ebook img

LEIA: The Live Evidence Information Aggregator PDF

136 Pages·2014·2.74 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview LEIA: The Live Evidence Information Aggregator

LEIA: The Live Evidence Information Aggregator A Scalable Distributed Hypervisor‐based Peer‐2‐Peer Aggregator of Information for Cyber‐Law Enforcement     Irvin Homem  [ Page left intentionally blank Abstract The Internet in its most basic form is a complex information sharing organism. There are billions of  interconnected elements with varying capabilities that work together supporting numerous activities  (services) through this information sharing. In recent times, these elements have become portable,  mobile, highly computationally capable and more than ever intertwined with human controllers and  their activities. They are also rapidly being embedded into other everyday objects and sharing more  and more  information  in  order  to  facilitate  automation,  signaling  that  the  rise  of  the  Internet  of  Things is imminent.  In every human society there are always miscreants who prefer to drive against the common good  and engage in illicit activity. It is no different within the society interconnected by the Internet (The  Internet Society). Law enforcement in every society attempts to curb perpetrators of such activities.  However, it is immensely difficult when the Internet is the playing field. The amount of information  that investigators must sift through is incredibly massive and prosecution timelines stated by law are  prohibitively narrow. The main solution towards this Big Data problem is seen to be the automation  of  the  Digital  Investigation  process.  This  encompasses  the  entire  process:  From  the  detection  of  malevolent  activity,  seizure/collection  of  evidence,  analysis  of  the  evidentiary  data  collected  and  finally to the presentation of valid postulates.  This paper focuses mainly on the automation of the evidence capture process in an Internet of Things  environment. However,  in order  to comprehensively achieve  this,  the  subsequent and consequent  procedures  of  detection  of  malevolent  activity  and  analysis  of  the  evidentiary  data  collected,  respectively,  are  also  touched  upon.  To  this  effect  we  propose  the  Live  Evidence  Information  Aggregator (LEIA) architecture that aims to be a comprehensive automated digital investigation tool.   LEIA is in essence a collaborative framework that hinges upon interactivity and sharing of resources  and  information  among  participating  devices  in  order  to  achieve  the  necessary  efficiency  in  data  collection in the event of a security incident. Its ingenuity makes use of a variety of technologies to  achieve  its goals. This  is seen in the use of crowdsourcing among devices in order to achieve more  accurate  malicious  event  detection;  Hypervisors  with  inbuilt  intrusion  detection  capabilities  to  facilitate efficient data capture; Peer to Peer networks to facilitate rapid transfer of evidentiary data  to a centralized data store; Cloud Storage to facilitate storage of massive amounts of data; and the  Resource Description Framework from Semantic Web Technologies to facilitate the interoperability  of  data  storage  formats  among  the  heterogeneous  devices.  Within  the  description  of  the  LEIA  architecture, a peer  to peer protocol based on  the Bittorrent protocol  is proposed,  corresponding  data storage and transfer formats are developed, and network security protocols are also taken into  consideration.  In order to demonstrate the LEIA architecture developed in this study, a small scale prototype with  limited  capabilities  has  been  built  and  tested.  The  prototype  functionality  focuses  only  on  the  secure, remote acquisition of the hard disk of an embedded Linux device over the  Internet and its  subsequent storage on a cloud infrastructure. The successful implementation of this prototype goes  to  show that  the architecture  is  feasible and  that  the automation of  the evidence  seizure process  makes the otherwise arduous process easy and quick to perform.    Keywords:  Digital Investigation, Incident Response, Digital Evidence, Automated Evidence Seizure, Collaborative  Forensics, Live Forensics, Big Data, P2P Networks, Cloud Storage, Hypervisors    i Page left intentionally blank     ii Contents List of Figures .......................................................................................................................................... v  List of Tables .......................................................................................................................................... vi  List of Abbreviations / Glossary ............................................................................................................ vii  1.  Introduction .................................................................................................................................... 1  1.1.  Distribution, Integration, Convolution and Information ......................................................... 1  1.2.  Organization of the thesis ....................................................................................................... 2  1.3.  Problem Definition .................................................................................................................. 3  1.4.  Purpose and Goals .................................................................................................................. 4  1.5.  Scope and Limitations ............................................................................................................. 4  2.  Method of Research ........................................................................................................................ 7  3.  The Current State of Affairs – The Problem Matrix ...................................................................... 11  3.1.  Prognosis of the Environment .............................................................................................. 11  3.2.  Digital Forensics: The Digital Crime Scene and Law Enforcement ........................................ 17  3.3.  Digital Forensic Artifacts of Interest ..................................................................................... 24  3.4.  Malicious Activity: Classification & Detection ...................................................................... 30  3.5.  Storage of Information and the Semantic Web .................................................................... 36  3.6.  Resource Availability, Distribution and Collaboration .......................................................... 43  3.7.  Virtualization and Hypervisors .............................................................................................. 61  4.  The Concept of the Solution ......................................................................................................... 63  4.1.  Background: Recap and Summary of the Problems ............................................................. 63  4.2.  The Live Evidence Information Aggregator (LEIA) ................................................................ 64  4.3.  Related Work ........................................................................................................................ 67  4.4.  The Architecture – Details..................................................................................................... 71  4.5.  Communication Protocol Considerations ............................................................................. 91  4.6.  Information Storage Paradigm .............................................................................................. 93  5.  Towards Practical Implementation – The Proof of Concept ......................................................... 96  5.1.  The Experiment ..................................................................................................................... 96  5.2.  Tools & Setup ........................................................................................................................ 97  5.3.  Testing the Experimental Infrastructure ............................................................................. 102  5.4.  Outcomes of the Experiment .............................................................................................. 106  5.5.  Discussion of the Outcomes of the experiment ................................................................. 110  iii 5.6.  Drawbacks of the Experiment ............................................................................................. 111  6.  Conclusions & Future work ......................................................................................................... 112  6.1.  Conclusions ......................................................................................................................... 112  6.2.  Concerns around the LEIA Architecture .............................................................................. 113  6.3.  Areas of Future work .......................................................................................................... 114  7.  Bibliography ................................................................................................................................ 115           iv List of Figures   Figure 1: Overview of the Digital Investigation Process ......................................................................... 5  Figure 2: Overview of the Design Science Method as described in [5] .................................................. 8  Figure 3: Diagrammatic  representation of  the Stages of  this Research  following  the Design Science  Method ................................................................................................................................................. 10  Figure 4: The Dimensions arising in ubiquity [18] ................................................................................. 13  Figure 5: Taxonomy of Digital Investigation Artifacts by Component Decomposition ......................... 29  Figure 6: Taxonomy of Digital Investigation Evidence Artifacts by Size and Characterstics. ................ 29  Figure 7: The Original Semantic Web Architecture .............................................................................. 38  Figure 8: Modified Semantic Web Architecture ................................................................................... 39  Figure 9: Example of RDF format .......................................................................................................... 40  Figure  10:  The  varying  levels  of  control  possessed  by  the  different  participants  in  a  cloud  infrastructure. ....................................................................................................................................... 48  Figure 11: Visualization of the NIST recommended Cloud Computing definition ................................ 49  Figure 12: Diagram representing the directions that automation of DFIR is taking. ............................ 68  Figure 13: Pictorial depiction of the Live Evidence Information Aggregator (LEIA) ............................. 72  Figure 14: The Live Evidence Information Aggregator (LEIA) as a 4‐Tiered Layer Model ..................... 73  Figure 15: The Host‐based Hypervisor (HbH) System and it's components ......................................... 75  Figure 16: The General Incident Response Procedure from the P2P‐da perspective .......................... 81  Figure 17: The file structures involved in the Data Collection/Seizure Process ................................... 82  Figure 18: The typical flow of data in the Data Acquisition process via the P2P‐da............................. 83  Figure 19: Schematic view of the Cloud‐based Backend System components. ................................... 85  Figure 20: HDFS Architecture that forms the basis of the Storage System in the CBB ......................... 87  Figure 21: The File System Information of the Chumby device ............................................................ 98  Figure 22: Output from the /proc/mounts file indicating the various mounted filesystem information  .............................................................................................................................................................. 98  Figure 23: The LEIA Architecture’s 2 main Network Compartments .................................................... 99  Figure 24: The Networking setup details of the experiment .............................................................. 100  Figure 25: The CBB Cloud Storage infrastructure using Hadoop HDFS ............................................... 102  Figure 26: Graphs portraying LEIA metrics with tests on HTC Incredible S ........................................ 107  Figure 27: Graphs portraying LEIA metrics relationships on HTC MyTouch 4G Slide ......................... 108  Figure 28: Graphs portraying LEIA metrics with tests on Samsung Galaxy Tab 2 ............................... 109     v List of Tables   Table 1: Expected lifespan of data on certain types of media. ............................................................. 23  Table 2: The various lists of neighbours used in maintaining the Hieararchical Overlay ..................... 78  Table 3: Summary of types of messages exchanged in the P2P‐da for Malicious Event Detection ..... 80  Table 4: Order of Incident Severity and the corresponding evidence category deemed necessary .... 88  Table  5:  Specification  of  the  nodes  that  comprise  the  Cloud‐Based  Backend  System  in  the  Experiment .......................................................................................................................................... 101  Table 6: Specifications of the small scale (mobile) devices used in the testing ................................. 104  Table 7: “HTC Incredible S” Test Cases ............................................................................................... 105  Table 8: “HTC MyTouch 4G Slide” Test Cases ..................................................................................... 105  Table 9: "Samsung Galaxy Tab 2 ‐ WiFi Only" Test Cases ................................................................... 105  Table 10: Results from Test Cases on "HTC Incredible S" ................................................................... 106  Table 11: Results from Test Cases on "HTC MyTouch 4G Slide" ......................................................... 106  Table 12: Results from Test Cases on "Samsung Galaxy Tab 2" ......................................................... 107                                        vi List of Abbreviations / Glossary   AFF4   Advanced Forensic File Format version 4  Any‐Scale  Encompassing the range from Small Scale all the way up to and including Large Scale  CBB   Cloud‐based Backend  CBB‐DE   Cloud‐based Backend Differencing Engine  CIA   Central Intelligence Agency  CTC    Counter‐Terrorism Center  Cyberhacktivism  Malicious activity on the Internet with “activist type” of intentions  em‐IDS   Embedded Intrusion Detection System  FRE Standard  Federal Rules of Evidence Standard  HbH   Host based Hypervisor  IoT    Internet of Things  IDA   Incident Data Archive  IDS   Intrusion Detection System  KBF   Known Benign Files (“kbf”)  L‐KFHL   Local ‐ Known‐File Hash List  LEC   Law Enforcement Controller  LEIA   Live Evidence Information Aggregator  M‐KFHL  Master ‐ Known‐File Hash List  NIST    National Institute of Standards and Techonology  NAS   Network Area Storage  OWL   Web Ontology Language  P2P   Peer to Peer  P2P‐da   Peer‐to‐Peer Distribution Architecture  RAM   Random Access Memory  RDF   Resource Description Framework  RFID   Radio Frequency Identification  SCADA   Supervisory Control and Data Acquisition  SAN   Storage Area Network  SS   Storage System  W3C   World Wide Web Consortium      vii Page left intentionally blank    viii

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.