PLOČICOVÁ, D. Využití NetFlow dat pro tvorbu filtračních pravidel [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Cílem práce bylo nalézt vzor DDoS útoku v NetFlow datech a vytvořit co nejvíce specifické pravidlo pro jeho eliminaci. Těchto cílů se podařilo dosáhnout i když si myslím, že potenciál výsledků by mohl být větší. Celkově hodnotím aktivitu studentky, stejně jako výsledky práce jako dobré (C).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cílem práce bylo monitorovat NetFlow data na základě správcem definovaných pravidel. Při případném DDoS útoku, zachycené daným pravidlem implementovat algoritmus, který se bude snažít nalézt vzor daného útoku a vytvořit filtrační pravidlo pro jeho eliminaci. Problematiku NetFlow a DDoS útoků považuji za dobře zdokumentovanou. Samotný princip vyhledání vzoru útoku již ne. Celkově hodnotím práci jako průměrně obtížnou. | ||
| Práce s literaturou | Studentka pracovala s doporučenou literaturou a dokázala si nalézt další relevantní zdroje a studijní materiál. | ||
| Aktivita během řešení, konzultace, komunikace | V průběhu řešení byla práce průběžně konzultována a studentka byla na konzultace dostatečně připravena. | ||
| Aktivita při dokončování | Práce byla dokončována spíše blíže ke konečnému termínu odevzdání. Obsah byl konzultován, nicméně finální verze práce konzultována nebyla. | ||
| Publikační činnost, ocenění | Práce nebyla publikována. |
Práce svou obtížností, rozsahem i kvalitou textu odpovídá běžnému průměru diplomových prací. Studentka se v rámci práce musela seznámit s problematikou monitorování sítě, identifikaci DDoS útoků a vytvořit nástroj pro jejich detekci. Pozitivně hodnotím sepsání textu práce v anglickém jazyce. Za největší slabinu práce považuji testování, které hodnotím jako vágně formulované a nedostatečně exaktní. Z toho důvodu navrhuji hodnocení C - dobře.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Problematika monitorování sítě a detekce DDoS útoků představuje relativně komplikovanou oblast rychle se měnící v čase. Obtížnost zadání odpovídá požadavkům diplomové práce. | ||
| Rozsah splnění požadavků zadání | Zadání bylo splněno v plném rozsahu. | ||
| Rozsah technické zprávy | Splňuje požadavky rozsahu zaverecne prace. | ||
| Prezentační úroveň technické zprávy | 70 | Práce je dobře strukturovaná a členěná do logicky navazujících kapitol. Implementační části práce vytýkám těžší pochopitelnost některých částí algoritmu, jako příklad uvádím kapitolu 5.2.1. Kapitolu 5.5 popisující strukturu programu formou rozboru implementovaných funkcí hodnotím jako zcela nevhodnou pro tento typ práce. Práce by si po obsahové stránce zasloužila detailnější a exaktnější způsob popisu testování. Kladně hodnotím, že je práce psána v Anglickém jazyce. | |
| Formální úprava technické zprávy | 90 | Z formálního hlediska jsou dodrženy všechny potřebné náležitosti. Po jazykové stránce je text v pořádku, po typografické stránce práce působí uceleně. | |
| Práce s literaturou | 85 | Autorka uvádí všechny relevantní zdroje. Vzhledem k implementačnímu charakteru práce jsou citace využívány v menší míře, jedná se zejmena o zdroje dostupne on-line. Převzaté části textu jsou řádně označeny. | |
| Realizační výstup | 70 | Studentka se v rámci práce musela seznámit s protokolem Netflow a problematikou DDoS útoků. Vytvořila nástroj pro detekci DDoS útoků s použitím protokolu Netflow a knihovny libnf. Útok lze detekovat z běžné provozu na základě odchylky od běžné provozu, případně explicitním nastavením parametrů. Takto vytvořené filtrační pravidlo je dále použitelné k filtraci útoku v síťové infrastruktuře. V práci bych ocenil srovnání s již existujícími podobnými nástroji v dané oblasti. Zdrojové kódy které vytvořila studentka hodnotím jako dobře strukturované a přiměřeně okomentované. Ve zdrojovém kódu vytvořeném studentkou chybí informace o licencování. | |
| Využitelnost výsledků | Výsledky práce by bylo možné použít v praxi po komplexním otestování a případném doplnění nedostatku vyplývajících z testování. |
eVSKP id 146752