Ing. Tomáš Čejka, Ph.D.

Závěrečné práce

Dizertační práce

Analýza šifrovaného síťového provozu a detekce bezpečnostních hrozeb ve vysokorychlostních sítích

Stupeň
Téma dizertační práce
Popis tématu

Obsahem práce bude výzkum algoritmů pro klasifikaci šifrovaného síťového provozu a detekci bezpečnostních hrozeb ve vysokorychlostních počítačových sítích a tvorba automaticky anotovaných datových sad. Šifrovaný provoz představuje v současné době velkou výzvu pro standardní monitorovací nástroje, které doposud pracovaly především s nešifrovanými informacemi extrahovanými z paketů, vědeckou komunitu v oblasti síťové bezpečnosti i pro odbornou veřejnost. Většina síťového provozu je již šifrovaná a proto je potřeba hledat nové zdroje informací o dění na síti. Tyto informace jsou důležité jak pro operátory sítí tak i pro bezpečnostní analytiky.

Cílem tohoto rámcového tématu dizertační práce je výzkum vhodných statických vlastností provozu, které je možné počítat v reálném čase na linkách o rychlostech přes 100Gb/s (s využitím hardwarové akcelerace), výzkum klasifikačních a detekčních algoritmů založených na strojovém učení pro zpracování síťových toků obohacených o nové statistiky a v neposlední řadě experimentální vyhodnocování těchto vyvíjených algoritmů na reálném vysokorychlostním provozu.

Dizertabilita tématu je založena na faktech, že jde o řešení velmi netriviálních problémů, kterými jsou zpracování a filtrace velkých objemů dat společně s modelováním síťového provozu, hledání odchylek, identifikace útočníků a správné řízení mitigace těchto problémů. V oblasti analýzy šifrovaného provozu se začínají objevovat výzkumné výsledky z celosvětové vědecké komunity, avšak zatím nebylo publikováno dostatečně použitelné řešení. Základem bude výzkum v oblasti možností využití statistických metod, pravděpodobnostních modelů a využití algoritmů umělé inteligence.

Vzhledem k současným rychlostem síťových přenosů a požadavkům na on-line monitorování je nutné algoritmy navrhovat a realizovat s využitím dekompozice na hardwarovou a softwarovou část a s použitím vhodných technologií hardwarové akcelerace (např. FPGA).

Bakalářské práce

Vylepšená knihovna pro komunikaci NEMEA modulů

Autor
Matěj Barnat
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá monitorovacím systémem NEMEA, vyvíjeným ve spolupráci sdružení CESNET a českých vysokých škol za účelem analýzy provozu a detekce anomálií na síti CESNET2. NEMEA je modulární systém, založený na principu zpracování síťových toků v reálném čase. Cílem práce bylo na základě analýzy současného řešení NEMEA frameworku navrhnout a realizovat vylepšení knihovny libtrap, která tvoří jeho hlavní část. Motivací pro navržené změny je optimalizace komunikace mezi nejvíce zatěžovanými uzly systému NEMEA, kde je vyžadována vysoká propustnost. Hlavním obsahem práce je analýza současné implementace této knihovny a následné přepracování její části, která se týká předávání dat mezi jednotlivými moduly. Výsledkem je nová verze knihovny libtrap, která byla začleněna do distribučních balíků systému NEMEA.

Webové uživatelské rozhraní NETCONF klienta s využítím modelů YANG

Autor
David Alexa
Rok
2013
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Vojtěch Jirkovský

Rozšíření reputační databáze o informace z Passive DNS

Autor
Maxmilián Tomáš
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Systém DNS (Domain Name System) je systém doménových jmen pro překlad mezi doménovými jmény a IP adresami. Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény. Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres. Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace. Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji. Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy. Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze. Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.

Klasifikace komunikace uvnitř Tor spojení

Autor
Lukáš Jančička
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato bakalářská práce se zabývá detekcí anonymizační sítě Tor a klasifikací jejího provozu pomocí metod strojového učení. Statistické vlastnosti síťového provozu získané z dat ve formě síťových toků jsou použity k trénování různých modelů supervizovaného učení. Model AdaBoost podával nejlepší výsledky jak v detekci Toru, tak v klasifikaci kategorie provozu sítě Tor. Strojové učení se ukazuje být vhodným přístupem pro detekci sítě Tor, neboť finální klasifikátor dokázal detekovat 94 % vzorků provozu sítě Tor a v těchto rozhodnutích byl přesný na 99 %, s F-skóre 96 %. Druhý klasifikátor rozlišuje mezi osmi kategoriemi provozu a vykazuje klasifikační přesnost 65 %. Výsledky ukazují, že některé informace o aktivitě uživatele lze zjistit i přes fakt, že síť Tor šifruje svůj síťový provoz.

Detekce botnetů v počítačových sítích

Autor
Jan Neužil
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.

Monitorování provozu sítě pomocí Model-Driven Telemetry

Autor
Ladislav Loub
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Práce je zaměřená na problematiku stavového monitoringu síťových zařízení. Hlavním cílem je zhodnocení novějšího způsobu monitorování pomocí Model-Driven Telemetry v porovnání se starším způsobem založeným na protokolu SNMP. Výsledkem práce je testovací kolektor pro sběr, uložení a zobrazení sledovaných dat. Primárním zdrojem dat jsou zařízení společnosti Cisco.

Exportér síťových toků s podporou aplikačních informací

Autor
Jiří Havránek
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Monitorování síťového provozu je nezbytnou součástí správy dnešních počítačových sítí. Získané informace slouží nejen k zajištění základní funkcionality a včasné detekování potenciálních problémů, ale především k bezpečnostní analýze. Z důvodu soukromí uživatelů a snížení objemu sbíraných dat je dnes standardem agregace provozu do tzv. síťových toků. Tato práce se zabývá otázkou exportu síťových toků s rozšířením o informace z aplikačních vrstev. Výsledkem práce je rozšíření a vylepšení open source exportéru toků z projektu NEMEA. Tento softwarový modul byl po optimalizacích původního kódu úspěšně portován na platformu vestavných zařízení se systémem OpenWrt. Díky tomuto přínosu je možné vytvořit monitorovací sondu i z nevýkonných levných domácích směrovačů a zvýšit tak přehled o provozu na síti včetně detekce škodlivého provozu. Mimo paměťových a výkonnostních optimalizací vnitřních struktur je modul rozšířen o možnost číst pakety ze síťového rozhraní pomocí knihovny libpcap. Vnitřní struktura pro ukládání toků, flow cache, je upravena pro ukládání informací z aplikačních protokolů. Použití tohoto rozšíření je demonstrováno na dvou vytvořených ukázkových parsovacích pluginech pro HTTP a DNS provoz. Exportér je díky této práci schopen exportovat toky ve formátu IPFIX.

Klasifikace zařízení na základě toků v počítačových sítích

Autor
Zdeněk Kasner
Rok
2016
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato bakalářská práce se zabývá automatickým rozpoznáváním typů zařízení komunikujících po síti. Zařízení v počítačových sítích generují provoz, který lze zachytit v podobě síťových toků. Ve své práci jsem navrhl metodu, která používá tyto síťové toky pro klasifikaci jednotlivých typů zařízení. Metoda vychází z měření statistických vlastností síťových toků a využívá naměřených hodnot jako vstup pro algoritmus strojového učení - metodu podpůrných vektorů (support vector machines). Hlavní část této práce popisuje implementaci navržené metody v podobě modulu pro systém Network Measurements Analysis (NEMEA), software pro síťovou analýzu a detekci anomálií.

Vyhodnocování zachycených flow dat podezřelých zařízení

Autor
Jan Suchara
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Anotace
Tato práce se zaměřuje na analýzu síťového provozu klientů komunikujících s adresami na veřejných blacklistech. Hlavním cílem bylo rozlišit atributy provozu, které mohou být použity k rozeznání bežného provozu od provozu nakažených zařízení. Výsledkem práce je modul Evaluator pro systém NEMEA, který rozšiřuje existujicí sadu modulů blacklistfilter. Evaluator počítá statistiky provozu podezřelých adres a využívá námi získané výsledky k omezení počtu false positive hlášení.

Klasifikace provozu a zařízení v počítačových sítích na základě toků

Autor
Matej Hulák
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Práce se zabývá klasifikací síťového provozu a tvorbou klasifikačního modulu pro systém NEMEA. První část práce popisuje existující nástroje a metody klasifikace. Teoretická část se zaměřuje na návrh klasifikačního algoritmu a klasifikačního modulu pro systém NEMEA. Praktická část popisuje tvorbu anotovaných datových sad a implementaci modulu. Závěr práce se je věnován testování klasifikační úspěšnosti a časové náročnosti vytvořeného modulu. Výstupem práce je vytvoření devíti anotovaných datových sad a funkční klasifikační modul pro systém NEMEA, který je schopný klasifikovat síťový provoz v reálném čase.

Systém pro konfiguraci a monitorování distribuovaného systému NEMEA

Autor
Marek Švepeš
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.

Nástroj pro konfiguraci a monitorování

Autor
Václav Kubernát
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací interaktivní konzolové aplikace sloužící ke konfiguraci síťových zařízení. Tento program slouží jako alternativa k dostupným, méně intuitivním, řešením. Toho dosahuje přívětivým uživatelským rozhraním implementovaným pomocí knihovny replxx. Jádrem programu je parser vygenerovaný pomocí generátoru parserů Boost Spirit X3. Tento parser slouží k implementaci generické syntaxe, která nezávisí na typu konfigurovaného zařízení. Součásti programu jsou modulární a na sobě nezavislé a díky tomu je lze velmi dobře testovat.

Detekce síťových tunelů v počítačových sítích

Autor
Zdeněk Rosa
Rok
2014
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.

Automatická klasifikace síťových entit

Autor
Jakub Jančička
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Zpracování nahlášených bezpečnostních incidentů je poměrně obtížný úkol, který zahrnuje analýzu velkého množství událostí a dohledání dodatečných informací. Jedním z nástrojů pracujících s přijatými bezpečnostními incidenty, je Network Entity Reputation Database (NERD) vyvíjený a provozovaný sdružením CESNET, který na základě detekovaných událostí shromažďuje potenciálně škodlivé síťové entity a dohledává o nich relevantní informace. Tato bakalářská práce se zabývá rozšířením NERDu o získání dalších užitečných informací o entitách a realizací automatické klasifikace entit podle podstaty jejich chování. Hlavním přínosem práce je návrh a implementace modulu na klasifikaci entit pomocí konfigurovatelných klasifikačních pravidel. Vytvořené funkční a otestované řešení bylo nasazeno do produkční instance systému NERD používané členy bezpečnostních týmů.

Podpora Microsoft Windows Server pro českou federaci eduroam

Autor
Jan Čáslavský
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Jan Tomášek
Anotace
Práce Podpora Microsoft Windows Server pro českou federaci eduroam přispívá snažšímu použití platformy Windows Server jako RADIUS server v české federaci eduroam. Služba eduroam je celosvětový systém, který umožňuje uživatelům z akademických institucí připojení k Internetu především prostřednictvím Wi-Fi. Instituce připojující se do eduroam musejí provozovat vlastní RADIUS server. Cílem práce bylo provést analýzu požadavků pro připojení do eduroam a technických možností, které platforma Windows Server nabízí. Na základě analýzy byla vytvořena vituální infrastruktura, na které jsou otestována různé nastavení a připojení do eduroam. Po otestování nabytých zkušeností v praktické části práce byla rozšířena dokumentace na webu eduroam.cz.

Detekce síťových útoků typu Denial of Service

Autor
Otto Hollmann
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Útoky typu Denial of Service (DoS) jsou v dnešní době stále častější a dostupné pro každého. Útoky omezují běžné uživatele a můžou působit finanční ztráty provozovatelům služeb i poskytovatelům připojení. Tato práce se zabývá detekcí volumetrických útoků na základě analýzy síťových toků v reálném čase. Zabývá se problematikou vzniku útoků a popisuje stávající řešení útoků. Dále popisuje návrh detekčního algoritmu využívajícího historických okének k detekci náhlého zvýšení velikosti provozu. V závěru práce je popsána implementace a testování výsledného detekčního programu. Detektor je implementován jako modul do systému NEMEA, který vyvíjí CESNET, zájmové sdružení právnických osob.

Detekce síťového provozu aplikace TeamViewer

Autor
Tomáš Klatovský
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Jan Luxemburk
Anotace
Aplikace TeamViewer je jednim z nástrojů často použivaných jednotlivci i organizacemi pro vzdálený přistup z důvodu správy zařizeni, komplexni pod- pory zákazniků či spolupracovniků nebo pro zpřistupněni zdrojů uživatelům pracujicim z domova nebo jiného mista. Umožněni přistupu v takovémto roz- sahu s sebou ale nese bezpečnosti rizika a vyžaduje pečlivé monitorováni. Tato závěrečná práce se zabývá analýzou aplikace TeamViewer se zaměřenim na jeji sit'ový provoz. Na základě této analýzy navrhuje postup pro detekci této komunikace a rozlišeni druhů aktivity v jejim šifrovaném obsahu za užiti strojového učeni. Při detekci bylo dosaženo úspěšnosti 99.9 %, při pokusech o rozlišováni druhů aktivity pak přinejmenšim 84.9 %.

Aplikace pro analýzu síťových toků technologie VoIP/SIP

Autor
Tomáš Jánský
Rok
2016
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Anotace
Stále častější využití technologie Voice over Internet Protocol (VoIP) v internetové telefonii s sebou přináší řadu bezpečnostních rizik. Častým cílem útočníků je signalizační protokol Session Initiation Protocol (SIP). Tato práce obsahuje analýzu protokolu SIP, podrobněji jsou zde popsány útoky hrubou silou, které se snaží prolomit hesla uživatelů VoIP technologie. Výstupem práce je aplikace, která detekuje tyto útoky. Součástí je i popis útoků detekovaných na reálné síti. Aplikace je implementována jako součást systému Network Measurements Analysis (NEMEA), který je vyvíjen sdružením CESNET z.s.p.o.

Automatické rozpoznávání síťových zařízení a jejich závislostí

Autor
Josef Koumar
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací PassiveAutodiscovery modulu, který získá informace o zařízeních a určí jejich role v síti. Je vytvořen pro existující síťový modulární systém NEMEA. Teoretická část práce obsahuje popis, jakým způsobem modul získává informace o zařízeních ze sítě a praktická část obsahuje návrh a implementaci vzniklého modulu. Výsledky testování potvrzují funkčnost a ukazují časovou a paměťovou náročnost celého modulu. Uživatel díky PassiveAutodiscovery modulu získá základní informace o všech zařízeních komunikující na měřené síti, role zařízeních v této síti, závislosti mezi zařízeními a statistiky používání sítě.

Diplomové práce

Detekce útoků na Network Time Protocol

Autor
Alejandro Robledo
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.
Anotace
Network Time Protocol (NTP) se v počítačových sítích používá pro synchronizaci času. Nevhodně nastavená NTP infrastruktura umožňuje útočníkovi manipulovat se systémovým časem oběti. Cílem této práce je ověření zranitelnosti používaného protokolu v simulovaném prostředí. Výsledkem práce je experimentální otestování proveditelnosti tohoto typu útoku, návrh funkčního detekčního mechanizmu a nakonec i vlastní implementace detekčního modulu pracujícího se záznamy o tocích rozšířenými o NTP informace. Implementovaný modul byl integrován a testován v rámci existujícího systému NEMEA.

Automatický odhad parametrů pro mitigaci DDoS útoků

Autor
Filip Křesťan
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Cílem této práce je poskytnout automaticky generovanou informaci potřebnou pro detekci, diagnostiku a případnou mitigaci DDoS útoků popisující normální provoz v dané počítačové síti. Výsledný síťový profil, extrahovaný z informací o síťových tocích, se skládá z efektivně zakódované množiny entit, které historicky komunikovaly s profilovanou sítí a očekávanými úrovněmi provozu procházející danou sítí. V první části práce je do širšího kontextu metod DDoS útoků a jejich mitigace zasazena mitigační metoda History-based IP filtering, která je základem navrženého subsystému agregujícího historii komunikace na síti. Další část práce se zabývá různými možnostmi ukládání historie síťové komunikace se zaměřením na paměťovou efektivitu. Na základě získaných informací jsou pro tento účel zvoleny Bloomovy filtry. V následující části je vyhodnocena přesnost několika modelů vhodných pro predikci očekávané úrovně provozu ve sledované síti. Na základě vyhodnocení je vybrán prediktivní model Prophet. Výsledný informační systém, detailně popsaný ve třetí části, se skládá ze dvou podsystémů, které poskytují obě složky informací o síťovém profilu: škálovatelnou implementaci metody History-based IP filtering užívající Bloomovi filtry jako jediné úložiště dat a prediktivní subsystém využívající model Prophet. Výsledky měření výkonnosti, popsané v poslední kapitole, ukazují, že implementovaný systém je vhodný i pro nasazení v sítích komunikujících s více než sto miliony odlišnými síťovými entitami, což výrazně převyšuje původní požadavky.

Rozšíření grafického uživatelského rozhraní NetopeerGUI

Autor
David Alexa
Rok
2015
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Vojtěch Jirkovský
Anotace
Tato práce se zabývá vývojem a rozšířením systému NetopeerGUI - webového grafického uživatelského rozhraní pro správu a konfiguraci síťových zařízení. NetopeerGUI umožňuje komunikovat s libovolným zařízením podporujícím protokol NETCONF. Jedná se o open-source NETCONF klienta, zveřejněného na serveru GitHub. NetopeerGUI přináší jednoduchý a intuitivní způsob konfigurace zařízení. Zastiňuje interní příkazy protokolu NETCONF do uživatelsky přívětivé podoby. Usnadňuje konfiguraci díky intuitivnímu uživatelskému rozhraní. Nabízí rozšířené možnosti konfigurace zařízení a modulární rozšíření celé aplikace. Systém NetopeerGUI je implementován v jazyce PHP ve frameworku Symfony2 a využívá webový server Apache s modulem mod_netconf. Systém byl otestován několika úrovněmi testů. Chování aplikace bylo také podrobeno uživatelskému testování.

Honeypot pro bezdrátové IoT sítě

Autor
Simon Štefunko
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Ciele tejto práce ležia v teoretickej analýze konceptu Internet vecí (IoT) a jeho bezpečnostných problémov, praktickom výskume a vývoji nového unikát- neho zariadenia zvaného "IoT honeypot". Analytická časť práce sumarizuje existujúce hardvérové a softvérové riešenia, a sústredí sa na technológiu Soft- vérom definovaného rádia (SDR), ktorá bola použitá na vývoj IoT honeypot-u. Vyvíjaný prototyp v súčasnosti podporuje rozšírený Z-Wave protokol. Avšak, dizajn je dosť univerzálny na to, aby v budúcnosti podporoval ďalšie IoT protokoly. Motiváciou tejto práce bolo vytvoriť zariadenie, ktoré dokáže zbierať informácie o IoT komunikácii, detegovať potenciálnych útočníkov, a pôsobiť ako návnada, ktorá komplikuje útočníkom objaviť a prebrať kon- trolu nad skutočnými nasadenými IoT zariadeniami, ako sú senzory, spínače, a podobne. Výstupom tejto práce je funkčný IoT honeypot, ktorý podporuje viacero režimov fungovania (napríklad pasívny alebo interaktívny režim), a môže byť nasadený ako súčasť Z-Wave infraštruktúry. Predstavuje komple- ment k ostatným bezpečnostným nástrojom a mechanizmom, ktoré zvyšujú úroveň bezpečnosti IoT infraštruktúry.

Automatická analýza nahlášených bezpečnostních incidentů

Autor
Adam Plánský
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Josef Kokeš
Anotace
Detekční systémy na počítačových sítích detekují více bezpečnostních událostí, než je možné zpracovat manuálně. Tato práce se zabývá snížením počtu těchto bezpečnostních událostí, což pomůže bezpečnostním týmům se zpracováním detekovaných událostí. Algoritmus je přizpůsobitelný cílovému nasazení pomocí konfiguračních parametrů. Navržený systém redukuje počet bezpečnostních událostí na jednotky procent.

Detekce zneužití VoIP ústředen

Autor
Lukáš Truxa
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Tomáš Herout

Sledování provozu 100Gb/s síťových infrastruktur

Autor
Miroslav Kalina
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Anotace
Obsahem této práce je návrh a následná implementace agregačního modulu pro NEMEA Framework. Výsledný modul bude umožňovat uživateli definovat pravidla pro zpracování velkého množství informací do agregovaných záznamů pro jednodušší následující zpracování.

Detekce síťových útoků na Voice over IP infrastrukturu

Autor
Nikolas Jíša
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Tomáš Herout
Anotace
Obrovský nárůst síťového provozu vyžaduje zvyšující se nároky na bezpečnost kvůli rizikům finančích ztrát a narušení soukromí. V oblasti Voice over Internet Protocol (VoIP) mohou finanční ztáty dosáhnout i miliónů českých korun. Tento text se zabývá bezpečností VoIP, zejména protokolu SIP se zaměřením na útoky typu skenování a útoky typu Denial of Service (DoS). Útoky typu skenování použije útočník k získání informací o síti, o zařízeních podporujících SIP a o SIP uživatelích, které dále použije k dalším útokům. Útoky typu DoS může útočník použít ke zpomalení nebo k znemožnění zpracovávání SIP zpráv atakovaného zařízení. Detekce útoků je zde založena na analýze časových řad.

Automatická detekce podezřelého síťového provozu pomocí blacklistů

Autor
Filip Šuster
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato práce se zabývá implementací sady modulů pro detekci podezřelého sí- ťového provozu pomocí veřejných blacklistů. Kromě základní detekce, která spočívá v nahlášení všech síťových toků, umožňují vytvořené moduly sledovat další provoz klientů, kteří s blacklistovanou entitou komunikovali. Cílem práce je využít analýzu dodatečně zachycených informací o provozu podezřelých klientů k lepšímu a přesnějšímu rozhodování o podstatě/kontextu komunikace. Díky této analýze je možné odhalit, jestli základní detekce není jen falešný poplach. K zachytávání dodatečných informací v reálném čase byl vytvořen modul, tzv. adaptivní filtr, který patří k hlavním přínosům této práce. Práce se zaměřuje zejména na využití veřejně dostupných seznamů Command&Control serverů a analýzu provozu klientů, kteří s těmito servery komunikují. Všechny vytvořené softwarové nástroje jsou součástí open source projektu NEMEA, který se používá k analýze provozu a detekci bezpečnostních událostí v národní akademické síti CESNET2.

Systém pro evidenci podezřelých skupin síťových adres

Autor
Lenka Stejskalová
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá analýzou provozu jdoucího z podezřelých síťových adres a jejím rozdělováním těchto adres do skupin. Cílem práce je vytvořit systém pro evidování skupin podezřelých adres, které jsou hlášeny společně v bezpečnostních hlášeních nebo vykazují podobné chování. V práci je provedena analýza vstupních dat a analýza systémů NERD, NEMEA a Warden. Práce se zabývá definováním botnetu a rozdělováním útoků v síti. V práci byl navrhnut a implementován systém pro evidenci podezřelých skupin síťových adres. Tento systém byl otestován na zkušebních datech. Systém byl napsán v jazyce Python.

Vizualizace škodlivé aktivity IP rozsahů

Autor
Jakub Jančička
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
V dnešní době má většina větších organizací zřízen svůj bezpečnostní tým, který analyzuje síťový provoz a řeší bezpečnostní incidenty, které by mohly ohrozit provoz organizace. Ač dnes existuje mnoho automatických nástrojů na detekci incidentů, stále má při analýze nezastupitelnou roli člověk. Nástroje na vizualizaci síťového provozu dokáží paralelně zobrazit velké množství dat a využívají percepční a kognitivní schopnosti analytika, který je schopen vizuálně detekovat různé anomálie a neobvyklé vzorce v síti. Diplomová práce se zabývá vytvořením nástroje na interaktivní vizualizace hodnot, které jsou přiřazené k IP adresám, pomocí Hilbertovy křivky, která zobrazuje IPv4 prostor a shlukuje blízké sítové adresy a rozsahy. Vizualizace pomůže členům bezpečnostních týmů například s hledáním síťových bloků, ze kterých je vedeno velké množství škodlivého provozu, a umožní jim na tyto situace efektivně reagovat. Vytvořený nástroj je funkční, byl otestován na datech ze systému NERD a je nasazen jako webová služba pro využití členy bezpečnostních týmů.

Softwarový modul pro rozpoznání VPN v síťovém provozu

Autor
Martin Čtrnáctý
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Karel Hynek
Anotace
Tato diplomová práce se zabývá možnostmi detekce VPN v sítovém provozu, nebot VPN lze zneužít k obcházení kontroly provozu ci exfiltraci dat. Práce na základe zachycených vzorku VPN komunikace navrhuje a testuje ruzné metody detekce VPN. Následne dané detekcní metody implementuje, diskutuje jejich výhody a nevýhody a požadavky na jejich správné fungování. Nakonec testuje schopnosti detekce jednotlivých detekcních metod a porovnává je.

Analýza a detekce útoku KRACK proti WiFi infrastruktuře

Autor
Jana Ernekerová
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato práce analyzuje princip útoku KRACK a navrhuje metody jeho detekce. Kromě toho se práce zabývá návrhem, implementací a testováním systému pro detekci útoku KRACK proti čtyřcestnému handshaku v reálném čase. V analytické části práce jsou nejprve představeny relevantní části standardu 802.11, na které je útok zaměřen. Poté je popsán princip útoku, jeho praktické dopady a protiopatření. Jsou zmapovány dostupné nástroje pro detekci zranitelnosti zařízení k tomuto útoku. Práce se zvlášť zaměřuje na útok proti čtyřcestnému handshaku a analyzuje provoz generovaný během tohoto útoku. Ten je poté srovnán se standardním provozem na síti během čtyřcestného handshaku. Na základě monitorovaného provozu a také analytické části práce jsou pak navrženy charakteristiky k detekci útoků KRACK. Systém pro detekci útoku proti čtyřcestnému handshaku je navržen, implementován a úspěšně otestován.

Rozšíření systému NEMEA pro nasazení v distribuovaném prostředí

Autor
Marek Švepeš
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Množství dat, které musí v dnešní době monitorovací systémy zpracovávat, roste kvůli zvyšující se rychlosti počítačových sítí a přibývajícímu počtu připojených zařízení. Kvůli různým typům bezpečnostních hrozeb musí být většinou data zpracována mnoha detekčními algoritmy najednou s omezenými výpočetními prostředky. Pro zpracování velkého množství síťových dat se začíná používat paralelizace a vznikají škálovatelná řešení monitorovacích systémů. V rámci této diplomové práce byl pro účely výzkumu v oblasti paralelizace zpracování použit modulární open-source systém NEMEA. Tato práce se zabývá návrhem, realizací a testováním rozšíření systému NEMEA, které umožní distribuované nasazení systému, což díky paralelnímu zpracování řádově zvýší propustnost celého systému. Zvolený způsob paralelizace spočívá v rozdělování proudu síťových toků mezi výpočetní uzly. Navržené řešení je realizováno v podobě NEMEA modulu. Práce dále popisuje vytvořené testovací prostředí, ve kterém byly provedeny experimenty k ověření vlastností nového modulu. Všechny experimenty byly provedeny s reálnými daty z akademické sítě CESNET2. V závěru práce je představena škálovatelná architektura paralelního zpracování pomocí systému NEMEA.

Analýza a identifikace chování Tor klientů

Autor
Tibor Engler
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Projekt Tor je všeobecne známa anonymizačná technológia. Komunikácia pomocou Tor-u je založená na niekoľkých vrstvách šifrovania a náhodnom smerovaní, ktoré by mali garantovať vysokú úroveň súkromia. Táto práca však ukazuje, že súkromie Tor-u je značne obmedzené, pokiaľ sledovacie systémy začnú využívať techniky hlbokého učenia a sledujú pri tom komunikáciu klienta aj jeho cieľu. Výstupom tejto práce je klasifikačný model na báze hlbokého učenia (konvolučná neurónová sieť), ktorý bol vyhodnotený pomocou komplexných experimentov na nových dátových sadách, zachytených na reálnej sieti. Navrhovaný algoritmus dokáže rozhodnúť (s presnosťou vyššou ako 90%), či dve spojenia pozorované na rôznych miestach predstavujú jednu a tú istú komunikáciu medzi klientom a serverom. Pozitívny výsledok môže odhaliť konkrétny cieľ, s ktorým klient komunikuje, a teda predstavuje možnú bezpečnostnú slabinu, oslabujúcu celý proces anonymizácie. V porovnaní s existujúcimi prácami je nami vyvinutý model schopný pracovať s rozšírenými údajmi o IP toku namiesto úplných paketových záznamov.

Detekce a rozpoznávání periodické komunikace v síťovém provozu

Autor
Josef Koumar
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Kamil Dedecius, Ph.D.
Anotace
V této práci se zaměřujeme na vytvoření metody detekce periodických chování v časových řadách ze síťového provozu, zejména šifrovaného, reprezentovaném pomocí síťových toků. Dále diskutujeme využití detekované periodicity k určení aplikace, služby či operačního systému, který daný provoz generoval.

Automatizovaný záchyt síťových dat k detekovaným událostem

Autor
Zdeněk Rosa
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Pavel Benáček, Ph.D.
Anotace
Vysokorychlostní sítě pro analýzu provozu a detekci anomálií často používají nástroje založené na síťových tocích. Po nahlášení bezpečnostní události pomocí těchto nástrojů nám chybí důkazní materiál a informace pro verifikaci události. Tato práce rozšiřuje klasickou detekci založenou na síťových tocích o detekci pomocí paketů. Navržený systém umožňuje získat provoz podezřelých adres, podílejících se na události a následně provést analýzu tohoto provozu.

Identifikace síťových zařízení a služeb pomocí pasivního monitorování

Autor
Jan Neužil
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Anotace
Viditelnost do síťového provozu je nezbytnou součástí síťové bezpečnosti a bezpečnostní analýzy. Současné stávající nástroje však obvykle poskytují pouze všeobecné informace o komunikaci jednotlivých zařízení. Tato diplomová práce se zabývá možnostmi využití vícero informačních zdrojů v lokálních sítích k identifikaci významu a účelu daného síťového připojení, které jsou srozumitelné pro většinu uživatelů. Tato práce se konkrétně zaměřuje na kombinování informací z "service discovery" protokolů s tradičními daty z IP toků. Výsledkem je vyvinutý softwarový prototyp analyzátoru - modul ACID, který zpracovává několik informačních zdrojů a přiřazuje síťovým spojením štítky, tj. pozorované aktivity. Tento přístup je mnohem slibnější než v současnosti používané nástroje založené na dobře známých portech a protokolech.

Analýza síťového provozu s pomocí komunikačních map

Autor
Tomáš Vicher
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Mgr. Rudolf Bohumil Blažek, Ph.D.
Anotace
Tato diplomová práce popisuje návrh a implementaci metody pro zpracování informací o síťových tocích. Informace slouží ke generování grafu komunikace mezi jednotlivými uzly sítě, případně agregovanými uzly (podsítě). Stav grafu je udržován aktuální díky vyhodnocování informací v téměř reálném čase. Sou- částí práce byl návrh využití takto vzniklých struktur s ohledem na sledování vývoje provozu, případně k detekci neobvyklých jevů v síti. Výsledkem práce je detekční modul implementovaný pro systém NEMEA. Součástí práce je též analýza různých možností monitorování sítě, síťových útoků a statistických metod pro vyhodnocování informací ze síťových toků.

Využití jazyka P4 pro generování síťových bezpečnostních aplikací

Autor
Jiří Havránek
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se věnuje využití vysokoúrovňového jazyka P4 pro generování bezpečnostních síťových aplikací. Využití je demonstrováno na popisu nového exportéru síťových toků, který vychází z existujícího exportéru flow_meter. Existující exportér a jazyk P4 jsou analyzovány a jsou identifikovány klíčové komponenty architektury. Mezi tyto komponenty patří parser paketů, flow cache, komponenta pro export toků ve formátu IPFIX a parsovací pluginy aplikačních protokolů. V práci je navržen vhodný popis těchto komponent pomocí programových konstrukcí jazyka P4. P4 program je následně možné přeložit na zdrojové kódy exportéru v C pomocí překladače jazyka P4, do kterého byl touto prací vytvořen backend. Měření a porovnání ukázalo, že nově vytvořený exportér je rychlejší než původní. Navíc je více flexibilní a podporuje mnohem více protokolů, jelikož je automaticky generovaný z P4 popisu. Je možné jednoduše přidávat nové protokoly, upravovat algoritmus vytváření toků v cache, upravovat záznam o toku a mnohem jednodušeji vytvářet nové parsovací pluginy aplikačních protokolů. Jednotlivé generované komponenty jsou měřeny zvlášť a byly obecně pomalejší než jejich ručně optimalizovaná verze.

Univerzální agregační modul pro systém NEMEA

Autor
Michal Slabihoudek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.

Informovaná mitigace DDoS útoků na základě reputace

Autor
Tomáš Jánský
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
doc. Ing. Hana Kubátová, CSc.
Anotace
Mezi nejrozšířenější a zároveň nejnebezpečnější síťové útoky patří bezesporu distribuované útoky odepření služby (DDoS). Tyto útoky jsou neustálou hrozbou všem poskytovatelům internetového připojení a jsou schopny vyřadit zprovozu síťovou infrastrukturu i těch největších společností. Cílem těchto útoků je zpravidla zahlcení síťového zařízení, nebo dokonce sítě samotné, pomocí velkého množství provozu. Následkem toho dochází k nepředvídatelnému zahazování síťových paketů. Obrana proti DDoS útokům na základě rozpoznávání škodlivých paketů je obtížnou výzvou, neboť ty se od legitimních paketů mnohdy liší jen minimálně. Tato práce se zabývá návrhem heuristiky, která filtruje síťový provoz během DDoS útoku a využívá k tomuto účelu znalosti tzv. reputačního skóre síťových entit. Hlavním přínosem práce je integrace takto navržené heuristiky do zařízení pro čištění síťového provozu vyvíjeného sdružením CESNET z.s.p.o.

Detekce útoků využívajících aplikační protokol HTTP

Autor
Tomáš Ďuračka
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Diplomová práce se zabývá problematikou rostoucího počtu útoků na webové aplikace a klade si za cíl vyvinout NEMEA modul pro detekci tohoto typu útoků. Modul bude průběžně analyzovat síťové toky a na základě předdefinovaných signatur rozhodovat o tom, zda dochází k potenciálnímu útoku na webovou aplikaci. Přínos této práce spočívá ve schopnosti získávat a sdílet informace o probíhajících podezřelých aktivitách v jejich raném stádiu.

Detekce anomálií v provozu IoT sítí

Autor
Dominik Soukup
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato diplomová práce se zabývá problematikou bezpečnosti v prostředí Internet of Things (IoT). Prvním cílem je analýza aktuálního stavu IoT sítí a identifikace bezpečnostních slabin bezdrátových senzorových protokolů. Druhým cílem je vytvoření nástroje, který v probíhající komunikaci detekuje nalezené bezpečnostní incidenty. V analytické části je čtenář seznámen s principem fog computingu a nově vzniklým modelem komunikace. Zároveň jsou důkladně rozebrány aktuálně používané protokoly včetně jejich bezpečnostních slabin. Součástí práce je návrh architektury, který je připraven na budoucí rozšiřování, což je nezbytné pro rychle se rozvíjející a širokou oblast IoT. Při návrhu byl kladen důraz na nízké hardwarové nároky tak, aby bylo možné provozovat výsledné řešení i na IoT branách s omezenými prostředky. První část výstupu této práce tvoří rešerše aktuálního stavu IoT, která je obsažena v textu této práce. Druhou částí je modulární systém, který lze konfigurovat a přizpůsobit pro konkrétní topologii. Výsledný nástroj je implementovaný v jazyce C++ a rozšiřuje již existující IoT bránu BeeeOn o možnost detekce anomálií v bezdrátových senzorových protokolech. Výsledkem je nová verze této brány s mechanismem pro detekci útoků.

Unifikované konfigurační rozhraní pro NEMEA kolektory

Autor
Matěj Židek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
RNDr. Radek Krejčí
Anotace
V této práci se zabývám novým způsobem konfigurace modulárního systému NEMEA, který slouží pro analýzu provozu a detekci anomálií v počítačových sítích. Tento nový způsob spočívá ve využití projektu sysrepo jako úložiště konfigurace a prostředníka pro komunikaci se spuštěným NEMEA systémem. Problém jsem vyřešil implementací nové verze démona, který je v rámci NEMEA projektu odpovědný za správu běhu všech modulů. Nový démon je navržen, aby používal sysrepo. To umožnilo přímo nad sysrepem postavit webové uživatelské rozhraní, které dovoluje běžící NEMEA systém spravovat. Celé řešení jsem pro snadné nasazení sestavil v prostředí vytvořeném technologií Docker.

Centrální správa sítě Národní technické knihovny

Autor
Miroslav Brabenec
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Adminator je aplikace, která je v Národní technické knihovně využívána ke správě sítě. Momentálně je aplikací spravováno DHCP, DNS a přiřazování VLAN. Cílem této práce je rozšíření funkcí o monitoring aktivních síťových prvků (přepínačů a analyzátorů) a zapojení infrastruktury (kabeláže z analyzátorů). Nově vytvořené funkce umožňují zjistit, které síťové zásuvky jsou aktivní, jaká je konfigurace rozhraní přepínače a kde bylo spatřeno zařízení s danou MAC adresou. V každodenním provozu pak tyto funkce usnadňují přesun zařízení, detekci nekorektně nastavených portů, nalezení zařízení s vadným zdrojem.

Diagnostika provozu ICS protokolů

Autor
Peter Páleník
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Buchovecká
Anotace
Práca sa zaoberá diagnostikou ICS a IoT protokolov, konkrétne CoAP a IEC 61850, pomocou diagnostického nástroja Distance. Obsahuje analýzu spomenutých protokolov, detailné rozobratie možných chybových stavov a popis bezpečnostných hrozieb. Následne popisuje diagnostický nástroj Distance a spôsob tvorby jeho pravidiel - konfiguračných súborov. Ťažiskom je detailná štúdia protokolov a ich možných chybových stavov. Z tejto analýzy práca následne odvodzuje diagnostické pravidlá, ktoré čo možno najpresnejšie popisujú chovanie protokolu a snažia sa odhaliť možné konfiguračné chyby alebo bezpečnostné incidenty. Výsledkom práce sú konfiguračné súbory nástroja Distance pre protokoly CoAP a IEC 61850. Tieto súbory boli otestované na vlastnoručne vygenerovaných a aj ostrých dátových tokoch.

Adaptivní mitigace DDoS útoků na základě online analýzy

Autor
Pavel Šiška
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací nástroje pro online paketovou analýzu síťového provozu. Cílem práce je poskytnout síťovému administrátorovi informace, na základě kterých dokáže nastavit obranné mechanismy pro mitigaci DDoS útoků. Nástroj poskytuje přehled o aktuální struktuře síťového provozu a na základě charakteristik volumetrických DDoS útoků dokáže probíhající útok v síťovém provozu identifikovat a doporučit taková mitigační pravidla, která útok potlačí. Nástroj pro ukládání dat k analýze využívá speciální pravděpodobnostní datové struktury zvané sketche, které dokáží efektivně uchovávat velké množství dat s nízkou paměťovou náročností. Výkonnost a funkčnost nástroje byla otestována v laboratorních podmínkách nad zkušebními daty při rychlostech až 100 Gb/s.