Počítačové sítě

Pracujeme se sítěmi, komunikačními protokoly a různými typy sítí od kabelových až po bezdrátové. Zajímá nás všechno, co může posílat nuly a jedničky, co možná nejrychleji a nejspolehlivěji z místa A do místa B. Řešíme bezpečnost a směrování v ad-hoc sítích, rádiovou komunikaci pod horizontem (na větší vzdálenosti než maximální komunikační vzdálenost), samo-konfigurační sítě, odolné a takzvané non-selfish systémy.

Publikace

NEMEA: A Framework for Network Traffic Analysis

Autoři
Čejka, T.; Kubátová, H.; Bartoš, V.; Rosa, Z.; Švepeš, M.
Rok
2016
Publikováno
12th International Conference on Network and Service Management. Montreal: IEEE, 2016. p. 195-201. ISSN 2165-963X. ISBN 978-3-901882-85-2.
Typ
Stať ve sborníku
Anotace
Since network attacks become more sophisticated, it is difficult to discover them using traditional analysis tools. For some kinds of attacks, it is necessary to analyze Application Layer (L7) information in order to detect them. However, there is a lack of existing tools capable of L7 processing and manipulation. Therefore, we propose a flow-based modular Network Measurements Analysis (NEMEA) system to overcome the situation. NEMEA is designed with respect to a stream-wise concept, i. e. data are analyzed continuously in memory with minimal data storage. NEMEA is developed as an open-source project and is publicly available for world-wide community. It is designed for both experimental and operational use. It is able to process off-line traffic traces as well as live network flows. The system is very flexible and can be easily extended by new modules. The modules are developed within a NEMEA framework that is a key component of the project. NEMEA thus represents a unified platform for research and development of new traffic analysis methods. It covers several important topics not limited to analysis and detection. Some of them are described in this paper. Originally, NEMEA has been developed for the purposes of Czech National Research and Education Network operator. Therefore, it is focused on handling high speed network traffic with links working at 100 Gbps.

Nemea: Searching for Botnet Footprints

Autoři
Rok
2015
Publikováno
Proceedings of the 3rd Prague Embedded Systems Workshop. Praha: ČVUT FIT, Katedra číslicového návrhu, 2015. pp. 11-16. ISBN 978-80-01-05776-6.
Typ
Stať ve sborníku
Anotace
Malicious network traffic originated by malware means a serious threat. Current malware is designed to hide itself from the eyes of victim users as well as network administrators. It is very difficult or impossible to discover such traffic using traditional ways of flow-based monitoring. This paper describes a network traffic analysis of a backbone network as an attempt to discover infected devices. Cooperation with forensic laboratory and analysis of samples of malware allow to gain information that can lead to find unwanted traffic. Special tailored Nemea framework with high speed monitoring pipeline was used to discover infected devices on the network.

Systém pro detekci anomálií v počítačových sítích

Autoři
Rok
2013
Publikováno
Počítačové architektury a diagnostika - PAD 2013. Plzeň: Západočeská universita, Fakulta aplikovaných věd, 2013, pp. 51-56. ISBN 978-80-261-0270-0.
Typ
Stať ve sborníku
Anotace
Tato práce se zabývá systémem NEMEA pro analýzu síťových toků a detekci anomálií v počítačových sítích. Jedná se o vyvíjený distribuovaný modulární systém, který může sloužit pro porovnávání existujících detekčních metod, ale i snadnější vývoj a testování nových detekčních metod. Pod pojmem anomálie je v tomto kontextu myšlen stav, při kterém dochází k omezení kvality služeb, nebo kdy dochází k bezpečnostnímu incidentu (případně obojí). Tyto stavy je potřeba co nejdříve detekovat a nahlásit operátorům systému nebo sítě. Navrhovaný distribuovaný systém musí řešit včasnou detekci za pomoci detekčních metod implementovaných jako zapojitelné moduly, které si mezi sebou předávají data. Pro dosažení minimálního průměrného zpoždění detekce a četnosti falešných poplachů je třeba u některých metod vhodně nastavit jejich parametry. Navržení mechanismu automatického odhadu optimálních hodnot parametrů patří k vizím mé disertační práce.

Using Application-Aware Flow Monitoring for SIP Fraud Detection

Autoři
Čejka, T.; Kubátová, H.; Bartoš, V.; Truxa, L.
Rok
2015
Publikováno
Intelligent Mechanisms for Network Configuration and Security. Cham: Springer International Publishing, 2015. p. 87-99. ISSN 0302-9743. ISBN 978-3-319-20033-0.
Typ
Stať ve sborníku
Anotace
Flow monitoring helps to discover many network security threats targeted to various applications or network protocols. In this paper, we show usage of the flow data for analysis of a Voice over IP (VoIP) traffic and a threat detection. A traditionally used flow record is insufficient for this purpose and therefore it was extended by application-layer information. In particular, we focus on the Session Initiation Protocol (SIP) and the type of a toll-fraud in which an attacker tries to exploit poor configuration of a private branch exchange (PBX). The attacker’s motivation is to make unauthorized calls to PSTN numbers that are usually charged at high rates and owned by the attacker. As a result, a successful attack can cause a significant financial loss to the owner of PBX. We propose a method for stream-wise and near real-time analysis of the SIP traffic and detection of the described threat. The method was implemented as a module of the Nemea system and deployed on a backbone network. It was evaluated using simulated as well as real attacks.

Univerzální agregační modul pro systém NEMEA

Autor
Michal Slabihoudek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Václav Bartoš
Anotace
Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.

Exportér síťových toků s podporou aplikačních informací

Autor
Jiří Havránek
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Monitorování síťového provozu je nezbytnou součástí správy dnešních počítačových sítí. Získané informace slouží nejen k zajištění základní funkcionality a včasné detekování potenciálních problémů, ale především k bezpečnostní analýze. Z~důvodu soukromí uživatelů a snížení objemu sbíraných dat je dnes standardem agregace provozu do tzv. síťových toků. Tato práce se zabývá otázkou exportu síťových toků s rozšířením o informace z aplikačních vrstev. Výsledkem práce je rozšíření a vylepšení open source exportéru toků z projektu NEMEA. Tento softwarový modul byl po optimalizacích původního kódu úspěšně portován na platformu vestavných zařízení se systémem OpenWrt. Díky tomuto přínosu je možné vytvořit monitorovací sondu i z nevýkonných levných domácích směrovačů a zvýšit tak přehled o provozu na síti včetně detekce škodlivého provozu. Mimo paměťových a výkonnostních optimalizací vnitřních struktur je modul rozšířen o~možnost číst pakety ze síťového rozhraní pomocí knihovny libpcap. Vnitřní struktura pro ukládání toků, flow cache, je upravena pro ukládání informací z aplikačních protokolů. Použití tohoto rozšíření je demonstrováno na dvou vytvořených ukázkových parsovacích pluginech pro HTTP a DNS provoz. Exportér je díky této práci schopen exportovat toky ve formátu IPFIX.

Detekce síťových útoků typu Denial of Service

Autor
Otto Hollmann
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Oponenti
Ing. Václav Bartoš
Anotace
Útoky typu Denial of Service (DoS) jsou v dnešní době stále častější a dostupné pro každého. Útoky omezují běžné uživatele a můžou působit finanční ztráty provozovatelům služeb i poskytovatelům připojení. Tato práce se zabývá detekcí volumetrických útoků na základě analýzy síťových toků v reálném čase. Zabývá se problematikou vzniku útoků a popisuje stávající řešení útoků. Dále popisuje návrh detekčního algoritmu využívajícího historických okének k detekci náhlého zvýšení velikosti provozu. V závěru práce je popsána implementace a testování výsledného detekčního programu. Detektor je implementován jako modul do systému NEMEA, který vyvíjí CESNET, zájmové sdružení právnických osob.

Za obsah stránky zodpovídá: doc. Ing. Štěpán Starosta, Ph.D.