but.committee	prof. Ing. Miroslav Švéda, CSc. (předseda) doc. Ing. Vladimír Drábek, CSc. (místopředseda) doc. RNDr. Eva Hladká, Ph.D. (člen) doc. Mgr. Lukáš Holík, Ph.D. (člen) doc. Ing. Jiří Jaroš, Ph.D. (člen) Ing. Petr Matoušek, Ph.D., M.A. (člen)	cs
but.defence	Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: Jak moc se liší vypočtené hraniční hodnoty útoků pro dataset 1 a 2? Daly by se použít jako signatury útoků na konkrétní mailovou službu?	cs
but.jazyk	čeština (Czech)
but.program	Informační technologie	cs
but.result	práce byla úspěšně obhájena	cs
dc.contributor.advisor	Matoušek, Petr	cs
dc.contributor.author	Činčala, Martin	cs
dc.contributor.referee	Grégr, Matěj	cs
dc.date.accessioned	2018-10-21T17:06:45Z
dc.date.available	2018-10-21T17:06:45Z
dc.date.created	2015	cs
dc.description.abstract	Stávající výzkumy naznačují, že je možné detekovat slovníkové útoky pomocí toků dat. Tento typ detekce byl úspěšně implementován například pro protokoly SSH, LDAP a RDP. Pro zjištění, zda je možné stejné způsoby detekce použít i pro poštovní protokoly, bylo vytvořeno virtuální testovací prostředí. Z dat, které jsem v tomto prostředí získal, se mi podařilo odvodit charakteristiky útoků v tocích a zvolit statistickou hodnotu, která útoky odliší od legitimního provozu. Za hlavní charakteristiku útoků jsem zvolil rozptyl určitých parametrů toků. IP adresy, jejichž toky mají malý rozptyl vybraných parametrů a vysokou frekvenci příchodu paketů jsou považovány za nedůvěryhodné. Aby jsme vyloučili falešné detekce, rozptyl je počítán z historie IP adresy, která v případě legitimního uživatele obsahuje různé toky a zabrání označení této IP adresy za nebezpečnou. Tento princip byl použit k vytvoření skriptu, který detekuje útoky z výstupů kolektoru nfdump. Úspěšnost detekce útoků byla testována na klasifikovaných datech z reálného prostředí. Výsledky testů ukázali, že při dobrém nastavení hraničních hodnot je procento zachycených útoků velmi vysoké a výsledky jsou bez falešných pozitivních detekcí. Detekce útoků není omezena jen na poštové protokoly. Vzhledem k tomu, že návrh je univerzální, skript dokáže detekovat slovníkové útoky na SSH, LDAP, SIP, RDP, SQL, telnet i některé další útoky.	cs
dc.description.abstract	Existing research suggests that it is possible to detect dictionary attacks using IP flows. This type of detection was successfully implemented for SSH, LDAP and RDP protocols. To determine whether it is possible to use the same methods of detection for e-mail protocols virtual test environment was created. I deduced the characteristics of attacks in flows from the data, which I gained from this virtual environment. Than I chose the statistical value that separates the attacks from legitimate traffic. Variance of specific flow parameters was chosen as main characteristic of attacks. IP addresses with flows that have small variance of chosen parameters and high frequency of packet arrival are considered untrustworthy. Variance is calculated from IP history to rule out false positives. The IP history of legitimate user contains variation of flows which prevents marking this IP address as dangerous. On the basis of this principal the script, which detects the attacks from the nfdump output, was created. The success of detection of the attacks was tested on classificated data from the real environment. The results of tests showed, that with good configuration of marginal values the percentage of detected attacks is high and there are no false positives. Detection is not limited only on mail protocols. With regard to universal design, the script is able to detect dictionary attacks on SSH, LDAP, SIP, RDP, SQL, telnet and some other attacks.	en
dc.description.mark	A	cs
dc.identifier.citation	ČINČALA, M. Detekce slovníkových útoků na síťové služby analýzou IP toků [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2015.	cs
dc.identifier.other	88546	cs
dc.identifier.uri	http://hdl.handle.net/11012/52292
dc.language.iso	cs	cs
dc.publisher	Vysoké učení technické v Brně. Fakulta informačních technologií	cs
dc.rights	Standardní licenční smlouva - přístup k plnému textu bez omezení	cs
dc.subject	SMTP	cs
dc.subject	IMAP	cs
dc.subject	POP3	cs
dc.subject	netflow	cs
dc.subject	slovníkové útoky	cs
dc.subject	SMTP	en
dc.subject	IMAP	en
dc.subject	POP3	en
dc.subject	netflow	en
dc.subject	dictionary attacks	en
dc.title	Detekce slovníkových útoků na síťové služby analýzou IP toků	cs
dc.title.alternative	Detection of Dictionary Attacks on Network Services Using IP Flow Analysis	en
dc.type	Text	cs
dc.type.driver	masterThesis	en
dc.type.evskp	diplomová práce	cs
dcterms.dateAccepted	2015-06-23	cs
dcterms.modified	2020-05-10-16:11:54	cs
eprints.affiliatedInstitution.faculty	Fakulta informačních technologií	cs
sync.item.dbid	88546	en
sync.item.dbtype	ZP	en
sync.item.insts	2021.11.23 00:09:59	en
sync.item.modts	2021.11.22 23:04:23	en
thesis.discipline	Počítačové sítě a komunikace	cs
thesis.grantor	Vysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémů	cs
thesis.level	Inženýrský	cs
thesis.name	Ing.	cs

Detekce slovníkových útoků na síťové služby analýzou IP toků

Files

Original bundle

Collections