Statistické metody detekce anomálií datové komunikace

Abstract

Tato práce slouží jako teoretický základ pro praktické řešení problematiky použití statistických metod pro detekci anomálií v datovém provozu. Základní zaměření detekcí anomálií datového provozu je na datové útoky. Proto hlavní náplní je analýza datových útoků. V rámci řešení jsou datové útoky řazeny dle protokolů, které útočníci ke své činnosti zneužívají. V každé části je popsán samotný protokol, jeho využití a chování. Pro každý protokol je postupně řešen popis jednotlivých útoků, včetně metodiky vedení útoku a postihů na napadený systém nebo stanice. Dále jsou pro nejzávažnější útoky nastíněny postupy jejich detekce a případné možnosti obrany proti nim. Tyto poznatky jsou shrnuty do teoretické analýzy, která by měla sloužit jako výchozí bod pro praktickou část, kterou bude samotná analýza reálného datového provozu. Praktická část je rozdělena do několika oddílů. První z nich popisuje postupy pro získávání a přípravu vzorků tak, aby na nich bylo možné provést další analýzy. Dále jsou zde popsány vytvořené skripty, které slouží pro získávání potřebných dat ze zaznamenaných vzorků. Tato data jsou detailně analyzována za použití statistických metod, jako jsou časové řady a popisná statistika. Následně jsou získané vlastnosti a sledovaná chování ověřována za pomocí uměle vytvořených i reálných útoků, kterými je původní čistý provoz modifikován. Pomocí nové analýzy jsou modifikované provozy porovnány s původními vzorky a provedeno vyhodnocení, zda se podařilo nějaký druh anomálie detekovat. Získané výsledky a sledování jsou souhrnně shrnuty a vyhodnoceny v samostatné kapitole s popisem dalších možných útoků, které nebyly přímou součástí testovací analýzy.

This thesis serves as a theoretical basis for a practical solution to the issue of the use of statistical methods for detecting anomalies in data traffic. The basic focus of anomaly detection data traffic is on the data attacks. Therefore, the main focus is the analysis of data attacks. Within the solving are data attacks sorted by protocols that attackers exploit for their own activities. Each section describes the protocol itself, its usage and behavior. For each protocol is gradually solved description of the attacks, including the methodology leading to the attack and penalties on an already compromised system or station. For the most serious attacks are outlined procedures for the detection and the potential defenses against them. These findings are summarized in the theoretical analysis, which should serve as a starting point for the practical part, which will be the analysis of real data traffic. The practical part is divided into several sections. The first of these describes the procedures for obtaining and preparing the samples to allow them to carry out further analysis. Further described herein are created scripts that are used for obtaining needed data from the recorded samples. These data are were analyzed in detail, using statistical methods such as time series and descriptive statistics. Subsequently acquired properties and monitored behavior is verified using artificial and real attacks, which is the original clean operation modified. Using a new analysis of the modified traffics compared with the original samples and an evaluation of whether it has been some kind of anomaly detected. The results and tracking are collectively summarized and evaluated in a separate chapter with a description of possible further attacks, which were not directly part of the test analysis.