|
|
Detekce a mitigace kybernetických útoků v lokálních sítích
Racka, Jan ; Lieskovan, Tomáš (oponent) ; Gerlich, Tomáš (vedoucí práce)
Bakalářská práce je zaměřena na detekci a mitigaci záplavových útoků v lokálních sítích. Práce se dá rozdělit na dvě části. V teoretické části jsou rozebrány nejprve záplavové útoky. Dále je do hloubky probrána problematika detekce útoků, a to včetně metody detekce. Následně probíhá rozdělení detekčních nástrojů podle umístění a jsou uvedeny příklady detekčních nástrojů. Poslední teoretická část je věnována způsobům mapování sítě a nástrojům pro detekci topologie. V praktické části probíhá návrh IDS a zkušební sítě. Síť se skládá ze tří koncových zařízení: IDS, oběti a útočníka. K propojení všech zařízení slouží směrovač Mikrotik. IDS byl implementován v jazyce Python a je složen z jednotlivých modulů, které rozšiřují jeho funkce. Nejdůležitějším modulem je detekční modul, který obsahuje detekční metody proti SYN Flood, UDP Flood, ICMP Flood útokům a jednu univerzální komplexní metodu proti všem záplavovým útokům. Modul ARP Scan umožnil IDS mapovat síť a pomocí ARP dotazů odhalit přítomnost koncových zařízení v síti. Učící modul ulehčil nastavování pravidel jednotlivých detekčním metod, a to tak, že po určitou dobu sleduje provoz sítě. Ze zjištěných dat následně určí vhodné hodnoty pravidel. SSH modul poskytl IDS možnost na útoky aktivně reagovat a odpojit útočníka od zbytku sítě. ARP Scan využívá taktéž SSH modul k zjišťování informací o hostech. IDS prošlo testováním ve virtuálním i skutečném prostředí. Z výsledků vyplývá, že vytvořené detekční metody fungují a IDS dokáže v rozumném čase útok zastavit. Testem prošel i ARP Scan, který dokázal nové hosty objevit v průměru již při prvním průchodu. Sledován byl i vliv IDS na komunikaci a bylo zjištěno, že vliv je minimální.
|
|
|
Rozpoznávání energetických protokolů pomocí umělé inteligence
Racka, Jan ; Holasová, Eva (oponent) ; Bohačík, Antonín (vedoucí práce)
Diplomová práce je zaměřena na klasifikaci zabezpečeného síťového provozu energetických protokolů pomocí konvoluční neuronové sítě. V teoretické části je rozebrána problematika neuronových sítí a jejich využití při klasifikaci síťového provozu. Dále jsou rozebrány energetické protokoly Modbus, IEC 104, TASE.2, DNP3, GOOSE, SMV, MMS a standard DLMS/COSEM včetně zabezpečení. V následné praktické části je realizována konvoluční neuronová síť sloužící k rozpoznání zmíněných protokolů v jejich zabezpečených variantách. Pro natrénovaní sítě byly použity záznamy nezabezpečeného provozu z veřejně dostupných repositářů, ze simulátorů provozu daných protokolů a ze zachycených dat v energetickém polygonu. Pro získání zabezpečeného provozu byly vyvinuty TLS a GOOSE konvertory zajišťující jednotný přístup v zabezpečení protokolů. Výsledný zabezpečený provoz byl předzpracován do dvojrozměrného formátu a předložen k učení neuronové síti. Vstupní obraz byl vytvořen z aplikačních částí paketů relace energetického protokolu a naformátován do velikosti 28 × 28 bajtů. Výsledná přesnost sítě na testovacích datech byla 95,75 %. Dále byla síť testována na reálném provozu v energetickém polygonu, kde byla schopna některé protokoly správně rozeznat. Následně byl v rámci dílčího cíle práce vyvinut klasifikátor provozního stavu stanice komunikující pomocí IEC 104 s TLS. Klasifikátor byl tvořen konvoluční neuronovou sítí s definovaným dvojrozměrným vstupním obrazem. Obraz byl složen z informací pětice po sobě jdoucích paketů. Informace byly vytvořeny z mezičasu příchodu mezi pakety, z délky TLS zašifrovaných aplikačních dat a ze zašifrovaných aplikačních dat do velikost 64 B. Pro získání dostatku dat pro trénování konvoluční sítě byl vyvinut simulátor charakteristických zpráv pro jednotlivé stavy. Po ukončení učící fáze byla vykázána přesnost klasifikátoru 43,05 % na testovacích datech. Dále byl klasifikátor testován na samotné testované stanici. Pomocí klasifikátoru byl rozeznán běžný provoz stanice od událostí, avšak v případě událostí podobného charakteru docházelo k záměnám.
|
|
|
Detekce a mitigace kybernetických útoků v lokálních sítích
Racka, Jan ; Lieskovan, Tomáš (oponent) ; Gerlich, Tomáš (vedoucí práce)
Bakalářská práce je zaměřena na detekci a mitigaci záplavových útoků v lokálních sítích. Práce se dá rozdělit na dvě části. V teoretické části jsou rozebrány nejprve záplavové útoky. Dále je do hloubky probrána problematika detekce útoků, a to včetně metody detekce. Následně probíhá rozdělení detekčních nástrojů podle umístění a jsou uvedeny příklady detekčních nástrojů. Poslední teoretická část je věnována způsobům mapování sítě a nástrojům pro detekci topologie. V praktické části probíhá návrh IDS a zkušební sítě. Síť se skládá ze tří koncových zařízení: IDS, oběti a útočníka. K propojení všech zařízení slouží směrovač Mikrotik. IDS byl implementován v jazyce Python a je složen z jednotlivých modulů, které rozšiřují jeho funkce. Nejdůležitějším modulem je detekční modul, který obsahuje detekční metody proti SYN Flood, UDP Flood, ICMP Flood útokům a jednu univerzální komplexní metodu proti všem záplavovým útokům. Modul ARP Scan umožnil IDS mapovat síť a pomocí ARP dotazů odhalit přítomnost koncových zařízení v síti. Učící modul ulehčil nastavování pravidel jednotlivých detekčním metod, a to tak, že po určitou dobu sleduje provoz sítě. Ze zjištěných dat následně určí vhodné hodnoty pravidel. SSH modul poskytl IDS možnost na útoky aktivně reagovat a odpojit útočníka od zbytku sítě. ARP Scan využívá taktéž SSH modul k zjišťování informací o hostech. IDS prošlo testováním ve virtuálním i skutečném prostředí. Z výsledků vyplývá, že vytvořené detekční metody fungují a IDS dokáže v rozumném čase útok zastavit. Testem prošel i ARP Scan, který dokázal nové hosty objevit v průměru již při prvním průchodu. Sledován byl i vliv IDS na komunikaci a bylo zjištěno, že vliv je minimální.
|
host ::
RSS.