方法使专家能够在网络安全调查中超越IP

普利茅斯大学的网络安全专家已经开发出一种技术，使数字取证调查员能够评估个人的互联网使用，而不是仅仅关注使用互联网协议(IP)地址的流量。

传统上，网络审查员必须集中精力进行任何数字调查的知识产权分析，因为它是唯一可用的特征，而实际上调查员希望询问的是个人而不是计算机。

随着平板电脑，智能手机和智能手表(IP地址不断变化)的增长，它不再是一种可靠且一致的方式来理解来自个人用户的流量。

现在，大学安全，通信和网络研究中心(CSCAN)的学者已经开发出一种方法，仅使用流量的元数据而不是整体有效载荷来识别网络流量中的个人用户行为。

这意味着维护用户信息的隐私，并且即使使用端到端加密通信，该方法也是可行的，端到端加密通信在各种因特网服务中是常见的。

在两个月内涉及46名用户的测试中，该应用程序实现了90%的平均识别率，一些用户的识别性能达到100%。

大学网络安全和数字取证教授Nathan Clarke与研究员李福东博士和大学计算机，电子和数学学院院长Steve Furnell教授一起领导了这项研究。

克拉克教授说：“互联网和基于云的应用程序的普及，以及技术演进，已经导致用户依赖于更大的网络连接 - 从而产生更多的流量 - 比以往任何时候都要多。而互联网协议提供了一定的水平信息，找到一种方法来了解用户正在做什么，而不仅仅是简单的机器长期以来一直是网络分析的圣杯。我们相信这种新方法有可能做到这一点，提供更详细的个人互联网使用情况，但也有助于加强未来的网络安全。“

该研究发表在计算机与安全部，是由工程与物理科学研究委员会(EPSRC)资助的为期四年的合作项目的一部分。

在两个月的时间内，总共累积了大约112GB的IP头信息(包括138亿个单独的交互或数据包)。这包括诸如日期和时间，发送方和接收方的IP地址，数据包长度和流量类型等信息。

但是，当应用专注于元数据的普利茅斯应用程序时，它将专门针对46个参与者的数据包数量减少到550万以下。

研究表明，这种情况的结果是，交通量大大减少 - 超过96% - 并且调查人员必须分析，使他们能够专注于特定的嫌疑人或使他们能够忽视交通，并专注于什么是剩下。

克拉克教授补充说：“这些结果向我们提供了一系列分析，表明用户互动的使用是创建行为概况的可靠手段。我们已经在扩展这项工作，并研究如何使其更适用于数字法医调查员，同时努力使互联网成为每个人更安全的地方。“