Superflows: A New Tool for Forensic Network Flow Analysis

ネットワークフローのフォレンジック分析のための新しいツール、スーパーフローに焦点を当てる。

ネットワークセキュリティアナリストは、高度な要約からサーバーのサービスログや個々のパケットの内容まで、さまざまなソースからデータを収集します。彼らはこのデータをトラフィックパターンや過去の侵害指標と照合し、トラフィックを自動的に管理するか、さらなる調査のためにアナリストに報告するかを決定します。しかし、急速に増加するトラフィック量のため、効果的なフォレンジック分析用に処理できるイベントがオペレーショナルチームよりも多くあります。パケットが共通性を持つフローにグループ化されるように、高レベル構造が必要であると主張されています。これはイベントごとのアナリスト時間（EPAH）を増やすことでオペレーショナルネットワーク応答品質を大幅に向上させる必要があると述べています。 本論文では、スーパーフローコンストラクトを記述する形式論法を提案し、アナリスト固有のトラフィック動作に関する仮説に基づいて1つ以上のフローを集約したものとして特徴付けしています。また、シンプルなスーパーフローコンストラクションと表現方法を示し、フォレンジック分析用データ量削減方法を説明するための事例研究も行っています。 スーパーフローは現代のネットワートラフィックを記述する交通要約への需要から生じており、早期1990年代の特徴的なトラフィックから現代的なウェブページへ移行しています。この特性は単一クライアント/複数サーバー動作も定義し、単純なクライアント-サーバー相互作用からスキャニング、トレントダウンロードまでさまざまな振る舞いが定義されます。 将来的な方向性としては、SiLKツールセット内でスーパーフローを実装し、流れ構築および現在のrwcutおよびrwfilterツールを使用して問い合わせるための新しいスーパーフロークラスライブラリ構築が含まれます。

ネットフローサイズ：48バイト サンプリングされたNetFlowサイズ：32バイト ウェブサイトスパースキャニング：62%全体トラフィック

"Superflows provide a mechanism for security analysts to group NetFlow records by means of user-provided hypotheses." "Modern webpages are assembled from dozens of files stored on discrete webservers; examples include the homepage of a Standard NetFlow." "We expect to implement superflows within the SiLK toolset by adding tools to construct the flows and then query them using the current rwcut and rwfilter tools."