Distribuované zpracování síťového provozu pro forenzní analýzu

Kód výsledku v IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F00216305%3A26230%2F16%3APR28759" target="_blank" >RIV/00216305:26230/16:PR28759 - isvavai.cz</a>

Výsledek na webu

<a href="http://www.fit.vutbr.cz/research/prod/index.php?id=491" target="_blank" >http://www.fit.vutbr.cz/research/prod/index.php?id=491</a>

DOI - Digital Object Identifier

—

Jazyk výsledku

čeština

Název v původním jazyce

Distribuované zpracování síťového provozu pro forenzní analýzu

Popis výsledku v původním jazyce

Informace, které vzniknou zpracováním zachycené síťové komunikace se používají pro analýzu. Soubory, které obsahují tyto data můžou být obrovské a množství ukládáných dat roste s velikostí souboru. Paměť RAM přitom nemusí být dostatečná na počítači, kde zpracování probíhá. A Uzavřením aplikace se znemožňuje opětovná analýza bez znovu zpracování. Využitím databáze se nemusí držet přílíš mnoho dat v paměti, ale  postupně načítat záznamy po stránkách. Uložená data v databázi představují již zpracované informace, ze kterých lze rekonstruovat celý provoz. Záznamy se nahrávají po blocích. Pro každý typ záznamu je dynamicky vytvořena procedura, která má deklaruje parametr typ tabulky. V aplikaci se při nahrávání volají procedury, kde jako parametr se zadá tabulka daného typu dat. Distribuovaná aplikace umožňuje rozparsovat odchycený přenos na  distribuovaném systému. Uživatel přepošle bloky syrových rámců na cluster, kde proběhne veškerý výpočet. Komponenty aplikace se skladají z WCF  služeb dvojího typu. Jeden typ služby distribuuje rámce přeposlané od klienta na druhý typ služby, který je zpracovává a nahrává do databáze.

Název v anglickém jazyce

Network Forensics Distrubuted Platform

Popis výsledku anglicky

Processing captured network communication creates information that is used for analysing traffic. Network traffic can result into a large capture files. Magnitude of processed data grows with the size of file. But user's memory does not have to have enough memory to process it. And when the client's application closes, all data is lost so the file has to be parsed again. Here comes the database, because it stores already parsed data. Database does not strain the RAM Memory when data are pulled by pages. Records are loaded by blocks. Application loads records by dynamically created stored procedures. Every stored procedure declares a parameter that defines type of table. When application tries to load the data, it calls the stored procedure with specified parameter. Distributed solution enables to parse the capture file on distributed system. User forwards raw frames on a cluster. Application consist of WCF services. There are two kind of services. First type of service sends frames onto a second type of services. The other kind of service is parsing the frames and loads processed data into a database.

Druh

R - Software

CEP obor

JC - Počítačový hardware a software

OECD FORD obor

—

Projekt

<a href="/cs/project/ED1.1.00%2F02.0070" target="_blank" >ED1.1.00/02.0070: Centrum excelence IT4Innovations</a><br>

Návaznosti

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)<br>S - Specificky vyzkum na vysokych skolach

Rok uplatnění

2016

Kód důvěrnosti údajů

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Interní identifikační kód produktu

Netfox Services

Technické parametry

Pro informace o licenčních podmínkách prosím kontaktujte: Mgr. Michaela Burianová, Výzkumné centrum informačních technologií, Fakulta informačních technologií VUT v Brně,  Božetěchova 2, 612 66 Brno, 541 141 470.

Ekonomické parametry

Volně šiřitelný software poskytovaný pod licencí VUT.

IČO vlastníka výsledku

—

Název vlastníka

Fakulta informačních technologií