PŮČEK, P. Kybernetické hrozby v komunikaci DNS [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Analýza útoků prostřednictvím protokolu DNS i návrh jejich detekce jsou zpracovány velice pěkně. Výsledek je použitelný pro detekci kybernetických hrozeb v počítačových sítích. Navrhuji hodnocení stupněm A, výborně.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cílem práce bylo popsat a implementovat známé útoky na komunikaci DNS a navrhnout možnost jejich detekce. Dalším úkolem bylo vytvořit nástroj, který dané útoky detekuje na základě logovacích dat DNS serveru, záznamů o síťových tocích IPFIX a pomocí signatur systému IDS. Student vytvořil datové sady s anotovaným DNS provozem, na kterých ukázal možnosti detekce. Práci považuji za náročnou, neboť zahrnovala studium několika různých oblastí (komunikace DNS, útoky DNS, monitorování dat, detekce). Student velmi pěkně splnil všechny body zadání. | ||
| Práce s literaturou | Student využíval doporučenou literaturu, studoval také další zdroje a standardy. | ||
| Aktivita během řešení, konzultace, komunikace | Student pravidelně docházel na konzultace a předkládal stav řešení své práce. | ||
| Aktivita při dokončování | Práce byla dokončena včas a její obsah před odevzdáním konzultován. | ||
| Publikační činnost, ocenění | Výsledkem práce jsou datasety s útoky, které budou zveřejněny na portálu IEEE Dataport spolu s detekčním nástrojem. |
Práce představuje popis vybraných útoků realizovaných pomocí systému DNS. Teoretická část práce je kvalitní. Realizační výstup je funkční, nicméně výsledky a experimenty by si zasluhovaly podrobnější komentář - zejména z hlediska počtu false-positive případů u některých datasetů. Práci celkově hodnotím jako velmi dobrou (B).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Problematika DNS je obsáhlá, nicméně dobře zdokumentována. Vzhledem k množství materiálů a již hotovým řešením a nástrojům pro detekci útoků v DNS považuji zadání práce za průměrné obtížné. | ||
| Rozsah splnění požadavků zadání | |||
| Rozsah technické zprávy | Technická zpráva přesahuje svým počtem stran standardní rozsah technické zprávy a to zejména díky obsáhlejším přílohám. Příloha o fungování DNS by možná ani nemusela být součástí práce, ale v principu v tom nevidím problém. | ||
| Prezentační úroveň technické zprávy | 85 | Práce je logicky strukturovaná a jednotlivé části na sebe navazují. Menší výtku mám zejména k opakující se popisu problematiky. Pokud se u jednotlivých útoků popíše podrobně průběh a jeho charakteristika, není to, dle mého názoru, nutné opakovat znovu při popisu detekce a implementace, ale stačí se odkázat na daný popis. Přehlednost práce to ale nesnižuje a celkově považuji technickou zprávu za kvalitní. | |
| Formální úprava technické zprávy | 90 | K typografické a jazykové stránce práce nemám výhrady a práce je zpracována kvalitně. | |
| Práce s literaturou | 90 | K práci s literaturou nemám výhrady. Práce cituje dle obvyklých zvyklostí a využívá relevantní zdroje. | |
| Realizační výstup | 70 | Práce navrhuje detekční nástroj, který umožňuje procházet datasety a hledat v nich vybrané hrozby, které byly v práci diskutovány. Z pohledu kódu se jedná o modulární aplikaci napsané v jazyce Python, k–od je vhodně okomentovaný a čitelný. Jednotlivé signatury jsou popsány formou json konfigurace. Realizační výstup hodnotím jako kvalitní, nicméně některé experimenty, které byly provedeny by si zasloužily podrobnější komentář. Např. experiment 5.3.3., tabulka 5.6 zobrazuje potenciálně generované domény, ale již neproběhlo ověření, že tyto domény jsou opravdu generované nebo ne. Z hlediska domén, které jsou prezentovány v tabulce je řada domén legitimních - např. sysct.cz jsou domény České televize, upctv provozuje společnost UPC na Slovensku, aj. V práci tyto rozpory nejsou diskutovány. | |
| Využitelnost výsledků | Výsledky práce uceleně seznamují čtenáře s řadou útoků na systém DNS. Využitelnost vytvořeného nástroje by dávala smysl, při integraci signatur v rámci již funkčního monitorovacího řešení - např. NetFlow kolektoru. Bez integrace s dalšími monitorovacími systémy je přínosnost spíše edukační. |
eVSKP id 144351