Dizertační práce
Analýza šifrovaného síťového provozu a detekce bezpečnostních hrozeb ve vysokorychlostních sítích
Školitel
Stupeň
Téma dizertační práce
Popis tématu
Obsahem práce bude výzkum algoritmů pro klasifikaci šifrovaného síťového provozu a detekci bezpečnostních hrozeb ve vysokorychlostních počítačových sítích a tvorba automaticky anotovaných datových sad. Šifrovaný provoz představuje v současné době velkou výzvu pro standardní monitorovací nástroje, které doposud pracovaly především s nešifrovanými informacemi extrahovanými z paketů, vědeckou komunitu v oblasti síťové bezpečnosti i pro odbornou veřejnost. Většina síťového provozu je již šifrovaná a proto je potřeba hledat nové zdroje informací o dění na síti. Tyto informace jsou důležité jak pro operátory sítí tak i pro bezpečnostní analytiky.
Cílem tohoto rámcového tématu dizertační práce je výzkum vhodných statických vlastností provozu, které je možné počítat v reálném čase na linkách o rychlostech přes 100Gb/s (s využitím hardwarové akcelerace), výzkum klasifikačních a detekčních algoritmů založených na strojovém učení pro zpracování síťových toků obohacených o nové statistiky a v neposlední řadě experimentální vyhodnocování těchto vyvíjených algoritmů na reálném vysokorychlostním provozu.
Dizertabilita tématu je založena na faktech, že jde o řešení velmi netriviálních problémů, kterými jsou zpracování a filtrace velkých objemů dat společně s modelováním síťového provozu, hledání odchylek, identifikace útočníků a správné řízení mitigace těchto problémů. V oblasti analýzy šifrovaného provozu se začínají objevovat výzkumné výsledky z celosvětové vědecké komunity, avšak zatím nebylo publikováno dostatečně použitelné řešení. Základem bude výzkum v oblasti možností využití statistických metod, pravděpodobnostních modelů a využití algoritmů umělé inteligence.
Vzhledem k současným rychlostem síťových přenosů a požadavkům na on-line monitorování je nutné algoritmy navrhovat a realizovat s využitím dekompozice na hardwarovou a softwarovou část a s použitím vhodných technologií hardwarové akcelerace (např. FPGA).
Detekce anomálií a jejich mitigace v počítačových a IoT sítích
Školitel
Stupeň
Téma dizertační práce
Popis tématu
Školitel-specialista: doc. Ing. Tomáš Čejka, Ph.D.
Obsahem práce bude výzkum algoritmů pro detekci, identifikaci a mitigaci bezpečnostních hrozeb a anomálií v počítačových sítích se zaměřením na oblast tzv. Internetu věcí (IoT). Z pohledu síťové bezpečnosti je nutné nahlížet na oblast IoT jako na hrozbu a to jak pro samotné IoT, tak i pro další zařízení, kdy IoT se může stát zdrojem hrozby. Je proto důležité sledovat komunikaci v těchto sítích, odvozovat z významných událostí v komunikaci další meta informace a tyto informace používat pro identifikaci zdroje hrozeb, mitigaci hrozeb a řízení strategie mitigace.
Cílem dizertační práce bude nalezení vhodných možností, jak vytvářet modely dlouhodobě uchovávající negativní či pozitivní události v komunikaci, a jak na základě těchto modelů co nejrychleji (s minimální latencí) tyto detekovat, identifikovat a odstranit zdroje problémů. Dizertabilita tématu je založena na faktech, že jde o řešení velmi netriviálních problémů, kterými jsou zpracování a filtrace velkých objemů dat společně s modelováním síťového provozu, hledání odchylek,identifikace zdrojů problémů a správné řízení mitigace těchto problémů. Na rozdíl od klasických IP sítí, IoT prostředí navíc významně využívá specifických fyzických vrstev v podobě specializovaných komunikačních protokolů, což s sebou přináší nové potenciální vektory útoků, které jsou běžnou analýzou IP provozu nedetekovatelné. Z tohoto důvodu je potřeba hledat nové způsoby monitorování IoT provozu. Základem bude výzkum v oblasti možností využití statistických metod, pravděpodobnostních modelů a využití algoritmů umělé inteligence.
Vzhledem k současným rychlostem síťových přenosů a požadavkům na on-line monitorování je nutné algoritmy navrhovat a realizovat s využitím dekompozice na hardwarovou a softwarovou část a s použitím vhodných technologií hardwarové akcelerace (např. FPGA).
Bakalářské práce
Webové uživatelské rozhraní NETCONF klienta s využítím modelů YANG
Autor
David Alexa
Rok
2013
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Vojtěch Jirkovský
Katedra
Detekce síťových tunelů v počítačových sítích
Autor
Zdeněk Rosa
Rok
2014
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.
Katedra
Systém pro konfiguraci a monitorování distribuovaného systému NEMEA
Autor
Marek Švepeš
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Katedra
Detekce botnetů v počítačových sítích
Autor
Jan Neužil
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Katedra
Aplikace pro analýzu síťových toků technologie VoIP/SIP
Autor
Tomáš Jánský
Rok
2016
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Katedra
Anotace
Stále častější využití technologie Voice over Internet Protocol (VoIP) v internetové telefonii s sebou přináší řadu bezpečnostních rizik. Častým cílem útočníků je signalizační protokol Session Initiation Protocol (SIP). Tato práce obsahuje analýzu protokolu SIP, podrobněji jsou zde popsány útoky hrubou silou, které se snaží prolomit hesla uživatelů VoIP technologie. Výstupem práce je aplikace, která detekuje tyto útoky. Součástí je i popis útoků detekovaných na reálné síti. Aplikace je implementována jako součást systému Network Measurements Analysis (NEMEA), který je vyvíjen sdružením CESNET z.s.p.o.
Klasifikace zařízení na základě toků v počítačových sítích
Autor
Zdeněk Kasner
Rok
2016
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Katedra
Anotace
Tato bakalářská práce se zabývá automatickým rozpoznáváním typů zařízení komunikujících po síti. Zařízení v počítačových sítích generují provoz, který lze zachytit v podobě síťových toků. Ve své práci jsem navrhl metodu, která používá tyto síťové toky pro klasifikaci jednotlivých typů zařízení. Metoda vychází z měření statistických vlastností síťových toků a využívá naměřených hodnot jako vstup pro algoritmus strojového učení - metodu podpůrných vektorů (support vector machines). Hlavní část této práce popisuje implementaci navržené metody v podobě modulu pro systém Network Measurements Analysis (NEMEA), software pro síťovou analýzu a detekci anomálií.
Detekce síťových útoků typu Denial of Service
Autor
Otto Hollmann
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Útoky typu Denial of Service (DoS) jsou v dnešní době stále častější a dostupné pro každého. Útoky omezují běžné uživatele a můžou působit finanční ztráty provozovatelům služeb i poskytovatelům připojení. Tato práce se zabývá detekcí volumetrických útoků na základě analýzy síťových toků v reálném čase. Zabývá se problematikou vzniku útoků a popisuje stávající řešení útoků. Dále popisuje návrh detekčního algoritmu využívajícího historických okének k detekci náhlého zvýšení velikosti provozu. V závěru práce je popsána implementace a testování výsledného detekčního programu. Detektor je implementován jako modul do systému NEMEA, který vyvíjí CESNET, zájmové sdružení právnických osob.
Exportér síťových toků s podporou aplikačních informací
Autor
Jiří Havránek
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Katedra
Anotace
Monitorování síťového provozu je nezbytnou součástí správy dnešních počítačových sítí. Získané informace slouží nejen k zajištění základní funkcionality a včasné detekování potenciálních problémů, ale především k bezpečnostní analýze.
Z důvodu soukromí uživatelů a snížení objemu sbíraných dat je dnes standardem agregace provozu do tzv. síťových toků. Tato práce se zabývá otázkou exportu síťových toků s rozšířením o informace z aplikačních vrstev. Výsledkem práce je rozšíření a vylepšení open source exportéru toků z projektu NEMEA. Tento softwarový modul byl po optimalizacích původního kódu úspěšně portován na platformu vestavných zařízení se systémem OpenWrt. Díky tomuto přínosu je možné vytvořit monitorovací sondu i z nevýkonných levných domácích směrovačů a zvýšit tak přehled o provozu na síti včetně detekce škodlivého provozu.
Mimo paměťových a výkonnostních optimalizací vnitřních struktur je modul rozšířen o možnost číst pakety ze síťového rozhraní pomocí knihovny libpcap. Vnitřní struktura pro ukládání toků, flow cache, je upravena pro ukládání informací z aplikačních protokolů. Použití tohoto rozšíření je demonstrováno na dvou vytvořených ukázkových parsovacích pluginech pro HTTP a DNS provoz. Exportér je díky této práci schopen exportovat toky ve formátu IPFIX.
Automatická klasifikace síťových entit
Autor
Jakub Jančička
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Zpracování nahlášených bezpečnostních incidentů je poměrně obtížný úkol, který zahrnuje analýzu velkého množství událostí a dohledání dodatečných informací. Jedním z nástrojů pracujících s přijatými bezpečnostními incidenty, je Network Entity Reputation Database (NERD) vyvíjený a provozovaný sdružením CESNET, který na základě detekovaných událostí shromažďuje potenciálně škodlivé síťové entity a dohledává o nich relevantní informace. Tato bakalářská práce se zabývá rozšířením NERDu o získání dalších užitečných informací o entitách a realizací automatické klasifikace entit podle podstaty jejich chování. Hlavním přínosem práce je návrh a implementace modulu na
klasifikaci entit pomocí konfigurovatelných klasifikačních pravidel. Vytvořené funkční a otestované řešení bylo nasazeno do produkční instance systému NERD používané členy bezpečnostních týmů.
Rozšíření reputační databáze o informace z Passive DNS
Autor
Maxmilián Tomáš
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Systém DNS (Domain Name System) je systém doménových jmen
pro překlad mezi doménovými jmény a IP adresami.
Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci
blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény.
Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres.
Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace.
Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji.
Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy.
Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze.
Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.
Vylepšená knihovna pro komunikaci NEMEA modulů
Autor
Matěj Barnat
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá monitorovacím systémem NEMEA, vyvíjeným ve spolupráci sdružení CESNET a českých vysokých škol za účelem analýzy provozu a detekce anomálií na síti CESNET2. NEMEA je modulární systém, založený na principu zpracování síťových toků v reálném čase.
Cílem práce bylo na základě analýzy současného řešení NEMEA frameworku navrhnout a realizovat vylepšení knihovny libtrap, která tvoří jeho hlavní část. Motivací pro navržené změny je optimalizace komunikace mezi nejvíce zatěžovanými uzly systému NEMEA, kde je vyžadována vysoká propustnost.
Hlavním obsahem práce je analýza současné implementace této knihovny a následné přepracování její části, která se týká předávání dat mezi jednotlivými moduly. Výsledkem je nová verze knihovny libtrap, která byla začleněna do distribučních balíků systému NEMEA.
Vyhodnocování zachycených flow dat podezřelých zařízení
Autor
Jan Suchara
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Katedra
Anotace
Tato práce se zaměřuje na analýzu síťového provozu klientů komunikujících s adresami na veřejných blacklistech. Hlavním cílem bylo rozlišit atributy provozu, které mohou být použity k rozeznání bežného provozu od provozu nakažených zařízení. Výsledkem práce je modul Evaluator pro systém NEMEA, který rozšiřuje existujicí sadu modulů blacklistfilter. Evaluator počítá statistiky provozu podezřelých adres a využívá námi získané výsledky k omezení počtu false positive hlášení.
Nástroj pro konfiguraci a monitorování
Autor
Václav Kubernát
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá návrhem a implementací interaktivní konzolové aplikace sloužící ke konfiguraci síťových zařízení. Tento program slouží jako alternativa k dostupným, méně intuitivním, řešením. Toho dosahuje přívětivým uživatelským rozhraním implementovaným pomocí knihovny replxx.
Jádrem programu je parser vygenerovaný pomocí generátoru parserů Boost Spirit X3. Tento parser slouží k implementaci generické syntaxe, která nezávisí na typu konfigurovaného zařízení. Součásti programu jsou modulární a na sobě nezavislé a díky tomu je lze velmi dobře testovat.
Klasifikace provozu a zařízení v počítačových sítích na základě toků
Autor
Matej Hulák
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Práce se zabývá klasifikací síťového provozu a tvorbou klasifikačního modulu pro systém NEMEA. První část práce popisuje existující nástroje a metody klasifikace. Teoretická část se zaměřuje na návrh klasifikačního algoritmu a klasifikačního modulu pro systém NEMEA. Praktická část popisuje tvorbu anotovaných datových sad a implementaci modulu. Závěr práce se je věnován testování klasifikační úspěšnosti a časové náročnosti vytvořeného modulu. Výstupem práce je vytvoření devíti anotovaných datových sad a funkční klasifikační modul pro systém NEMEA, který je schopný klasifikovat síťový provoz v reálném čase.
Automatické rozpoznávání síťových zařízení a jejich závislostí
Autor
Josef Koumar
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá návrhem a implementací PassiveAutodiscovery modulu, který získá informace o zařízeních a určí jejich role v síti. Je vytvořen pro existující síťový modulární systém NEMEA. Teoretická část práce obsahuje popis, jakým způsobem modul získává informace o zařízeních ze sítě a praktická část obsahuje návrh a implementaci vzniklého modulu. Výsledky testování potvrzují funkčnost a ukazují časovou a paměťovou náročnost celého modulu.
Uživatel díky PassiveAutodiscovery modulu získá základní informace o všech zařízeních komunikující na měřené síti, role zařízeních v této síti, závislosti mezi zařízeními a statistiky používání sítě.
Podpora Microsoft Windows Server pro českou federaci eduroam
Autor
Jan Čáslavský
Rok
2021
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Jan Tomášek
Katedra
Anotace
Práce Podpora Microsoft Windows Server pro českou federaci eduroam přispívá snažšímu použití platformy Windows Server jako RADIUS server v české federaci eduroam.
Služba eduroam je celosvětový systém, který umožňuje uživatelům z akademických institucí připojení k Internetu především prostřednictvím Wi-Fi.
Instituce připojující se do eduroam musejí provozovat vlastní RADIUS server.
Cílem práce bylo provést analýzu požadavků pro připojení do eduroam a technických možností, které platforma Windows Server nabízí.
Na základě analýzy byla vytvořena vituální infrastruktura, na které jsou otestována různé nastavení a připojení do eduroam.
Po otestování nabytých zkušeností v praktické části práce byla rozšířena dokumentace na webu eduroam.cz.
Monitorování provozu sítě pomocí Model-Driven Telemetry
Autor
Ladislav Loub
Rok
2021
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Práce je zaměřená na problematiku stavového monitoringu síťových zařízení. Hlavním cílem je zhodnocení novějšího způsobu monitorování pomocí Model-Driven Telemetry v porovnání se starším způsobem založeným na protokolu SNMP. Výsledkem práce je testovací kolektor pro sběr, uložení a zobrazení sledovaných dat. Primárním zdrojem dat jsou zařízení společnosti Cisco.
Detekce síťového provozu aplikace TeamViewer
Autor
Tomáš Klatovský
Rok
2021
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Jan Luxemburk
Katedra
Anotace
Aplikace TeamViewer je jednim z nástrojů často použivaných jednotlivci i organizacemi pro vzdálený přistup z důvodu správy zařizeni, komplexni pod-
pory zákazniků či spolupracovniků nebo pro zpřistupněni zdrojů uživatelům
pracujicim z domova nebo jiného mista. Umožněni přistupu v takovémto roz-
sahu s sebou ale nese bezpečnosti rizika a vyžaduje pečlivé monitorováni.
Tato závěrečná práce se zabývá analýzou aplikace TeamViewer se zaměřenim
na jeji sit'ový provoz. Na základě této analýzy navrhuje postup pro detekci
této komunikace a rozlišeni druhů aktivity v jejim šifrovaném obsahu za užiti
strojového učeni. Při detekci bylo dosaženo úspěšnosti 99.9 %, při pokusech o rozlišováni druhů aktivity pak přinejmenšim 84.9 %.
Klasifikace komunikace uvnitř Tor spojení
Autor
Lukáš Jančička
Rok
2021
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Karel Hynek, Ph.D.
Katedra
Anotace
Tato bakalářská práce se zabývá detekcí anonymizační sítě Tor a klasifikací jejího provozu pomocí metod strojového učení. Statistické vlastnosti síťového provozu získané z dat ve formě síťových toků jsou použity k trénování různých modelů supervizovaného učení. Model AdaBoost podával nejlepší výsledky jak v detekci Toru, tak v klasifikaci kategorie provozu sítě Tor. Strojové učení se ukazuje být vhodným přístupem pro detekci sítě Tor, neboť finální klasifikátor dokázal detekovat 94 % vzorků provozu sítě Tor a v těchto rozhodnutích byl přesný na 99 %, s F-skóre 96 %. Druhý klasifikátor rozlišuje mezi osmi kategoriemi provozu a vykazuje klasifikační přesnost 65 %. Výsledky ukazují, že některé informace o aktivitě uživatele lze zjistit i přes fakt, že síť Tor šifruje svůj síťový provoz.
Akcelerace nástrojů síťové bezpečnosti pomocí DPDK infrastruktury
Autor
Filip Biľ
Rok
2023
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Jiří Smítka
Katedra
Anotace
V tejto práci je skúmaná problematika spracovávania a predfiltrovania vysokorýchlostných sie-
ťových tokov na vrstvách 2 a 3 OSI modelu pre bezpečnostné aplikácie. Pre implementáciu proof-
of-concept infraštruktúry je použitá knižnica Data Plane Development Kit (DPDK). Účelom
tejto práce je navhrnúť infraštruktúru, ktorá bude riešiť problém zachovávania tokov paketov pri
rozkladaní záťaže medzi jednotlivé bezpečnostné aplikácie aj vo vysokorýchlostných sieťach v rá-
doch [?]100GiB s funkčnými filtrovacími pravidlami (ACL). Pomocou tejto DPDK infraštruktúry
boli dosiahnuté požadované rýchlosti so zanedbateľnou drop rate paketov. Výsledky tejto práce
umožňujú navrhnúť vysokorýchlostné sieťové zariadenia na vyvažovanie záťaže, ktoré budú za-
chovávať toky paketov medzi jednotlivé bezpečnostné aplikácie, čím pomôžu daným aplikáciám
pri korektnejšej analýze tokov paketov. V prílohe sú uvedené kompletné zdrojové kódy pre pred-
filtrovaciu infraštruktúru spolu s jednoduchým generátorom sieťových tokov.
Analysis and detection of WireGuard traffic
Autor
Pavel Valach
Rok
2024
Typ
Bakalářská práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Katedra
Anotace
Monitorování internetového provozu se vzhledem k požadavkům dnešního světa stává nutností. Ve své práci analyzuji protokol WireGuard, který se pokouším detekovat v síťovém provozu. Následně detekuji kategorii provozu procházejícího uvnitř šifrovaného tunelu, aniž bych měl přístup k dešifrovanému obsahu.
Zjišťuji zde, že jsem schopen detekovat přítomnost protokolu WireGuard ze zachycených paketů (neboli provádím Deep Packet Inspection -- DPI), a vytvářím detektor pro exportér toků ipfixprobe, který je součástí frameworku NEMEA pro analýzu síťového provozu. Nicméně, DPI vyžaduje přístup k obsahu síťového provozu, a také nedostačuje ke zjištění, jaký druh provozu tunelem prochází. Zde přichází ke slovu strojové učení. Posbíral jsem data pro sedm (7) kategorií provozu, a to jak v původní podobě, tak zapouzdřené v protokolu WireGuard. Následně jsem využil několika klasifikačních algoritmů, specificky AdaBoost a LightGBM, abych natrénoval rozhodovací strom, který pak posloužil jako základ mých modelů. Trénování proběhlo pro dva scénáře: 1) zda je provoz WireGuard či nikoliv, a 2) detekce kategorie provozu (jako např. VoIP či prohlížení webu).
Výstupem práce je funkční detektor WireGuardu pro ipfixprobe, parametry natrénovaných modelů pro detekci WireGuardu a různých tříd provozu z charakteristik síťového provozu, zhodnocení přesnosti a výkonu detekce, a také sesbíraná datová sada.
Diplomové práce
Detekce zneužití VoIP ústředen
Autor
Lukáš Truxa
Typ
Diplomová práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Tomáš Herout
Katedra
Rozšíření grafického uživatelského rozhraní NetopeerGUI
Autor
David Alexa
Rok
2015
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Vojtěch Jirkovský
Katedra
Anotace
Tato práce se zabývá vývojem a rozšířením systému NetopeerGUI -- webového grafického uživatelského rozhraní pro správu a konfiguraci síťových zařízení. NetopeerGUI umožňuje komunikovat s libovolným zařízením podporujícím protokol NETCONF. Jedná se o open-source NETCONF klienta, zveřejněného na serveru GitHub.
NetopeerGUI přináší jednoduchý a intuitivní způsob konfigurace zařízení. Zastiňuje interní příkazy protokolu NETCONF do uživatelsky přívětivé podoby. Usnadňuje konfiguraci díky intuitivnímu uživatelskému rozhraní. Nabízí rozšířené možnosti konfigurace zařízení a modulární rozšíření celé aplikace.
Systém NetopeerGUI je implementován v jazyce PHP ve frameworku Symfony2 a využívá webový server Apache s modulem mod_netconf. Systém byl otestován několika úrovněmi testů. Chování aplikace bylo také podrobeno uživatelskému testování.
Detekce síťových útoků na Voice over IP infrastrukturu
Autor
Nikolas Jíša
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Tomáš Herout
Katedra
Anotace
Obrovský nárůst síťového provozu vyžaduje zvyšující se nároky na bezpečnost kvůli rizikům finančích ztrát a narušení soukromí. V oblasti Voice over Internet Protocol (VoIP) mohou finanční ztáty dosáhnout i miliónů českých korun. Tento text se zabývá bezpečností VoIP, zejména protokolu SIP se zaměřením na útoky typu skenování a útoky typu Denial of Service (DoS). Útoky typu skenování použije útočník k získání informací o síti, o zařízeních podporujících SIP a o SIP uživatelích, které dále použije k dalším útokům. Útoky typu DoS může útočník použít ke zpomalení nebo k znemožnění zpracovávání SIP zpráv atakovaného zařízení. Detekce útoků je zde založena na analýze časových řad.
Analýza síťového provozu s pomocí komunikačních map
Autor
Tomáš Vicher
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.
Katedra
Anotace
Tato diplomová práce popisuje návrh a implementaci metody pro zpracování
informací o síťových tocích. Informace slouží ke generování grafu komunikace
mezi jednotlivými uzly sítě, případně agregovanými uzly (podsítě). Stav grafu
je udržován aktuální díky vyhodnocování informací v téměř reálném čase. Sou-
částí práce byl návrh využití takto vzniklých struktur s ohledem na sledování
vývoje provozu, případně k detekci neobvyklých jevů v síti. Výsledkem práce
je detekční modul implementovaný pro systém NEMEA. Součástí práce je též
analýza různých možností monitorování sítě, síťových útoků a statistických
metod pro vyhodnocování informací ze síťových toků.
Detekce útoků na Network Time Protocol
Autor
Alejandro Robledo
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.
Katedra
Anotace
Network Time Protocol (NTP) se v počítačových sítích používá pro synchronizaci času. Nevhodně nastavená NTP infrastruktura umožňuje útočníkovi manipulovat se systémovým časem oběti. Cílem této práce je ověření zranitelnosti používaného protokolu v simulovaném prostředí. Výsledkem práce je experimentální otestování proveditelnosti tohoto typu útoku, návrh funkčního detekčního mechanizmu a nakonec i vlastní implementace detekčního modulu pracujícího se záznamy o tocích rozšířenými o NTP informace. Implementovaný modul byl integrován a testován v rámci existujícího systému NEMEA.
Sledování provozu 100Gb/s síťových infrastruktur
Autor
Miroslav Kalina
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Katedra
Anotace
Obsahem této práce je návrh a následná implementace agregačního modulu pro NEMEA Framework. Výsledný modul bude umožňovat uživateli definovat pravidla pro zpracování velkého množství informací do agregovaných záznamů pro jednodušší následující zpracování.
Automatizovaný záchyt síťových dat k detekovaným událostem
Autor
Zdeněk Rosa
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Katedra
Anotace
Vysokorychlostní sítě pro analýzu provozu a detekci anomálií často používají nástroje založené na síťových tocích. Po nahlášení bezpečnostní události pomocí těchto nástrojů nám chybí důkazní materiál a informace pro verifikaci události. Tato práce rozšiřuje klasickou detekci založenou na síťových tocích o detekci pomocí paketů. Navržený systém umožňuje získat provoz podezřelých adres, podílejících se na události a následně provést analýzu tohoto provozu.
Rozšíření systému NEMEA pro nasazení v distribuovaném prostředí
Autor
Marek Švepeš
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Množství dat, které musí v dnešní době monitorovací systémy zpracovávat, roste kvůli zvyšující se rychlosti počítačových sítí a přibývajícímu počtu připojených zařízení. Kvůli různým typům bezpečnostních hrozeb musí být většinou data zpracována mnoha detekčními algoritmy najednou s omezenými výpočetními prostředky. Pro zpracování velkého množství síťových dat se začíná používat paralelizace a vznikají škálovatelná řešení monitorovacích systémů. V rámci této diplomové práce byl pro účely výzkumu v oblasti paralelizace zpracování použit modulární open-source systém NEMEA. Tato práce se zabývá návrhem, realizací a testováním rozšíření systému NEMEA, které umožní distribuované nasazení systému, což díky paralelnímu zpracování řádově zvýší propustnost celého systému. Zvolený způsob paralelizace spočívá v rozdělování proudu síťových toků mezi výpočetní uzly. Navržené řešení je realizováno v podobě NEMEA modulu. Práce dále popisuje vytvořené testovací prostředí, ve kterém byly provedeny experimenty k ověření vlastností nového modulu. Všechny experimenty byly provedeny s reálnými daty z akademické sítě CESNET2. V závěru práce je představena škálovatelná architektura paralelního zpracování pomocí systému NEMEA.
Automatická analýza nahlášených bezpečnostních incidentů
Autor
Adam Plánský
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Josef Kokeš
Katedra
Anotace
Detekční systémy na počítačových sítích detekují více bezpečnostních událostí, než je možné zpracovat manuálně. Tato práce se zabývá snížením počtu těchto bezpečnostních událostí, což pomůže bezpečnostním týmům se zpracováním detekovaných událostí. Algoritmus je přizpůsobitelný cílovému nasazení pomocí konfiguračních parametrů. Navržený systém redukuje počet bezpečnostních událostí na jednotky procent.
Centrální správa sítě Národní technické knihovny
Autor
Miroslav Brabenec
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Adminator je aplikace, která je v Národní technické knihovně využívána ke správě sítě. Momentálně je aplikací spravováno DHCP, DNS a přiřazování VLAN. Cílem této práce je rozšíření funkcí o monitoring aktivních síťových prvků (přepínačů a analyzátorů) a zapojení infrastruktury (kabeláže z analyzátorů). Nově vytvořené funkce umožňují zjistit, které síťové zásuvky jsou aktivní, jaká je konfigurace rozhraní přepínače a kde bylo spatřeno zařízení s danou MAC adresou. V každodenním provozu pak tyto funkce usnadňují přesun zařízení, detekci nekorektně nastavených portů, nalezení zařízení s vadným zdrojem.
Unifikované konfigurační rozhraní pro NEMEA kolektory
Autor
Matěj Židek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
RNDr. Radek Krejčí
Katedra
Anotace
V této práci se zabývám novým způsobem konfigurace modulárního systému NEMEA, který slouží pro analýzu provozu a detekci anomálií v počítačových sítích. Tento nový způsob spočívá ve využití projektu sysrepo jako úložiště konfigurace a prostředníka pro komunikaci se spuštěným NEMEA systémem.
Problém jsem vyřešil implementací nové verze démona, který je v rámci NEMEA projektu odpovědný za správu běhu všech modulů.
Nový démon je navržen, aby používal sysrepo. To umožnilo přímo nad sysrepem postavit webové uživatelské rozhraní, které dovoluje běžící NEMEA systém spravovat.
Celé řešení jsem pro snadné nasazení sestavil v prostředí vytvořeném technologií Docker.
Detekce útoků využívajících aplikační protokol HTTP
Autor
Tomáš Ďuračka
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Diplomová práce se zabývá problematikou rostoucího počtu útoků na webové aplikace a klade si za cíl vyvinout NEMEA modul pro detekci tohoto typu útoků. Modul bude průběžně analyzovat síťové toky a na základě předdefinovaných signatur rozhodovat o tom, zda dochází k potenciálnímu útoku na webovou aplikaci. Přínos této práce spočívá ve schopnosti získávat a sdílet informace o probíhajících podezřelých aktivitách v jejich raném stádiu.
Detekce anomálií v provozu IoT sítí
Autor
Dominik Soukup
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Katedra
Anotace
Tato diplomová práce se zabývá problematikou bezpečnosti v prostředí Internet of Things (IoT). Prvním cílem je analýza aktuálního stavu IoT sítí a identifikace bezpečnostních slabin bezdrátových senzorových protokolů. Druhým cílem je vytvoření nástroje, který v probíhající komunikaci detekuje nalezené bezpečnostní incidenty. V analytické části je čtenář seznámen s principem fog computingu a nově vzniklým modelem komunikace. Zároveň jsou důkladně rozebrány aktuálně používané protokoly včetně jejich bezpečnostních slabin. Součástí práce je návrh architektury, který je připraven na budoucí rozšiřování, což je nezbytné pro rychle se rozvíjející a širokou oblast IoT. Při návrhu byl kladen důraz na nízké hardwarové nároky tak, aby bylo možné provozovat výsledné řešení i na IoT branách s omezenými prostředky.
První část výstupu této práce tvoří rešerše aktuálního stavu IoT, která je obsažena v textu této práce. Druhou částí je modulární systém, který lze konfigurovat a přizpůsobit pro konkrétní topologii. Výsledný nástroj je implementovaný v jazyce C++ a rozšiřuje již existující IoT bránu BeeeOn o možnost detekce anomálií v bezdrátových senzorových protokolech. Výsledkem je nová verze této brány s mechanismem pro detekci útoků.
Informovaná mitigace DDoS útoků na základě reputace
Autor
Tomáš Jánský
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
doc. Ing. Hana Kubátová, CSc.
Katedra
Anotace
Mezi nejrozšířenější a zároveň nejnebezpečnější síťové útoky patří bezesporu distribuované útoky odepření služby (DDoS). Tyto útoky jsou neustálou hrozbou všem poskytovatelům internetového připojení a jsou schopny vyřadit zprovozu síťovou infrastrukturu i těch největších společností. Cílem těchto útoků je zpravidla zahlcení síťového zařízení, nebo dokonce sítě samotné, pomocí velkého množství provozu. Následkem toho dochází k nepředvídatelnému zahazování síťových paketů. Obrana proti DDoS útokům na základě rozpoznávání škodlivých paketů je obtížnou výzvou, neboť ty se od legitimních paketů mnohdy liší jen minimálně. Tato práce se zabývá návrhem heuristiky, která filtruje síťový provoz během DDoS útoku a využívá k tomuto účelu znalosti tzv. reputačního skóre síťových entit. Hlavním přínosem práce je integrace takto navržené heuristiky do zařízení pro čištění síťového provozu vyvíjeného sdružením CESNET z.s.p.o.
Univerzální agregační modul pro systém NEMEA
Autor
Michal Slabihoudek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.
Automatická detekce podezřelého síťového provozu pomocí blacklistů
Autor
Filip Šuster
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Katedra
Anotace
Tato práce se zabývá implementací sady modulů pro detekci podezřelého sí- ťového provozu pomocí veřejných blacklistů. Kromě základní detekce, která spočívá v nahlášení všech síťových toků, umožňují vytvořené moduly sledovat další provoz klientů, kteří s blacklistovanou entitou komunikovali.
Cílem práce je využít analýzu dodatečně zachycených informací o provozu podezřelých klientů k lepšímu a přesnějšímu rozhodování o podstatě/kontextu komunikace. Díky této analýze je možné odhalit, jestli základní detekce není jen falešný poplach. K zachytávání dodatečných informací v reálném čase byl vytvořen modul, tzv. adaptivní filtr, který patří k hlavním přínosům této práce. Práce se zaměřuje zejména na využití veřejně dostupných seznamů Command&Control serverů a analýzu provozu klientů, kteří s těmito servery komunikují.
Všechny vytvořené softwarové nástroje jsou součástí open source projektu NEMEA, který se používá k analýze provozu a detekci bezpečnostních událostí v národní akademické síti CESNET2.
Systém pro evidenci podezřelých skupin síťových adres
Autor
Lenka Stejskalová
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá analýzou provozu jdoucího z podezřelých síťových adres a jejím rozdělováním těchto adres do skupin. Cílem práce je vytvořit systém pro evidování skupin podezřelých adres, které jsou hlášeny společně v bezpečnostních hlášeních nebo vykazují podobné chování. V práci je provedena analýza vstupních dat a analýza systémů NERD, NEMEA a Warden. Práce se zabývá definováním botnetu a rozdělováním útoků v síti. V práci byl navrhnut a implementován systém pro evidenci podezřelých skupin síťových adres. Tento systém byl otestován na zkušebních datech. Systém byl napsán v jazyce Python.
Analýza a detekce útoku KRACK proti WiFi infrastruktuře
Autor
Jana Ernekerová
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Katedra
Anotace
Tato práce analyzuje princip útoku KRACK a navrhuje metody jeho detekce. Kromě toho se práce zabývá návrhem, implementací a testováním systému pro detekci útoku KRACK proti čtyřcestnému handshaku v reálném čase. V analytické části práce jsou nejprve představeny relevantní části standardu 802.11, na které je útok zaměřen. Poté je popsán princip útoku, jeho praktické dopady a protiopatření. Jsou zmapovány dostupné nástroje pro detekci zranitelnosti zařízení k tomuto útoku. Práce se zvlášť zaměřuje na útok proti čtyřcestnému handshaku a analyzuje provoz generovaný během tohoto útoku. Ten je poté srovnán se standardním provozem na síti během čtyřcestného handshaku. Na základě monitorovaného provozu a také analytické části práce jsou pak navrženy charakteristiky k detekci útoků KRACK. Systém pro detekci útoku proti čtyřcestnému handshaku je navržen, implementován a úspěšně otestován.
Honeypot pro bezdrátové IoT sítě
Autor
Simon Štefunko
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Ciele tejto práce ležia v teoretickej analýze konceptu Internet vecí (IoT) a jeho bezpečnostných problémov, praktickom výskume a vývoji nového unikát-
neho zariadenia zvaného "IoT honeypot". Analytická časť práce sumarizuje
existujúce hardvérové a softvérové riešenia, a sústredí sa na technológiu Soft-
vérom definovaného rádia (SDR), ktorá bola použitá na vývoj IoT honeypot-u.
Vyvíjaný prototyp v súčasnosti podporuje rozšírený Z-Wave protokol. Avšak,
dizajn je dosť univerzálny na to, aby v budúcnosti podporoval ďalšie IoT
protokoly. Motiváciou tejto práce bolo vytvoriť zariadenie, ktoré dokáže
zbierať informácie o IoT komunikácii, detegovať potenciálnych útočníkov, a pôsobiť ako návnada, ktorá komplikuje útočníkom objaviť a prebrať kon-
trolu nad skutočnými nasadenými IoT zariadeniami, ako sú senzory, spínače,
a podobne. Výstupom tejto práce je funkčný IoT honeypot, ktorý podporuje
viacero režimov fungovania (napríklad pasívny alebo interaktívny režim), a môže byť nasadený ako súčasť Z-Wave infraštruktúry. Predstavuje komple-
ment k ostatným bezpečnostným nástrojom a mechanizmom, ktoré zvyšujú
úroveň bezpečnosti IoT infraštruktúry.
Identifikace síťových zařízení a služeb pomocí pasivního monitorování
Autor
Jan Neužil
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Katedra
Anotace
Viditelnost do síťového provozu je nezbytnou součástí síťové bezpečnosti a bezpečnostní analýzy. Současné stávající nástroje však obvykle poskytují pouze všeobecné informace o komunikaci jednotlivých zařízení. Tato diplomová práce se zabývá možnostmi využití vícero informačních zdrojů v lokálních sítích k identifikaci významu a účelu daného síťového připojení, které jsou srozumitelné pro většinu uživatelů. Tato práce se konkrétně zaměřuje na kombinování informací z "service discovery" protokolů s tradičními daty z IP toků. Výsledkem je vyvinutý softwarový prototyp analyzátoru - modul ACID, který zpracovává několik informačních zdrojů a přiřazuje síťovým spojením štítky, tj. pozorované aktivity. Tento přístup je mnohem slibnější než v současnosti používané nástroje založené na dobře známých portech a protokolech.
Automatický odhad parametrů pro mitigaci DDoS útoků
Autor
Filip Křesťan
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Cílem této práce je poskytnout automaticky generovanou informaci potřebnou pro detekci, diagnostiku a případnou mitigaci DDoS útoků popisující normální provoz v dané počítačové síti. Výsledný síťový profil, extrahovaný z informací o síťových tocích, se skládá z efektivně zakódované množiny entit, které historicky komunikovaly s profilovanou sítí a očekávanými úrovněmi provozu procházející danou sítí.
V první části práce je do širšího kontextu metod DDoS útoků a jejich mitigace zasazena mitigační metoda History-based IP filtering, která je základem navrženého subsystému agregujícího historii komunikace na síti. Další část práce se zabývá různými možnostmi ukládání historie síťové komunikace se zaměřením na paměťovou efektivitu. Na základě získaných informací jsou pro tento účel zvoleny Bloomovy filtry. V následující části je vyhodnocena přesnost několika modelů vhodných pro predikci očekávané úrovně provozu ve sledované síti. Na základě vyhodnocení je vybrán prediktivní model Prophet.
Výsledný informační systém, detailně popsaný ve třetí části, se skládá ze dvou podsystémů, které poskytují obě složky informací o síťovém profilu: škálovatelnou implementaci metody History-based IP filtering užívající Bloomovi filtry jako jediné úložiště dat a prediktivní subsystém využívající model Prophet.
Výsledky měření výkonnosti, popsané v poslední kapitole, ukazují, že implementovaný systém je vhodný i pro nasazení v sítích komunikujících s více než sto miliony odlišnými síťovými entitami, což výrazně převyšuje původní požadavky.
Vizualizace škodlivé aktivity IP rozsahů
Autor
Jakub Jančička
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
V dnešní době má většina větších organizací zřízen svůj bezpečnostní tým, který analyzuje síťový provoz a řeší bezpečnostní incidenty, které by mohly ohrozit provoz organizace. Ač dnes existuje mnoho automatických nástrojů na detekci incidentů, stále má při analýze nezastupitelnou roli člověk. Nástroje na vizualizaci síťového provozu dokáží paralelně zobrazit velké množství dat a využívají percepční a kognitivní schopnosti analytika, který je schopen vizuálně detekovat různé anomálie a neobvyklé vzorce v síti. Diplomová práce se zabývá vytvořením nástroje na interaktivní vizualizace hodnot, které jsou přiřazené k IP adresám, pomocí Hilbertovy křivky, která zobrazuje IPv4 prostor a shlukuje blízké sítové adresy a rozsahy. Vizualizace pomůže členům bezpečnostních týmů například s hledáním síťových bloků, ze kterých je vedeno velké množství škodlivého provozu, a umožní jim na tyto situace efektivně reagovat. Vytvořený nástroj je funkční, byl otestován na datech ze systému NERD a je nasazen jako webová služba pro využití členy bezpečnostních týmů.
Využití jazyka P4 pro generování síťových bezpečnostních aplikací
Autor
Jiří Havránek
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se věnuje využití vysokoúrovňového jazyka P4 pro generování bezpečnostních síťových aplikací. Využití je demonstrováno na popisu nového exportéru síťových toků, který vychází z existujícího exportéru flow_meter. Existující exportér a jazyk P4 jsou analyzovány a jsou identifikovány klíčové komponenty architektury. Mezi tyto komponenty patří parser paketů, flow cache, komponenta pro export toků ve formátu IPFIX a parsovací pluginy aplikačních protokolů. V práci je navržen vhodný popis těchto komponent pomocí programových konstrukcí jazyka P4. P4 program je následně možné přeložit na zdrojové kódy exportéru v C pomocí překladače jazyka P4, do kterého byl touto prací vytvořen backend.
Měření a porovnání ukázalo, že nově vytvořený exportér je rychlejší než původní. Navíc je více flexibilní a podporuje mnohem více protokolů, jelikož je automaticky generovaný z P4 popisu. Je možné jednoduše přidávat nové protokoly, upravovat algoritmus vytváření toků v cache, upravovat záznam o toku a mnohem jednodušeji vytvářet nové parsovací pluginy aplikačních protokolů. Jednotlivé generované komponenty jsou měřeny zvlášť a byly obecně pomalejší než jejich ručně optimalizovaná verze.
Softwarový modul pro rozpoznání VPN v síťovém provozu
Autor
Martin Čtrnáctý
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Karel Hynek
Katedra
Anotace
Tato diplomová práce se zabývá možnostmi detekce VPN v sítovém provozu, nebot VPN lze zneužít k obcházení kontroly provozu ci exfiltraci dat. Práce na základe zachycených vzorku VPN komunikace navrhuje a testuje ruzné metody detekce VPN. Následne dané detekcní metody implementuje, diskutuje jejich výhody a nevýhody a požadavky na jejich správné fungování. Nakonec testuje schopnosti detekce jednotlivých detekcních metod a porovnává je.
Diagnostika provozu ICS protokolů
Autor
Peter Páleník
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Katedra
Anotace
Práca sa zaoberá diagnostikou ICS a IoT protokolov, konkrétne CoAP a IEC 61850, pomocou diagnostického nástroja Distance.
Obsahuje analýzu spomenutých protokolov, detailné rozobratie možných chybových stavov a popis bezpečnostných hrozieb.
Následne popisuje diagnostický nástroj Distance a spôsob tvorby jeho pravidiel - konfiguračných súborov.
Ťažiskom je detailná štúdia protokolov a ich možných chybových stavov.
Z tejto analýzy práca následne odvodzuje diagnostické pravidlá, ktoré čo možno najpresnejšie popisujú chovanie protokolu
a snažia sa odhaliť možné konfiguračné chyby alebo bezpečnostné incidenty.
Výsledkom práce sú konfiguračné súbory nástroja Distance pre protokoly CoAP a IEC 61850.
Tieto súbory boli otestované na vlastnoručne vygenerovaných a aj ostrých dátových tokoch.
Adaptivní mitigace DDoS útoků na základě online analýzy
Autor
Pavel Šiška
Rok
2021
Typ
Diplomová práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Katedra
Anotace
Tato práce se zabývá návrhem a implementací nástroje pro online paketovou analýzu síťového provozu. Cílem práce je poskytnout síťovému administrátorovi informace, na základě kterých dokáže nastavit obranné mechanismy pro mitigaci DDoS útoků. Nástroj poskytuje přehled o aktuální struktuře síťového provozu a na základě charakteristik volumetrických DDoS útoků dokáže probíhající útok v síťovém provozu identifikovat a doporučit taková mitigační pravidla, která útok potlačí. Nástroj pro ukládání dat k analýze využívá speciální pravděpodobnostní datové struktury zvané sketche, které dokáží efektivně uchovávat velké množství dat s nízkou paměťovou náročností. Výkonnost a funkčnost nástroje byla otestována v laboratorních podmínkách nad zkušebními daty při rychlostech až 100 Gb/s.
Analýza a identifikace chování Tor klientů
Autor
Tibor Engler
Rok
2021
Typ
Diplomová práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Karel Hynek, Ph.D.
Katedra
Anotace
Projekt Tor je všeobecne známa anonymizačná technológia. Komunikácia pomocou Tor-u je založená na niekoľkých vrstvách šifrovania a náhodnom smerovaní, ktoré by mali garantovať vysokú úroveň súkromia. Táto práca však ukazuje, že súkromie Tor-u je značne obmedzené, pokiaľ sledovacie systémy začnú využívať techniky hlbokého učenia a sledujú pri tom komunikáciu klienta aj jeho cieľu. Výstupom tejto práce je klasifikačný model na báze hlbokého učenia (konvolučná neurónová sieť), ktorý bol vyhodnotený pomocou komplexných experimentov na nových dátových sadách, zachytených na reálnej sieti. Navrhovaný algoritmus dokáže rozhodnúť (s presnosťou vyššou ako 90%), či dve spojenia pozorované na rôznych miestach predstavujú jednu a tú istú komunikáciu medzi klientom a serverom. Pozitívny výsledok môže odhaliť konkrétny cieľ, s ktorým klient komunikuje, a teda predstavuje možnú bezpečnostnú slabinu, oslabujúcu celý proces anonymizácie. V porovnaní s existujúcimi prácami je nami vyvinutý model schopný pracovať s rozšírenými údajmi o IP toku namiesto úplných paketových záznamov.
Detekce a rozpoznávání periodické komunikace v síťovém provozu
Autor
Josef Koumar
Rok
2022
Typ
Diplomová práce
Vedoucí
doc. Ing. Tomáš Čejka, Ph.D.
Oponenti
doc. Ing. Kamil Dedecius, Ph.D.
Katedra
Anotace
V této práci se zaměřujeme na vytvoření metody detekce periodických chování v časových řadách ze síťového provozu, zejména šifrovaného, reprezentovaném pomocí síťových toků. Dále diskutujeme využití detekované periodicity k určení aplikace, služby či operačního systému, který daný provoz generoval.