NAGYOVÁ, S. Clusterová analýza datového provozu [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2016.
Cílem práce bylo prozkoumat možnosti využití clusterové analýzy pro detekci anomálií v datové komunikaci a to zejména bezpečnostních útoků. Studentka pracovala samostatně a se zaujetím pro řešení problému. Zadanému tématu clusterová analýza porozuměla a své nápady a postup řešení dle potřeby konzultovala. Provedla podrobnou analýzu známých shlukovacích algoritmů, které aplikovala při detekci anomálií datové komunikace. Na formální stránce je na diplomové práci znatelné, že studentka věnovala výrazně více času a úsilí vlastnímu řešení úkolu, než následnému zpracování a dokumentaci výsledků. Z hlediska vedoucího nemám k práci studentky zásadní připomínky. Práci hodnotím známkou B – 85 bodů.
Diplomová práce se zabývá shlukovou analýzou datového provozu s cílem detekce anomálií. Práci vytýkám následující formální nedostatky: vztahy jsou součástí věty, musí být ukončeny čárkou popřípadě tečkou, výše popsané platí i pro odrážky. Odkazy na obrázky by měly být v textu psány malým písmenem (např. obr.2), zkratky nejsou definovány při prvním použití, nejednotné psaní CESNET Cesnet, reference nejsou citovány dle normy atd. Dále vytýkám míchání anglických a českých pojmů bez definování (např. Pharming – farming, trojan v českém jazyku trojský kůň atd.). Psaný text obsahuje také odborné nesrovnalosti např. v tabulce obsahující souhrn DoS útoků je uveden ARP spoofing. Pokud se práce zaměřuje na DDoS útoky očekával bych důslednější popis této problematiky v návaznosti na tabulku 2. V práci je vysvětlen pouze ICM Flood a TCP SYN Flood, dle mého názoru jsou zajímavější problematikou k detekci anomálií útoky UDP Flood, protože ochrana proti SYN Flood je obecně triviální. Text diplomové práce je psán velice neodborně a obecně (diplomová práce by měla být ve formě technické zprávy) např. proč je kapitole simulace útoku nejprve rozebírán nástroj Nmap následně OpenVast v Kali linux, ovládáni, účel když k jednoduchému generování útoku je použit nástroj Hping a výše zmiňované nástroje nejsou použity vůbec? Tyto informace jsou pro práci zcela redundantní a nepodstatné, zbytečně tak čtenáře rozptylují a považuji tento způsob psaní diplomové práce za velký nedostatek. Cílem práce bylo využít shlukové analýzy k detekci kybernetických útoků, testován byl prakticky jen jeden typ útoku DoS (SYN a SMTP) shlukovaný identickou metrikou pps (pakety za sekundu). Zvolení této metriky pro detekci útoku DoS není překvapivé (není vlastní přínos), spíše postrádám v práci podrobnější rozbor implementované metriky (IP zdrojová popřípadě cílová, v návaznosti na DoS a DDoS) popřípadě další možné metriky (viz literatura). Z mého pohledu zajímavějším přínosem by byla diskuze metrik pro různé typy útoků pro shlukovou analýzu obsahující více tříd (ne jen 2, legitimní provoz a útok DoS). Nicméně, vytvořený program je funkční a použitelný pro jednoduchou detekci DoS útoku (Grafický výstup pro K-means). Implementace programu je největším vlastním přínosem diplomové práce a dokazuje dobré inženýrské schopnosti studentky. Práci doporučuji k obhajobě, kvůli výše uvedeným nedostatkům navrhuji D, 68 bodů.
eVSKP id 93797