Název:
Detekce anomálií na základě SNMP komunikace
Překlad názvu:
Anomaly Detection Based on SNMP Communication
Autoři:
Štěpán, Daniel ; Drga, Jozef (oponent) ; Očenášek, Pavel (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2021
Jazyk:
cze
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [cze][eng]
Cílem této práce bylo vytvořit prakticky použitelný soubor metod pro klasifikaci a detekci anomálií v prostředí počítačových sítí. Vytvořil jsem rozšíření pro monitorovací systém sítě ve formě dvou modulů otevřeného nástroje pro síťový monitoring, které jsou založeny na strojovém učení. Vytvořené moduly se dokáží na základě síťového provozu naučit charakteristiky běžného provozu. První modul, který je založen na algoritmu Random Forest Classifier, detekuje a je schopen rozpoznat několik známých útoků typu odepření služby. Druhý modul, založený na algoritmu Local Outlier Factor, detekuje anomální hladiny síťového provozu. Mezi útoky, které je první modul schopen detekovat patří záplavové útoky typu TCP SYN flood, UDP flood a ICMP flood. Dále pak aplikační útoky SSH Bruteforce a pomalý a fragmentovaný útok Slowloris. V průběhu práce jsem provedl testování zařízení výše zmíněnými metodami. Experimenty prokázaly, že první modul založený na klasifikaci je schopen detekovat známé útoky, až na útok Slowloris, jehož charakteristika se příliš neliší od normálního provozu. Druhý modul úspěšně detekuje zvýšenou hladinu provozu na síti, avšak neprovádí klasifikaci útoku.
The aim of this thesis was to develop a practically applicable set of methods for classification and detection of anomalies in computer network environments. I have created extensions to the network monitoring system in the form of two modules for an open source network monitoring tool based on machine learning. The created modules can learn the characteristics of normal network traffic. The first module, based on the algorithm Random Forest Classifier, detects and is able to classify several known denial-of-service attacks. The second module, based on the algorithm Local Outlier Factor, detects anomalous levels of network traffic. Attacks that the first module is able to classify are the following: TCP SYN flood, UDP flood and ICMP flood. Moreover, it was trained to detect the SSH Bruteforce attacks and the slow and fragmented Slowloris attack. While working on this thesis, I tested the device using the methods mentioned above. The experiments showed that the classification-based module is able to detect known attacks, except for the Slowloris attack, whose characteristics are not very different from normal traffic. The second module sucessfully detects higher levels of network traffic, but does not perform the classification.
Klíčová slova:
detekce anomálií; klasifikace DDoS; LibreNMS; monitorování počítačové sítě; SNMP; anomaly detection; DDoS classification; LibreNMS; network monitoring; SNMP
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/199467