Original title:
Detekce pomalých síťových útoků
Translated title:
Detection of Slow Network Attacks
Authors:
Pacholík, Václav ; Kováčik, Michal (referee) ; Bartoš, Václav (advisor) Document type: Master’s theses
Year:
2014
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Tato diplomová práce se zabývá monitorováním počítačových sítí s využitím toků. Popisem Nemea frameworku, který lze využít pro sestavení komplexního IDS systému pro detekci síťových útoků. Dále jsou popsány možnosti jak skenovat porty a také SSH protokol, jenž lze využít pro vzdálené přihlášení do systému, které může být zneužito útočníkem. Tyto dvě oblasti jsou cílem detekce pomalých útoků, které svým pomalým chováním mohou obejít existující detekční metody. Navrženým způsobem detekce takových útoků spočívá v použití informací z posledních několika spojeních. Výsledky navržené detekce nad daty ze síťového provozu jsou dále popsány.
This master's thesis is aimed how can be network traffic monitored using IP flows. The description of NEMEA framework that can be used to build complex intrusion detection system. Following chapters describes port scanning methods and SSH protocol which can be used for remote login to the system, which can be exploited by an attacker. These two areas are intended to be detected in a slow attack manner, when attacker using low attack speed, which he can evade multiple detection methods. Proposed method for detection such attacks is using information from the last few connections. Finally, proposed detection method results are further described.
Keywords:
Detection of slow attacks; IDS; Nemea; NetFlow; Port scanning; SSH; Detekce pomalých útoků; IDS; Nemea; NetFlow; Skenování portů; SSH
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/53326