Závěrečné práce pro studenty

Práce má za cíl prozkoumat možnosti detekce útoků (Pass the ticket, pass the hash, případně jiné) nad autentizačními protokoly a možnosti jejich provozního monitorování (úspěšné, neúšpěšné, chyby) při využití viditelnosti do aplikačního protokolu. V případě Kerberosu analyzovat a využít možnosti dešifrování provozu pomocí “Kerberos service keytab”.

Cílem práce je rozšířit viditelnost síťové sondy do protokolu SNMP a obohatit exportované statistiky o informace z toho protokolu. Typicky jde o verzi 2c, která není šifrovaná a je možné tedy monitorovat na jaké atributy se klient serveru dotazuje nebo jaké atributy se nastavují.

Předmětem práce je detailní analýza obsahu a struktury PCAP souboru z hlediska obsažených protokolů, IP adres, převažující komunikace, počtu spojení, počtu retransmisí a řady dalších ukazatelů, které umožní kvalifikovanému operátorovi lépe porozumět danému vzorku provozu. Student ve své práci navrhne klasifikační hlediska struktury a obsahu PCAP soborů (jaké veličiny sledovat, jak výsledky prezentovat) a v praktické části vytvoří nástroj s využitím open-source prostředků v platformě OS Linux. Očekávaný výsledek je webové uživatelské rozhraní pro analýzu komunikace uložené v PCAP souboru zahrnující přehled konverzací pro různé protokoly (IPv4/v6, TCP/UDP/ICMP) včetně času, délky, počtu paketů a bajtů a výpis informací k vybranému TCP/UDP datovém toku, včetně případných extra políček z hlavičky známých aplikačních protokolů HTTP, DNS a SMTP.
 

Cílem práce je identifikovat podobná zařízení na síti vzhledem k jejich chování na síti. Jako primární data budou sloužit statistiky ve formátu NetFlow/IPFIX. Součástí práce je automatické generování skupin podobných zařízení v síti, identifikace jednotlivých skupin (web servery, zálohovací servery, mobilní telefony, tiskárny...) a zjištění odlehlých bodů (např. zařízení podle aktuálního chování nepatří do shluku, do kterého bylo přiřazeno). V práci je možné využít extensible markov models (http://cran.r-project.org/web/packages/rEMM/vignettes/rEMM.pdf), fuzzy clustering, bloom filters (en.wikipedia.org/wiki/Bloom_filter), apod.
 

Práce má za cíl prozkoumat a implementovat možnost označovat flow provoz podle toho jak je v síti častý nebo naopak jedinečný, podle automaticky identifikovaných segmentů sítě a typů operačních systémů v síti. Výsledkem by měl být provoz označený na škále 0-10 podle míry shody komunikace s ostatními podobnými počítači, součástí práce by mělo být i zpracování metodiky pro škálování shody provozu a pojmenování jednotlivých úrovní shody.