|
|
Classification of Domain Names Generated by DGA
Bučko, Filip ; Žádník, Martin (oponent) ; Hranický, Radek (vedoucí práce)
The DGA (Domain Generation Algorithm) is a technique that allows malware to receive commands from an attacker while avoiding detection. The main objective of this thesis is to build a system for the detection and classification of DGA domains in order to uncover malicious communication. For the purpose of detection, a binary classifier based on machine learning is designed and implemented in this work. Classification plays a crucial role in the automated analysis of malware and thus ensures proactive defense. Additionally, 4 classifiers based on different approaches are introduced for the classification of domains into DGA families. Subsequently, the advantages and disadvantages of presented approaches are identified. The final implementation of multi-class classification consists of a combination of classifiers that provide the best results. Furthermore, this work identifies characteristics specific to DGA domains that are necessary for the creation of classifiers. Testing the resulting implementation of classifiers demonstrates high accuracy in both DGA domain detection and classification.
|
|
|
Modern ways to design fully distributed, decentralized and stealthy worms
Szetei, Norbert ; Krištofič, Milutín (vedoucí práce) ; Balyo, Tomáš (oponent)
V práci se zabývám studiem počítačového červa splňujícího námi stanovená kriteria (distribuovatelnost, decentralizovatelnost, minimalizace problému odhalitelnosti). Tyto vedou k anonymitě, delší životnosti a lepšímu zabezpečení červa. Po představení aktuálních architektur a nových technologií analyzujeme stávající známé implementace. Navrhneme řešení s novým designem spolu s možnými vylepšeními. Následuje kapitola, ve které zkoumáme známé biologické koncepty vhodné pro nový způsob replikace. Zde implementujeme podstatné části funkcionality ve vyšším programovacím jazyce, protože jsme platformovou nezávislost při návrhu považovali za klíčový prvek. Výsledny červ se tedy dokáže šířit téměř v libovolném počítačovém prostředí v závislosti od implementace potřebných modulů. Powered by TCPDF (www.tcpdf.org)
|
|
|
Bezpečnostní systém pro eliminaci útoků na webové aplikace
Vašek, Dominik ; Zobal, Lukáš (oponent) ; Jeřábek, Kamil (vedoucí práce)
Botnet útoky, které cílí na síťovou vrstvu, například poškozenými pakety a jinými metodami, jsou již v dnešní době úspěšně blokovány hardwarovými detekčními systémy. Pro aplikační vrstvu to však neplatí. V kontextu webových aplikací například vidíme, že útoky od botnetů obsahují často skutečné žádosti, které musí daný webserver zpracovat. Pokud se takového útoku zúčastní dostatek botů, může to vést k nedostupnosti poskytovaných služeb, popřípadě špatné funkcionalitě. To v konečném důsledku může vést až k finančním ztrátám, pokud je napadená stránka komerční. Tato práce navrhuje detekční systém, který je schopen detekovat tyto útoky z botnetů v reálném čase na základě statistického zpracování provozu. Systém je rozdělen do několika částí, které společně tvoří celou funkcionalitu a mohou být libovolně dále rozšířeny. Systém byl při testování schopen zachytit přibližně 60 % vážnějších útoků, které cílily často na spam a útoky na přihlašovací formuláře, ale také DDoS útoky. Počet falešně pozitivních adres byl při testování do 5 %.
|
|
|
Detekce škodlivých doménových jmen
Setinský, Jiří ; Perešíni, Martin (oponent) ; Tisovčík, Peter (vedoucí práce)
Bakalářská práce pojednává o detekování uměle vygenerovaných doménových jmen (DGA). Vygenerované adresy slouží jako komunikační prostředek mezi útočníkem a nakaženým počítačem. Detekcí můžeme odhalit a vystopovat nakažené počítače v síti. Samotné detekci předchází prostudování technik strojového učení, které budou následně aplikovány při tvorbě detektoru. Pro vytvoření výsledného klasifikátoru v podobě rozhodovacího stromu bylo potřeba analyzovat podobu DGA adres. Na základě jejich charakteristiky se extrahovaly atributy, podle kterých se bude výsledný klasifikátor rozhodovat. Po natrénování klasifikačního modelu na trénovací sadě byl klasifikátor implementován v cílové platformě NEMEA jako detekční modul. Po finálních optimalizacích a testování jsme dosáhli úspěšnosti klasifikátoru 99%, což je velmi pozitivní výsledek. NEMEA modul je připraven pro nasazení do reálného provozu, aby mohl detekovat bezpečnostní incidenty. Kromě NEMEA modulu byl dodatečně vytvořen model na predikování úspěšnosti datových sad s doménovými jmény. Model je natrénován na základě charakteristiky datové sady a úspěšnosti DGA detektoru, jehož chování chceme predikovat.
|
|
|
Modern ways to design fully distributed, decentralized and stealthy worms
Szetei, Norbert ; Krištofič, Milutín (vedoucí práce) ; Balyo, Tomáš (oponent)
V práci se zabývám studiem počítačového červa splňujícího námi stanovená kriteria (distribuovatelnost, decentralizovatelnost, minimalizace problému odhalitelnosti). Tyto vedou k anonymitě, delší životnosti a lepšímu zabezpečení červa. Po představení aktuálních architektur a nových technologií analyzujeme stávající známé implementace. Navrhneme řešení s novým designem spolu s možnými vylepšeními. Následuje kapitola, ve které zkoumáme známé biologické koncepty vhodné pro nový způsob replikace. Zde implementujeme podstatné části funkcionality ve vyšším programovacím jazyce, protože jsme platformovou nezávislost při návrhu považovali za klíčový prvek. Výsledny červ se tedy dokáže šířit téměř v libovolném počítačovém prostředí v závislosti od implementace potřebných modulů. Powered by TCPDF (www.tcpdf.org)
|
|
|
Bezpečnostní analýza síťového provozu
Kult, Viktor ; Havránek, Martin (vedoucí práce) ; Ladislav, Ladislav (oponent)
Téma diplomové práce se týká problematiky informační bezpečnosti v oblasti korporátního prostředí. Literární rešerši tvoří informace získané studiem článků a odborné literatury z oblasti informační bezpečnosti. Byly vybrány zdroje se zaměřením na bezpečnostní rizika, bezpečnostní technologie a legislativní nařízení. Pozornost je zaměřena především na technologie podporující monitoring komunikačních toků v datové síti. Přehled o provozu v datové síti poskytuje důležité informace pro prevenci nebo vyšetřování bezpečnostních incidentů. Dále slouží jako zdroj informací pro plánování síťové infrastruktury. Dokáže odhalit poruchy nebo nedostatečné přenosové kapacity. Praktická část se věnuje implementaci monitorovacího systému v prostředí reálné korporátní sítě. Součástí praxe je analýza síťové struktury a volba vhodných nástrojů k samotné realizaci. Při volbě nástrojů lze využít bodovací metody vícekriteriální analýzy variant. Součástí integrace monitorovacího systému je také konfigurace aktivních prvků sítě. Následná analýza datových toků v síti přináší informace o nejaktivnějších uživatelích, nejpoužívanějších aplikacích nebo o zdrojích a cílech přenášených dat. To přináší zdroj cenných informací, které mohou být využity v případě poruchy na síti nebo bezpečnostního incidentu. Závěr práce je věnován shrnutí výsledků a pracovního postupu.
|
|
|
Možnosti identifikace botnetové robotické aktivitiy
Prajer, Richard ; Palovský, Radomír (vedoucí práce) ; Pavlíček, Luboš (oponent)
Tato diplomová práce zkoumá možné způsoby, jak odhalovat robotickou aktivitu botnetů na síti. Nejprve se věnuje jejich detekci založené na analýze úplných paketů, a to prostřednictvím DNS, HTTP a IRC komunikace. Detekci založenou na analýze úplných paketů však shledává z technických i etických důvodů neuplatnitelnou. Poté se zaměřuje na analýzu vycházející ze záznamů metadat o síťových tocích, které upravuje tak, aby byly zpracovatelné strojovým učením. Pomocí různých metod strojového učení pak vytváří detekční modely, jejichž úspěšnost poměřuje. Jako přijatelně úspěšná se pro odhalování robotické aktivity botnetů projevuje metoda bayesovských sítí. Model s její pomocí vytvořený ovšem odhaluje pouze botnety, které již plní úkoly zadávané C&C servery. "Spící" botnety tedy tento model spolehlivě detektovat nedokáže.
|
|
|
Detekce spamu pomocí DNS MX záznamů
Plotěný, Ondřej ; Krobot, Pavel (oponent) ; Kováčik, Michal (vedoucí práce)
Předmětem této práce je detekce stanic v síti rozesílající nevyžádanou poštu pomocí pasivní analýzy zachyceného DNS provozu. Představuje návrh a implementaci systému, který realizuje detekci DNS anomálií na základě vysokého počtu MX dotazů a poměru obdržených NXDomain odpovědí. Systém byl testován na DNS datech získaných z reálného provozu a jeho testováním a analýzou výsledků byla ověřena funkčnost implementovaných detektorů.
|
|
|
Detekce síťových útoků analýzou informací z hlavičky HTTP
Pastuszek, Jakub ; Grégr, Matěj (oponent) ; Matoušek, Petr (vedoucí práce)
Tato experimentální práce popisuje komunikační protokol HTTP a jeho následná rozšíření. Pomocí monitorování síťových toků je možné získat informace o HTTP komunikaci v podobě IPFIX. Detekce probíhá nad již nasbíranými daty (Post Mortem). Tyto data jsou požity pro detekci útoku na webový server. Obsahují rozšířené atributy, zejména HTTP hlavičky, pomocí nichž lze takový útok zaznamenat. Hlavním cílem této práce je navrhnout řešení pro detekci síťových útoků analýzou HTTP hlaviček. Výslednou detekční aplikaci následně otestovat a porovnat s již existujícím řešením.
|
|
|
Detekce malware pomocí analýzy DNS provozu
Daniš, Daniel ; Ovšonka, Daniel (oponent) ; Kováčik, Michal (vedoucí práce)
Tato diplomová práce se zabýva návrhem a implementací nástroje pro detekci malwaru pomocí analýzy DNS provozu. Text práce je rozdělen na teoretickou a praktickou část. V teoretické části bude nejdříve čtenář obeznámen s problematikou malwaru, botnetů a jejich detekce. Následně budou popsány jednotlivé možnosti a metody detekce malwaru a bezpečnostních incidentů. Praktická část obsahuje popis architektury výsledného nástroje na detekci malwaru a klíčových aspektů jeho implementace. Velký důraz byl kladen především na výsledné testovaní a experimenty. Výsledkem práce je nástroj, skript v jazyce python, pro detekci malwaru ze zachycených DNS dat, který využívá kombinaci více metod detekce.
|
host ::
RSS.