|
| |
|
|
Detekce škodlivých doménových jmen
Setinský, Jiří ; Perešíni, Martin (oponent) ; Tisovčík, Peter (vedoucí práce)
Bakalářská práce pojednává o detekování uměle vygenerovaných doménových jmen (DGA). Vygenerované adresy slouží jako komunikační prostředek mezi útočníkem a nakaženým počítačem. Detekcí můžeme odhalit a vystopovat nakažené počítače v síti. Samotné detekci předchází prostudování technik strojového učení, které budou následně aplikovány při tvorbě detektoru. Pro vytvoření výsledného klasifikátoru v podobě rozhodovacího stromu bylo potřeba analyzovat podobu DGA adres. Na základě jejich charakteristiky se extrahovaly atributy, podle kterých se bude výsledný klasifikátor rozhodovat. Po natrénování klasifikačního modelu na trénovací sadě byl klasifikátor implementován v cílové platformě NEMEA jako detekční modul. Po finálních optimalizacích a testování jsme dosáhli úspěšnosti klasifikátoru 99%, což je velmi pozitivní výsledek. NEMEA modul je připraven pro nasazení do reálného provozu, aby mohl detekovat bezpečnostní incidenty. Kromě NEMEA modulu byl dodatečně vytvořen model na predikování úspěšnosti datových sad s doménovými jmény. Model je natrénován na základě charakteristiky datové sady a úspěšnosti DGA detektoru, jehož chování chceme predikovat.
|
|
|
Reputace zdrojů škodlivého provozu
Bartoš, Václav ; Lhotka,, Ladislav (oponent) ; Vozňák, Miroslav (oponent) ; Kořenek, Jan (vedoucí práce)
Při zajišťování bezpečnosti počítačových sítí je mimo jiné nezbytné získávat a zpracovávat informace o existujících hrozbách, ať už odvozené z hlášení vlastních detekčních nástrojů či pocházející od třetích stran. Mezi takové informace patří i seznamy síťových entit (IP adres, doménových jmen, URL apod.), které byly identifikovány jako škodlivé. V mnoha případech však prostá binární informace, zda je daná entita škodlivá či nikoliv, nestačí. Je vhodné mít ke každé entitě i další data popisující jí prováděné škodlivé aktivity a také shrnující skóre, které její reputaci vyjádří číselně. To umožní jednak rychlé zhodnocení míry hrozby, kterou určitá entita představuje, a zároveň umožní entity porovnávat a řadit. Tato práce se zabývá návrhem právě takového reputačního skóre. Navržené skóre, nazvané Future Maliciousness Probability (FMP skóre), je hodnota mezi 0 a 1 přiřazená každé podezřelé síťové entitě a vyjadřující pravděpodobnost, že bude daná entita v nejbližší době (znovu) provádět určitou škodlivou činnost. Výpočet tohoto skóre je tedy založen na předpovědi budoucích útoků. Tato předpověď vychází z historie přijatých hlášení o bezpečnostních událostech a z dalších relevantních dat týkajících se dané entity a je založena na pokročilých metodách strojového učení. Metoda výpočtu skóre je v práci nejprve popsána obecně, pro libovolný typ entity a vstupní data, a poté je přizpůsobena pro konkrétní případ - hodnocení IPv4 adres na základě hlášení ze systému pro sdílení bezpečnostních událostí a doplňujících dat z reputační databáze. Tato varianta pak byla vyhodnocena na reálných datech. Kvůli potřebě získat dostatečně velkou a kvalitní datovou sadu pro toto vyhodnocení se část práce věnuje i oblasti detekce bezpečnostních událostí, konkrétně vývoji frameworku pro analýzu dat o síťových tocích NEMEA a návrhu několika nových detekčních metod. Dále je popsán návrh a implementace otevřené reputační databáze NERD, která slouží k udržování profilů nahlášených IP adres. Data z těchto systémů pak byla využita jak pro vyhodnocení přesnosti predikce, tak pro vyhodnocení vybraných případů použití výsledného FMP skóre.
|
|
| |
|
| |
|
|
Detekce síťových anomálií založená na PCA
Krobot, Pavel ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
Tato práce se zabývá detekcí anomálií v počítačových sítích. Konkrétní metoda, jež bude dále popsána, je založena na analýze hlavních komponent. V rámci této práce byl studován původní návrh této metody a jeho další dvě rozšíření. Základní verze a poslední rozšíření pak byly implementovány společně s jedním dalším malým rozšířením, které bylo navrženo v rámci této práce. Nad výslednou implementací byla následně provedena série testů. Tyto testy přinesly dva hlavní poznatky. První z nich poukazuje na možnou použitelnost analýzy hlavních komponent pro detekci anomálií v síťovém provozu. Druhý pak poznamenává, že přestože se metoda v jistých ohledech ukázala jako funkční, je ještě nedokonalá a je potřeba dalšího výzkumu pro její vylepšení.
|
|
|
Detekce anomálií v síťovém provozu
Bartoš, Václav ; Kořenek, Jan (oponent) ; Žádník, Martin (vedoucí práce)
Tato práce se zabývá systémy a metodami pro detekci anomálií v provozu na počítačových sítích. Nejdříve je uvedeno rozdělení systémů pro zajištění síťové bezpečnosti a je stručně popsáno množství nejrůznějších metod požívaných v systémech detekce anomálií. Hlavní náplní této práce je však optimalizace metody detekce anomálií, kterou navrhli Lakhina et al. a která je založená na detekci změn distribuce hodnot z hlaviček paketů. Tato metoda je v práci podrobně popsána a jsou navrženy dvě její optimalizace -- první se zaměřuje na rychlost a paměťovou náročnost, druhá zlepšuje její detekční schopnosti. Dále je popsán program vytvořený pro testování těchto optimalizací a jsou prezentovány výsledky experimentů na reálných datech s uměle generovanými i skutečnými anomáliemi.
|
|
|
Ochrana soukromí v síti internet
Lučenič, Lukáš ; Babnič, Patrik (oponent) ; Rosenberg, Martin (vedoucí práce)
V bakalárskej práci sú analyzované sociálne siete a ich bezpečnosť, metódy získavania informácií od užívateľov internetu a príklady internetovej kriminality. V druhej časti sú popísané metódy autentizácie a autentizačné protokoly. V záverečnej časti je popísaný vlastný principiálny návrh anonymného autentizačného protokolu.
|
|
|
Analýza vybraných síťových zranitelností
Kolajová, Jana ; Kačic, Matej (oponent) ; Homoliak, Ivan (vedoucí práce)
Tato práce si dává za cíl důkladné seznámení s databázemi, které obsahují popisy zranitelných kódů a zranitelných aplikací; následnou implementaci nástroje na jejich automatické vyhledávání a ukládání do lokální databáze. Práce je rozdělena na dvě části a to teoretickou a praktickou. V teoretické části jsou rozebrány dosavadně zjištěné poznatky a podklady pro výzkum a následnou implementaci. Podrobně jsou rozepsány zranitelnosti a možné síťové útoky. V praktické části je popsána vlastní implementace nástroje a jeho použití v praxi.
|
|
|
Aplikace pro monitorování a kontrolu zabezpečení rozsáhlých počítačových sítí LAN a WAN
Maloušek, Zdeněk ; Polívka, Michal (oponent) ; Novotný, Vít (vedoucí práce)
Počítačové sítě se v současnosti používají mnohem více než před dvaceti lety. Počítače jsou využívány nejčastěji jako pro prostředek pro komunikaci, zábavu a skladování dat. Informace jsou dnes často uloženy pouze v elektronické podobě a proto je velice důležité jejich bezpečné skladování. Cílem této diplomové práce je popsat problematiku zabezpečení počítačových sítí. První část práce je věnovaná popisu zabezpečení počítačové sítě a jeho kontrolování. Jsou zde diskutovány postupy, které se v praxi používají při kontrole zabezpečení i útocích na síť. Úvodní část popisuje možnosti skenování a filtrování dat v síti na jednotlivých vrstvách síťového modelu TCP/IP. Druhá část prezentuje jednotlivé druhy proxy spolu s jejich výhodami a nevýhodami. Dále je popsán Network Address Translation (NAT), který je jedním ze způsobů jak ochránit vnitřní síť a navíc efektivně nakládat s IP adresami. Na závěr této kapitoly je uveden stručný popis IPSec, VPN a základní typy útoků na počítačovou síť. V druhé kapitole je uveden popis skriptů v programovacím jazyku Perl, které kontrolují některé oblasti zabezpečení počítačové sítě. Účelem skriptů není kontrolovat kompletní zabezpečení počítačové sítě, ale jsou navrženy tak, aby vyhověly aktuálním požadavkům IBM Global Services Delivery Centrum Brno. První ze skriptů skenuje spuštěné aplikace na síťových zařízeních. Jeho účelem je detekovat běh nepotřebných nebo neaktualizovaných aplikací. Druhý skript zjišťuje správnost konfigurace Cisco směrovačů s ohledem na předem definovaný seznam pravidel. Třetí ze skriptů načítá nastavení Nokia firewallu, který je na rozhraní vnitřní a vnější sítě IBM, a zjišťuje, zda je jeho konfigurace bezpečná. Výstupem prvních dvou skriptů je přehledný HTML dokument, poslední skript vypisuje všechny důležitá data na příkazové řádce. V poslední části práce jsou uvedeny rady při konfiguraci Cisco síťových zařízení. Je zde uveden seznam bezpečnostních doporučení, která mohou být použita např. při konfiguraci směrovačů. Součástí přílohy jsou dvě laboratorní úlohy, ve kterých mají studenti příležitost k seznámení s programy a postupy, které jsou používány v praxi IT odborníky pro kontrolu slabých míst jejich sítí.
|
host ::
RSS.