Výzkumné skupiny
Publikace
NEMEA: A Framework for Network Traffic Analysis
Autoři
Čejka, T.; Bartoš, V.; Švepeš, M.; Rosa, Z.; Kubátová, H.
Rok
2016
Publikováno
12th International Conference on Network and Service Management. Montreal: IEEE, 2016. p. 195-201. ISSN 2165-963X. ISBN 978-3-901882-85-2.
Typ
Stať ve sborníku
Pracoviště
Anotace
Since network attacks become more sophisticated, it is difficult to discover them using traditional analysis tools. For some kinds of attacks, it is necessary to analyze Application Layer (L7) information in order to detect them. However, there is a lack of existing tools capable of L7 processing and manipulation. Therefore, we propose a flow-based modular Network Measurements Analysis (NEMEA) system to overcome the situation. NEMEA is designed with respect to a stream-wise concept, i. e. data are analyzed continuously in memory with minimal data storage. NEMEA is developed as an open-source project and is publicly available for world-wide community. It is designed for both experimental and operational use. It is able to process off-line traffic traces as well as live network flows. The system is very flexible and can be easily extended by new modules. The modules are developed within a NEMEA framework that is a key component of the project. NEMEA thus represents a unified platform for research and development of new traffic analysis methods. It covers several important topics not limited to analysis and detection. Some of them are described in this paper. Originally, NEMEA has been developed for the purposes of Czech National Research and Education Network operator. Therefore, it is focused on handling high speed network traffic with links working at 100 Gbps.
Nemea: Searching for Botnet Footprints
Autoři
Čejka, T.; Bodó, R.; Kubátová, H.
Rok
2015
Publikováno
Proceedings of the 3rd Prague Embedded Systems Workshop. Praha: ČVUT FIT, Katedra číslicového návrhu, 2015. pp. 11-16. ISBN 978-80-01-05776-6.
Typ
Stať ve sborníku
Pracoviště
Anotace
Malicious network traffic originated by malware means a serious threat. Current malware is designed to hide itself from the eyes of victim users as well as network administrators. It is very difficult or impossible to discover such traffic using traditional ways of flow-based monitoring. This paper describes a network traffic analysis of a backbone network as an attempt to discover infected devices. Cooperation with forensic laboratory and analysis of samples of malware allow to gain information that can lead to find unwanted traffic. Special tailored Nemea framework with high speed monitoring pipeline was used to discover infected devices on the network.
Systém pro detekci anomálií v počítačových sítích
Autoři
Rok
2013
Publikováno
Počítačové architektury a diagnostika - PAD 2013. Plzeň: Západočeská universita, Fakulta aplikovaných věd, 2013, pp. 51-56. ISBN 978-80-261-0270-0.
Typ
Stať ve sborníku
Pracoviště
Anotace
Tato práce se zabývá systémem NEMEA pro analýzu síťových toků a detekci anomálií v počítačových sítích. Jedná se o vyvíjený distribuovaný modulární systém, který může sloužit pro porovnávání existujících detekčních metod, ale i snadnější vývoj a testování nových detekčních metod. Pod pojmem anomálie je v tomto kontextu myšlen stav, při kterém dochází k omezení kvality služeb, nebo kdy dochází k bezpečnostnímu incidentu (případně obojí). Tyto stavy je potřeba co nejdříve detekovat a nahlásit operátorům systému nebo sítě. Navrhovaný distribuovaný systém musí řešit včasnou detekci za pomoci detekčních metod implementovaných jako zapojitelné moduly, které si mezi sebou předávají data. Pro dosažení minimálního průměrného zpoždění detekce a četnosti falešných poplachů je třeba u některých metod vhodně nastavit jejich parametry. Navržení mechanismu automatického odhadu optimálních hodnot parametrů patří k vizím mé disertační práce.
Using Application-Aware Flow Monitoring for SIP Fraud Detection
Autoři
Čejka, T.; Bartoš, V.; Truxa, L.; Kubátová, H.
Rok
2015
Publikováno
Intelligent Mechanisms for Network Configuration and Security. Cham: Springer International Publishing, 2015. p. 87-99. ISSN 0302-9743. ISBN 978-3-319-20033-0.
Typ
Stať ve sborníku
Pracoviště
Anotace
Flow monitoring helps to discover many network security threats targeted to various applications or network protocols. In this paper, we show usage of the flow data for analysis of a Voice over IP (VoIP) traffic and a threat detection. A traditionally used flow record is insufficient for this purpose and therefore it was extended by application-layer information. In particular, we focus on the Session Initiation Protocol (SIP) and the type of a toll-fraud in which an attacker tries to exploit poor configuration of a private branch exchange (PBX). The attacker’s motivation is to make unauthorized calls to PSTN numbers that are usually charged at high rates and owned by the attacker. As a result, a successful attack can cause a significant financial loss to the owner of PBX. We propose a method for stream-wise and near real-time analysis of the SIP traffic and detection of the described threat. The method was implemented as a module of the Nemea system and deployed on a backbone network. It was evaluated using simulated as well as real attacks.
Univerzální agregační modul pro systém NEMEA
Autor
Michal Slabihoudek
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Tato práce se zabývá návrhem a implementací univerzálního agregačního modulu do existujícího síťového detekčního systému NEMEA. Text práce obsahuje popis systému NEMEA včetně datových formátů využívaných pro komunikační účely. Implementační část práce ukazuje důležité rysy vzniklého agregačního modulu. Výsledky testování potvrzují splnění požadavků a schopnost modulu zpracovat data z vysokorychlostních sítí.
Detekce síťových útoků typu Denial of Service
Autor
Otto Hollmann
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Katedra
Anotace
Útoky typu Denial of Service (DoS) jsou v dnešní době stále častější a dostupné pro každého. Útoky omezují běžné uživatele a můžou působit finanční ztráty provozovatelům služeb i poskytovatelům připojení. Tato práce se zabývá detekcí volumetrických útoků na základě analýzy síťových toků v reálném čase. Zabývá se problematikou vzniku útoků a popisuje stávající řešení útoků. Dále popisuje návrh detekčního algoritmu využívajícího historických okének k detekci náhlého zvýšení velikosti provozu. V závěru práce je popsána implementace a testování výsledného detekčního programu. Detektor je implementován jako modul do systému NEMEA, který vyvíjí CESNET, zájmové sdružení právnických osob.