Network Forensics: Strumenti, Metodi e Sfide

Abstract

La network forensics oggi si basa in gran parte sull’ispezione manuale dei pacchetti acquisiti e dei log di protocollo, richiedendo notevole competenza e tempo. Gli strumenti esistenti si concentrano sugli artefatti tecnici ma offrono un supporto limitato all’interpretazione comportamentale, lasciando un divario tra l’analisi del traffico a basso livello e l’identificazione di profili utente potenzialmente sospetti. Questa tesi affronta tale divario introducendo una metodologia per la profilazione comportamentale semi-automatizzata del traffico di rete, mirata a supportare i flussi di lavoro investigativi. L’approccio proposto estrae segnali comportamentali di alto livello da intercettazioni passive e li combina in vettori binari di funzionalità. Questi vettori sono classificati tramite un modello k-Nearest Neighbors pesato, addestrato su esempi etichettati da esperti, producendo uno suspicion score interpretabile e un verdetto per ciascuna finestra temporale analizzata. La metodologia è implementata all’interno di Malcolm, un framework open-source per network forensics, tramite una pipeline personalizzata di arricchimento e classificazione e dashboard dedicate che presentano i segnali rilevati insieme al verdetto del classificatore. Esperimenti su scenari sintetici mostrano che il sistema può evidenziare automaticamente comportamenti potenzialmente sospetti, fornendo agli investigatori una comprensione iniziale del tipo di attività osservata e aiutandoli a prioritizzare le analisi successive.

Network forensics today relies largely on manual inspection of packet captures and protocol logs, requiring significant expertise and time. Existing tools focus on technical artefacts but offer limited support for behavioral interpretation, leaving a gap between low-level traffic analysis and the identification of potentially suspicious user profiles. This thesis addresses that gap by introducing a methodology for semi-automated behavioral profiling of network traffic aimed at assisting investigative workflows. The proposed approach extracts high-level behavioral signals from passive captures and combines them into binary feature vectors. These vectors are classified through a weighted k-Nearest Neighbors model trained on expert-labelled examples, producing an interpretable suspicion score and verdict for each analyzed time window. The methodology is implemented within Malcolm, an open-source network-forensics framework, through a custom enrichment and classification pipeline and dedicated dashboards that present the detected signals together with the classifier’s verdict. Experiments on synthetic scenarios show that the system can automatically highlight potentially suspicious behaviors, giving investigators an initial understanding of the type of activity observed and helping them prioritize subsequent analysis.