BLAŽEK, P. Entropické modely datového provozu [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2015.
Cílem práce bylo prozkoumat možnosti využití průběžného výpočtu entropie vzorků datového provozu pro detekci anomálií v datové komunikaci a to zejména bezpečnostních útoků. Student pracoval samostatně a se zaujetím pro řešení problému. Své nápady a postup řešení dle potřeby konzultoval. Provedl solidní analýzu řešené problematiky, zejména známých modelů výpočtu entropie a dobře se vyrovnal s problematikou optimalizace volby parametrů u parametriyovatelných modelů entropie. Jako součást práce vytvořil softarový nástroj pro výpočet entropie vzorku datového provozu. Na formální stránce je na diplomové práci znatelné, že student věnoval výrazně více času a úsilí vlastnímu řešení úkolu, než následnému zpracování a dokumentaci výsledků. Z hlediska vedoucího nemám k práci studenta zásadní připomínky. Práci hodnotím známkou B – 85 bodů..
Cílem diplomové práce bylo prozkoumat možnosti využití tří různých modelů entropie pro detekci anomálií v datovém provozu se zaměřením na detekci bezpečnostních útoků. Student se v této práci zaměřuje výhradně na útoky typu Denial of Service. Práce je členěna do pěti kapitol. První kapitola velmi stručně definuje entropii a velmi jednoduše popisuje její vlastnosti. Modelový příklad, který popisuje chování jednotlivých modelů entropie, je uveden až v praktické části práce. Druhá kapitola popisuje siťový model TCP/IP, třetí kapitola stručne popisuje útoky typu Denial of Service a stručně popisuje 12 druhů používaných útoků. Čtvrtá kapitola pouze popisuje na třech stranách použité nástroje pro odposlouchávání a manipulaci síťového provozu. Nejsou zde uvedeny žádné příklady použití těchto nástrojů pro samotnou práci, takže popis argumentů těchto příkazů je vcelku zbytečný. Pátá kapitola je už praktická část práce věnující se detekci anomálií, resp. pouze detekci DoS útoků. V této části se student věnuje návrhu algoritmu pro výpočet hodnot jednotlivých modelů entropie a návrhem aplikace s grafickým rozhraním pro testování vhodnosti jednotlivých modelů na datech odchycených programem pcap. V poslední porovnává vybrané modely. Algoritmus je popsán ne zcela jasně ve dvou odstavcích a pomocí obecného vývojového diagramu. Není přiložen žádný zdrojový kód a ani v textu není pseudokód výpočtu, takže není možné ověřit jakým způsobem výpočet hodnot probíhá. Modely jsou mezi sebou porovnávány na "modelovém příkladu" (student neuvedl jakým způsobem byla data získána. Viz Tab. 5.1) pomocí "procentuálních rozdílů" mezi pravděpodobnostmi výskytu jednotlivých IP adres. Z textu není jasné, jak se k hodnotám došlo, protože nejsou uvedeny vzorce výpočtu ani zdrojový kód sloužící k výpočtu, tím pádem není zřejmé, co grafy 5.2 až 5.5 ukazují. Pro práci s vytvořenými modely slouží hlavně přiložená aplikace. Aplikace je psaná v Javě, jedná se o grafický nástroj pro vykreslení grafů pro zvolené modely a parametry nad určenými datovými soubory. Bohužel nejsou přiložena žádná testovací data nebo zdrojové kódy, takže o fukčnosti aplikace nelze říct nic jiného, než že jde spustit. Aplikaci je možné tím pádem hodnotit pouze z textu, který ovšem neprezentuje studentovy znalosti o objektovém programování v Javě v dobrém světle. Viz krátký odstavec z textu: "Poslední třídou je MainGUI, která je hlavní třídou aplikace. Každá aplikace napsaná v jazyce java musí tuto třídu obsahovat. Při spuštění aplikace je to první třída, která se spustí a postupně se vykonávají její příkazy." Poslední část se věnuje zadání práce, neboli otestování vhodnosti vybraných modelů. Student použil data z reálného provozu mezi servery Cesnetu a jejich uživateli, kterou posléze dodatečně doplnil simulovanými útoky. Dále použil zachycená data při připraveném útoku v rámci domácí sítě. Student použil pouze jeden typ útoku a to TCP SYN flood. Proč právě tento typ útoku nebo proč jich nebylo použito několik, není v textu zdůvodněno, i když jich v práci popisuje dalších 11. Student při testování nepopisuje jakým způsobem postupuje při detekci samotných útoků, nediskutuje vhodnost použití různých parametrů modelů a pouze povrchně se věnuje možnosti falešně pozitivních detekcí útoků. Student zmiňuje důležitost volby prahové hodnoty pro dektekci útoku, ale dále toto téma už nijak nerozvíjí. Student si také často plete názvy parametrů jednotlivých modelů (viz použití v textu a v popiscích grafů), vcelku atypicky parametr alfa v textu vypisuje slovy místo vysázení jeho symbolu. V úvodu práce student uvádí u Shannonovy entropie jako jednotku naty, ale u dalších entropií jednotky nezmiňuje. V textu žádné jednotky nepoužívá a v grafech 5.8 až 5.11 udává hodnoty v bitech. V závěru práce student píše, že všechny zvolené entropie jsou vhodné pro identifikaci anomálií včetně DoS útoků, i když testování probíhalo pouze na jednom typu útoku v blíže nepopsaném síťovém provozu na základě špatně popsané metodiky. Diplomová práce není psaná čtivě, často jsou používány neodborné či chybné termíny (statická entropie namísto statistická), a obsahuje vcelku velké množství překlepů a gramatických chyb. Větší část z nich je nejspíše způsobená autokorekcí, viz například "potřené parametry" (str. 32), "entropie vrůstá" (str. 36). Chyby se vyskytují i v samotném seznamu literatury (viz zdroj 25). V práci se dále vyskytují typografické chyby, přiložené grafy a obrázky používají různé fonty. Obzvlášť velikost písma u grafů je místy nečitelná a důležité oblasti v grafech nejsou buď vyznačeny či jsou špatně viditelné. Tabulky nejsou dobře popsány, význam jednotlivých sloupců je často nutné pracně vyhledávat v textu. Vzhledem k výše uvedeným poznámkám nemohu práci doporučit k obhajobě.
eVSKP id 85305