JIREŠ, M. Nalezení vzoru útoku z dat NetFlow [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Cílem práce bylo nalézt vzor útoku v NetFlow datech tak, aby bylo vytvořeno co nejvíce specifické pravidlo pro jeho eliminaci. S výsledky práce, stejně jako s aktivitou studenta v průběhu řešení jsem spokojen a práci tak hodnotím jako velmi dobrou (B).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Práce si klade za cíl analyzovat příchozí NetFlow data a pro vybraná pravidla detekovat případný DDoS útok s cílem co nejefektivnějšího pravidla pro jeho filtraci. Problematika DDoS útoků, stejně jako monitorování sítě pomocí protokolu NetFlow je široce disktutována a lze k ní najít řadu informací. Obecně tak práci považuji za průměrně obtížnou. | ||
| Práce s literaturou | K samotné problematice monitorování sítě pomocí protokolu NetFlow existuje řada článků, podobně tak k problematice DDoS útoků. Samotný algoritmus pro nalezení co nejvíce specifického pravidla je literaturou spíše nepokrytý. Existují ML metody, které ale nejsou vždy pro tento účel vhodné. V rámci literatury si student byl schopen dohledat relevantní zdroje k dané problematice. | ||
| Aktivita během řešení, konzultace, komunikace | Konzultace probíhaly primárně online, student také aktivně zasílal informace o průběhu řešení práce. S aktivitou během řešení jsem byl spokojen. | ||
| Aktivita při dokončování | Obsah práce byl dostatečně konzultován a byl dokončen v předstihu. | ||
| Publikační činnost, ocenění | Práce nebyla publikována, nicméně předpokládá se její další využití v rámci páteřní sítě VUT. |
Student úspěšně zvládl zpracovat komplexní problematiku identifikace a analýzy DDoS útoků. V souladu se zadáním navrhl a implementoval funkční řešení. Musel přitom zvládnout problematiku počítačových sítí, databázových systémů a algoritmů pro zpracování síťového provozu. Za slabší lze považovat zpracování dokumentace která je v minimálním požadovaném rozsahu a místy se nelze zbavit dojmu, že byla tvořena ve značném spěchu. I přes tuto výhradu nelze opomenout, že systém byl úspěšně ověřen v produkčním prostředí počítačové sítě VUT a poznatky z tohoto provozu byly zohledněny ve výsledném díle. Ve světle těchto skutečností navrhuji hodnocení B - velmi dobře.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Jednalo se o obtíženější zadání vyžadující po studentovi znalosti sítí, operačních a databázových systémů a programování v nízkoúrovňových jazycích. | ||
| Rozsah splnění požadavků zadání | Zadání bylo splněno, student zakomponoval i některé optimalizace nad rámec zadání. | ||
| Rozsah technické zprávy | Rozsah závěrečné práce odpovídá minimálnímu rozsahu práce. | ||
| Prezentační úroveň technické zprávy | 85 | Technická zpráva je členěná do logických celků. V první části se student věnuje technologiim a prostředkům, které jsou stěžejní pro další práci. V druhé části je popsán návrh a implementace systémů a v závěrečné části se student věnuje poznatkům získaným při praktickém provozu systému v reálném prostředí. | |
| Formální úprava technické zprávy | 65 | Z typografického hlediska nelze práci nic vytknout. Poněkud slabší je však jazyková stránka práce. Práce místy obsahuje překleply či krkolomné větné konstrukce. Zejména část popisu algoritmu vyžaduje po čtenáři značnou míru pozornosti a vlastní invence. | |
| Práce s literaturou | 95 | Využity byly všechny relevantní zdroje a jsou náležitě citovány. S ohledem na charakter práce se jednalo zejména o zdroje dostupné on-line. | |
| Realizační výstup | 90 | Stěžejním výstupem práce bylo vytvoření systému pro identifikaci a analýzu DDoS útoků na bází NetFlow dat. Implementovaný algoritmus je rozdělen na dvě stěžejní části. První část tvoří algoritmy identifikaci přítomnosti DDoS útoku v síťovém provozu na základě odchylky od běžného provozu a nebo explicitně nastavených parametrů. Druhá část je tvořena algoritmem pro nalezeni vektoru(ů) útoku. Takto nalezeny vektor útoku je následně transformován do podoby filtračních pravidel, které je možno využít pro filtraci v síťové infrastruktuře. Zdrojové kódy, které vytvořil sám student, jsou dostupné veřejně prostřednictvím github. V době hodnocení práce však u souborů chyběla informace o licenci. Při předvádění práce student ústně potvrdil, že soubory jsou dostupné pod GPL licencí a licence bude doplněná. Další programové vybavení (knihovna libnf, pg) jsou dostupné dostupné pod GPL a BSD licencí. | |
| Využitelnost výsledků | Výsledky práce jsou použitelné v praxi. Součásti práce bylo oveření provozu systému v prostředí počítačové sítě VUT a výstupy z tohoto ověřovacího provozu jsou součásti práce. |
eVSKP id 147023