下一代数字法庭准备BYOD框架

文摘

英特尔的“自带设备”(BYOD)采用迅速成为流行的工作场所作为替代解决方案的策略。它使员工使用个人存储设备上执行业务活动,从而提高生产力和员工的满意度。然而,BYOD也带来了相关的风险的指数增长的网络安全事件,由于商业生态系统被破坏,支离破碎。虽然开发了几种方法和机制,采用与BYOD减轻风险,但它仍然是一个挑战,公司网络被暴露于固有威胁景观BYOD所造成的威胁。这项工作表明特别是两个关键方面:首先关注如何检测和保护环境BYOD先进水平的攻击无法被传统的工具和技术虽然可用工具非常有效。关键基础设施的攻击和伤害之前由于BYOD威胁,策略的确是关键要求检测攻击和保护环境。研究的第二部分着重开展法医调查模型,开发出一种新方法通过提供一个可靠的法医调查发现数字证据的基础设施和检测攻击的来源。本研究工作得出两种不同的新颖的战略思想。第一部分有助于检测和防止恶意活动的一种新方法否则不能由IPS等传统安全技术检测和保护,id, AntiBot或杀毒。拟议的技术比现有的方法导致了重大贡献的识别威胁攻击发生之前。 The second part of the research contributes to the defining of a new approach of the next-generation digital forensic readiness (NG-DFR) model in order to build a cyber forensic ecosystem so that cyber secured BYOD environment can be enabled safely.

1。介绍

带上你自己的设备(BYOD)基本上是信息技术(IT)的消费化,员工使用个人设备在企业网络。它有助于节省成本和提高员工生产力的组织和参与。采用BYOD技术在企业导致企业生产力的增加和增强协作和业务敏捷性。

自备设备(BYOD)变成了一个规则,而不是例外。技术改造的关键作用是每一个CIO和IT领导的组织。根据Gartner的研究,BYOD用户会在2022年增加了75%1从2018年的35%。到2021年(2),最大组织预计将使用物联网;大约94%的企业将采用物联网按照微软的报告。COVID-19全球大流行期间的情况,要求BYOD甚至成倍增加。

BYOD基础设施提供互联网访问的员工,而员工是受信任的用户访问企业的基础设施,这是为了是安全的。客人的用户访问也是特性BYOD提供访问合作伙伴/客人使用self-registration门户或赞助的门户。BYOD解决方案采用的初始阶段期间,大多数的组织没有给通过公司网络由于涉及安全风险。然而,在以后的阶段,组织开始朝着积极方向发展意识到个人移动设备是员工日常生活不可或缺的一部分。BYOD连接不可信的外部设备的企业无线网络基础设施,网络安全风险和增加数据泄漏事件。可以使用BYOD执行恶意活动。非托管设备可能不是标准的安全实践后,不得按照行防御恶意内容(3]。一项研究得出结论说,62%的数字事件引发的内部用户有意或在不知情的情况下4]。使用BYOD服务,用户可以访问内部网络和云网络,并执行恶意操作,损害的潜在的数据会导致组织的声誉损失。数据盗窃,影子,网络安全构成BYOD关注的重要问题。在BYOD安装恶意软件和连接到互联网也可以导致严重的损害,是一个主要的安全风险。虽然实现BYOD法律方法的缓解不容忽视5),每个阶段的BYOD安全政策应该总是符合保护内部网络,数据和应用程序。BYOD系统已成为一个巨大的安全风险(6]。访问公司基础设施使用BYOD设备可能属于员工,供应商,或合作伙伴使企业数据保护组织的主要问题;同时,孤立的个人数据是需要员工的隐私。在一项研究中,BYOD安全影响评价进行机场智能系统表示妥协BYOD设备会影响机场系统的完整性和可用性(7]。安全漏洞在网络基础设施方面更BYOD服务是提供给员工、合作伙伴和员工。

网络攻击和安全风险在机场安全是一个国家的主要风险(8由于BYOD]。BYOD可能成为“带上你自己的危险”(9)如果没有适当的安全控制执行,如果犯罪后的解决方案不包括法医调查。

由于漏洞,网络攻击周期性增长。根据CVE [10),图1代表了漏洞的增长。脆弱性的增加也增加了攻击。

数字法庭准备(DFR) BYOD基础设施是一个模型,检测到攻击者的活动和行为使用蜜罐,欺骗技术。广泛的研究已经进行了改善DFR方法和CTI(网络威胁情报)进行数字法医调查和减少时间和成本。90.73% (11准确性水平是实现事故后分析问题的根源。

瞻博网络调查显示,80%的BYOD设备将不受保护的。需要数字法医基础设施BYOD技术来提供安全保障。缺乏主动安全模型在BYOD架构会导致数字法医调查。大规模集群部署BYOD基础设施需求数字法庭准备基础设施的先进模型的实践发现和调查(12]。

互联网用户使用物联网/ BYOD正呈几何级数增长的每个组织,公共环境,智能城市环境。网络恐怖主义的定义是故意使用电脑或网络通信设备使用公共网络破坏个人目标的关键公共和私人基础设施可能是政治或意识形态。政府和公共/私营部门必须准备应对这一重大犯罪。网络犯罪率也呈指数级增长,这是一个具有挑战性的领域来处理和调查事件之后。印度政府已采取行动来提高一个国家的基础设施网络犯罪法医实验室(NCFL),开始一个新项目称为网络预防意识&检测中心(CyPAD)如上所工会内政部长在2019年2月18日(13]。联邦内政部长指出,网络犯罪已经成为一个巨大的挑战来处理。不同的问题:政府或私人组织如何处理如此大的网络法医调查和网络欺诈管理在智能城市环境物联网用户在大量或BYOD用户每天都在增加吗?谁来做这个调查?如何处理这些罪行?如何让BYOD /物联网用户的犯罪活动日志吗?

这些问题可以通过发展和实施网络安全解决BYOD基础设施。攻击后,需要在BYOD法医调查。主要组件(数字法医调查中14]计算机法医网络法医数据库法医移动法医

数字法医或网络法医理想情况下将包括组件(15](a)人类,数字证据,(b)和(c)的过程,它作为一个参考点。网络攻击分析,事件后重建,可再生的和可核查的结果,是一个内联要求法律行动在数字法医调查(16]。BYOD拥有所有这些组件覆盖在法医调查。威胁事件后发现和攻击的来源8在取证)发现需求;例如,小说研究自动识别人类行为基于手写(17]。

另一方面,云计算的采用率有望到2020年的83% (18]。增加的速度云采用增加了BYOD速度更大的需求。所有的组织都是采用云服务为不同的应用程序和漫游用户服务,由于需求增加工作在任何地方的任何设备增加了BYOD需求。同时,BYOD安全和网络法医调查从企业网络和云网络是重要的担心,需要照顾。

是一种严重的需要BYOD取证BYOD设备最重要的组件在取证和证据的来源19]。由于增加了网络事件,收集,保存,分析数字证据事件后,呈现完整的分析是必需的。

本文的组织结构如下:部分2讨论了相关工作,其次是设计和方法部分3然后结果部分4。比较和分析提供了部分5。提出的新模型NG-DFR部分中解释6。部分7担忧NG-DFR生态系统模型。讨论在一节8,贡献的研究部分9节中,未来的研究领域10,和结论部分11。

2。相关工作

大部分研究在这一领域进行了从数字取证的黄金时代(1997 - 2007),直到今天,这是不足以完成作为标准,有必要分析模块(20.数字取证方法。由于采用新技术,部署方法也在改变,没有单一的减排技术(21]方法的攻击继续改变。因此,连续演化的法医技术需要如上所述在德勤的研究22]。没有单一的约定数字法医过程开发(23]。下面列出了一些现有的方法和技术。

2.1。蜜罐技术

欺骗蜜罐技术一直在探索检测威胁BYOD 2016年基础设施。这让事件后做根本原因分析(12]。一种改进的扩展研究的通用数字法医BYOD使用蜜罐技术准备模型12再次)是在2019年进行威胁情报平台用于检测事件,和准确性进行了分析(11]。使用审计日志的恶意活动从威胁情报收集,收集的精度进行了分析,发现90.73%,96.16%,93.71%11]。随后,蜜罐与网络集成风险管理过程的五个防范任务领域的联邦应急管理局(联邦应急管理署)[24]。

2.2。加密区块链的取证方法

的加密区块链验证过程研究了记录系统已经用于BYOD用户的安全认证。证据收集法医调查也被覆盖使用记录(25]。此外,数字记录系统的方法已被用于多因素身份验证过程(25]。这种分类使得一个更简单的方法进行数字证据调查犯罪/恶意活动后,例如,图像烟雾去除技术(26),转发机制,或逆转机制dual-tree复小波变换(DTCWT) [27]。使用先进的入侵检测和分布式分类技术在物联网环境下通过识别恶意活动和寻找攻击的来源,存储数字证据是探索,数字可以进行数字调查收集证据(28]。

2.3。步建立威胁模型

步(29日)基于BYOD威胁模型和分析提出了互动BYOD威胁。BYOD内部和外部的威胁与分析了企业网络安全威胁和法医BYOD可以被理解。反向采用加密使用组加密传输BYOD流量的VPN (GETVPN)方法是一种新颖的方法来检测恶意活动和减少威胁。因此,法医分析机制分析了内部和外部交通的威胁(30.]。

2.4。智能城市物联网云计算数据安全取证

云上的数据安全也是一个重要的方面被认为是在云中存储数据没有足够的控制。因为云数据不是一个企业控制数据中心,所以数据访问未经授权的实体是一个风险。数据完整性为postincident法医分析是一个重要的参数。法医分析和发现问题的根源是重要的观点已被高亮显示。人工智能也已指出的一个主要领域。安全威胁的识别是研究[31日]。

2.5。物联网移动取证

智能手机物联网设备的痕迹被用来寻找法医调查事件的日志。从物联网设备和分析提取日志日志捕捉Wireshark发现数字证据构成的一个方法(32]。使用智能手机设备,收集存储日志的智能手机,和重构犯罪的事件是非常有用的案例研究在DFRSW(数字法医研究研讨会)。从数字物联网设备获取信息和分析使用多个工具像Wireshark33)是重要的发现的数字证据的犯罪34]。

2.6。集成的数字取证和法医科学

收集数字证据的任务从一个动态的物联网环境是非常复杂的。由于缺乏适当的工具和技术,过程变得非常具有挑战性35]。一个重要的研究是关于不同的集成进行法医科学构建一个智能生态系统的法医学36]。虽然各种机制是实现减少安全攻击,在某些情况下图像处理减少了计算速度也被解决在nondominated遗传算法(37]。可以创建一个强大的数字法医生态系统的合作不同的工具、技术,和网络法律,和法医专家可以集成在一起。

根据2018年的一个IBM研究,77%的组织没有一个一致的网络安全事件响应计划(CSIRP) [38),即使在通用数据保护监管(GDPR) 2018年5月以来一直在影响(39]。平均需要23.6个小时(40)来解决网络犯罪的后果。这表明,网络安全是一个严重的需要先进水平反应系统,网络防御机制和网络法律机制。

如果BYOD网络取证机制可以开发这样的事件可以分析检测犯罪提供足够的证据,然后BYOD网络法医生态系统可以是一个更可靠的组织环境。

本研究表明公然BYOD恶意活动法医分析的结果,可以帮助组织实现网络防御和网络法医BYOD环境中的生态系统。

2.7。无线无人机法医准备模型

无线法医准备模型探讨了与无人机专用法医服务器架构在2011年。包解密和Wireshark分析是识别攻击(41),数字证据的收集是探索。收集的日志后,分析无线局域网流量使用网(23)是另一种方法探索进行数字法医调查。

正如上面所讨论的,一个不同的BYOD网络取证模型一直在探索各种切线,但由于指数增加的网络攻击工具和技术,有一个明确的需要在这一领域的进一步发展。因此,本研究的目的是首先确保BYOD基础设施使用流量加密和第二开发BYOD法医调查使用检查喷砂。

3所示。网络取证模型:NG-DFR

3.1。高级数字法庭准备BYOD模型

本节提供了一个高层次的数字法庭准备模型。先进水平的新一代数字预计法医准备模型。本研究进行了检测网络攻击,保护基础设施免受威胁,并开发一个postincident法医调查过程。作为数字法医蜜罐技术准备(DFR) [12)是不够的,大规模的证据发现技术是必需的,欺骗的技术已被用于数字法庭准备。作为数字法医的组件或网络法医调查包括(15](a)人类,数字证据,(b)和(c)过程中,先进的数字取证模型的模型需要包含所有这些参数。一个事件后,发现攻击的威胁和跟踪源(8)成为一个主要的要求,基于当前和预测未来的攻击攻击也很重要,例如,在一个引擎未来流要求是基于当前流(42]。主要组件包括在这项研究在图表示2。

DFR模型包括人员、流程、技术、数字法医的基础设施,和执法。

3.2。详细的DFR模型架构

研究中的架构BYOD是按标准设计完成的。使用多个OEM产品。最初,BYOD设置是实现正常的上网使用公司的无线基础设施。

相同的无线基础设施用于企业无线和BYOD服务。身份服务引擎[43)是用于身份验证和背靠背的用户标识作为Microsoft Active Directory。表1在研究显示了组件的使用。

组件用于测试验证分支之间的交通位置和中央位置表表示2,紧随其后的是额外的法医在研究/调查组件用于狩猎和威胁分析表3。

3.2.1之上。BYOD架构的实现

BYOD架构发起成立交通从两个不同的来源。

第一类BYOD交通中提到的表4。

在这个研究中,我们进行了两个不同场景的BYOD法医流量分析。

(一)场景1。分析检查喷砂:数字3和4显示BYOD架构和整体交通流与喷砂作为法医分析机制。

图中使用的索引3演示中提到的表5。

场景2 (b)。与帕洛阿尔托法医皮层和云实例分析BYOD法医分析:在这个场景中,我们进行了一次分析BYOD法医交通与帕洛阿尔托皮层。

图4显示附加组件中使用的测试。

在第二个场景中使用的附加组件展示在表6。

在研究在第二个场景中,附加组件用于BYOD交通法医分析皮层帕洛阿尔托网络和帕洛阿尔托预防820年作为威胁,以及帕洛阿尔托云威胁管理使用。

3.2.2。BYOD用户的身份验证机制和新员工培训的过程

身份验证和新员工培训安全机制是使用基于证书的身份验证(43]。在研究过程中,对认证过程和交通流进行验证,在DMZ中防火墙端口是允许的。

打开的端口在DMZ中防火墙研究指数6(数字3和4)沟通表列出BYOD管理交通的目的7。

3.2.3。网络防御准备BYOD基础设施

实现BYOD之后,这样的积极的方法可以检测并防止恶意活动减少的威胁和风险。实施种族隔离和加密的身份验证GETVPN流量减少的威胁在MPLS (44]。交通是加密和隔离使用GETVPN / MPLS也减少了最初的基础设施和保护内部基础设施的风险。

3.2.4。法医准备BYOD实现

我们进行了一个两阶段的研究,在研究的第一阶段,我们使用检查威胁狩猎点喷砂机制,模拟的威胁,和法医调查(45]。喷砂检查管理服务器上实现。对于法医调查,我们也使用一个法医模块检查的发现攻击和恶意活动日志的来源。集群的多个网关进行犯罪分析用于大规模部署相关的视图(12]。

在第二阶段的研究中,我们使用了帕洛阿尔托皮层是一个基于ai帕洛阿尔托网络防御机制和防火墙安全平台捕捉BYOD威胁交通管理和分析以及全景和报告。

4所示。结果

实施BYOD数字法医基础设施后,我们已抓获并分析结果。结果也相比,显著进步的网络防御机制BYOD法医已经观察到。聚类的方法实现了多个事件和恶意活动。捕获的恶意活动也使用Wireshark日志,并分析(33]。恶意软件创建测试恶意活动,postincident法医进行了调查,结果被捕。

4.1。检测关键攻击BYOD和法医分析

以下4.4.1。关键攻击视图

基于恶意活动进行的分析和检测在BYOD环境中,数字5代表了一个关键的合成法医分析攻击。这是捕捉到的端点使用点喷砂检查工具。袭击发生和拍摄进程ID 9232攻击,恶意软件的入口之后,文件被重命名和删除BYOD环境。

故意恶意活动执行,结果被捕,发现木马BYOD试图破坏系统的环境检测。它试图破坏关键基础设施。

4.1.2。皮层的关键攻击视图从法医分析视图

同样,从帕洛阿尔托皮层,攻击信息捕获和分析。攻击后BYOD基础设施,开展了调查完成按图分析6。

结果从皮质明显反映在图6。

4.1.3。从皮层关键攻击日志

在调查过程中,关键的攻击信息进一步分析了原始日志跟踪攻击的来源。源IP地址和目标表8。

IP地址的攻击是172.28.15.14、172.28.3.220和172.28.1.164 BYOD设备中使用的内部IP地址。在调查过程中,我们明显发现用户和恶意用户执行的活动。敏感和健壮的分析是这样做,手工传统的结果可以与模拟分析结果为分析如何在压力释放的研究(46]。

这交通被捕的架构图4和索引23。恶意流量在皮层和网络防御系统是建立防止这些攻击,表所示5。

4.1.4。法医分析从BYOD端点

从网关水平分析的恶意活动后,下一阶段开展了调查从端点从喷砂后确定攻击源。威胁模拟结果显示了绝对的恶意活动端点BYOD设备如图7。

结果表明,恶意行为检测的preauthentication BYOD用户,与preauthentication段IP地址(192.168.1 . x)。钓鱼攻击的数据包被攻击后,和攻击的细节图表示8(一个)。

这个包的源IP地址172.28.1.164,攻击类型是网络钓鱼攻击,也从思科标识用户身份是追踪服务引擎在测试期间按图3,指数9所示。用户身份被确认后的攻击。这个结果被捕后检测端点执行反向分析从喷砂网关水平。日志被抓获的法医分析案例从表BYOD网关根据事件类型9。

这种攻击被捕的日志事件之后,我们的威胁进行了分析。a4640108-ce8b-af06-5dd7-9aa500050000攻击ID。交通流量172.28.1.164攻击,解密在网关级别。此外,在结果中可以看到,系统“Windows 10.0企业版”和“Gen.SB。exe”访问的系统中检测到c: \ \ \ \ imanali \ \用户桌面\ \ 340 s.exe。最后,木马检测。

提到威胁景观细节被捕。

这是工件BYOD威胁分析具有不同风险后,攻击,和法医的信息。

4.1.5。BYOD环境网络攻击分类分析

在研究,综述了BYOD环境中不同的攻击类型和分类风险和临界。攻击分类框架进行了分析。不同的攻击事件是陷害。

我们总共966包捕获从检查分析具有不同风险程度。基于风险,分类的流量分析结果如图9。

攻击分类框架被按斜方ATT&CK如图10。

5。现有技术的比较和分析

进行研究比较和分析后,我们的主要重点是找出这个模拟的独特性。结果和结果比较与现有可用的威胁检测过程的模型。而现有方法和技术非常有效地检测已知的威胁和保护已知的威胁,DNS层安全保护机制是不够的。根据思科的研究中,91%的恶意软件攻击是DNS层(47]在大多数组织没有一个机制来检测和保护。沙盒的未知威胁的组合,可以解决方案是有效的,但由于威胁景观逐日增加新的行为,甚至是一个有效的解决方案并不是减轻新的先进的威胁。为了更好的理解,使用图形表示在图11提供解决方案和局限性。

图12显示了限制的缓解新零日恶意软件攻击。

全新或零日攻击无法被探测到,这可能扰乱等业务系统攻击仿真所示。

为了缓解这种情况,一个先进水平的检测和保护机制是即将到来的要求。

这项研究有一个潜在的机制检测攻击目标系统内存或CPU级别的攻击。如表所示8系统级攻击,观察在流程级别执行命令。

这是一个零日攻击,没有被杀毒,AntiBot或“诱导多能性”,这是一个全新的恶意代码攻击BYOD环境。甚至定期沙盒机制没有检疫或阻止它。

先进的威胁检测模型的架构提出了研究如图11。

该模型是事件的顺序如图所示11。在序列1中,CPU开始处理,操作系统和虚拟机监控程序是运行在2序列3。设置最低要求后,应用程序通过访问任何本机应用程序。监控CPU活动序列5中,在这个过程中是一个关键的集中区域。如果发现任何恶意活动在序列6中,异常检测和保护机制被称为序列7和8。序列9保护系统在攻击之前所以BYOD环境不能被利用。

比较和效益的新技术提供了表10。

现有机制的比较和建议的机制是一个全面的技术在保护组织潜在攻击之前通过分析恶意的行为活动的CPU BYOD环境水平。

6。提出网络法医NG-DFR模型

分析后的结果,一个网络取证模型的先进水平的概念是正式的。下一代数字法医(NG-DFR)模型提出了完成调查的过程。这个模型提出了与主要组件BYOD流程定义,然后BYOD技术支持,威胁狩猎机制作为第三组件,此后4组件保护机制,最后司法过程,法律,执法作为第五组件。所有这五个组件的协作方法提出了网络取证环境中构建一个网络法医的生态系统。主要的5个组件模块描述证明下一代DFR的概念模型。

6.1。BYOD网络取证流程定义

的首先任务是流程布局BYOD环境。网络安全框架BYOD政策就是不可信的设备在关键基础设施提供访问资源。在这个阶段,安全策略定义是陷害。后检测机制的政策环境框架,这可以包括多个技术和过程。在这个阶段,攻击检测机制是陷害。后检测策略违规和接受政策定义事件处理机制和安全操作中心机制定义多个产品的集成,和技术框架定义在这个阶段。最后,完整的安全姿势框架是躺在这一阶段,如图2。

6.2。BYOD技术支持

BYOD技术支持是一个重要的关键领域在这个提议NG-DFR的概念。不同的产品和技术支持的完整服务。在选择产品和技术,需要考虑的最重要的因素是不同的产品和技术的集成。如果先进水平放置网络和安全产品和技术,但所有这些不互相交谈,然后威胁情报NG-DFR将是一个挑战。因此,在这个阶段,主要服务支持产品和技术因素在一个集成的工作方式,这样每一个威胁可以追踪没有任何数据包流的打破。如图4、集成以及皮质的数据完成湖。除了这个图3、集成下一代端点保护也介绍了狩猎的过程,使关键基础设施的威胁。在本节中,实际威胁探测技术结合BYOD用户的身份验证。安全认证后,新员工培训43),检测的恶意流量机制提出了(48]。日志管理和沙盒流量分析被认为是在这个阶段。

6.3。威胁狩猎框架

最重要的法医调查生态系统发展的关键部分是捕猎的威胁机制。监控是一个持续的行动来收集活动日志潜在威胁检测网络取证系统。攻击后,发现攻击的来源是一个关键的任务(8]。检测的恶意49)交通确实是一个主要依赖技术要求在网络司法机制介绍在这个阶段。主要在本节中,为了进行日志分析跟踪可疑流量。一旦检测到威胁在此阶段,威胁判决和分数检查确定它是否恶意或不是。如果发现恶意和已知的模式,然后保护(48)模块。如果模式是未知的威胁后卫的威胁,例如,一个零日攻击(50),然后,提取散列后,它被发送到威胁云判决和分数的威胁和回顾事件触发(51]。最后,日志保留进一步调查。在本节中,端点外部网关的流量捕获日志,如图3指数8和图4指数23,这样以后日志可以进一步调查。除此之外,所有的交通包括源IP,目的地IP,用户信息和用户MAC地址是捕获所有活动细节。

6.4。威胁保护机制

免受威胁攻击面前最重要的任务是组织。一致,研究人员专注于开发新战术威胁保护。不同类型的新方法已经开发的威胁保护。先进水平的保护机制是在BYOD网络开发的法医生态系统研究[48]。在此阶段,保护关键基础设施覆盖的概念。后威胁类别,流量下降和保存日志进行分析,如图3指数13,结果如图8 (b)。

6.5。法医调查、法律和执法模块

在此阶段,法医范式。为了完成取证的攻击,一些关键领域需要关注如分析日志,保存的流量,并存储日志。分析后,需要做演示和文档。整个BYOD生态系统必须有能力做这些活动。保留证据并记录相关重点是集成不同的技术和产品如图3和4里,所有网关周边安全设备和AAA,控制器,BYOD用户与Active Directory用户数据库集成在一起。集成后,端到端日志分析机制是使司法系统发达。最后,法医相关相关的事实和发现是记录和展示。

7所示。下一代DFR生态系统模型

在此阶段,最后的框架是由下一代数字法庭准备(NG-DFR)模型。过程顺序一步一步完成网络司法解释生态系统。完整的生态系统包括过程、政策、人类、技术,和集成。集成的过程和技术与人机交互领域建立网络覆盖法医BYOD环境。如图13,完成步骤提出了下一代DFR模型。

在步骤1中NG-DFR模型图13规划、政策框架定义与相关安全技术实施范例。服务支持政策,安全政策,和检测策略定义警报机制。集成流程定义。

在步骤2中重点是服务支持区域。特别是,建立担保BYOD基础设施提供所有必需的产品和技术是这个阶段的重要组成部分。

在步骤3中,提出了一种检测机制。检测的各种威胁,然后分类顺序事件的威胁。检测到恶意流量和已知的威胁,和未知的威胁被过滤。未知的威胁被发送到云在这个阶段的威胁进行分析,得到分数的威胁,这样可以采取适当的行动。

在步骤4中,保护关键基础设施的关注。保护从不同的威胁之前,利用最好的选择是照顾这风景可以减少的威胁。

在步骤5和步骤6中,重点区域的NG-DFR彻底调查覆盖的威胁。在此阶段,集成结果的工具,技术,产品,技术杠杆来构建一个网络法医的生态系统。从保存日志分析后,威胁狩猎启用机制进行调查。最后,存储日志和工件和准备文档提交法律和执法。

简而言之,这个建议的方法NG-DFR模型覆盖的端到端系统完成法医调查为了建立网络取证系统的先进水平。

NG-DFR建立模型的详细算法算法所示1。

NG-DFR的算法模型,提出了根据建筑流如图13。

8。讨论

与BYOD,外部设备连接的基础设施,它在本质上是非常敏感和关键的控制威胁和postincident攻击的分析,并找到攻击的来源是一个非常重要的部分。根据检查点技术研究,99%的组织(52)没有保护机制来对抗正在进行网络攻击的威胁。NG-DFR的建议的方法解决需要一个端到端的网络法医的生态系统。

任何网络事件之后,发现数字证据,分析证据,保存和展示的证据法律要求法院的法律是很重要的需求。本研究开发了一种新的模型,调查不同的攻击,达到攻击的端点是在研究目标。网络安全、终端安全、关键基础设施的安全都是本研究对保护关键基础设施从BYOD威胁。

在BYOD在调查过程中,攻击后,我们分析了不同类别的攻击和犯罪的行为分析。因为它也是一个重要的目标,以保护基础设施、检测和预防也实现了。蜜罐技术用于检测并不足以保护基础设施。有必要预防技术检测后系统没有人工干预。STRIDE-based威胁模型,这是一个威胁,公司网络之间的交互,可以结合该模型得到一个更好的结果。

端到端可见性、分析、调查和集成工具和技术之间建立一个先进的网络防御系统模型需要对抗当今先进的网络威胁的风景。在研究期间,网络取证模型开发的先进水平。

此外,期间一个重要方面进行了分析研究,这是运行时检测攻击的端点,连接状态和阻塞,防止端点的基础设施。能见度探测威胁,威胁的相关风险,事件响应和postincident法医模型在本研究关键领域探索。

9。贡献

从这个研究有两个主要小说的贡献。第一个研究的贡献是一个独特的攻击检测机制。这种独特的攻击检测机制有助于检测和防止零日攻击无法被传统的IPS等工具,id、AV、AntiBot。第二个关键的贡献是建立一个网络防御BYOD生态系统。这项研究导致了网络BYOD环境的法医分析领域。法医分析的复杂性的恶意活动BYOD环境简化。法医调查的不同的方法使用不同的工具和技术进行比较。分析了BYOD发现网络攻击源的来自内部和外部的威胁。威胁的预防机制对这项研究也是一个重要的贡献,和端到端BYOD网络法医也定义生态系统框架。

10。未来的研究

数字法医调查变得复杂由于缺乏标准程序取决于类型的数字犯罪。犯罪成为一个日益增长的复杂性挑战与标准的工具和技术。因为BYOD收养是一个即将到来的增长阶段,新的工具和技术被犯罪分子用零日攻击进行犯罪行为。因此,进行进一步的研究是很重要的打击犯罪。此外,进一步的研究的一个重要领域是网络的协作工具,技术,和网络法律。

11。结论

由于缺少BYOD环境生态系统网络防御,攻击的关键基础设施组织增加,因此商业生态系统变得支离破碎。网络安全BYOD基础设施的一个主要要求组织今天保护先进水平的威胁。本文提出了一种网络取证模型的框架年前包括网络安全BYOD模型。

在本研究的第一阶段,威胁的探测技术,探讨了用不同的工具和技术进行进一步的研究和分析。

在本研究的第二阶段,主要结论是一种新颖的方法检测和保护机制的零日攻击无法被传统的IPS等工具,id, AntiBot,杀毒。该方法的检测和保护模型未知的威胁或零日攻击导致的保护组织的关键基础设施。的比较结果显示了一个重要的先进的增量阳性结果,并采用这种方法有助于构建完整的网络取证的生态系统。

Postincident威胁狩猎是一个重要的任务在任何网络法医调查解决在本研究使用不同的工具和技术如喷砂和皮层。

最后,法医准备BYOD网络基础设施的先进水平。下一代数字法庭准备(NG-DFR)模型提出了缓解持续的需要进行端到端的数字法医调查包括检测和保护框架包括BYOD政策框架和服务支持的技术领域。

数据可用性

设计/数据/架构用于支持本研究的结果中包括这篇文章。

信息披露

研究假设,本文评估和分析的是作者的孤独和没有作者相关的组织。

的利益冲突

作者宣称没有利益冲突。

引用

1. h·谢蒂l . Unden-Farboud, p . Arriandiaga”竞争格局:流动性管理服务”,2020。视图:谷歌学术搜索
2. 2021年年底“94%企业将利用物联网:微软的报告,”2019年,https://www.livemint.com/technology/tech news/94 -企业-使用-物联网会- 2021 -微软- - 1565165449842. - html报告。
3. b . Tokuyoshi BYOD的安全影响,“网络安全,卷2013,不。4、13页,2013。视图:出版商的网站|谷歌学术搜索
4. j .牧羊犬“法医的战略模型准备。”雅典科学杂志》,5卷,不。2、167 - 182年,2018页。视图:出版商的网站|谷歌学术搜索
5. m . Ratchford认为,这项p . Wang和r . o . Sbeit“BYOD安全风险和移植,”信息技术新一代、美国Latifi埃德。,页193 - 197,施普林格国际出版,可汗,瑞士,2018。视图:谷歌学术搜索
6. “风险或奖励:潜伏在你的物联网吗?:“2017只。
7. g . Lykou a Anagnostopoulou, d . Gritzalis“智能机场网络安全:缓解威胁和网络弹性控制,”传感器,19卷,不。1,p。19日,2018。视图:出版商的网站|谷歌学术搜索
8. g . Suciu, a . Scheianu Petre, l . Chiva和c . s . Bosoc“网络安全威胁分析机场”新知识的信息系统和技术,一个。罗查,h·埃德里,l·p·里斯和Eds美国使用。,pp. 252–262, Springer International Publishing, Cham, Switzerland, 2019.视图:谷歌学术搜索
9. p·贝克特,“BYOD-popular和问题。”网络安全,卷2014,不。9、9页,2014。视图:出版商的网站|谷歌学术搜索
10. “按日期浏览cve漏洞。”https://www.cvedetails.com/browse-by-date.php,2019)。
11. n . Serketzis诉加藤,c . Ilioudis d . Baltatzis g·潘加洛斯,“通过网络威胁情报提高法医诊断效率,”未来的互联网,11卷,不。7,162年,页2019。视图:出版商的网站|谷歌学术搜索
12. v . r . Kebande n·m·Karie h·s·文特尔,”一个通用的数字法庭准备模型BYOD使用蜜罐技术,”学报2016 IST-Africa周会议,页1 - 12,德班,南非,2016年5月。视图:出版商的网站|谷歌学术搜索
13. “联邦内政部长宣布网络犯罪单位的德里警方和国家网络法医实验室。”2019年,http://pib.nic.in/newsite/PrintRelease.aspx?relid=188700。
14. 毗瑟挐理工学院,b . v . p .桑德拉让p . Kanakam和s·m·侯赛因,“网络数字crimes-a法医学诊断研究中,”国际计算机趋势和技术杂志》上,50卷,不。2、107 - 113年,2017页。视图:出版商的网站|谷歌学术搜索
15. 信息学、意大利伊斯兰印度尼西亚,日惹,印尼、y Prayudi, A . Ashari和t . k . Priyambodo”提出的数字在印度尼西亚支持网络犯罪的调查取证的商业模式,”国际期刊的计算机网络和信息安全,7卷,不。11日,1 - 8,2015页。视图:出版商的网站|谷歌学术搜索
16. 美国Soltani和s . A . h . Seno”事件的正式模型重建在数字法医调查,“数字调查,30卷,第160 - 148页,2019年。视图:出版商的网站|谷歌学术搜索
17. Ghosh, p . Shivakumara p·罗伊,朋友,和t . Lu,“笔迹学分析人类行为基础手写字符识别,”CAAI交易情报技术,5卷,不。1,55 - 65、2020页。视图:出版商的网站|谷歌学术搜索
18. l·哥伦布”,83%的企业工作负载将在云中,到2020年,“2020年,https://www.forbes.com/sites/louiscolumbus/2018/01/07/83-of-enterprise-workloads-will-be-in-the-cloud-by-2020/。视图:谷歌学术搜索
19. d . Kim和s·李”,研究识别和管理潜在的有效的android取证的证据,”法医科学国际:数字调查33卷ID 200897条,2020年。视图:出版商的网站|谷歌学术搜索
20. l·加芬克尔,“数字取证研究:下一个十年,“数字调查7卷,S64-S73, 2010页。视图:出版商的网站|谷歌学术搜索
21. c说”、“自备设备”组织和人员的难题:考试的政策和法律问题的研究的挑战,”期刊的数字取证、安全和法律,10卷,不。2、2015。视图:出版商的网站|谷歌学术搜索
22. “数字取证在移动、BYOD和云时代,”。
23. s . j . Ngobeni“数字法庭准备无线局域网,“2016人。视图:谷歌学术搜索
24. a·马洛塔和m·麦柯肖恩”,将积极的技术集成到一个整体的网络风险管理方法,“风险管理和保险审查,21卷,不。3、435 - 452年,2018页。视图:出版商的网站|谷歌学术搜索
25. f·贾马尔·m·t·阿卜杜拉阿卜杜拉,和z . m . Hanapi”加强自备设备(BYOD)环境安全基于区块链技术,”国际工程杂志7卷,2018。视图:出版商的网站|谷歌学术搜索
26. m·考尔·d·辛格,诉Kumar和k .太阳,“彩色图像dehazing使用梯度通道和引导L0过滤器之前,“信息科学卷,521年,第342 - 326页,2020年。视图:出版商的网站|谷歌学术搜索
27. m·考尔·D·辛格,k .太阳和Rawat,“彩色图像加密使用non-dominated排序遗传算法与当地基于混沌搜索的5 D混乱的地图,“未来一代计算机系统卷,107年,第350 - 333页,2020年。视图:出版商的网站|谷歌学术搜索
28. 美国Brotsis et al .,“法医证据保全区块链解决方案在物联网环境中,“2019年,http://arxiv.org/abs/1903.10770。视图:谷歌学术搜索
29. d·a·弗洛雷斯,f·卡齐,a . Jhumka“自备披露:分析BYOD威胁企业信息,”《2016年IEEE Trustcom / BigDataSE /当前天津,页1008 - 1015年,中国,2016年8月。视图:出版商的网站|谷歌学术搜索
30. Kaur。阿里和美国,“恶意活动的检测和控制和数字在BYOD法医,”2019年。视图:谷歌学术搜索
31. 贝格z . a, p . Szewczyk c·瓦利et al .,“智能城市未来的挑战:网络安全和数字取证,”数字调查2017年,22卷,页3日到13。视图:出版商的网站|谷歌学术搜索
32. f . Servida和e·凯西,”数字痕迹物联网法医挑战和机遇。”数字调查卷28日,S22-S29, 2019页。视图:出版商的网站|谷歌学术搜索
33. “Wireshark深入。”https://www.wireshark.org/,2019年。
34. 张x和K.-K。r . Choo,“数字法庭教育经验学习方法”,2020。视图:谷歌学术搜索
35. 美国Sathwara:杜塔,大肠Pricop”物联网法医调查数字框架对于物联网系统,”Proceedigns 2018年10日国际会议上电子、计算机和人工智能(ECAI)雅西,页1 - 4,罗马尼亚,2018年6月。视图:出版商的网站|谷歌学术搜索
36. e·凯西,”数字取证的网纹过去和未来风险,”澳大利亚法医科学杂志》上,51卷,不。6,649 - 664年,2019页。视图:出版商的网站|谷歌学术搜索
37. a·古普塔d·辛格,m·考尔,“一个有效的图像加密使用基于non-dominated排序遗传algorithm-III 4 d混乱的地图,“环境智能和人性化计算杂志》上,11卷,不。3、1309 - 1324年,2020页。视图:出版商的网站|谷歌学术搜索
38. “IBM研究:对企业应对网络安全事件还是一个重大的挑战——3月14日,2018年,“IBM新闻室,2019。https://newsroom.ibm.com/2018-03-14-IBM-Study-Responding-to-Cybersecurity-Incidents-Still-a-Major-Challenge-for-Businesses。
39. “一般数据保护监管(GDPR)指导、“NHS数字。2019年,https://digital.nhs.uk/data-and-information/looking-after-information/data-security-and-information-governance/information-governance-alliance-iga/general-data-protection-regulation-gdpr-guidance。
40. “2017”诺顿网络安全的见解报告全球的结果,2018年。
41. b·库萨克和t . Laurenson”系统架构无线网络流量的采集和保存,”2020年。视图:谷歌学术搜索
42. t·恩斯”,发动机转速降低水力机械使用预测算法,”2021年。视图:谷歌学术搜索
43. “BYOD安全解决方案框架”,国际工程和先进技术杂志》上,8卷,不。6,1602 - 1606年,2019页。视图:出版商的网站|谷歌学术搜索
44. “集团加密传输VPN (VPN)设计和实现指南。
45. d . Ghimire大肠山谷,罗宾,”检查软件技术检查点喷砂剂下一代AV E80.82,”2020年。视图:谷歌学术搜索
46. Osterland和j·韦伯,“分析分析单级压力安全阀,”国际期刊的Hydromechatronics,卷2,不。1,p。2019。视图:出版商的网站|谷歌学术搜索
47. “思科安全报告:多数组织不监视DNS,“思科伞,2016。https://umbrella.cisco.com/blog/cisco-security-report-more-orgs-should-be-monitoring-dns。
48. 阿里,“Byod网络法医生态系统”,国际先进的工程和技术研究》杂志上,11卷,不。9日,2020年。视图:谷歌学术搜索
49. 阿里,考尔,a Khamparia et al .,“安全挑战和网络法医生态系统在物联网BYOD驱动的环境中,“IEEE访问,8卷,第172782 - 172770页,2020年。视图:出版商的网站|谷歌学术搜索
50. 答:兰,s·辛格和b·辛格“减轻零日攻击物联网使用战略框架,“SSRN电子杂志,4卷,不。1,2016。视图:出版商的网站|谷歌学术搜索
51. 火力管理中心配置指南,版本6.0 -文件/恶意软件事件和网络文件轨迹(思科火力管理中心),“思科,2020,https://www.cisco.com/c/en/us/td/docs/security/firepower/60/configuration/guide/fpmc-config-guide-v60/fpmc-config-guide-v60_chapter_01110001.html。
52. 安全检查,检查软件。“2020,https://pages.checkpoint.com/security-checkup.html。

版权

版权©2021 Md伊曼·阿里和Sukhkirandeep Kaur。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。