Detail práce

Reputace zdrojů škodlivého provozu

Disertační práce Student: Bartoš Václav Akademický rok: 2018/2019 Vedoucí: Kořenek Jan, doc. Ing., Ph.D.
Název anglicky
Reputation of Malicious Traffic Sources
Jazyk práce
český
Abstrakt

Při zajišťování bezpečnosti počítačových sítí je mimo jiné nezbytné získávat a zpracovávat informace o existujících hrozbách, ať už odvozené z hlášení vlastních detekčních nástrojů či pocházející od třetích stran. Mezi takové informace patří i seznamy síťových entit (IP adres, doménových jmen, URL apod.), které byly identifikovány jako škodlivé. V mnoha případech však prostá binární informace, zda je daná entita škodlivá či nikoliv, nestačí. Je vhodné mít ke každé entitě i další data popisující jí prováděné škodlivé aktivity a také shrnující skóre, které její reputaci vyjádří číselně. To umožní jednak rychlé zhodnocení míry hrozby, kterou určitá entita představuje, a zároveň umožní entity porovnávat a řadit. Tato práce se zabývá návrhem právě takového reputačního skóre. Navržené skóre, nazvané Future Maliciousness Probability (FMP skóre), je hodnota mezi 0 a 1 přiřazená každé podezřelé síťové entitě a vyjadřující pravděpodobnost, že bude daná entita v nejbližší době (znovu) provádět určitou škodlivou činnost. Výpočet tohoto skóre je tedy založen na předpovědi budoucích útoků. Tato předpověď vychází z historie přijatých hlášení o bezpečnostních událostech a z dalších relevantních dat týkajících se dané entity a je založena na pokročilých metodách strojového učení. Metoda výpočtu skóre je v práci nejprve popsána obecně, pro libovolný typ entity a vstupní data, a poté je přizpůsobena pro konkrétní případ - hodnocení IPv4 adres na základě hlášení ze systému pro sdílení bezpečnostních událostí a doplňujících dat z reputační databáze. Tato varianta pak byla vyhodnocena na reálných datech. Kvůli potřebě získat dostatečně velkou a kvalitní datovou sadu pro toto vyhodnocení se část práce věnuje i oblasti detekce bezpečnostních událostí, konkrétně vývoji frameworku pro analýzu dat o síťových tocích NEMEA a návrhu několika nových detekčních metod. Dále je popsán návrh a implementace otevřené reputační databáze NERD, která slouží k udržování profilů nahlášených IP adres. Data z těchto systémů pak byla využita jak pro vyhodnocení přesnosti predikce, tak pro vyhodnocení vybraných případů použití výsledného FMP skóre.

Klíčová slova

síťová bezpečnost, reputace, reputační skóre, reputační databáze, predikce útoků, strojové učení, analýza síťového provozu

Ústav
Ústav počítačových systémů FIT VUT v Brně
Studijní program
Výpočetní technika a informatika, obor Výpočetní technika a informatika
Soubory
Stav
obhájeno
Obhajoba
24. května 2019
Citace
BARTOŠ, Václav. Reputace zdrojů škodlivého provozu. Brno, 2018. Disertační práce. Vysoké učení technické v Brně, Fakulta informačních technologií. 2019-05-24. Vedoucí práce Kořenek Jan. Dostupné z: https://www.fit.vut.cz/study/phd-thesis/758/
BibTeX 
@phdthesis{FITPT758,
    author = "V\'{a}clav Barto\v{s}",
    type = "Diserta\v{c}n\'{i} pr\'{a}ce",
    title = "Reputace zdroj\r{u} \v{s}kodliv\'{e}ho provozu",
    school = "Vysok\'{e} u\v{c}en\'{i} technick\'{e} v Brn\v{e}, Fakulta informa\v{c}n\'{i}ch technologi\'{i}",
    year = 2019,
    location = "Brno, CZ",
    language = "czech",
    url = "https://www.fit.vut.cz/study/phd-thesis/758/"
}

Závěrečné práce

Nahoru