|
|
Rating Log Events using Reputation and Anomaly Scores
Zbořil, Jan ; Burgetová, Ivana (oponent) ; Matoušek, Petr (vedoucí práce)
The current amount of data flowing through computer networks cannot be monitored by individuals. This data is also being saved by IDS or IPS systems to logs, which grow ever faster. The goal is thus to automatically reduce the amount of such logs, for them to contain only the most valuable information. Rating scores, such as anomaly score or a reputation scores, are valid metrics for determining whether the information (i.e., log event) is valuable or not. The goal of this thesis is to explore the current state of methods used for anomaly detection and reputation scoring. And to propose a solution on how to use data captured in the logs of network analysers like Suricata to detect anomalies in the traffic and score network nodes. A complete solution from data processing, scoring using methods for computation of reputation score and anomaly detection, and result interpretation, is developed and demonstrated on real-world data. A way of reducing the amount of log events by using the calculated scores is demonstrated. A resulting method of combining both scores to automatically rate the log events is demonstrated and explained on examples of the real scored data. Possible future uses of the results are discussed.
|
|
|
Anomaly Detection in System Log Files Using Machine Learning
Moresová, Eva ; Burgetová, Ivana (oponent) ; Matoušek, Petr (vedoucí práce)
Log anomaly detection is an important process that can help prevent or detect system failures, intrusion attempts and other malicious behavior. However, modern systems produce amounts of log data far beyond what is possible to analyze manually. That is why a variety of automated methods were developed for this purpose, ranging from rule based techniques to approaches using deep learning. The aim of this thesis is to compare several log anomaly detection methods to determine which one is the best suited for application on large real-world log files, represented by a collection of logs from production AAA (authentication, authorization, accounting) servers provided by AT&T. Apart from AT&T logs, the methods were applied to and evaluated on two other labeled datasets, one of which was enriched by synthetically generated anomalies. This thesis adopts three unsupervised anomaly detection methods: Local Outlier Factor, DBSCAN clustering and an OPTICS-based framework. The former two examine the logs on a sample-level, while the latter analyzes entire log sequences. All methods achieved results comparable to works with similar approaches.
|
|
|
Time Series Forecasting Using Maching Learning for Network Communication
Kašpárek, Aleš ; Burgetová, Ivana (oponent) ; Matoušek, Petr (vedoucí práce)
This master thesis examines the complex world of network communication systems, which require advanced forecasting methods to run efficiently, reliably, and safely. With networks becoming more complex, accurately predicting network conditions and traffic is critical for planning, resource management, detecting unusual activity, and improving systems. The thesis commences by introducing the concept of time series data, laying the foundation for understanding the temporal dynamics within network systems. It progresses by presenting an array of analytical tools and techniques for dissecting this kind of data, with a particular focus on traditional statistical methods. Among these, the Moving Average (MA), Auto Regressive (AR) and Auto Regresive Integrated Moving Average (ARIMA) models are given special attention for its established capabilities in forecasting. The shift from traditional forecasting to the use of machine learning (ML) is central to this thesis. It investigates several machine learning (ML) approaches, such as Long Short-Term Memory (LSTM) networks, convolutional neural networks (CNNs), to demonstrate how they can identify the complex patterns in network traffic.
|
|
|
Platform for Automated Fingerprints Generation for Mobile Apps
Kičinka, Kristián ; Grégr, Matěj (oponent) ; Matoušek, Petr (vedoucí práce)
The goal of this work is to develop a platform that would enable automated TLS fingerprinting of mobile applications for the Android platform. The thesis contains information required to understand the issues of TLS fingerprinting, the available types of fingerprints and the method of creating mobile application fingerprints using TLS fingerprints, the design and implementation of the modules required to create the platform. It discusses the issues of automated application acquisition, installation and launching in order to analyze network communication and create fingerprints. It covers the storage and versioning of the created fingerprints and the experiments performed with the created platform in order to verify the functionality and usability of the platform in a real-world environment. It also includes analysis of communication of malicious and malware applications. The platform will contribute to improvements in the field of network traffic analysis, to increase the efficiency of network administrator’s work and is useful in monitoring network communication to identify individual applications on the network, in identifying malicious applications or detecting malware.
|
|
|
Implementace HDL modulu pro předzpracování dat z vícekanálového ADC
Matoušek, Petr ; Macho, Tomáš (oponent) ; Petyovský, Petr (vedoucí práce)
Diplomová práce se zabývá návrhem a implementací digitálních filtrů v hradlovém poli typu FPGA. Výsledkem práce je univerzální komponenta v jazyce VHDL, která je znovuvyužitelná v projektech, kde je nutné předzpracovávat data. Navržené zařízení komunikuje s A/D převodníkem, ze kterého filtruje vstupní data pomocí FIR a CIC filtrů v FPGA. Pro okolní svět se chová jako zařízení typu Slave a s nadřazeným zařízením komunikuje pomocí sběrnice SPI. V práci je uveden teoretický popis A/D převodníků, FPGA, digitálních filtrů a zvoleného hardware pro testování. Z praktické části je popsána implementace řešení ve VHDL a testování navrženého řešení na reálné aplikaci. Výstupem práce je VHDL komponenta, která je použitelná v projektech, kde se předzpracovávají data.
|
|
|
Malware Detection in TLS Communication
Kapišinský, Marián ; Ryšavý, Ondřej (oponent) ; Matoušek, Petr (vedoucí práce)
This master's thesis demonstrates that encrypted malware communication can still be detected in the network traffic despite the differences between the encrypted communication of the ever-evolving malware and benign processes slowly diminishing. The detection relies purely on data extracted from the unencrypted portions of the TLS protocol. The data is then analyzed using random forests and isolation forests. The work demonstrates that both models perform well with only a small number of inaccurate classifications. The two models also show similar results in a real-world deployment.
|
|
|
Nástroj pro získávání hlasových dat VoIP
Ružička, Jakub ; Ryšavý, Ondřej (oponent) ; Matoušek, Petr (vedoucí práce)
Cílem práce je vytvořit systém, který dokáže rekonstruovat audio data z VoIP komunikace. Systém rozpozná v záznamu síťového provozu proudy VoIP paketů a na základě jejich obsahu sestaví přenášený audio signál. Kromě rozšířeného RTP protokolu je podporován také IAX protokol používaný Asterisk ústřednou, který nabízí zajímavé možnosti a není plně či vůbec podporován dostupnými nástroji. Systém je implementován jako knihovna s minimálním rozhraním.
|
|
|
Analýza a detekce typu multimediálních dat v provozu RTP
Kmeť, Martin ; Ryšavý, Ondřej (oponent) ; Matoušek, Petr (vedoucí práce)
Tato práce se věnuje problematice detekce kodeku použitého při kódování hlasových dat nesených protokolem RTP bez dostupnosti informací nesených signalizačními protokoly ve VoIP aplikacích. Jejím hlavním cílem je navrhnout a implementovat rychlý algoritmus na detekci kodeků používaných pro přenos hlasu protokolem RTP. Tento algoritmus by měl být dostatečně rychlý pro použití jak na off-line analýzu zachycených dat, tak na on-line analýzu v reálném čase. Pro průzkum možností byly porovnány dva přístupy detekce. Pro samotné řešení problému byla zvolená detekce pomocí charakteristických znaků kodeku. V rámci řešení byla provedena analýza dat, implementace aplikace a následné testování na datech.
|
|
|
Učení se automatů pro rychlou detekci anomálií v síťovém provozu
Hošták, Viliam Samuel ; Matoušek, Petr (oponent) ; Holík, Lukáš (vedoucí práce)
Táto práca sa zaoberá rýchlou detekciou sieťových anomálií na základe učenia automatov. Popisuje a porovnáva niekoľko vybraných algoritmov učenia automatov, vrátane ich aplikácie na učenie sieťových charakteristík. Pre takto naučené automaty je navrhnutých niekoľko metód detekcie sieťových anomálií, ktoré umožňujú odhaliť tak sekvenčné, ako aj štatistické anomálie v rámci komunikácie. Za týmto účelom využívajú mechanizmy samotných automatov, ich transformáciu, či štatistickú analýzu. Navrhované metódy detekcie boli implementované a vyhodnotené na prevádzke protokolu IEC 60870-5-104 používaného v industriálnych kontrolných systémoch.
|
|
|
Monitorování mobilních aplikací v síťovém provozu na základě otisků JA3
Vavro, Ján ; Grégr, Matěj (oponent) ; Matoušek, Petr (vedoucí práce)
V posledných rokoch sa stala mobilná komunikácia oveľa bezpečnejšia. Dôvodom je zapúzdrenie internetových dát protokolom TLS, ktorý šifruje prenášané dáta. Bezpečnosť používateľa sa zvýšila, ale na druhej strane táto skutočnosť limituje možnosti monitorovania, keďže obsah komunikácie sa stáva pre monitorovacie systémy neznámy. Táto bakalárska práca skúma možnosti monitorovania mobilných aplikácií v sieťovej komunikácii na základe otlačkov JA3 a JA3S. Práca si dáva za cieľ implementovať nástroje na automatizované vytvorenie databázy otlačkov a následnú detekciu.
|
host ::
RSS.