Detekce skenování portů na vysokorychlostních sítích
| but.committee | prof. Ing. Miroslav Švéda, CSc. (předseda) doc. Dr. Ing. Otto Fučík (místopředseda) Ing. Petr Matoušek, Ph.D., M.A. (člen) Ing. Aleš Smrčka, Ph.D. (člen) Ing. Michal Španěl, Ph.D. (člen) | cs |
| but.defence | Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " B ". Otázky u obhajoby: Na začátku kapitoly 4 uvádíte, že detekce skenerů portů je jednoduše možná díky sledování zdrojů s vysokým počtem neúspěšných spojení v krátkém času. Tahle myšlenka ale neplatí pro takzvané pomalé (slow) skenery portů, které právě limitují počet rychle po sobě vyzkoušených portů, aby se nejevili jako zdroje s tak vysokým počtem neúspěšných spojení. Je teda vytvořený detektor schopný detekovat i tyto pomalé skenery, případně je možné ho jednoduše upravit, aby to uměl? V závěru tvrdíte, že byste chtěl v budoucnu rozšířit detekci skenování portů i na UDP. Máte už nějakou představu, jak by to bylo možné realizovat, když UDP postrádá příznaky ACK i SYN, které v této práci na detekci využíváte? | cs |
| but.jazyk | čeština (Czech) | |
| but.program | Informační technologie | cs |
| but.result | práce byla úspěšně obhájena | cs |
| dc.contributor.advisor | Bartoš, Václav | cs |
| dc.contributor.author | Kapičák, Daniel | cs |
| dc.contributor.referee | Kekely, Lukáš | cs |
| dc.date.accessioned | 2019-06-14T10:52:17Z | |
| dc.date.available | 2019-06-14T10:52:17Z | |
| dc.date.created | 2014 | cs |
| dc.description.abstract | V této práci budu prezentovat efektivní metodu detekce TCP skenování portů ve vysokorychlostních sítích. Hlavní myšlenka této metody je zahození co největšího množství paketů tak aby to nemělo vliv na přesnost. Ukážu, že pomocí dvojice Bloom filtrů lze zahodit v průměru až 80\% ze všech paketů podílejících se na navázání TCP komunikace se zanedbatelným vlivem na přesnost. Toto výrazně redukuje požadavky na paměť a procesor. Dále budu prezentovat mnou navržený rozšíření algoritmu, které výrazně redukuje počet falešných hlášení způsobených absencí komunikace od serveru ke klientovi. Na závěr vyhodnotím algoritmus na zachycených vzorcích dat a online na sondě v síti CESNET. Výsledky ukáží, že tato metoda potřebuje méně než 2 MB paměti aby s velkou přesností vyhodnocovala provoz na vysokorychlostní síti. Díky malým paměťovým nárokům si tato metoda bez problémů vystačí s rychlou vyrovnávací pamětí většiny dnešních procesorů. | cs |
| dc.description.abstract | In this thesis, I present the method to efficiently detect TCP port scans in very high-speed links. The main idea of this method is to discard most of the handshake packets without loss in accuracy. With two Bloom filters that track active destinations and TCP handshakes, the algorithm can easily discard about 80\% of all handshake packets with negligible loss in accuracy. This significantly reduces both the memory requirements and CPU cost. Next, I present my own extension of this algorithm, which significantly reduces the number of false positives caused by the lack of communication from the server to the client. Finally, I evaluated this algorithm using packet traces and live traffic from CESNET . The result showed that this method requires less than 2 MB to accurately monitor very high-speed links, which perfectly fits in the cache memory of today's processors. | en |
| dc.description.mark | B | cs |
| dc.identifier.citation | KAPIČÁK, D. Detekce skenování portů na vysokorychlostních sítích [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014. | cs |
| dc.identifier.other | 79752 | cs |
| dc.identifier.uri | http://hdl.handle.net/11012/56403 | |
| dc.language.iso | cs | cs |
| dc.publisher | Vysoké učení technické v Brně. Fakulta informačních technologií | cs |
| dc.rights | Standardní licenční smlouva - přístup k plnému textu bez omezení | cs |
| dc.subject | detekce anomálií | cs |
| dc.subject | detekce skenování portů | cs |
| dc.subject | detekce TCP skenování portů | cs |
| dc.subject | detekce skenování portů na vysokorychlostních sítích | cs |
| dc.subject | detekce TCP skenování portů na vysokorychlostních sítích | cs |
| dc.subject | anomaly detection | en |
| dc.subject | portscan detection | en |
| dc.subject | TCP portscan detection | en |
| dc.subject | portscan detection in very high-speed links | en |
| dc.subject | TCP portscan detection in very high-speed links | en |
| dc.title | Detekce skenování portů na vysokorychlostních sítích | cs |
| dc.title.alternative | Portscan Detection in High-Speed Networks | en |
| dc.type | Text | cs |
| dc.type.driver | bachelorThesis | en |
| dc.type.evskp | bakalářská práce | cs |
| dcterms.dateAccepted | 2014-06-18 | cs |
| dcterms.modified | 2020-05-10-16:11:34 | cs |
| eprints.affiliatedInstitution.faculty | Fakulta informačních technologií | cs |
| sync.item.dbid | 79752 | en |
| sync.item.dbtype | ZP | en |
| sync.item.insts | 2021.11.12 22:58:52 | en |
| sync.item.modts | 2021.11.12 22:34:04 | en |
| thesis.discipline | Informační technologie | cs |
| thesis.grantor | Vysoké učení technické v Brně. Fakulta informačních technologií. Ústav počítačových systémů | cs |
| thesis.level | Bakalářský | cs |
| thesis.name | Bc. | cs |