|
|
Monitorování aplikační výkonnosti HTTP
Knapik, Martin ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
Cílem této bakalářské práce bylo vytvořit řešení pro monitorování a analýzu síťové výkonnosti HTTP serverů s využitím frameworku Nemea a NetFlow záznamů. Pro tento účel jsem vytvořil modul ve frameworku Nemea, který filtruje, rozebírá a ukláda NetFlow záznamy obohacené o informace z HTTP pluginu ve flow exportéru. Následné bylo potřebné vytvořit webové rozhraní založené na frameworku Django, pro zobrazení různych štatistík, které může užívatel využít na zjištení problému s monitorovanými servery. Výsledkom mé práce je produkt, který demonstruje možnost využití systému Nemea na pasívní monitorování HTTP servrů.
|
|
|
Detekce peer-to-peer komunikace
Letý, Pavel ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
Bakalářská práce se věnuje problematice detekce P2P sítí ze síťových toků NetFlow. V teoretické části této práce jsou představeny aktuální techniky pro detekci této komunikace v síti společně s jejich výhodami a nevýhodami. Největší pozornost je věnována klasifikačnímu schématu pana Bashira, které se věnuje detekci protokolu BitTorrent a aplikace Skype z NetFlow záznamů v síti. Na základě tohoto schématu je navržen detekční modul pro modulární systém analýzy síťových dat Nemea vyvíjený organizací Cesnet. V praktické části práce je pak představena implementace tohoto modulu a jsou prezentovány výsledky experimentů nad reálnými daty.
|
|
|
Detekce těžení kryptoměn pomocí analýzy dat o IP tocích
Šabík, Erik ; Krobot, Pavel (oponent) ; Žádník, Martin (vedoucí práce)
Táto diplomová práca popisuje obecné informácie o kryptomenách, aké princípy sa využívajú pri tvorbe nových mincí a prečo môže byť ich ťaženie nežiadúce. Ďalej pojednáva o tom, čo je to IP tok a ako funguje monitorovanie sietí pomocou sledovania sieťovej komunikácie na úrovni IP tokov. Popisuje framework Nemea, ktorý slúži na vytváranie komplexných systémov pre detekciu nežiadúcej prevádzky. Vysvetľuje akým spôsobom boli získané dáta zachytávajúce komunikáciu ťaženia kryptomien a následne popisuje analýzu týchto dát. Na základe tejto analýzy je vytvorený návrh pre metódu schopnú detegovať ťaženie kryptomien pomocou záznamov o IP tokoch. Nakoniec táto správa obsahuje vyhodnotenie detekovaných udalostí v rámci rôznych sietí.
|
|
|
Modul pro sledování politiky sítě v datech o tocích
Piecek, Adam ; Kučera, Jan (oponent) ; Wrona, Jan (vedoucí práce)
Cílem této diplomové práce je navrhnout jazyk, jehož prostřednictvím bude možné monitorovat proud síťových toků za účelem detekce porušení síťové politiky v lokální síti. Byla provedena analýza jazyků užívaných v systémech pro řízení proudu dat a dále byl proveden rozbor zadaných úloh od potenciálního správce sítě. Výstupem zmíněné analýzy je návrh jazyka, jenž znázorňuje zřetězené zpracování skládající se z filtrování a agregace. Tyto operace lze přehledně definovat a spravovat v rámci bezpečnostního pravidla. Výsledkem této práce je také modul Policer integrovaný v systému NEMEA, který dokáže aplikovat hlavní příkazy navrženého jazyka. Modul splňuje požadavky zmiňovaných zadaných úloh a může být použit pro další vývoj v oblasti kontrolování síťových politik.
|
|
|
Detekce škodlivých doménových jmen
Setinský, Jiří ; Perešíni, Martin (oponent) ; Tisovčík, Peter (vedoucí práce)
Bakalářská práce pojednává o detekování uměle vygenerovaných doménových jmen (DGA). Vygenerované adresy slouží jako komunikační prostředek mezi útočníkem a nakaženým počítačem. Detekcí můžeme odhalit a vystopovat nakažené počítače v síti. Samotné detekci předchází prostudování technik strojového učení, které budou následně aplikovány při tvorbě detektoru. Pro vytvoření výsledného klasifikátoru v podobě rozhodovacího stromu bylo potřeba analyzovat podobu DGA adres. Na základě jejich charakteristiky se extrahovaly atributy, podle kterých se bude výsledný klasifikátor rozhodovat. Po natrénování klasifikačního modelu na trénovací sadě byl klasifikátor implementován v cílové platformě NEMEA jako detekční modul. Po finálních optimalizacích a testování jsme dosáhli úspěšnosti klasifikátoru 99%, což je velmi pozitivní výsledek. NEMEA modul je připraven pro nasazení do reálného provozu, aby mohl detekovat bezpečnostní incidenty. Kromě NEMEA modulu byl dodatečně vytvořen model na predikování úspěšnosti datových sad s doménovými jmény. Model je natrénován na základě charakteristiky datové sady a úspěšnosti DGA detektoru, jehož chování chceme predikovat.
|
|
|
Profilování síťového provozu pro mitigaci DDoS
Ligocká, Alexandra ; Tisovčík, Peter (oponent) ; Žádník, Martin (vedoucí práce)
Cieľom tejto práce je stanoviť metriky pre detekciu \gls{ddos} útokov a stanovenie hraníc bežnej sieťovej prevádzky v danej počítačovej sieti na rôznej úrovni detailu. Na základe zvolených metrík a údajov o sieťových tokoch je vytvorený sieťový profil, ktorý je následne uložený v pamäti. Vrámci implementačnej časti sa táto práca venuje implementácií programu pre zber a výpočet stanovených metrík, ich spracovaniu, uloženiu a poskytuje jednoduché rozhranie poskytujúce prístup k uložených dátam.
|
|
|
Anomaly Detection in IoT Networks
Halaj, Jozef ; Hujňák, Ondřej (oponent) ; Kořenek, Jan (vedoucí práce)
The goal of the thesis was an analysis of IoT communication protocols, their vulnerabilities and the creation of a suitable anomaly detector. It must be possible to run the detector on routers with the OpenWRT system. To create the final solution, it was necessary to analyze the communication protocols BLE and Z-Wave with a focus on their security and vulnerabilities. Furthermore, it was necessary to analyze the possibilities of anomaly detection, design and implement the detection system. The result is a modular detection system based on the NEMEA framework. The detection system is able to detect re-pairing of BLE devices representing a potential pairing attack. The system allows interception of Z-Wave communication using SDR, detection of Z-Wave network scanning and several attacks on network routing. The system extends the existing detector over IoT statistical data with more detailed statistics with a broader view of the network. The original solution had only Z-Wave statistics with a limited view of the network obtained from the Z-Wave controller. The modular solution of the system provides deployment flexibility and easy system scalability. The functionality of the solution was verified by experiments and a set of automated tests. The system was also successfully tested on a router with OpenWRT and in the real world enviroment. The results of the thesis were used within the SIoT project.
|
|
|
Detekce pomalých DoS útoků na HTTP
Jakubíček, Patrik ; Kováčik, Michal (oponent) ; Bartoš, Václav (vedoucí práce)
Tato bakalářská práce se zabývá detekcí Slowloris útoku. Na základě poznatků je vytvořen detekční modul pro systém Nemea, který provádí detekci útoku pomocí záznamů o tocích. Testováním bylo ověřeno, že modul dokáže pracovat v reálném provozu a poměrně úspěšně detekovat Slowloris útok.
|
|
|
Fingerprinting and Identification of TLS Connections
Hejcman, Lukáš ; Kocnová, Jitka (oponent) ; Kekely, Lukáš (vedoucí práce)
TLS is the most popular encryption protocol used on the internet today. It aims to provide high levels of security and privacy for inter-device communication. However, it presents a challenge from a network monitoring and administration standpoint, as it is not possible to analyse the communication encrypted with TLS at a large scale with existing methods based on deep packet inspection. Analysing encrypted communication can help administrators to detect malicious activity on their networks, and can help them identify potential security threats. In this work, I present a method that allows us to leverage the advantages of two TLS fingerprinting methods, JA3 and Cisco Mercury, to determine the operating system and processes of clients on a computer network. The proposed method is able to achieve comparable or better results than the existing Mercury approach for selected datasets whilst providing more analysis opportunities than JA3. A software implementation of the proposed fingerprinting approach is created as an analysis module for the NEMEA framework.
|
|
|
IP Address Activity Monitoring
Pilátová, Kateřina ; Krobot, Pavel (oponent) ; Bartoš, Václav (vedoucí práce)
The volume of generated network traffic continually grows. In order to query data inside the traffic, an effective system of indexing data is required. This thesis addresses this problem, specifically effectively storing data for a longer period of time and looking up this data representing activity of communicating IP addresses. The aim of this thesis is to design and implement a system that stores and visualizes IP address activity. Activity means whether given address generated traffic during a given interval or not. This information has a binary value and can be represented by one bit, which significantly reduces volume of queried data. The system consists of backend processing incoming flow records and storing address activity to binary storage. Furthermore, it contains a web server which reads stored activity and visualises it in the form of an image based on user's request. The user can specify an area they wish to examine in more detail in the interactive web interface.
|
host ::
RSS.