Název: Detekce skenování portů na vysokorychlostních sítích
Překlad názvu: Portscan Detection in High-Speed Networks
Autoři: Kapičák, Daniel ; Kekely, Lukáš (oponent) ; Bartoš, Václav (vedoucí práce)
Typ dokumentu: Bakalářské práce
Rok: 2014
Jazyk: cze
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [cze] [eng]
V této práci budu prezentovat efektivní metodu detekce TCP skenování portů ve vysokorychlostních sítích. Hlavní myšlenka této metody je zahození co největšího množství paketů tak aby to nemělo vliv na přesnost. Ukážu, že pomocí dvojice Bloom filtrů lze zahodit v průměru až 80\% ze všech paketů podílejících se na navázání TCP komunikace se zanedbatelným vlivem na přesnost. Toto výrazně redukuje požadavky na paměť a procesor. Dále budu prezentovat mnou navržený rozšíření algoritmu, které výrazně redukuje počet falešných hlášení způsobených absencí komunikace od serveru ke klientovi. Na závěr vyhodnotím algoritmus na zachycených vzorcích dat a online na sondě v síti CESNET. Výsledky ukáží, že tato metoda potřebuje méně než 2 MB paměti aby s velkou přesností vyhodnocovala provoz na vysokorychlostní síti. Díky malým paměťovým nárokům si tato metoda bez problémů vystačí s rychlou vyrovnávací pamětí většiny dnešních procesorů. In this thesis, I present the method to efficiently detect TCP port scans in very high-speed links. The main idea of this method is to discard most of the handshake packets without loss in accuracy. With two Bloom filters that track active destinations and TCP handshakes, the algorithm can easily discard about 80\% of all handshake packets with negligible loss in accuracy. This significantly reduces both the memory requirements and CPU cost. Next, I present my own extension of this algorithm, which significantly reduces the number of false positives caused by the lack of communication from the server to the client. Finally, I evaluated this algorithm using packet traces and live traffic from CESNET . The result showed that this method requires less than 2 MB to accurately monitor very high-speed links, which perfectly fits in the cache memory of today's processors.
Klíčová slova: detekce anomálií; detekce skenování portů; detekce skenování portů na vysokorychlostních sítích; detekce TCP skenování portů; detekce TCP skenování portů na vysokorychlostních sítích; anomaly detection; portscan detection; portscan detection in very high-speed links; TCP portscan detection; TCP portscan detection in very high-speed links

Instituce: Vysoké učení technické v Brně (web)
Informace o dostupnosti dokumentu: Plný text je dostupný v Digitální knihovně VUT.
Původní záznam: http://hdl.handle.net/11012/56403

Trvalý odkaz NUŠL: http://www.nusl.cz/ntk/nusl-239453


Záznam je zařazen do těchto sbírek:
Školství > Veřejné vysoké školy > Vysoké učení technické v Brně
Vysokoškolské kvalifikační práce > Bakalářské práce