|
|
Detekce skenování portů na vysokorychlostních sítích
Kapičák, Daniel ; Kekely, Lukáš (oponent) ; Bartoš, Václav (vedoucí práce)
V této práci budu prezentovat efektivní metodu detekce TCP skenování portů ve vysokorychlostních sítích. Hlavní myšlenka této metody je zahození co největšího množství paketů tak aby to nemělo vliv na přesnost. Ukážu, že pomocí dvojice Bloom filtrů lze zahodit v průměru až 80\% ze všech paketů podílejících se na navázání TCP komunikace se zanedbatelným vlivem na přesnost. Toto výrazně redukuje požadavky na paměť a procesor. Dále budu prezentovat mnou navržený rozšíření algoritmu, které výrazně redukuje počet falešných hlášení způsobených absencí komunikace od serveru ke klientovi. Na závěr vyhodnotím algoritmus na zachycených vzorcích dat a online na sondě v síti CESNET. Výsledky ukáží, že tato metoda potřebuje méně než 2 MB paměti aby s velkou přesností vyhodnocovala provoz na vysokorychlostní síti. Díky malým paměťovým nárokům si tato metoda bez problémů vystačí s rychlou vyrovnávací pamětí většiny dnešních procesorů.
|
|
|
Agregace hlášení o bezpečnostních událostech
Kapičák, Daniel ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
V tejto práci sa venujem analýze bezpečnostných hlásení zo systému Mentat vo formáte IDEA a návrhu a implementácii metód pre ich agregáciu a koreláciu. V analýze dát poukážem na rozmanitosť hlásení. Ďalej predstavím návrh jednoduchého frameworku a systému šablón, ktorý slúži ako základ pre tvorbu agregačných a korelačných metód. Tiež popíšem návrh a implementáciu jednotlivých metód. Na záver vyhodnotím niektoré navrhnuté metódy na dostupných vzorkách dát. Ukážem, že navrhnuté agregačné metódy v niektorých prípadoch dokážu znížiť množstvo hlásení až o 90% pri zachovaní všetkých podstatných informácií.
|
|
|
Agregace hlášení o bezpečnostních událostech
Kapičák, Daniel ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
V tejto práci sa venujem analýze bezpečnostných hlásení zo systému Mentat vo formáte IDEA a návrhu a implementácii metód pre ich agregáciu a koreláciu. V analýze dát poukážem na rozmanitosť hlásení. Ďalej predstavím návrh jednoduchého frameworku a systému šablón, ktorý slúži ako základ pre tvorbu agregačných a korelačných metód. Tiež popíšem návrh a implementáciu jednotlivých metód. Na záver vyhodnotím niektoré navrhnuté metódy na dostupných vzorkách dát. Ukážem, že navrhnuté agregačné metódy v niektorých prípadoch dokážu znížiť množstvo hlásení až o 90% pri zachovaní všetkých podstatných informácií.
|
|
|
Detekce skenování portů na vysokorychlostních sítích
Kapičák, Daniel ; Kekely, Lukáš (oponent) ; Bartoš, Václav (vedoucí práce)
V této práci budu prezentovat efektivní metodu detekce TCP skenování portů ve vysokorychlostních sítích. Hlavní myšlenka této metody je zahození co největšího množství paketů tak aby to nemělo vliv na přesnost. Ukážu, že pomocí dvojice Bloom filtrů lze zahodit v průměru až 80\% ze všech paketů podílejících se na navázání TCP komunikace se zanedbatelným vlivem na přesnost. Toto výrazně redukuje požadavky na paměť a procesor. Dále budu prezentovat mnou navržený rozšíření algoritmu, které výrazně redukuje počet falešných hlášení způsobených absencí komunikace od serveru ke klientovi. Na závěr vyhodnotím algoritmus na zachycených vzorcích dat a online na sondě v síti CESNET. Výsledky ukáží, že tato metoda potřebuje méně než 2 MB paměti aby s velkou přesností vyhodnocovala provoz na vysokorychlostní síti. Díky malým paměťovým nárokům si tato metoda bez problémů vystačí s rychlou vyrovnávací pamětí většiny dnešních procesorů.
|
host ::
RSS.