Detail práce

Detekce slovníkových útoků na síťové služby analýzou IP toků

Diplomová práce Student: Činčala Martin Akademický rok: 2014/2015 Vedoucí: Matoušek Petr, doc. Ing., Ph.D., M.A.
Název anglicky
Detection of Dictionary Attacks on Network Services Using IP Flow Analysis
Jazyk práce
český
Abstrakt

Stávající výzkumy naznačují, že je možné detekovat slovníkové útoky pomocí toků dat. Tento typ detekce byl úspěšně implementován například pro protokoly SSH, LDAP a RDP. Pro zjištění, zda je možné stejné způsoby detekce použít i pro poštovní protokoly, bylo vytvořeno virtuální testovací prostředí.   Z dat, které jsem v tomto prostředí získal, se mi podařilo odvodit charakteristiky útoků v tocích a zvolit statistickou hodnotu, která útoky odliší od legitimního provozu. Za hlavní charakteristiku útoků jsem zvolil rozptyl určitých parametrů toků. IP adresy, jejichž toky mají malý rozptyl vybraných parametrů a vysokou frekvenci příchodu paketů jsou považovány za nedůvěryhodné. Aby jsme vyloučili falešné detekce, rozptyl je počítán z historie IP adresy, která v případě legitimního uživatele obsahuje různé toky a zabrání označení této IP adresy za nebezpečnou. Tento princip byl použit k vytvoření skriptu, který detekuje útoky z výstupů kolektoru nfdump. Úspěšnost detekce útoků byla testována na klasifikovaných datech z reálného prostředí. Výsledky testů ukázali, že při dobrém nastavení hraničních hodnot je procento zachycených útoků velmi vysoké a výsledky jsou bez falešných pozitivních detekcí. Detekce útoků není omezena jen na poštové protokoly. Vzhledem k tomu, že návrh je univerzální, skript dokáže detekovat slovníkové útoky na SSH, LDAP, SIP, RDP, SQL, telnet i některé další útoky.

Klíčová slova

SMTP, IMAP, POP3, netflow, slovníkové útoky

Ústav
Ústav informačních systémů FIT VUT v Brně
Studijní program
Informační technologie, obor Počítačové sítě a komunikace
Soubory
Stav
obhájeno, hodnocení A
Obhajoba
23. června 2015
Oponent
Grégr Matěj, Ing., Ph.D.
Průběh obhajoby

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm "A".

Otázky u obhajoby
  1. Jak moc se liší vypočtené hraniční hodnoty útoků pro dataset 1 a 2? Daly by se použít jako signatury útoků na konkrétní mailovou službu?
Komise
Švéda Miroslav, prof. Ing., CSc. (UIFS FIT VUT), předseda
Drábek Vladimír, doc. Ing., CSc. (UPSY FIT VUT), člen
Hladká Eva, doc. RNDr., Ph.D. (FI MUNI), člen
Holík Lukáš, doc. Mgr., Ph.D. (UITS FIT VUT), člen
Jaroš Jiří, doc. Ing., Ph.D. (UPSY FIT VUT), člen
Matoušek Petr, doc. Ing., Ph.D., M.A. (UIFS FIT VUT), člen
Citace
ČINČALA, Martin. Detekce slovníkových útoků na síťové služby analýzou IP toků. Brno, 2015. Diplomová práce. Vysoké učení technické v Brně, Fakulta informačních technologií. 2015-06-23. Vedoucí práce Matoušek Petr. Dostupné z: https://www.fit.vut.cz/study/thesis/17112/
BibTeX 
@mastersthesis{FITMT17112,
    author = "Martin \v{C}in\v{c}ala",
    type = "Diplomov\'{a} pr\'{a}ce",
    title = "Detekce slovn\'{i}kov\'{y}ch \'{u}tok\r{u} na s\'{i}\v{t}ov\'{e} slu\v{z}by anal\'{y}zou IP tok\r{u}",
    school = "Vysok\'{e} u\v{c}en\'{i} technick\'{e} v Brn\v{e}, Fakulta informa\v{c}n\'{i}ch technologi\'{i}",
    year = 2015,
    location = "Brno, CZ",
    language = "czech",
    url = "https://www.fit.vut.cz/study/thesis/17112/"
}

Závěrečné práce

Nahoru