Show simple item record

Detection of Dictionary Attacks on Network Services Using IP Flow Analysis

dc.contributor.advisorMatoušek, Petrcs
dc.contributor.authorČinčala, Martincs
dc.date.accessioned2018-10-21T17:06:45Z
dc.date.available2018-10-21T17:06:45Z
dc.date.created2015cs
dc.identifier.citationČINČALA, M. Detekce slovníkových útoků na síťové služby analýzou IP toků [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2015.cs
dc.identifier.other88546cs
dc.identifier.urihttp://hdl.handle.net/11012/52292
dc.description.abstractStávající výzkumy naznačují, že je možné detekovat slovníkové útoky pomocí toků dat. Tento typ detekce byl úspěšně implementován například pro protokoly SSH, LDAP a RDP. Pro zjištění, zda je možné stejné způsoby detekce použít i pro poštovní protokoly, bylo vytvořeno virtuální testovací prostředí.   Z dat, které jsem v tomto prostředí získal, se mi podařilo odvodit charakteristiky útoků v tocích a zvolit statistickou hodnotu, která útoky odliší od legitimního provozu. Za hlavní charakteristiku útoků jsem zvolil rozptyl určitých parametrů toků. IP adresy, jejichž toky mají malý rozptyl vybraných parametrů a vysokou frekvenci příchodu paketů jsou považovány za nedůvěryhodné. Aby jsme vyloučili falešné detekce, rozptyl je počítán z historie IP adresy, která v případě legitimního uživatele obsahuje různé toky a zabrání označení této IP adresy za nebezpečnou. Tento princip byl použit k vytvoření skriptu, který detekuje útoky z výstupů kolektoru nfdump. Úspěšnost detekce útoků byla testována na klasifikovaných datech z reálného prostředí. Výsledky testů ukázali, že při dobrém nastavení hraničních hodnot je procento zachycených útoků velmi vysoké a výsledky jsou bez falešných pozitivních detekcí. Detekce útoků není omezena jen na poštové protokoly. Vzhledem k tomu, že návrh je univerzální, skript dokáže detekovat slovníkové útoky na SSH, LDAP, SIP, RDP, SQL, telnet i některé další útoky.cs
dc.description.abstractExisting research suggests that it is possible to detect dictionary attacks using IP flows. This type of detection was successfully implemented for SSH, LDAP and RDP protocols. To determine whether it is possible to use the same methods of detection for e-mail protocols virtual test environment was created. I deduced the characteristics of attacks in flows from the data, which I gained from this virtual environment. Than I chose the statistical value that separates the attacks from legitimate traffic. Variance of specific flow parameters was chosen as main characteristic of attacks. IP addresses with flows that have small variance of chosen parameters and high frequency of packet arrival are considered untrustworthy. Variance is calculated from IP history to rule out false positives. The IP history of legitimate user contains variation of flows which prevents marking this IP address as dangerous. On the basis of this principal the script, which detects the attacks from the nfdump output, was created. The success of detection of the attacks was tested on classificated data from the real environment. The results of tests showed, that with good configuration of marginal values the percentage of detected attacks is high and there are no false positives. Detection is not limited only on mail protocols. With regard to universal design, the script is able to detect dictionary attacks on SSH, LDAP, SIP, RDP, SQL, telnet and some other attacks.en
dc.language.isocscs
dc.publisherVysoké učení technické v Brně. Fakulta informačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectSMTPcs
dc.subjectIMAPcs
dc.subjectPOP3cs
dc.subjectnetflowcs
dc.subjectslovníkové útokycs
dc.subjectSMTPen
dc.subjectIMAPen
dc.subjectPOP3en
dc.subjectnetflowen
dc.subjectdictionary attacksen
dc.titleDetekce slovníkových útoků na síťové služby analýzou IP tokůcs
dc.title.alternativeDetection of Dictionary Attacks on Network Services Using IP Flow Analysisen
dc.typeTextcs
dcterms.dateAccepted2015-06-23cs
dcterms.modified2020-05-10-16:11:54cs
thesis.disciplinePočítačové sítě a komunikacecs
thesis.grantorVysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémůcs
thesis.levelInženýrskýcs
thesis.nameIng.cs
sync.item.dbid88546en
sync.item.dbtypeZPen
sync.item.insts2021.11.23 00:09:59en
sync.item.modts2021.11.22 23:04:23en
eprints.affiliatedInstitution.facultyFakulta informačních technologiícs
dc.contributor.refereeGrégr, Matějcs
dc.description.markAcs
dc.type.drivermasterThesisen
dc.type.evskpdiplomová prácecs
but.committeeprof. Ing. Miroslav Švéda, CSc. (předseda) doc. Ing. Vladimír Drábek, CSc. (místopředseda) doc. RNDr. Eva Hladká, Ph.D. (člen) doc. Mgr. Lukáš Holík, Ph.D. (člen) doc. Ing. Jiří Jaroš, Ph.D. (člen) Ing. Petr Matoušek, Ph.D., M.A. (člen)cs
but.defenceStudent nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: Jak moc se liší vypočtené hraniční hodnoty útoků pro dataset 1 a 2? Daly by se použít jako signatury útoků na konkrétní mailovou službu?cs
but.resultpráce byla úspěšně obhájenacs
but.programInformační technologiecs
but.jazykčeština (Czech)


Files in this item

Thumbnail
Thumbnail
Thumbnail
Thumbnail

This item appears in the following Collection(s)

Show simple item record