Detekce pomalých síťových útoků
Loading...
Date
Authors
Pacholík, Václav
Advisor
Referee
Mark
C
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Tato diplomová práce se zabývá monitorováním počítačových sítí s využitím toků. Popisem Nemea frameworku, který lze využít pro sestavení komplexního IDS systému pro detekci síťových útoků. Dále jsou popsány možnosti jak skenovat porty a také SSH protokol, jenž lze využít pro vzdálené přihlášení do systému, které může být zneužito útočníkem. Tyto dvě oblasti jsou cílem detekce pomalých útoků, které svým pomalým chováním mohou obejít existující detekční metody. Navrženým způsobem detekce takových útoků spočívá v použití informací z posledních několika spojeních. Výsledky navržené detekce nad daty ze síťového provozu jsou dále popsány.
This master's thesis is aimed how can be network traffic monitored using IP flows. The description of NEMEA framework that can be used to build complex intrusion detection system. Following chapters describes port scanning methods and SSH protocol which can be used for remote login to the system, which can be exploited by an attacker. These two areas are intended to be detected in a slow attack manner, when attacker using low attack speed, which he can evade multiple detection methods. Proposed method for detection such attacks is using information from the last few connections. Finally, proposed detection method results are further described.
This master's thesis is aimed how can be network traffic monitored using IP flows. The description of NEMEA framework that can be used to build complex intrusion detection system. Following chapters describes port scanning methods and SSH protocol which can be used for remote login to the system, which can be exploited by an attacker. These two areas are intended to be detected in a slow attack manner, when attacker using low attack speed, which he can evade multiple detection methods. Proposed method for detection such attacks is using information from the last few connections. Finally, proposed detection method results are further described.
Description
Keywords
Nemea , IDS , NetFlow , SSH , Skenování portů , Detekce pomalých útoků , Nemea , IDS , NetFlow , SSH , Port scanning , Detection of slow attacks
Citation
PACHOLÍK, V. Detekce pomalých síťových útoků [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Počítačová grafika a multimédia
Comittee
prof. Dr. Ing. Jan Černocký (předseda)
prof. Dr. Ing. Pavel Zemčík, dr. h. c. (místopředseda)
Ing. Miroslav Balík, Ph.D. (člen)
doc. Mgr. Adam Rogalewicz, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)
doc. Ing. Michal Španěl, Ph.D. (člen)
Date of acceptance
2014-06-24
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm C. Otázky u obhajoby: Dle kapitoly 8.3 je možné, že některé typy útoků (DoS), by mohly modul odstavit z provozu. Jaké navrhujete opatření, které by tomu zabránilo? Zkoušeli jste detekční algoritmus použít také na jiné typy skenovacích útoků? Jaká byla jeho úspěšnost?
Result of defence
práce byla úspěšně obhájena