Laboratoř monitorování síťového provozu (NETMON)

Závěrečné práce

Bakalářské práce

Rozšíření reputační databáze o informace z Passive DNS

Autor
Maxmilián Tomáš
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Systém DNS (Domain Name System) je systém doménových jmen pro překlad mezi doménovými jmény a IP adresami. Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény. Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres. Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace. Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji. Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy. Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze. Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.

Diplomové práce

Analýza a detekce útoku KRACK proti WiFi infrastruktuře

Autor
Jana Ernekerová
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato práce analyzuje princip útoku KRACK a navrhuje metody jeho detekce. Kromě toho se práce zabývá návrhem, implementací a testováním systému pro detekci útoku KRACK proti čtyřcestnému handshaku v reálném čase. V analytické části práce jsou nejprve představeny relevantní části standardu 802.11, na které je útok zaměřen. Poté je popsán princip útoku, jeho praktické dopady a protiopatření. Jsou zmapovány dostupné nástroje pro detekci zranitelnosti zařízení k tomuto útoku. Práce se zvlášť zaměřuje na útok proti čtyřcestnému handshaku a analyzuje provoz generovaný během tohoto útoku. Ten je poté srovnán se standardním provozem na síti během čtyřcestného handshaku. Na základě monitorovaného provozu a také analytické části práce jsou pak navrženy charakteristiky k detekci útoků KRACK. Systém pro detekci útoku proti čtyřcestnému handshaku je navržen, implementován a úspěšně otestován.

Automatická detekce podezřelého síťového provozu pomocí blacklistů

Autor
Filip Šuster
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato práce se zabývá implementací sady modulů pro detekci podezřelého sí- ťového provozu pomocí veřejných blacklistů. Kromě základní detekce, která spočívá v nahlášení všech síťových toků, umožňují vytvořené moduly sledovat další provoz klientů, kteří s blacklistovanou entitou komunikovali. Cílem práce je využít analýzu dodatečně zachycených informací o provozu podezřelých klientů k lepšímu a přesnějšímu rozhodování o podstatě/kontextu komunikace. Díky této analýze je možné odhalit, jestli základní detekce není jen falešný poplach. K zachytávání dodatečných informací v reálném čase byl vytvořen modul, tzv. adaptivní filtr, který patří k hlavním přínosům této práce. Práce se zaměřuje zejména na využití veřejně dostupných seznamů Command&Control serverů a analýzu provozu klientů, kteří s těmito servery komunikují. Všechny vytvořené softwarové nástroje jsou součástí open source projektu NEMEA, který se používá k analýze provozu a detekci bezpečnostních událostí v národní akademické síti CESNET2.

Informovaná mitigace DDoS útoků na základě reputace

Autor
Tomáš Jánský
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
doc. Ing. Hana Kubátová, CSc.
Anotace
Mezi nejrozšířenější a zároveň nejnebezpečnější síťové útoky patří bezesporu distribuované útoky odepření služby (DDoS). Tyto útoky jsou neustálou hrozbou všem poskytovatelům internetového připojení a jsou schopny vyřadit zprovozu síťovou infrastrukturu i těch největších společností. Cílem těchto útoků je zpravidla zahlcení síťového zařízení, nebo dokonce sítě samotné, pomocí velkého množství provozu. Následkem toho dochází k nepředvídatelnému zahazování síťových paketů. Obrana proti DDoS útokům na základě rozpoznávání škodlivých paketů je obtížnou výzvou, neboť ty se od legitimních paketů mnohdy liší jen minimálně. Tato práce se zabývá návrhem heuristiky, která filtruje síťový provoz během DDoS útoku a využívá k tomuto účelu znalosti tzv. reputačního skóre síťových entit. Hlavním přínosem práce je integrace takto navržené heuristiky do zařízení pro čištění síťového provozu vyvíjeného sdružením CESNET z.s.p.o.

Univerzální agregační modul pro systém NEMEA

Autor
Michal Slabihoudek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.

Systém pro evidenci podezřelých skupin síťových adres

Autor
Lenka Stejskalová
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá analýzou provozu jdoucího z podezřelých síťových adres a jejím rozdělováním těchto adres do skupin. Cílem práce je vytvořit systém pro evidování skupin podezřelých adres, které jsou hlášeny společně v bezpečnostních hlášeních nebo vykazují podobné chování. V práci je provedena analýza vstupních dat a analýza systémů NERD, NEMEA a Warden. Práce se zabývá definováním botnetu a rozdělováním útoků v síti. V práci byl navrhnut a implementován systém pro evidenci podezřelých skupin síťových adres. Tento systém byl otestován na zkušebních datech. Systém byl napsán v jazyce Python.

Detekce anomálií v provozu IoT sítí

Autor
Dominik Soukup
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato diplomová práce se zabývá problematikou bezpečnosti v prostředí Internet of Things (IoT). Prvním cílem je analýza aktuálního stavu IoT sítí a identifikace bezpečnostních slabin bezdrátových senzorových protokolů. Druhým cílem je vytvoření nástroje, který v probíhající komunikaci detekuje nalezené bezpečnostní incidenty. V analytické části je čtenář seznámen s principem fog computingu a nově vzniklým modelem komunikace. Zároveň jsou důkladně rozebrány aktuálně používané protokoly včetně jejich bezpečnostních slabin. Součástí práce je návrh architektury, který je připraven na budoucí rozšiřování, což je nezbytné pro rychle se rozvíjející a širokou oblast IoT. Při návrhu byl kladen důraz na nízké hardwarové nároky tak, aby bylo možné provozovat výsledné řešení i na IoT branách s omezenými prostředky. První část výstupu této práce tvoří rešerše aktuálního stavu IoT, která je obsažena v textu této práce. Druhou částí je modulární systém, který lze konfigurovat a přizpůsobit pro konkrétní topologii. Výsledný nástroj je implementovaný v jazyce C++ a rozšiřuje již existující IoT bránu BeeeOn o možnost detekce anomálií v bezdrátových senzorových protokolech. Výsledkem je nová verze této brány s mechanismem pro detekci útoků.

Detekce útoků využívajících aplikační protokol HTTP

Autor
Tomáš Ďuračka
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Diplomová práce se zabývá problematikou rostoucího počtu útoků na webové aplikace a klade si za cíl vyvinout NEMEA modul pro detekci tohoto typu útoků. Modul bude průběžně analyzovat síťové toky a na základě předdefinovaných signatur rozhodovat o tom, zda dochází k potenciálnímu útoku na webovou aplikaci. Přínos této práce spočívá ve schopnosti získávat a sdílet informace o probíhajících podezřelých aktivitách v jejich raném stádiu.

Za obsah stránky zodpovídá: doc. Ing. Štěpán Starosta, Ph.D.