Enabling non-expert analysis of large volumes of intercepted network traffic

The Fourteenth Annual IFIP WG 11.9 International Conference on Digital Forensics (Digital Forensics 2018), New Delhi, India, 3-5 January 2018Telecommunications wiretaps are commonly used by law enforcement in criminal investigations. While phone-based wiretapping has seen considerable success, the same cannot be said for Internet taps. Large portions of intercepted Internet traffic are often encrypted, making it difficult to obtain useful information. The advent of the Internet of Things further complicates network wiretapping. In fact, the current level of complexity of intercepted network traffic is almost at the point where data cannot be analyzed without the active involvement of experts. Additionally, investigations typically focus on analyzing traffic in chronological order and predominately examine the data content of the intercepted traffic. This approach is overly arduous when the amount of data to be analyzed is very large. This chapter describes a novel approach for analyzing large amounts of intercepted network traffic based on traffic metadata. The approach significantly reduces the analysis time and provides useful insights and information to non-technical investigators. The approach is evaluated using a large sample of network traffic data

Secure peer-to-peer communication system

Hlavním cílem této diplomové práce je implementace obecného zabezpečeného peer-to-peer komunikačního systému. Systém má schopnost zcela automatizovaně navázat a provozovat zabezpečené spojení mezi koncovými uzly komunikace. Tuto schopnost má i v případě, kdy se v cestě k cílovému systému nachází překladače síťových adres, bez nutnosti explicitně tyto překladače konfigurovat. Zabezpečovací procedury tohoto systému jsou transparentně skryty před jednotlivými síťovými aplikacemi, které tento problém musely řešit každá samostatně. Odpovědnost za bezpečnost je přenesena na aplikačně nezávislý subsystém pracující v rámci jádra operačního systému. Bezpečnost tohoto subsystému je založena na zachytávání odchozích a příchozích IP paketů a jejich autentizaci a šifrování. Systém se podařilo implementovat na operačním systému Microsoft Windows XP, v programovacím jazyku C++. Byla změřena přenosová rychlost komunikačního tunelu systému na různých šířkách pásma sítě. Výsledky ukazují, že při použití systému na běžných dnešních počítačích nedochází k prakticky žádnému zpomalení přenosové rychlosti oproti nešifrovanému kanálu.The main aim of this master's thesis is to implement a common, secure and peer-to-peer communication system. The system has ability to automatically establish and run a secure end-to-end connection. It has this ability even if a network address translator is in the way to the destination system, without need of any explicit configuration of this translator. The security procedures of this system are in a transparent manner masked from individual applications, which had to solve this challenge in their own way. A responsibility for a security is delegate to an application-independent subsystem working within the core of an operating system. The security of this subsystem is based on capturing the outbound and inbound IP packets and their authentication and encryption. The system was successfully implemented in MS Windows XP operating system, in programming language C++. Transfer rate of communication tunnel in different network bandwidth speeds was measured. Result shows, that in the case of use the system on standard PC sold nowadays is practically no decrease of the transfer rate in comparison to a common channel.

Design and implementation of an UDP/IP Ethernet hardware protocol stack for FPGA based Systems

The main objective of the thesis has been the design and implementation of a complete UDP/IP Ethernet stack that allow us the connection and use of networks by any FPGA device. The stack has been designed around Ethernet, IPv4 and UDP protocols as it was wanted a fast and scalable way of distant communication. Other protocols have been added as a complement in order to improve its operation like ARP and DHCP. The project has focused around the implementation of this stack as a generic IP core, but it has been extended further on with the implementation of an initial data acquisition interface (DAQ) that would allow us to transmit the information of its channels to the network. At the end, the project has been successfully implemented in a real FPGA system. And all the tests have been passed with minimum packet loss, from simple operational test to more final ones like the test of a DAQ service interface

IP traceback with deterministic packet marking DPM

In this dissertation, a novel approach to Internet Protocol (IP) Traceback - Deterministic Packet Marking (DPM) is presented. The proposed approach is scalable, simple to implement, and introduces no bandwidth and practically no processing overhead on the network equipment. It is capable of tracing thousands of simultaneous attackers during a Distributed Denial of Service (DDoS) attack. Given sufficient deployment on the Internet, DPM is capable of tracing back to the slaves for DDoS attacks which involve reflectors. Most of the processing is done at the victim. The traceback process can be performed post-mortem, which allows for tracing the attacks that may not have been noticed initially or the attacks which would deny service to the victim, so that traceback is impossible in real time. Deterministic Packet Marking does not introduce the errors for the reassembly errors usually associated with other packet marking schemes. More than 99.99% of fragmented traffic will not be affected by DPM. The involvement of the Internet service providers (ISP) is very limited, and changes to the infrastructure and operation required to deploy DPM are minimal. Deterministic Packet Marking performs the traceback without revealing the internal topology of the provider\u27s network, which is a desirable quality of a traceback scheme

Dicoogle: analysis platform to medical imaging networks

Mestrado em Engenharia de Computadores e TelemáticaO uso de sistemas de informação em instituições de saúde tem aumentado nos últimos anos. O crescente uso de sistemas computacionais tem feito aumentar a produtividade e qualidade dos serviços prestados nas instituições de saúde. Estes sistemas geram uma quantidade enorme de informação digital que pode ser processada e analisada para extrair métricas relevantes para a prática clínica. Contudo, existem poucos sistemas que permitam agregar informação proveniente das várias fontes de dados existentes nas instituições médicas. Além disso, existem algumas fontes de dados que raramente são usadas e permitem extrair informação potencialmente útil para avaliação e optimização dos fluxos de trabalho e da qualidade dos serviços prestados. Esta dissertação apresenta um sistema baseado em sensores de informação, capaz de recolher informação de várias fontes existentes em departamentos de imagiologia. O sistema permite que os utilizadores analisem e estudem a informação recolhida. Adicionalmente o sistema permite obter métricas de avaliação do desempenho e qualidade dos serviços prestados. Estas métricas são importantes para avaliar, planear e optimizar os serviços, numa época em que a racionalização de recursos na saúde é uma realidade.The usage of information systems in healthcare institutions has increased in recent years. The growing use of computer systems has increased the productivity and quality of provided services by medical institutions. These systems can generate a huge amount of digital information. This digital information can be processed and analyzed to extract relevant metrics for the clinical practice. However, there are few systems capable of assemble multiple data sources within a medical institution. Moreover, there are some data sources that usually are not used to extract information that can be useful to evaluate and optimize the workflows and the quality of provided services. This thesis presents a system based on information sensors, capable of collecting information from several sources found in radiology departments. This system allows users to analyze and study the collected information from the various sources. The system also retrieves metrics for evaluating the performance and quality of provided services. These metrics are important in planning and service optimization, at a time when the rationalization of resources in healthcare is a reality

Uma proposta de gerenciamento para a rede catarinense de ciencia e tecnologia

Dissertação (Mestrado) - Universidade Federal de Santa Catarina, Centro TecnologicoA importância do processo de gerenciamento de redes, suas possibilidades de uso e seus benefícios são ressaltados, especialmente quando aplicado em um backbone de âmbito regional. Neste sentido é apresentada uma proposta de gerência para a Rede Catarinense de Ciência e Tecnologia - RCT. Trata-se de uma contribuição para a sua administração e operacionalização (buscando sempre as melhores condições de funcionamento) com o objetivo também de colaborar com a disseminação e dismistificação desta cultura. A RCT, inicialmente projetada com 21 pontos de presença distribuídos em 14 cidades, encontra-se em fase de ampliação; serão 59 pontos beneficiando diretamente 36 cidades. Sua concepção e implementação são descritas com o registro dos principais fatos, de seus pontos de presença, das instituições que a compõem, de sua atual fase de desenvolvimento, etc. O modelo de gerenciamento OSI, com sua arquitetura CMIP é apresentado, assim como a classificação das necessidades de gerenciamento, de acordo com o modelo funcional (falhas, desempenho, configuração, contabilização e segurança). Relaciona-se também um conjunto de RFC's que definem a arquitetura SNMP-Internet, a SMI e sua árvore de registros, os tipos de acesso e aspectos característicos de uma comunidade e, complementarmente, em que consiste um sistema de gerenciamento de redes. São apresentadas algumas ferramentas básicas de gerenciamento ad hoc e relacionadas às MIB's disponíveis, com destaque para a MIB privada Cisco e a netView6000SubAgent. Com o enfoque voltado ao cliente, conforme os atuais conceitos de qualidade total, passou-se à definição do público-alvo, segmentado de acordo com suas necessidades e a forma de atendê-las (responsáveis pela tomada de decisão, grupos de gerência de redes e usuários da Internet). Para o conjunto de usuários da Internet estão disponíveis informações relativas à distribuição de tráfego ao longo do dia nas diferentes linhas de comunicação do backbone, monitoradas com urn aplicativo de domínio público (Routers-stats), O uso de um aplicativo comercial (AIX SystemView SetView 6000 for AIX), em função do maior número de recursos disponíveis, tanto em monitoração como em controle, está voltado a atender às necessidades do grupo, de gerência de redes. Analisa-se a freqüência de polling para a monitoração de tráfego, indicam-se as variáveis das MIB's mais adequadas a receberem acompanhamentos e também os indicadores derivados destas e considerados importantes (taxa de utilização do canal de comunicações, problemas no canal de comunicações, taxas de descarte de pacotes, taxa de erros e utilização da estação de trabalho). Aos responsáveis pela tomada de decisão recomendam-se relatórios específicos, especialmente preparados para a necessidade em questão, procurando evitar relatórios técnicos e rotineiros. Face à dinamicidade da RCT, seja em função de seu crescimento (aumento do número de pontos e/ou tráfego) ou em relação à adoção de novas tecnologias (implantação do ATM entre Ufsc e Udesc, etc.) ou face à evolução das ferramentas de gerenciamento, é fundamental a contínua reavaliação desta propostas, abrindo amplas possibilidades para a continuidade deste trabalho