این پژوهش راه‌کاری مبتنی بر سلسله‌مراتب زمان ارائه شده که فضای پرس‌وجو را کاهش داده و سعی می‌کند تعداد شناسه‌های جریان که به اشتباه گزارش شده‌اند را کاهش دهد. ارزیابی‌ها نشان می‌دهد در رویکرد مبتنی بر سلسله‌مراتب زمان، احتمال رخ ندادن خطا در برخی از شاخه‌های سلسله‌مراتب وجود داشته و از شناسه‌های جریان مربوط به آن شاخه برای پرس‌وجو صرف‌نظر می‌شود. این موضوع در نهایت می‌تواند به کاهش خطای نهایی سامانه انتساب بار داده منجر شود به‌طوری که مقدار خطای سامانه در سناریوی طراحی‌شده، در روش قبلی برابر با 5.66 درصد بوده و این مقدار به 3.98 درصد کاهش پیدا کرده و 8400 شناسه‌ جریان کمتری به اشتباه گزارش می‌شود.

Improving Payload Attribution Techniques in Computer Network Criminology with Time based Hierarchical Bloom Filter

In the light of increased network attacks, payload attribution is an essential part of any forensics     analysis of the attack. Usually attribution has to be done based on the payload of the packets. In such    techniques network traffic should be stored in its entirety while user privacy is preserved. Bloom filters have been an ideal tool for such requirements. Previous works in this area have tried to minimize the false     positive error rate associated with the bloom filter while improving on the data reduction ratio but there has not been any notable research on practical implementations in computer networks. A payload           attribution technique should provide a list of connections which are suspects of carrying a specific payload (i.e. malware signature). The problem arises with the fact that there are too many queries required, given the large number of connections and the number of bloom filters involved over long time periods, which results in a large aggregate error rate. In this work, we propose a technique with which a timebased     hierarchical bloom filter configuration is proposed to tackle the noted problem. Our evaluation shows that with this proposed technique we are able to limit the false positive error rate of the system as compared to the previously proposed techniques. This leads to an overall error reduction in the payload attribution   system. More specifically, the error rate compared to previous work drops from 5.66% to 3.98% which  results in reducing the number of incorrectly identified flows by 8400.