Rozšíření NetFlow záznamů pro zlepšení možností klasifikace šifrovaného provozu

Thumbnail Image
Files
final-thesis.pdf(3.11 MB)
Posudek-Vedouci prace-23159_v.pdf(85.95 KB)
Posudek-Oponent prace-23159_o.pdf(88.59 KB)
review_129340.html(1.49 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
D
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Diplomová práca sa zaoberá výberom atribútov sieťových tokov vhodných pre klasifikáciu šifrovanej prevádzky, rozšírením záznamov NetFlow týmito atribútmi a vytvorením nástroja pre klasifikáciu šifrovaných tokov, ktoré používajú protokol TLS. Ako atribúty pre klasifikáciu boli vybrané: veľkosti paketov, medzipaketové medzery, počet paketov v toku a veľkosť toku. Po zvolení atribútov nasleduje návrh rozšírenia záznamov NetFlow o tieto atribúty a návrh algoritmu pre klasifikáciu šifrovanej sieťovej prevádzky. Rozšírenie záznamov bolo implementované v jazyku C v rámci exportéru od Flowmon Networks a.s.. Klasifikátor pre kolektor bol implementovaný v jazyku Python. Klasifikačný algoritmus používa model, k čomu bolo potrebné získať trénovacie dáta. Algoritmus bol pridaný aj na exportér, miesto klasifikácie je možné zvoliť. Po implementácií nasledovalo vytvorenie testovacích dát a vyhodnotenie úspešnosti algoritmu a taktiež testovanie rýchlosti klasifikácie. V najlepšom prípade bola dosiahnutá úspešnosť 47%.
Master's thesis deals with selection of attributes proper for classification of encrypted traffic, with the extension of NetFlow entries with these attributes and with creating a tool for classify encrypted TLS traffic. The following attributes were selected: size of packets, inter-packet arrival times, number of packets in flow and size of the flow. Selection of attributes was followed by design of extending NetFlow records with these attributes for classifying encrypted traffic. Extension of records was implemented in language C for exporter of the company Flowmon Networks a.s.. Classifier for collector was implemented in language Python. Classifier is based on a model, for which training data were needed. The exporter contains the classifying algorithm too, the place of the classification can be set. The implementation was followed by creation of testing data and evaluation of the accuracy. The speed of the classifier was tested too. In the best case scenario 47% accuracy was achieved.
Description
Keywords
Šifrovaná prevádzka, NetFlow, klasifikácia, sieťové protokoly., Encrypted traffic, NetFlow, classification, network protocols.
Citation
ŠUHAJ, P. Rozšíření NetFlow záznamů pro zlepšení možností klasifikace šifrovaného provozu [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2020.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
Počítačové sítě a komunikace
Comittee
doc. Ing. Ondřej Ryšavý, Ph.D. (předseda) prof. Ing. Tomáš Vojnar, Ph.D. (místopředseda) Ing. Matěj Grégr, Ph.D. (člen) Ing. Martin Hrubý, Ph.D. (člen) Ing. Lukáš Kekely, Ph.D. (člen) doc. Ing. Jan Kořenek, Ph.D. (člen)
Date of acceptance
2020-07-17
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm uspokojivě. Otázky u obhajoby: - V kapitole 7.2 uvádíte, že úspěšnost algoritmu byla vypočítána jako podíl součtu jednoznačně a nejednoznačně určených toků k počtu klasifikovaných toků. Jak si tento vzorec zdůvodňujete? - Jak jste vygeneroval a následně rozlišil DNS over HTTPS toky od normálního HTTPS provozu?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/192520
Collections
2020
Citace PRO