doc. Ing. Tomáš Čejka, Ph.D.

Obsahem práce bude výzkum algoritmů pro klasifikaci šifrovaného síťového provozu a detekci bezpečnostních hrozeb ve vysokorychlostních počítačových sítích a tvorba automaticky anotovaných datových sad. Šifrovaný provoz představuje v současné době velkou výzvu pro standardní monitorovací nástroje, které doposud pracovaly především s nešifrovanými informacemi extrahovanými z paketů, vědeckou komunitu v oblasti síťové bezpečnosti i pro odbornou veřejnost. Většina síťového provozu je již šifrovaná a proto je potřeba hledat nové zdroje informací o dění na síti. Tyto informace jsou důležité jak pro operátory sítí tak i pro bezpečnostní analytiky.

Cílem tohoto rámcového tématu dizertační práce je výzkum vhodných statických vlastností provozu, které je možné počítat v reálném čase na linkách o rychlostech přes 100Gb/s (s využitím hardwarové akcelerace), výzkum klasifikačních a detekčních algoritmů založených na strojovém učení pro zpracování síťových toků obohacených o nové statistiky a v neposlední řadě experimentální vyhodnocování těchto vyvíjených algoritmů na reálném vysokorychlostním provozu.

Dizertabilita tématu je založena na faktech, že jde o řešení velmi netriviálních problémů, kterými jsou zpracování a filtrace velkých objemů dat společně s modelováním síťového provozu, hledání odchylek, identifikace útočníků a správné řízení mitigace těchto problémů. V oblasti analýzy šifrovaného provozu se začínají objevovat výzkumné výsledky z celosvětové vědecké komunity, avšak zatím nebylo publikováno dostatečně použitelné řešení. Základem bude výzkum v oblasti možností využití statistických metod, pravděpodobnostních modelů a využití algoritmů umělé inteligence.

Vzhledem k současným rychlostem síťových přenosů a požadavkům na on-line monitorování je nutné algoritmy navrhovat a realizovat s využitím dekompozice na hardwarovou a softwarovou část a s použitím vhodných technologií hardwarové akcelerace (např. FPGA).

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Pavel Benáček, Ph.D.

Katedra teoretické informatiky

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Práce se zabývá klasifikací síťového provozu a tvorbou klasifikačního modulu pro systém NEMEA. První část práce popisuje existující nástroje a metody klasifikace. Teoretická část se zaměřuje na návrh klasifikačního algoritmu a klasifikačního modulu pro systém NEMEA. Praktická část popisuje tvorbu anotovaných datových sad a implementaci modulu. Závěr práce se je věnován testování klasifikační úspěšnosti a časové náročnosti vytvořeného modulu. Výstupem práce je vytvoření devíti anotovaných datových sad a funkční klasifikační modul pro systém NEMEA, který je schopný klasifikovat síťový provoz v reálném čase.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Simona Buchovecká

Katedra počítačových systémů

Tato práce se zaměřuje na analýzu síťového provozu klientů komunikujících s adresami na veřejných blacklistech. Hlavním cílem bylo rozlišit atributy provozu, které mohou být použity k rozeznání bežného provozu od provozu nakažených zařízení. Výsledkem práce je modul Evaluator pro systém NEMEA, který rozšiřuje existujicí sadu modulů blacklistfilter. Evaluator počítá statistiky provozu podezřelých adres a využívá námi získané výsledky k omezení počtu false positive hlášení.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Viktor Černý

Katedra teoretické informatiky

Tato bakalářská práce se zabývá automatickým rozpoznáváním typů zařízení komunikujících po síti. Zařízení v počítačových sítích generují provoz, který lze zachytit v podobě síťových toků. Ve své práci jsem navrhl metodu, která používá tyto síťové toky pro klasifikaci jednotlivých typů zařízení. Metoda vychází z měření statistických vlastností síťových toků a využívá naměřených hodnot jako vstup pro algoritmus strojového učení - metodu podpůrných vektorů (support vector machines). Hlavní část této práce popisuje implementaci navržené metody v podobě modulu pro systém Network Measurements Analysis (NEMEA), software pro síťovou analýzu a detekci anomálií.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Viktor Černý

Katedra teoretické informatiky

Monitorování síťového provozu je nezbytnou součástí správy dnešních počítačových sítí. Získané informace slouží nejen k zajištění základní funkcionality a včasné detekování potenciálních problémů, ale především k bezpečnostní analýze. Z důvodu soukromí uživatelů a snížení objemu sbíraných dat je dnes standardem agregace provozu do tzv. síťových toků. Tato práce se zabývá otázkou exportu síťových toků s rozšířením o informace z aplikačních vrstev. Výsledkem práce je rozšíření a vylepšení open source exportéru toků z projektu NEMEA. Tento softwarový modul byl po optimalizacích původního kódu úspěšně portován na platformu vestavných zařízení se systémem OpenWrt. Díky tomuto přínosu je možné vytvořit monitorovací sondu i z nevýkonných levných domácích směrovačů a zvýšit tak přehled o provozu na síti včetně detekce škodlivého provozu. Mimo paměťových a výkonnostních optimalizací vnitřních struktur je modul rozšířen o možnost číst pakety ze síťového rozhraní pomocí knihovny libpcap. Vnitřní struktura pro ukládání toků, flow cache, je upravena pro ukládání informací z aplikačních protokolů. Použití tohoto rozšíření je demonstrováno na dvou vytvořených ukázkových parsovacích pluginech pro HTTP a DNS provoz. Exportér je díky této práci schopen exportovat toky ve formátu IPFIX.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Katedra číslicového návrhu

Práce je zaměřená na problematiku stavového monitoringu síťových zařízení. Hlavním cílem je zhodnocení novějšího způsobu monitorování pomocí Model-Driven Telemetry v porovnání se starším způsobem založeným na protokolu SNMP. Výsledkem práce je testovací kolektor pro sběr, uložení a zobrazení sledovaných dat. Primárním zdrojem dat jsou zařízení společnosti Cisco.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Pavel Benáček, Ph.D.

Katedra teoretické informatiky

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Systém DNS (Domain Name System) je systém doménových jmen pro překlad mezi doménovými jmény a IP adresami. Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény. Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres. Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace. Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji. Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy. Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze. Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Vojtěch Jirkovský

Katedra softwarového inženýrství

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Tato práce se zabývá monitorovacím systémem NEMEA, vyvíjeným ve spolupráci sdružení CESNET a českých vysokých škol za účelem analýzy provozu a detekce anomálií na síti CESNET2. NEMEA je modulární systém, založený na principu zpracování síťových toků v reálném čase. Cílem práce bylo na základě analýzy současného řešení NEMEA frameworku navrhnout a realizovat vylepšení knihovny libtrap, která tvoří jeho hlavní část. Motivací pro navržené změny je optimalizace komunikace mezi nejvíce zatěžovanými uzly systému NEMEA, kde je vyžadována vysoká propustnost. Hlavním obsahem práce je analýza současné implementace této knihovny a následné přepracování její části, která se týká předávání dat mezi jednotlivými moduly. Výsledkem je nová verze knihovny libtrap, která byla začleněna do distribučních balíků systému NEMEA.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Karel Hynek, Ph.D.

Katedra teoretické informatiky

Tato bakalářská práce se zabývá detekcí anonymizační sítě Tor a klasifikací jejího provozu pomocí metod strojového učení. Statistické vlastnosti síťového provozu získané z dat ve formě síťových toků jsou použity k trénování různých modelů supervizovaného učení. Model AdaBoost podával nejlepší výsledky jak v detekci Toru, tak v klasifikaci kategorie provozu sítě Tor. Strojové učení se ukazuje být vhodným přístupem pro detekci sítě Tor, neboť finální klasifikátor dokázal detekovat 94 % vzorků provozu sítě Tor a v těchto rozhodnutích byl přesný na 99 %, s F-skóre 96 %. Druhý klasifikátor rozlišuje mezi osmi kategoriemi provozu a vykazuje klasifikační přesnost 65 %. Výsledky ukazují, že některé informace o aktivitě uživatele lze zjistit i přes fakt, že síť Tor šifruje svůj síťový provoz.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Tato práce se zabývá návrhem a implementací PassiveAutodiscovery modulu, který získá informace o zařízeních a určí jejich role v síti. Je vytvořen pro existující síťový modulární systém NEMEA. Teoretická část práce obsahuje popis, jakým způsobem modul získává informace o zařízeních ze sítě a praktická část obsahuje návrh a implementaci vzniklého modulu. Výsledky testování potvrzují funkčnost a ukazují časovou a paměťovou náročnost celého modulu. Uživatel díky PassiveAutodiscovery modulu získá základní informace o všech zařízeních komunikující na měřené síti, role zařízeních v této síti, závislosti mezi zařízeními a statistiky používání sítě.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Pavel Benáček, Ph.D.

Katedra softwarového inženýrství

Stále častější využití technologie Voice over Internet Protocol (VoIP) v internetové telefonii s sebou přináší řadu bezpečnostních rizik. Častým cílem útočníků je signalizační protokol Session Initiation Protocol (SIP). Tato práce obsahuje analýzu protokolu SIP, podrobněji jsou zde popsány útoky hrubou silou, které se snaží prolomit hesla uživatelů VoIP technologie. Výstupem práce je aplikace, která detekuje tyto útoky. Součástí je i popis útoků detekovaných na reálné síti. Aplikace je implementována jako součást systému Network Measurements Analysis (NEMEA), který je vyvíjen sdružením CESNET z.s.p.o.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Jan Luxemburk

Katedra počítačových systémů

Aplikace TeamViewer je jednim z nástrojů často použivaných jednotlivci i organizacemi pro vzdálený přistup z důvodu správy zařizeni, komplexni pod- pory zákazniků či spolupracovniků nebo pro zpřistupněni zdrojů uživatelům pracujicim z domova nebo jiného mista. Umožněni přistupu v takovémto roz- sahu s sebou ale nese bezpečnosti rizika a vyžaduje pečlivé monitorováni. Tato závěrečná práce se zabývá analýzou aplikace TeamViewer se zaměřenim na jeji sit'ový provoz. Na základě této analýzy navrhuje postup pro detekci této komunikace a rozlišeni druhů aktivity v jejim šifrovaném obsahu za užiti strojového učeni. Při detekci bylo dosaženo úspěšnosti 99.9 %, při pokusech o rozlišováni druhů aktivity pak přinejmenšim 84.9 %.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra teoretické informatiky

Útoky typu Denial of Service (DoS) jsou v dnešní době stále častější a dostupné pro každého. Útoky omezují běžné uživatele a můžou působit finanční ztráty provozovatelům služeb i poskytovatelům připojení. Tato práce se zabývá detekcí volumetrických útoků na základě analýzy síťových toků v reálném čase. Zabývá se problematikou vzniku útoků a popisuje stávající řešení útoků. Dále popisuje návrh detekčního algoritmu využívajícího historických okének k detekci náhlého zvýšení velikosti provozu. V závěru práce je popsána implementace a testování výsledného detekčního programu. Detektor je implementován jako modul do systému NEMEA, který vyvíjí CESNET, zájmové sdružení právnických osob.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Jan Tomášek

Katedra softwarového inženýrství

Práce Podpora Microsoft Windows Server pro českou federaci eduroam přispívá snažšímu použití platformy Windows Server jako RADIUS server v české federaci eduroam. Služba eduroam je celosvětový systém, který umožňuje uživatelům z akademických institucí připojení k Internetu především prostřednictvím Wi-Fi. Instituce připojující se do eduroam musejí provozovat vlastní RADIUS server. Cílem práce bylo provést analýzu požadavků pro připojení do eduroam a technických možností, které platforma Windows Server nabízí. Na základě analýzy byla vytvořena vituální infrastruktura, na které jsou otestována různé nastavení a připojení do eduroam. Po otestování nabytých zkušeností v praktické části práce byla rozšířena dokumentace na webu eduroam.cz.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra teoretické informatiky

Zpracování nahlášených bezpečnostních incidentů je poměrně obtížný úkol, který zahrnuje analýzu velkého množství událostí a dohledání dodatečných informací. Jedním z nástrojů pracujících s přijatými bezpečnostními incidenty, je Network Entity Reputation Database (NERD) vyvíjený a provozovaný sdružením CESNET, který na základě detekovaných událostí shromažďuje potenciálně škodlivé síťové entity a dohledává o nich relevantní informace. Tato bakalářská práce se zabývá rozšířením NERDu o získání dalších užitečných informací o entitách a realizací automatické klasifikace entit podle podstaty jejich chování. Hlavním přínosem práce je návrh a implementace modulu na klasifikaci entit pomocí konfigurovatelných klasifikačních pravidel. Vytvořené funkční a otestované řešení bylo nasazeno do produkční instance systému NERD používané členy bezpečnostních týmů.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Mgr. Rudolf Bohumil Blažek, Ph.D.

Katedra teoretické informatiky

Ing. Tomáš Čejka, Ph.D.

Katedra softwarového inženýrství

Tato práce se zabývá návrhem a implementací interaktivní konzolové aplikace sloužící ke konfiguraci síťových zařízení. Tento program slouží jako alternativa k dostupným, méně intuitivním, řešením. Toho dosahuje přívětivým uživatelským rozhraním implementovaným pomocí knihovny replxx. Jádrem programu je parser vygenerovaný pomocí generátoru parserů Boost Spirit X3. Tento parser slouží k implementaci generické syntaxe, která nezávisí na typu konfigurovaného zařízení. Součásti programu jsou modulární a na sobě nezavislé a díky tomu je lze velmi dobře testovat.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Jiří Smítka

Katedra počítačových systémů

V tejto práci je skúmaná problematika spracovávania a predfiltrovania vysokorýchlostných sie- ťových tokov na vrstvách 2 a 3 OSI modelu pre bezpečnostné aplikácie. Pre implementáciu proof- of-concept infraštruktúry je použitá knižnica Data Plane Development Kit (DPDK). Účelom tejto práce je navhrnúť infraštruktúru, ktorá bude riešiť problém zachovávania tokov paketov pri rozkladaní záťaže medzi jednotlivé bezpečnostné aplikácie aj vo vysokorýchlostných sieťach v rá- doch [?]100GiB s funkčnými filtrovacími pravidlami (ACL). Pomocou tejto DPDK infraštruktúry boli dosiahnuté požadované rýchlosti so zanedbateľnou drop rate paketov. Výsledky tejto práce umožňujú navrhnúť vysokorýchlostné sieťové zariadenia na vyvažovanie záťaže, ktoré budú za- chovávať toky paketov medzi jednotlivé bezpečnostné aplikácie, čím pomôžu daným aplikáciám pri korektnejšej analýze tokov paketov. V prílohe sú uvedené kompletné zdrojové kódy pre pred- filtrovaciu infraštruktúru spolu s jednoduchým generátorom sieťových tokov.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Simona Fornůsek, Ph.D.

Katedra informační bezpečnosti

Monitorování internetového provozu se vzhledem k požadavkům dnešního světa stává nutností. Ve své práci analyzuji protokol WireGuard, který se pokouším detekovat v síťovém provozu. Následně detekuji kategorii provozu procházejícího uvnitř šifrovaného tunelu, aniž bych měl přístup k dešifrovanému obsahu. Zjišťuji zde, že jsem schopen detekovat přítomnost protokolu WireGuard ze zachycených paketů (neboli provádím Deep Packet Inspection -- DPI), a vytvářím detektor pro exportér toků ipfixprobe, který je součástí frameworku NEMEA pro analýzu síťového provozu. Nicméně, DPI vyžaduje přístup k obsahu síťového provozu, a také nedostačuje ke zjištění, jaký druh provozu tunelem prochází. Zde přichází ke slovu strojové učení. Posbíral jsem data pro sedm (7) kategorií provozu, a to jak v původní podobě, tak zapouzdřené v protokolu WireGuard. Následně jsem využil několika klasifikačních algoritmů, specificky AdaBoost a LightGBM, abych natrénoval rozhodovací strom, který pak posloužil jako základ mých modelů. Trénování proběhlo pro dva scénáře: 1) zda je provoz WireGuard či nikoliv, a 2) detekce kategorie provozu (jako např. VoIP či prohlížení webu). Výstupem práce je funkční detektor WireGuardu pro ipfixprobe, parametry natrénovaných modelů pro detekci WireGuardu a různých tříd provozu z charakteristik síťového provozu, zhodnocení přesnosti a výkonu detekce, a také sesbíraná datová sada.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Simona Buchovecká

Katedra informační bezpečnosti

Viditelnost do síťového provozu je nezbytnou součástí síťové bezpečnosti a bezpečnostní analýzy. Současné stávající nástroje však obvykle poskytují pouze všeobecné informace o komunikaci jednotlivých zařízení. Tato diplomová práce se zabývá možnostmi využití vícero informačních zdrojů v lokálních sítích k identifikaci významu a účelu daného síťového připojení, které jsou srozumitelné pro většinu uživatelů. Tato práce se konkrétně zaměřuje na kombinování informací z "service discovery" protokolů s tradičními daty z IP toků. Výsledkem je vyvinutý softwarový prototyp analyzátoru - modul ACID, který zpracovává několik informačních zdrojů a přiřazuje síťovým spojením štítky, tj. pozorované aktivity. Tento přístup je mnohem slibnější než v současnosti používané nástroje založené na dobře známých portech a protokolech.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Pavel Benáček, Ph.D.

Katedra teoretické informatiky

Vysokorychlostní sítě pro analýzu provozu a detekci anomálií často používají nástroje založené na síťových tocích. Po nahlášení bezpečnostní události pomocí těchto nástrojů nám chybí důkazní materiál a informace pro verifikaci události. Tato práce rozšiřuje klasickou detekci založenou na síťových tocích o detekci pomocí paketů. Navržený systém umožňuje získat provoz podezřelých adres, podílejících se na události a následně provést analýzu tohoto provozu.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra teoretické informatiky

Množství dat, které musí v dnešní době monitorovací systémy zpracovávat, roste kvůli zvyšující se rychlosti počítačových sítí a přibývajícímu počtu připojených zařízení. Kvůli různým typům bezpečnostních hrozeb musí být většinou data zpracována mnoha detekčními algoritmy najednou s omezenými výpočetními prostředky. Pro zpracování velkého množství síťových dat se začíná používat paralelizace a vznikají škálovatelná řešení monitorovacích systémů. V rámci této diplomové práce byl pro účely výzkumu v oblasti paralelizace zpracování použit modulární open-source systém NEMEA. Tato práce se zabývá návrhem, realizací a testováním rozšíření systému NEMEA, které umožní distribuované nasazení systému, což díky paralelnímu zpracování řádově zvýší propustnost celého systému. Zvolený způsob paralelizace spočívá v rozdělování proudu síťových toků mezi výpočetní uzly. Navržené řešení je realizováno v podobě NEMEA modulu. Práce dále popisuje vytvořené testovací prostředí, ve kterém byly provedeny experimenty k ověření vlastností nového modulu. Všechny experimenty byly provedeny s reálnými daty z akademické sítě CESNET2. V závěru práce je představena škálovatelná architektura paralelního zpracování pomocí systému NEMEA.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Viktor Černý

Katedra informační bezpečnosti

Tato práce analyzuje princip útoku KRACK a navrhuje metody jeho detekce. Kromě toho se práce zabývá návrhem, implementací a testováním systému pro detekci útoku KRACK proti čtyřcestnému handshaku v reálném čase. V analytické části práce jsou nejprve představeny relevantní části standardu 802.11, na které je útok zaměřen. Poté je popsán princip útoku, jeho praktické dopady a protiopatření. Jsou zmapovány dostupné nástroje pro detekci zranitelnosti zařízení k tomuto útoku. Práce se zvlášť zaměřuje na útok proti čtyřcestnému handshaku a analyzuje provoz generovaný během tohoto útoku. Ten je poté srovnán se standardním provozem na síti během čtyřcestného handshaku. Na základě monitorovaného provozu a také analytické části práce jsou pak navrženy charakteristiky k detekci útoků KRACK. Systém pro detekci útoku proti čtyřcestnému handshaku je navržen, implementován a úspěšně otestován.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Tato práce se zabývá analýzou provozu jdoucího z podezřelých síťových adres a jejím rozdělováním těchto adres do skupin. Cílem práce je vytvořit systém pro evidování skupin podezřelých adres, které jsou hlášeny společně v bezpečnostních hlášeních nebo vykazují podobné chování. V práci je provedena analýza vstupních dat a analýza systémů NERD, NEMEA a Warden. Práce se zabývá definováním botnetu a rozdělováním útoků v síti. V práci byl navrhnut a implementován systém pro evidenci podezřelých skupin síťových adres. Tento systém byl otestován na zkušebních datech. Systém byl napsán v jazyce Python.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra informační bezpečnosti

V dnešní době má většina větších organizací zřízen svůj bezpečnostní tým, který analyzuje síťový provoz a řeší bezpečnostní incidenty, které by mohly ohrozit provoz organizace. Ač dnes existuje mnoho automatických nástrojů na detekci incidentů, stále má při analýze nezastupitelnou roli člověk. Nástroje na vizualizaci síťového provozu dokáží paralelně zobrazit velké množství dat a využívají percepční a kognitivní schopnosti analytika, který je schopen vizuálně detekovat různé anomálie a neobvyklé vzorce v síti. Diplomová práce se zabývá vytvořením nástroje na interaktivní vizualizace hodnot, které jsou přiřazené k IP adresám, pomocí Hilbertovy křivky, která zobrazuje IPv4 prostor a shlukuje blízké sítové adresy a rozsahy. Vizualizace pomůže členům bezpečnostních týmů například s hledáním síťových bloků, ze kterých je vedeno velké množství škodlivého provozu, a umožní jim na tyto situace efektivně reagovat. Vytvořený nástroj je funkční, byl otestován na datech ze systému NERD a je nasazen jako webová služba pro využití členy bezpečnostních týmů.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Viktor Černý

Katedra počítačových systémů

Tato práce se zabývá implementací sady modulů pro detekci podezřelého sí- ťového provozu pomocí veřejných blacklistů. Kromě základní detekce, která spočívá v nahlášení všech síťových toků, umožňují vytvořené moduly sledovat další provoz klientů, kteří s blacklistovanou entitou komunikovali. Cílem práce je využít analýzu dodatečně zachycených informací o provozu podezřelých klientů k lepšímu a přesnějšímu rozhodování o podstatě/kontextu komunikace. Díky této analýze je možné odhalit, jestli základní detekce není jen falešný poplach. K zachytávání dodatečných informací v reálném čase byl vytvořen modul, tzv. adaptivní filtr, který patří k hlavním přínosům této práce. Práce se zaměřuje zejména na využití veřejně dostupných seznamů Command&Control serverů a analýzu provozu klientů, kteří s těmito servery komunikují. Všechny vytvořené softwarové nástroje jsou součástí open source projektu NEMEA, který se používá k analýze provozu a detekci bezpečnostních událostí v národní akademické síti CESNET2.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Tomáš Herout

Katedra počítačových systémů

Obrovský nárůst síťového provozu vyžaduje zvyšující se nároky na bezpečnost kvůli rizikům finančích ztrát a narušení soukromí. V oblasti Voice over Internet Protocol (VoIP) mohou finanční ztáty dosáhnout i miliónů českých korun. Tento text se zabývá bezpečností VoIP, zejména protokolu SIP se zaměřením na útoky typu skenování a útoky typu Denial of Service (DoS). Útoky typu skenování použije útočník k získání informací o síti, o zařízeních podporujících SIP a o SIP uživatelích, které dále použije k dalším útokům. Útoky typu DoS může útočník použít ke zpomalení nebo k znemožnění zpracovávání SIP zpráv atakovaného zařízení. Detekce útoků je zde založena na analýze časových řad.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Pavel Benáček, Ph.D.

Katedra počítačových systémů

Obsahem této práce je návrh a následná implementace agregačního modulu pro NEMEA Framework. Výsledný modul bude umožňovat uživateli definovat pravidla pro zpracování velkého množství informací do agregovaných záznamů pro jednodušší následující zpracování.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Tomáš Herout

Katedra počítačových systémů

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Ciele tejto práce ležia v teoretickej analýze konceptu Internet vecí (IoT) a jeho bezpečnostných problémov, praktickom výskume a vývoji nového unikát- neho zariadenia zvaného "IoT honeypot". Analytická časť práce sumarizuje existujúce hardvérové a softvérové riešenia, a sústredí sa na technológiu Soft- vérom definovaného rádia (SDR), ktorá bola použitá na vývoj IoT honeypot-u. Vyvíjaný prototyp v súčasnosti podporuje rozšírený Z-Wave protokol. Avšak, dizajn je dosť univerzálny na to, aby v budúcnosti podporoval ďalšie IoT protokoly. Motiváciou tejto práce bolo vytvoriť zariadenie, ktoré dokáže zbierať informácie o IoT komunikácii, detegovať potenciálnych útočníkov, a pôsobiť ako návnada, ktorá komplikuje útočníkom objaviť a prebrať kon- trolu nad skutočnými nasadenými IoT zariadeniami, ako sú senzory, spínače, a podobne. Výstupom tejto práce je funkčný IoT honeypot, ktorý podporuje viacero režimov fungovania (napríklad pasívny alebo interaktívny režim), a môže byť nasadený ako súčasť Z-Wave infraštruktúry. Predstavuje komple- ment k ostatným bezpečnostným nástrojom a mechanizmom, ktoré zvyšujú úroveň bezpečnosti IoT infraštruktúry.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Cílem této práce je poskytnout automaticky generovanou informaci potřebnou pro detekci, diagnostiku a případnou mitigaci DDoS útoků popisující normální provoz v dané počítačové síti. Výsledný síťový profil, extrahovaný z informací o síťových tocích, se skládá z efektivně zakódované množiny entit, které historicky komunikovaly s profilovanou sítí a očekávanými úrovněmi provozu procházející danou sítí. V první části práce je do širšího kontextu metod DDoS útoků a jejich mitigace zasazena mitigační metoda History-based IP filtering, která je základem navrženého subsystému agregujícího historii komunikace na síti. Další část práce se zabývá různými možnostmi ukládání historie síťové komunikace se zaměřením na paměťovou efektivitu. Na základě získaných informací jsou pro tento účel zvoleny Bloomovy filtry. V následující části je vyhodnocena přesnost několika modelů vhodných pro predikci očekávané úrovně provozu ve sledované síti. Na základě vyhodnocení je vybrán prediktivní model Prophet. Výsledný informační systém, detailně popsaný ve třetí části, se skládá ze dvou podsystémů, které poskytují obě složky informací o síťovém profilu: škálovatelnou implementaci metody History-based IP filtering užívající Bloomovi filtry jako jediné úložiště dat a prediktivní subsystém využívající model Prophet. Výsledky měření výkonnosti, popsané v poslední kapitole, ukazují, že implementovaný systém je vhodný i pro nasazení v sítích komunikujících s více než sto miliony odlišnými síťovými entitami, což výrazně převyšuje původní požadavky.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Mgr. Rudolf Bohumil Blažek, Ph.D.

Katedra počítačových systémů

Network Time Protocol (NTP) se v počítačových sítích používá pro synchronizaci času. Nevhodně nastavená NTP infrastruktura umožňuje útočníkovi manipulovat se systémovým časem oběti. Cílem této práce je ověření zranitelnosti používaného protokolu v simulovaném prostředí. Výsledkem práce je experimentální otestování proveditelnosti tohoto typu útoku, návrh funkčního detekčního mechanizmu a nakonec i vlastní implementace detekčního modulu pracujícího se záznamy o tocích rozšířenými o NTP informace. Implementovaný modul byl integrován a testován v rámci existujícího systému NEMEA.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Simona Fornůsek, Ph.D.

Katedra informační bezpečnosti

Tato práce se zabývá návrhem a implementací nástroje pro online paketovou analýzu síťového provozu. Cílem práce je poskytnout síťovému administrátorovi informace, na základě kterých dokáže nastavit obranné mechanismy pro mitigaci DDoS útoků. Nástroj poskytuje přehled o aktuální struktuře síťového provozu a na základě charakteristik volumetrických DDoS útoků dokáže probíhající útok v síťovém provozu identifikovat a doporučit taková mitigační pravidla, která útok potlačí. Nástroj pro ukládání dat k analýze využívá speciální pravděpodobnostní datové struktury zvané sketche, které dokáží efektivně uchovávat velké množství dat s nízkou paměťovou náročností. Výkonnost a funkčnost nástroje byla otestována v laboratorních podmínkách nad zkušebními daty při rychlostech až 100 Gb/s.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Vojtěch Jirkovský

Katedra softwarového inženýrství

Tato práce se zabývá vývojem a rozšířením systému NetopeerGUI -- webového grafického uživatelského rozhraní pro správu a konfiguraci síťových zařízení. NetopeerGUI umožňuje komunikovat s libovolným zařízením podporujícím protokol NETCONF. Jedná se o open-source NETCONF klienta, zveřejněného na serveru GitHub. NetopeerGUI přináší jednoduchý a intuitivní způsob konfigurace zařízení. Zastiňuje interní příkazy protokolu NETCONF do uživatelsky přívětivé podoby. Usnadňuje konfiguraci díky intuitivnímu uživatelskému rozhraní. Nabízí rozšířené možnosti konfigurace zařízení a modulární rozšíření celé aplikace. Systém NetopeerGUI je implementován v jazyce PHP ve frameworku Symfony2 a využívá webový server Apache s modulem mod_netconf. Systém byl otestován několika úrovněmi testů. Chování aplikace bylo také podrobeno uživatelskému testování.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Simona Buchovecká

Katedra informační bezpečnosti

Práca sa zaoberá diagnostikou ICS a IoT protokolov, konkrétne CoAP a IEC 61850, pomocou diagnostického nástroja Distance. Obsahuje analýzu spomenutých protokolov, detailné rozobratie možných chybových stavov a popis bezpečnostných hrozieb. Následne popisuje diagnostický nástroj Distance a spôsob tvorby jeho pravidiel - konfiguračných súborov. Ťažiskom je detailná štúdia protokolov a ich možných chybových stavov. Z tejto analýzy práca následne odvodzuje diagnostické pravidlá, ktoré čo možno najpresnejšie popisujú chovanie protokolu a snažia sa odhaliť možné konfiguračné chyby alebo bezpečnostné incidenty. Výsledkom práce sú konfiguračné súbory nástroja Distance pre protokoly CoAP a IEC 61850. Tieto súbory boli otestované na vlastnoručne vygenerovaných a aj ostrých dátových tokoch.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Adminator je aplikace, která je v Národní technické knihovně využívána ke správě sítě. Momentálně je aplikací spravováno DHCP, DNS a přiřazování VLAN. Cílem této práce je rozšíření funkcí o monitoring aktivních síťových prvků (přepínačů a analyzátorů) a zapojení infrastruktury (kabeláže z analyzátorů). Nově vytvořené funkce umožňují zjistit, které síťové zásuvky jsou aktivní, jaká je konfigurace rozhraní přepínače a kde bylo spatřeno zařízení s danou MAC adresou. V každodenním provozu pak tyto funkce usnadňují přesun zařízení, detekci nekorektně nastavených portů, nalezení zařízení s vadným zdrojem.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

RNDr. Radek Krejčí

Katedra softwarového inženýrství

V této práci se zabývám novým způsobem konfigurace modulárního systému NEMEA, který slouží pro analýzu provozu a detekci anomálií v počítačových sítích. Tento nový způsob spočívá ve využití projektu sysrepo jako úložiště konfigurace a prostředníka pro komunikaci se spuštěným NEMEA systémem. Problém jsem vyřešil implementací nové verze démona, který je v rámci NEMEA projektu odpovědný za správu běhu všech modulů. Nový démon je navržen, aby používal sysrepo. To umožnilo přímo nad sysrepem postavit webové uživatelské rozhraní, které dovoluje běžící NEMEA systém spravovat. Celé řešení jsem pro snadné nasazení sestavil v prostředí vytvořeném technologií Docker.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Josef Kokeš

Katedra počítačových systémů

Detekční systémy na počítačových sítích detekují více bezpečnostních událostí, než je možné zpracovat manuálně. Tato práce se zabývá snížením počtu těchto bezpečnostních událostí, což pomůže bezpečnostním týmům se zpracováním detekovaných událostí. Algoritmus je přizpůsobitelný cílovému nasazení pomocí konfiguračních parametrů. Navržený systém redukuje počet bezpečnostních událostí na jednotky procent.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

doc. Ing. Kamil Dedecius, Ph.D.

Katedra informační bezpečnosti

V této práci se zaměřujeme na vytvoření metody detekce periodických chování v časových řadách ze síťového provozu, zejména šifrovaného, reprezentovaném pomocí síťových toků. Dále diskutujeme využití detekované periodicity k určení aplikace, služby či operačního systému, který daný provoz generoval.

Práce na DSpace

doc. Ing. Tomáš Čejka, Ph.D.

Ing. Karel Hynek, Ph.D.

Katedra informační bezpečnosti

Projekt Tor je všeobecne známa anonymizačná technológia. Komunikácia pomocou Tor-u je založená na niekoľkých vrstvách šifrovania a náhodnom smerovaní, ktoré by mali garantovať vysokú úroveň súkromia. Táto práca však ukazuje, že súkromie Tor-u je značne obmedzené, pokiaľ sledovacie systémy začnú využívať techniky hlbokého učenia a sledujú pri tom komunikáciu klienta aj jeho cieľu. Výstupom tejto práce je klasifikačný model na báze hlbokého učenia (konvolučná neurónová sieť), ktorý bol vyhodnotený pomocou komplexných experimentov na nových dátových sadách, zachytených na reálnej sieti. Navrhovaný algoritmus dokáže rozhodnúť (s presnosťou vyššou ako 90%), či dve spojenia pozorované na rôznych miestach predstavujú jednu a tú istú komunikáciu medzi klientom a serverom. Pozitívny výsledok môže odhaliť konkrétny cieľ, s ktorým klient komunikuje, a teda predstavuje možnú bezpečnostnú slabinu, oslabujúcu celý proces anonymizácie. V porovnaní s existujúcimi prácami je nami vyvinutý model schopný pracovať s rozšírenými údajmi o IP toku namiesto úplných paketových záznamov.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Viktor Černý

Katedra počítačových systémů

Tato diplomová práce se zabývá problematikou bezpečnosti v prostředí Internet of Things (IoT). Prvním cílem je analýza aktuálního stavu IoT sítí a identifikace bezpečnostních slabin bezdrátových senzorových protokolů. Druhým cílem je vytvoření nástroje, který v probíhající komunikaci detekuje nalezené bezpečnostní incidenty. V analytické části je čtenář seznámen s principem fog computingu a nově vzniklým modelem komunikace. Zároveň jsou důkladně rozebrány aktuálně používané protokoly včetně jejich bezpečnostních slabin. Součástí práce je návrh architektury, který je připraven na budoucí rozšiřování, což je nezbytné pro rychle se rozvíjející a širokou oblast IoT. Při návrhu byl kladen důraz na nízké hardwarové nároky tak, aby bylo možné provozovat výsledné řešení i na IoT branách s omezenými prostředky. První část výstupu této práce tvoří rešerše aktuálního stavu IoT, která je obsažena v textu této práce. Druhou částí je modulární systém, který lze konfigurovat a přizpůsobit pro konkrétní topologii. Výsledný nástroj je implementovaný v jazyce C++ a rozšiřuje již existující IoT bránu BeeeOn o možnost detekce anomálií v bezdrátových senzorových protokolech. Výsledkem je nová verze této brány s mechanismem pro detekci útoků.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Diplomová práce se zabývá problematikou rostoucího počtu útoků na webové aplikace a klade si za cíl vyvinout NEMEA modul pro detekci tohoto typu útoků. Modul bude průběžně analyzovat síťové toky a na základě předdefinovaných signatur rozhodovat o tom, zda dochází k potenciálnímu útoku na webovou aplikaci. Přínos této práce spočívá ve schopnosti získávat a sdílet informace o probíhajících podezřelých aktivitách v jejich raném stádiu.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

doc. Ing. Hana Kubátová, CSc.

Katedra počítačových systémů

Mezi nejrozšířenější a zároveň nejnebezpečnější síťové útoky patří bezesporu distribuované útoky odepření služby (DDoS). Tyto útoky jsou neustálou hrozbou všem poskytovatelům internetového připojení a jsou schopny vyřadit zprovozu síťovou infrastrukturu i těch největších společností. Cílem těchto útoků je zpravidla zahlcení síťového zařízení, nebo dokonce sítě samotné, pomocí velkého množství provozu. Následkem toho dochází k nepředvídatelnému zahazování síťových paketů. Obrana proti DDoS útokům na základě rozpoznávání škodlivých paketů je obtížnou výzvou, neboť ty se od legitimních paketů mnohdy liší jen minimálně. Tato práce se zabývá návrhem heuristiky, která filtruje síťový provoz během DDoS útoku a využívá k tomuto účelu znalosti tzv. reputačního skóre síťových entit. Hlavním přínosem práce je integrace takto navržené heuristiky do zařízení pro čištění síťového provozu vyvíjeného sdružením CESNET z.s.p.o.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Ing. Karel Hynek

Katedra počítačových systémů

Tato diplomová práce se zabývá možnostmi detekce VPN v sítovém provozu, nebot VPN lze zneužít k obcházení kontroly provozu ci exfiltraci dat. Práce na základe zachycených vzorku VPN komunikace navrhuje a testuje ruzné metody detekce VPN. Následne dané detekcní metody implementuje, diskutuje jejich výhody a nevýhody a požadavky na jejich správné fungování. Nakonec testuje schopnosti detekce jednotlivých detekcních metod a porovnává je.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra počítačových systémů

Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Katedra informační bezpečnosti

Tato práce se věnuje využití vysokoúrovňového jazyka P4 pro generování bezpečnostních síťových aplikací. Využití je demonstrováno na popisu nového exportéru síťových toků, který vychází z existujícího exportéru flow_meter. Existující exportér a jazyk P4 jsou analyzovány a jsou identifikovány klíčové komponenty architektury. Mezi tyto komponenty patří parser paketů, flow cache, komponenta pro export toků ve formátu IPFIX a parsovací pluginy aplikačních protokolů. V práci je navržen vhodný popis těchto komponent pomocí programových konstrukcí jazyka P4. P4 program je následně možné přeložit na zdrojové kódy exportéru v C pomocí překladače jazyka P4, do kterého byl touto prací vytvořen backend. Měření a porovnání ukázalo, že nově vytvořený exportér je rychlejší než původní. Navíc je více flexibilní a podporuje mnohem více protokolů, jelikož je automaticky generovaný z P4 popisu. Je možné jednoduše přidávat nové protokoly, upravovat algoritmus vytváření toků v cache, upravovat záznam o toku a mnohem jednodušeji vytvářet nové parsovací pluginy aplikačních protokolů. Jednotlivé generované komponenty jsou měřeny zvlášť a byly obecně pomalejší než jejich ručně optimalizovaná verze.

Práce na DSpace

Ing. Tomáš Čejka, Ph.D.

Mgr. Rudolf Bohumil Blažek, Ph.D.

Katedra počítačových systémů

Tato diplomová práce popisuje návrh a implementaci metody pro zpracování informací o síťových tocích. Informace slouží ke generování grafu komunikace mezi jednotlivými uzly sítě, případně agregovanými uzly (podsítě). Stav grafu je udržován aktuální díky vyhodnocování informací v téměř reálném čase. Sou- částí práce byl návrh využití takto vzniklých struktur s ohledem na sledování vývoje provozu, případně k detekci neobvyklých jevů v síti. Výsledkem práce je detekční modul implementovaný pro systém NEMEA. Součástí práce je též analýza různých možností monitorování sítě, síťových útoků a statistických metod pro vyhodnocování informací ze síťových toků.