The Parallel Coordinates Methodology to Study Suspicious Behavior on a Computer Network ; เทคนิคพาราเลลคอร์ดิเนตสำหรับตรวจสอบพฤติกรรมการกระทำผิดบนเครือข่าย

In this paper, the suspicious behavior on a computer network is used to analyze by detecting the violation behavior of network security policies. This paper proposed the user investigations with visualization time machine for network forensic (UIV) model. The proposed model is used parallel coordinates, which can be presented as the relationship of various parameters such as user, source ip address, time, destination ip address, destination service and domain name. For this system, the model is tested by simulated attack. The result of experiment shows that (i) the attacked signatures are different depended on situation attacked and (ii) the analyst are able to tracking individual behavior using UIV model. ; - งานวิจัยนีทำการศึกษาพฤติกรรมการใช้งานเครือข่ายจากข้อมูลจราจรทางคอมพิวเตอร์ โดยตรวจจับพฤติกรรมที่มีการละเมิดนโยบายความปลอดภัยของเครือข่าย ซึ&งจะเป็นประโยชน์ในการสืบสวนหาตัวผู้กระทำความผิดมาลงโทษ ผู้วิจัย นำเสนอ User investigations with visualization time machine for network forensic (UIV) model ในการศึกษาพฤติกรรม การใช้งานเครือข่ายโดยใช้เทคนิค Parallel coordinates ซึ&งแสดงความสัมพันธ์ด้วยตัวแปร User, Source IP address, Time, Destination IP address, Destination service และ Domain name ในเบืองต้นผู้วิจัยทำการทดลองโดยจำลองสถานการณ์การโจมตีเพ&ือศึกษาว่าตัวแปรต่างๆ ท&ีนำเสนอจะสามารถบ่งชี้พฤติกรรมการใช้งานเครือข่ายได้หรือไม่ ซึ&งพบว่า (i) Attacksignatures ที่ได้จากการทดลองจะมีความแตกต่างกันไปตามสถานการณ์การโจมตี และ (ii) ผู้วิเคราะห์สามารถติดตามพฤติกรรมการใช้งานเครือข่ายในแต่ละรายได้