Rosnąca skala cyberataków i przestępczości komputerowej skłoniła śledczych do wykorzystania najnowszych technologii do odkrywania nowych sposobów metodologii śledczych w procesach kryminalistycznych. . Ale z drugiej strony napastnicy i przestępcy mają tendencję do wymyślania nowych sposobów ataków i sposobów na ukrycie źródła ataku i tożsamości, utrudniając w ten sposób dochodzenie. Ten tryb działania nazywa się antykryminalistyką. Obecna kryminalistyka zajmuje się dwoma rodzajami analizy dowodów, takie jak analiza na żywo i analiza offline. Analiza na żywo głównie monitoruje i zbiera dowody z działających sieci i systemów . Analiza offline zajmuje się przetwarzaniem dowodów po fizycznym lub logicznym obrazowaniu całego systemu. Informatykę kryminalistyczną można zdefiniować jako techniki śledcze i analityczne służące do identyfikacji, gromadzenia, badania i przechowywania informacji elektronicznych oraz dane, które mogą być potencjalnie wykorzystane jako dowód w sądzie. Wydaje się, że zawsze pojawiają się problemy prawne z akceptacją dowodów i pojawiają się pytania o integralność dowodów. Ramy, polityki i metodologie są wdrażane w celu lepszego prowadzenia dochodzeń kryminalistycznych . Informatyka śledcza dzieli się na dwie główne kategorie – tradycyjną kryminalistykę systemów komputerowych, która zajmuje się dochodzeniem w sprawie dysków twardych, komputerów osobistych, USB oraz kryminalistykę sieci zajmującą się sieciami komputerowymi. Klasyczny proces informatyki śledczej można podzielić na cztery główne fazy, takie jak gromadzenie dowodów, przetwarzanie dowodów, analiza i raportowanie. Wszystkim tym fazom towarzyszy ochrona dowodów i dokumentacji. Główną wadą procesu kryminalistycznego jest ustalenie, czy dowody zostały zmodyfikowane przed ich zebraniem przez śledczych. Dwa sposoby utrudniania kryminalistyki komputerowej to zniszczenie dowodów lub ich ukrycie. Jednym z głównych problemów utrudniających dochodzenie cyfrowe jest to, że śledczy nie oceniają, czy zebrane przez nich dowody są wystarczające do udowodnienia wydarzeń związanych z przestępstwem, wykrycia wszelkich ataków antykryminalistycznych i złagodzenia tych skutków dla skompromitowanych dowodów. Obecnie głównymi problemami w kryminalistyce są szybkie postępy technologii w kierunku technologii bezprzewodowej, sieci peer-to-peer oraz rosnący wpływ sieci społecznościowych. Większość narzędzi i technik kryminalistycznych jest dostępnych jako oprogramowanie typu open source, które pomaga hakerom zlokalizować luki w zabezpieczeniach, a w Internecie znajduje się ogromna liczba samouczków dotyczących hakowania i testów penetracyjnych. Inną dziedziną, która zagraża dochodzeniom kryminalistycznym, są narzędzia i techniki antiforensic, które jeszcze bardziej utrudniają proces kryminalistyczny i szydzą z jego wiarygodności i integralności . Przykładem są techniki antykryminalistyczne stosowane do kompresji obrazów JPEG. Antyforenetyka może być zdefiniowana jako .Metody stosowane do zapobiegania (lub przeciwdziałania) stosowaniu nauki do tych praw karnych i cywilnych, które są egzekwowane przez organy policyjne w systemie wymiaru sprawiedliwości w sprawach karnych. Głównym celem antykryminalistyki jest zniszczenie logicznych dowodów zebranych przez śledczych, tak aby dowody okazały się niewystarczające i niezdolne do potwierdzenia, że doszło do przestępstwa. Na przykład, gdy atakującemu udało się włamać do systemu, pierwszym wykonywanym krokiem jest usunięcie śladów zdarzeń, które miały miejsce. Techniki antyforensics są stosowane w celu zmniejszenia ilościowych i jakościowych dowodów merytorycznych na temat skompromitowanych systemów. Wraz z postępem technologicznym odkrywane i wdrażane są nowe narzędzia i techniki antykryminalistyczne. Antykryminalistyka zajmuje się usuwaniem dowodów z dzienników sieciowych i usuwaniem plików z zaatakowanego systemu, takich jak nagła śmierć w telefonach komórkowych po wykryciu procedury kryminalistycznej oraz antykryminalistyka androida, która usuwa pliki dziennika z telefonów z systemem Android . Innym sposobem jest unikanie wykrycia przez podszywanie się, ataki zombie, dezinformację, wyłączanie dzienników i tradycyjne sposoby, takie jak szyfrowanie i steganografia. Głównym narzędziem antykryminalistycznym jest struktura antykryminalistyczna Metasploit , która jest platformą współpracy typu open source, badającą ograniczenia narzędzi komputerowej kryminalistyki i pomagającą im ulepszyć cyfrowe procesy kryminalistyczne i weryfikację dowodów. Antykryminalistyczny arsenał śledczy Metasploit (MAFIA) dostarczył zestaw programów, takich jak SAM Juicer, Slacker, Transmogrify i Timestomp [29], które ujawniają sposoby, w jakie można pomylić badania kryminalistyczne. Szczegółowe wyjaśnienie zostanie podane później. Nową ofiarą antyforensics jest dziedzina bezpieczeństwa sieci, która jest jednym z kluczowych elementów infrastruktury sieciowej.
Bezpieczeństwo sieci zawsze było obecnie problemem, ponieważ wokół niego kręci się cały świat IT. Możliwości włamań i kradzieży danych rosną w miarę jak firmy przenoszą się ze swojej sieci LAN do domeny publicznej i Internetu. Bezpieczeństwo korporacyjne zajmuje się głównie zabezpieczaniem kluczowych aktywów firmy, w których znajdują się dane, cenne informacje oraz wiedza o tym, jak można je wykorzystać. Aby zastosować i utrzymać solidne zabezpieczenia sieci komputerowych, specjaliści ds. bezpieczeństwa sieci spędzają godziny na wdrażaniu narzędzi monitorowania, wykrywania włamań i systemów zapobiegania. Środki bezpieczeństwa powinny być o krok przed obecnymi strategiami ataków hakerów. Głównymi formami ataków hakerów są spoofing IP, skanowanie portów, sniffing pakietów, ataki typu „odmowa usługi” (DoS). Według Open Web Application Security Project (OWASP), główne zagrożenia dla bezpieczeństwa sieci Web to skrypty między lokacjami, fałszowanie żądań między lokacjami, wstrzykiwanie [33], błędna konfiguracja zabezpieczeń oraz zepsute uwierzytelnianie i zarządzanie sesjami [34]. Badanie ataków w sieci jest tym, co nazywamy kryminalistyką sieci. Można je zdefiniować jako techniki używane do zbierania lub przechwytywania, analizowania i identyfikowania oraz rejestrowania ruchu sieciowego. W kryminalistyce sieciowej dzienniki sieciowe i pakiety są pobierane za pomocą oprogramowania zabezpieczającego sieć, a następnie są analizowane i badane w celu prześledzenia metodologii ataku, a nawet źródła ataku i atakującego. Kryminalistykę sieciową można podzielić na dwa główne nurty, takie jak analiza statyczna i analiza dynamiczna. Analiza statyczna to proces identyfikacji przebiegu ataków lub przestępstw bez ich wykonywania. Fazy obejmują analizę pliku systemowego, plików dziennika, dzienników zapory, dzienników sieciowych, sprawdzanie obecności złośliwego oprogramowania i wirusów oraz inżynierię wsteczną. Z kolei analiza dynamiczna zajmuje się analizą sieci na żywo, analizą ruchu sieciowego, przechwytywaniem pakietów sieciowych, monitorowaniem systemu plików pod kątem zmian oraz analizą plików rejestru. Jednym z głównych podejść do analizy dynamicznej jest użycie tzw. „Miododajnych”. Zbiór honeypotów, zwanych honeynets, które można odizolować od reszty sieci, można wykorzystać do analizy ruchu sieciowego i zapobiegania niepożądanemu ruchowi w sieciach publicznych. Sukces kryminalistyki sieciowej polega na identyfikacji źródła, podejścia i technik ataku. Można to osiągnąć poprzez inżynierię odwrotną ataków sieciowych. Jednym z algorytmów pomagających w wyśledzeniu ścieżki ataku jest wykres ataku sieciowego. Te wykresy ataków sieciowych służą do analizy ścieżki ataków ze znanych luk w systemie. Szczegółowe wyjaśnienie zostanie podane później. W tym rozdziale skupiono się głównie na wdrażaniu technik antyforensycznych w sieciach komputerowych i ich analizie, aby przyczynić się do zwiększenia bezpieczeństwa sieci. Pozostała część tego rozdziału jest usystematyzowana w następujący sposób: Szczegółowy przegląd techniki antykryminalistycznej jest przedstawiony w sekcji „Podstawy technik antykryminalistycznych”. Infrastruktury sieciowe są wyjaśnione w sekcji „Stan techniki”. Ataki sieciowe, wykresy ataków, narzędzia i proces śledczy sieci są wyjaśnione w sekcji „Podejścia, metodologie i techniki”. Sekcja „Oceny i porównania narzędzi i technik” obejmuje różne narzędzia do zabezpieczania i monitorowania sieci (NMT), narzędzia do analizy kryminalistycznej sieci (NFAT) i narzędzia antyforensyczne. W części „Trendy” omówiono problem badawczy. Ostatnia sekcja kończy się trendami i przyszłymi pracami. Narzędzia i techniki antykryminalistyczne zostaną szczegółowo zbadane, a niniejszy rozdział ma na celu zbadanie nowej możliwości konstruktywnego wdrażania antykryminalistyki w celu poprawy bezpieczeństwa sieci.