Ing. Karel Hynek, Ph.D.

Závěrečné práce

Bakalářské práce

Klasifikace akcí přenášených skrz šifrované TLS spojení

Autor
Zdena Tropková
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
doc. Ing. Tomáš Čejka, Ph.D.
Anotace
Tato bakalářská práce se zabývá analýzou a klasifikací šifrovaného TLS spojení na bázi síťových toků. V první části je představena anotovaná datová sada vytvořená převážně z provozu z reálné sítě, na základě které je dále provedena analýza chování TLS (Transport Layer Security) spojení. Dohromady je v ní rozpoznáno šest kategorií síťového provozu. V druhé části práce je navrhnut klasifikátor, který využívá pouze paketové informace a dávky paketů k rozpoznání akcí přenášených v šifrovaném spojení. Na základě jeho výsledku je provedena analýza špatných predikcích a zároveň jsou uvedeny možné důvody, proč k chybám při klasifikaci dochází. Výstupem práce je prototyp, který umožňuje klasifikovat provoz z reálné sítě.

Klasifikace provozu přenášeného pomocí protokolu QUIC

Autor
Andrej Lukačovič
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jan Fesl, Ph.D.
Anotace
Táto práca sa zaoberá monitorovaním sieťovej komunikácie prenášanej pomocou protokolu QUIC, následnou analýzou a~návrhom z~ktorého vzíde model strojového učenia slúžiaci na klasifikáciu jednotlivých tried komunikácie predikujúci s~presnosťou 93\,\%. Teoretická časť opisuje protokol QUIC a~jeho fungovanie, rovnako predstavuje monitorovaciu infraštruktúru a~použité algoritmy strojového učenia. Proces tvorby dátovej sady je podrobne opísaný v~druhej kapitole. Následne je na~dátovej sade prevedená analýza ktorá skúma dôležité vlastnosti jednotlivých klasifikačných tried, v~tejto časti rovnako skúmame hyperparametre použitých klasifikátorov. Záver práce sa venuje implementácií nástrojov, modelu strojového učenia ktorý bol vyhodnotený za najefektívnejší a~metrikám ktoré poukazujú na presnosť všetkých použitých klasifikátorov.

Automatická tvorba datábáze TLS otisků

Autor
Anton Aheyeu
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
doc. Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací modulu pytrap pro systém NEMEA, který umožňuje identifikovat komunikující procesy pomocí databáze otisků TLS. Pro automatické vytváření databáze TLS otisků byl vyvinut zásuvný modul pro exportér síťových toků ipfixprobe, který využívá framework osquery. V teoretické části uvádíme základní pojmy a principy monitorování sítě a protokolu TLS, popisujeme, jak zásuvný modul získává informace o identifikaci procesů, a proces vytváření databáze otisků TLS. Na základě teoretické části jsme implementovali modul pytrap, zásuvný modul pro exportér toků a doplňkový program pro vytváření databáze otisků TLS, popsaný v praktické části práce. Výsledky testů potvrdily funkčnost a ukázaly úspěšnost vytvořených modulů.

Detekce těžby kryptoměn na základě rozšířených síťových toků

Autor
Richard Plný
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato bakalářská práce se zaměřuje na těžbu kryptoměn z bezpečnostní perspektivy s důrazem na nelegální těžbu. Zkoumá možnosti detekce těžení kryptoměn ve vysokorychlostních počítačových sítích na úrovni monitorování síťových toků. Práce obsahuje návrh plaformy pro kontinuální záchyt komunikace, která je použita k vytvoření datových sad obsahující komunikaci těžících softwarů z realného provozu. Dále je navržena metoda detekce, která je schopna provozu i na vysokorychlostních sítích. Navržené řešení je implementováno jako skupina modulů systému NEMEA. Tato skupina modulů byla nasazena a testována na národní síti provozované sdružením CESNET.

Řízení počítačové sítě pomocí strojového učení a OVS

Autor
Štěpán Šimek
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Tomáš Vondra, Ph.D.
Anotace
Real-time komunikace pomocí online platforem zastává důležitou roli v každodenních aktivitách mnoha společností. Prioritizace této komunikace umožňuje zmírnit dopady zapříčiněné limitacemi sítí. Cílem této bakalářské práce je navrhnout a implementovat řešení prioritizace pro real-time protokoly. V rámci tohoto řešení bylo využito strojového učení pro rozpoznání real-time síťového provozu a technologie Open vSwitch pro zajištění prioritizace. Navržené řešení vychází z podrobné analýzy používaných real-time protokolů na reálné síti. Navíc pro vytvoření modelu strojového učení byla vytvořena nová a rozsáhlá anonymizovaná datová sada zachycená na síti reálného poskytovatele internetového připojení. Prototyp softwaru prioritizace real-time protokolů byl zakomponován do open-source exportéru síťových toků IPFIXprobe a otestován pomocí routeru Turris určeného pro domácnosti a malé podniky.

Rozšíření systému Zeek o unirec výstup

Autor
Matyáš Lhota
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Martin Šutovský
Anotace
Tato práce představuje návrh a implementaci rozšíření systému Zeek, které umožňuje organizacím provozující systém Zeek rovněž využívat funkce systému NEMEA. Přestože je Zeek schopen komplexního síťového monitoringu, oproti NEMEA systému například nenabízí podporu jazyka Python, který je velmi populárním pro pokročilou detekci hrozeb za pomoci strojového učení. Tento projekt překonává nedostatky systému Zeek pluginem, který exportuje rozšířené flow statistiky do systému NEMEA, podobně jako IPFIXprobe flow exporter. Největším úskalím je integrace pluginu s C++ API Zeek systému a knihovnami NEMEA frameworku, což je nezbytným krokem pro efektivní analýzu dat a jejich následný export. Důsledné testování zaručuje správnost generovaných dat a neovlivněný výkon celého systému. Uživatelé Zeeku mohou za pomoci tohoto rozšíření jednoduše využívat schopnosti NEMEA systému a zlepšit tak svou bezpečnostní strategii.

Implementace detektoru DNS over HTTPS

Autor
Ondřej Hrdlička
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Martin Šutovský
Anotace
Tato bakalářská práce popisuje tvorbu DNS over HTTPS (DoH) detektoru, který je integrován do systému NEMEA. Nástroje pro monitorování síte čelí různým výzvám při detekování DNS dotazů, protože tvůrci malwaru využívají šifrované DNS protokoly. Tato práce se zameřuje na implementaci detektoru, který kombinuje tři různé metody detekce--IP blocklist, klasifikaci pomocí strojového učení a aktivní oveřování. Vyhodnocení detektoru na datové sadě z reálné sítě ukazuje vysokou přesnost detektoru v identifikaci DoH provozu, a to pouze s využitím standardní flow telemetrie. Implementace navrženého detektoru v rámci NEMEA frameworku nabízí nasaditelné řešení pro vysokorychlostní sítě, které může pomoci předcházet mnoha bezpečnostním hrozbám.

Diplomové práce

Detekce HTTPS brute-force útoků na rychlých počítačových sítích

Autor
Jan Luxemburk
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek
Oponenti
Ing. Tomáš Čejka, Ph.D.
Anotace
Tato práce představuje přehled metod pro detekci síťových hrozeb se zaměřením na útoky hrubou silou proti webovým aplikacím, jako jsou WordPress a Joomla. Byl vytvořen nový dataset, který se skládá z provozu zachyceného na páteřní síti a útoků generovaných pomocí open-source nástrojů. Práce přináší novou metodu pro detekci útoku hrubou silou, která je založena na charakteristikách jednotlivých paketů a používá moderní metody strojového učení. Metoda funguje s šifrovanou HTTPS komunikací, a to bez nutnosti dešifrování jednotlivých paketů. Stále více webových aplikací používá HTTPS pro zabezpečení komunikace, a proto je nezbytné aktualizovat detekční metody, aby byla zachována základní viditelnost do síťového provozu.

Detekce IoT malware v počítačových sítích

Autor
Daniel Uhříček
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato diplomová práce se zabývá problematikou IoT malwaru a možnostmi jeho detekce v počítačových sítích na úrovni monitoringu síťových toků. V~práci identifikujeme klíčové aspekty chování IoT malwaru a oddělěně prezentujeme možnosti jejich řešení. Práce navrhuje nový přístup pro detekce nakažených zařízení za použití kombinace síťových indikátorů. Navrhovaná metoda byla implementovaná ve formě softwarového prototypu, schopného zpracovávat reálný síťový provoz v NEMEA systému. Finální řešení bylo vyhodnoceno na anonymizovaných záchytech a aktuálních vzorcích malwaru.

Klasifikace komunikace SSH protokolu

Autor
Radek Smejkal
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce se zabývá problematikou šifrovaného provozu SSH protokolu z pohledu bezpečnostního monitoringu sítě a jeho následnou klasifikací se zaměřením na část ověřující identitu uživatele. Práce analyzuje zachycenou komunikaci i samotný SSH protokol a odhaluje specifické rysy různých situací. Následně implementuje výstupy analýzy do softwarového prototypu. Detekční algoritmus je navržený s ohledem na vysokou propustnost tak, aby byl vhodný i pro vysokorychlostní sítě, kde není možné z výkonových důvodů provádět inspekci jednotlivých paketů. Pro vyhodnocení úspěšnosti se používá zachycený provoz reálné sítě a ve většině situacích prototyp dosahuje velmi přesných výsledků. Závěrem práce jsou diskutována možná opatření ke zvýšení přesnosti detektoru u neobvyklých situací nebo u zatím méně rozšířených parametrů spojení.

Klasifikace síťového provozu pomocí strojového učení

Autor
Matej Hulák
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Práca sa zameriava na aspekty a činitele, ktoré ovplyvňujú úspešnosť klasifikácie sieťovej premávky pomocou strojového učenia. Prvá časť práce popisuje základy počítačových sietí a ich monitorovania, existujúce metódy klasifikácie a princípy strojového učenia. Praktická časť práce skúma možnosti klasifikácie sieťovej premávky pri použití rôzne obsiahlych dátových sád a rôznych metód strojového učenia. Posledná časť práce sa venuje návrhu a vytvoreniu klasifikačného modulu pre systém NEMEA, ktorý je schopný klasifikovať rozšírené sieťové toky v reálnom čase. Výsledkom tejto práce je anotovaná dátová sada, obsahujúca rozšírené sieťové toky, sada experimentov skúmajúca možnosti klasifikácie sieťových tokov a klasifikačný modul pre systém NEMEA.

Detekce skrytých kanálů používající DNS over TLS

Autor
Lukáš Melcher
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Ochrana soukromí uživatelů v online světě je často diskutovaným tématem. Nešifrovaný a při odposlechu čitelný je však protokol DNS. Jako řešení bylo navrženo několik šifrovaných alternativ. Přesto i s používáním těchto protokolů souvisí bezpečnostní rizika. Tato práce analyzuje zašifrované DNS a primárně se zaměřuje na riziko tunelování pomocí DNS over TLS. Dále poskytuje přehled kvalitativních charakteristik poskytovatelů DoT a diskutuje vhodnost jejich využití v konfiguracích pracovních stanic. Hlavním výstupem je návrh a implementace prototypu detektoru tunelovaného provozu v DoT. Jeho úspěšnost je v závěru podrobena kritice a jsou diskutovány možnosti vylepšení.

Detekce zneužívání DNS over HTTPS

Autor
Dmitrii Vekshin
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Tato práce poskytuje hlubokou analýzu protokolu DNS-over-HTTPS se zaměřením na malware související s DNS-over-HTTPS. Další část této práce se zaměřuje na problematický tunel DNS-over-HTTPS s vytvořením prototypu pro jeho detekci. Přínosem této práce je představení nového přístupu zachycování dat tunelu DNS-over-HTTPS a aplikace tohoto přístupu k vytvoření celosvětové distribuované infrastruktury pro zachytávání pro simulaci skutečného chování DNS-over-HTTPS v různých prostředích.

Detekce VPN provozu pomocí automatu

Autor
Jan Jirák
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce se zabývá problematikou detekce VPN provozu z pohledu mo- nitoringu sitě a návrhem automatu, který tuto detekci provádi. Po prove- deni řešerše nastiňuje teoretické řešeni založené na automatu zachycujicim typický obraz TCP handshaku v reálném provozu. Toto řešeni je následně prozkoumáno detailněji v prototypu v jazyce Python na datech zachycených vedoucim práce. Po zjištěni teoretické úspěšnosti na těchto datech je proto- typ naimplementován do exportéru IPFIXprobe a tato implementace je opět otestována na reálných datech.

Detection of phishing domains in high-speed networks

Autor
Jakub Osmani
Rok
2024
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Diplomová práce se zabývá problematikou detekce phishingových domén ve vysokorychlostním provozu, a to na základě flow dat na síti CESNET. Výstupem je modul do systému NEMEA, který filtruje velký počet domén a rozhoduje zda je doména nebezpečná na základě sady indikátorů. Práce zároveň obsahuje popis indikátorů nevhodných pro detekci domén a praktickou analýzu phishingů v České Republice.

Analýza síťového provozu pomocí slabých indikátorů

Autor
Richard Plný
Rok
2024
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce popisuje metody pro klasifikaci síťového provozu, detekci hrozeb a bezpečnostního monitorování počítačových sítí. Poté je představena nová knihovna s názvem Weak Indication Framework, která si klade za cíl usnadňovat vývoj nových detektorů. Knihovna také umožňuje vyvíjet výkonné detekční systémy pro vysokorychlostní sítě. Dále je vyvinuto několik detektorů s pomocí této knihovny jako demonstrace její použitelnosti. Všechny detektory byly navíc úspěšně nasazené na národní síť CESNET3 s více než půl milionem uživatelů.

Tvorba a analýza datasetu s QUIC provozem

Autor
Andrej Lukačovič
Rok
2024
Typ
Diplomová práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Hlavným cieľom tejto práce je vytvorenie QUIC plugin pre nástroj IPFIXProbe exportujúci sieťové toky, ktorý bude schopný obohatiť tieto toky o dešifrované dáta z počiatočnej fázy QUIC komunikácie. V neskoršej časti práce zároveň zahrnieme analýzu ktorá je prevedená na datasete ktorý vznikol na základe vytvoreného pluginu. Analýza sa v princípe delí do dvoch časti. Najskôr popíšeme jednoduché štatistky nazbieraných dát. Následne vyslovíme hypotézu ktorá navrhuje použitie User Agent a Server Name Indication pola ako unikátny identifikátor pre jednotlivé toky. Čast datasetu ktorý vznikol ako výsledok tejto práce je publikovaný ako článok v Data-in-Brief žurnály.