Ataki sieciowe zawsze stanowiły zagrożenie dla technologii internetowej. Ostatnie badania dostarczają dowodów na to, że większość narzędzi i technik antykryminalistycznych była stosowana w normalnych atakach w celu ukrycia tożsamości i źródła atakującego. Techniki te były wcześniej stosowane w tradycyjnej medycynie sądowej. Wraz z rozwojem technologii odkrywane są nowe sposoby ataków przy pomocy technik antyforenistycznych, takich jak ukrywanie danych, zaciemnianie i niszczenie. Ataki sieciowe zawsze stanowiły wyzwanie dla branży bezpieczeństwa i śledczych zajmujących się kryminalistyką cyfrową. Proces ataku sieciowego jest podzielony na pięć etapów w taksonomii Howarda ataków komputerowych i sieciowych. Są to napastnicy, narzędzia wykorzystywane przez atakujących, dostęp za pomocą luk i nieautoryzowani użytkownicy, wyniki ataków i cele. Innym wspomnianym podejściem jest taksonomia Lougha zwana taksonomią walidacji ekspozycji losowości transakcji lokalizacji niewłaściwego warunku (VERDICT), która opiera się na charakterystyce ataków . Wielowymiarowa klasyfikacja z podpoziomami różnych ataków zapewnia dobry przegląd ścieżek ataków i scenariuszy ataków. Większość ataków wykorzystuje luki w zabezpieczeniach infrastruktury sieciowej, systemu lub oprogramowania. Typowe luki w zabezpieczeniach i narażenia (CVE), baza danych luk w zabezpieczeniach (VDB) z punktu widzenia bezpieczeństwa, baza danych luk w zabezpieczeniach typu open source (OSVDB) i krajowa baza danych luk w zabezpieczeniach (NVD) to repozytoria luk w zabezpieczeniach, które zapewniają szeroki zakres opisów luk w zabezpieczeniach wykorzystywanych do celów dochodzeniowych. . Język luk w zabezpieczeniach i język oceny typu open source (OVAL) oraz wspólny system oceny luk w zabezpieczeniach (CVSS) to dwie standardowe ramy oceny luk w zabezpieczeniach w branży IT . Tradycyjna antykryminalistyka zajmuje się ukrywaniem danych na dysku i wolnej przestrzeni oraz niszczeniem danych i zaciemnianiem danych poprzez modyfikację MACE. Techniki antyforensyczne zostały rozszerzone na infrastrukturę sieciową, taką jak ukrywanie adresu IP przez proxy szyfrowanie pakietów, usuwanie dzienników, steganografia i ukryte tunelowanie. Ze względu na integrację technik antykryminalistycznych w atakach sieciowych ścieżka ataku zidentyfikowana na podstawie analizy kryminalistycznej będzie inna niż pierwotna i będzie trudna do zdobycia. Pierwszym krokiem jest rozróżnienie między atakiem antykryminalistycznym a normalnym atakiem. Normalne ataki można łatwo zidentyfikować, ponieważ nie będzie żadnych niejasności w procesie analizy dowodów i ścieżek ataków. Istnieje wiele metodologii i podejść sugerowanych w różnych badaniach w celu identyfikacji ataku antysądowego. Wykresy ataków sieciowych Badanie tego rodzaju ataków jest trudne i należy zastosować nowe podejścia, takie jak wykresy ataków. Wykresy ataku można zdefiniować jako narzędzie do obliczania hierarchicznych etapów scenariusza ataku przy pomocy znanych luk w zabezpieczeniach i konfiguracji. Są używane przez administratorów systemów i badaczy do analizowania rodzajów ataków, różnych sposobów ataków oraz środków ostrożności i środków zapobiegawczych stosowanych w przeciwdziałać tym atakom . Proces śledzenia adresu IP nie jest prostym procesem z powodu fałszowania adresu IP i przejętego hosta pośredniego . Zautomatyzowana analiza kryminalistyczna ataków sieciowych z wykorzystaniem wykresów ataków koncentruje się na lepszej analizie dowodów w celu wykrycia ataków . Włączenie węzłów antyforensycznych do wykresów ataku może dostarczyć wystarczających informacji w odniesieniu do zamiaru atakującego ograniczenia generowania dowodów i daje dwie możliwości śledzenia ścieżki, jeden z normalnymi węzłami ataku, a drugi z węzłami antyforensycznymi. Przedstawiono trzy różne podejścia. Pierwszą jest agregacja ostrzeżeń o ataku, która wykorzystuje korelację alertów opartą na podobieństwie lidera i zwolenników [80], drugą do tworzenia wykresu dowodowego , a trzecią do rozszerzania wykresu ataku w celu zebrania ukrytych członków grupy atakującej. Zautomatyzowana analiza wykresu dowodowego jest wykorzystywana przy użyciu rozmytej mapy poznawczej (FCM). Minimalizacja wykresów ataków przy użyciu różnych algorytmów zapewnia precyzyjną identyfikację ścieżki ataków . Korzystając z wykresów dowodów ataków, śledczy mogą określić istnienie ataków antyforensycznych oraz zidentyfikować narzędzia i techniki stosowane przez atakującego. W ten sposób mogą zrekonstruować scenariusz ataku przy minimalnej ilości dowodów, jakie posiadają. Narzędzia do generowania wykresów ataku
- Topologiczna analiza podatności na ataki sieciowe (TVA). Generuje wykresy ataków za pomocą algorytmu przeszukiwania grafów. Wykorzystuje grafy zależności do tworzenia warunków wstępnych i końcowych.
- Architektura planowania bezpieczeństwa sieci (NETSPA). Jest to framework do generowania modeli sieciowych przy użyciu znanych luk w zabezpieczeniach i regułach zapory. Działa to jako źródło generowania wykresów ataków w celu zidentyfikowania potencjalnych ataków i wytyczenia ścieżek.
- Multihost, wielostopniowa analiza podatności (MULVAL) . Jest to framework do integracji podatności i konfiguracji sieci, który używa Datalog jako swojego języka. Składa się ze skanera i analizatora. Mechanizm wnioskowania, który ma reguły dziennika danych, przechwytuje zachowanie systemu.
Integracja przepływu pracy z wykresami ataków z zarządzaniem IDS przy użyciu VDB i narzędzia do generowania wykresów ataków jest skutecznym środkiem kryminalistycznym . Algorytm analizy zamiarów ataku zapewnia nową metodę dla kryminalistyki sieci, która pomaga w identyfikacji podobnych ataków do analizy dowodów przy użyciu korelacji alertów i miary podobieństwa na podstawie odległości w celu określenia siły związku między dowodami ataku. Można zasugerować, że integracja analizy intencji ataku z IDS może zapewnić precyzyjne alerty o atakach i identyfikacja dokładnych ścieżek ataków.