• Přeskočit navigační panel Organizační struktura
• Organizační struktura

  Volbou součásti MU z níže uvedeného seznamu se zobrazí stránka "Přehled projektů" s informacemi relevantními pro tuto součást. Pro neaktivní součásti v seznamu není stránka "Přehled projektů" k dispozici.

  Masarykova univerzita

  • Fakulty
  • Právnická
  • Lékařská
  • Přírodovědecká
  • Filozofická
  • Pedagogická
  • Ekonomicko-správní
  • Informatiky
  • Sociálních studií
  • Sportovních studií

  • Rektorát
  • Rektorát
  • Ústavy
  • Výpočetní techniky
  • CEITEC MU
  • Účelová zařízení
  • Koleje a menzy
  • Nakladatelství
  • Správa UKB

  • Jiná pracoviště
  • Archiv
  • Centrum jazyků
  • Centrum zahraničních studií
  • Studium s handicapem
  • Centrum pro transfer technologií
  • Biostatistika
  • Mendelovo muzeum
  • CERIT
  • CEITEC CŘS
  • Centrum Telč

   

CYBER - Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber DefenceDetekce anomálií na základě změny profilu chování

Profily chování představují souhrnné informace o komunikaci počítačů a dalších zařízení připojených k počítačové síti. Profily chování vznikají agregací NetFlow dat v pravidelných časových intervalech a mají tedy charakter časových řad. Aplikací vhodných statistických metod na takto vzniklé časové řady je možné detekovat anomálie a odchylky od očekávaného chování jednotlivých počítačů a dalších zařízení komunikujících na síti.

Za anomálii v kontextu tohoto výzkumu považujeme každou odchylku aktuální hodnoty daného profilu chování pro danou IP adresu od hodnoty očekávané (vypočtené pomocí konkrétní metody), která je větší než stanovená povolená odchylka. Takto definované anomálie mohou mít řadu legitimních příčin (zálohování dat, změna konfigurace počítače apod.), ale rovněž mohou znamenat cílený útok nebo výskyt malware na daném zařízení, přičemž poslední jmenovaná situace je hlavním předmětem našeho zájmu.

V rámci našeho výzkumu byly analyzovány časové řady s různou granularitou (jeden den, jedna hodina, pět minut). Byl vytvořen software, který s využitím nástroje nfdump vytvoří zadaný profil chování a ve formě časové řady jej předá k následné analýze (ke stažení níže). Vlastní analýza probíhá v systému R, kde byla implementována metoda aritmetického průměrování a metoda Holt-Winters. V případě výskytu anomálie zaznamená tuto skutečnost formou události do souboru.

Dosažené výsledky v této fázi považujeme za experimentální a v dalším výzkumu se zaměříme na zpracování časových řad s granularitou jedné hodiny a hledání vhodného matematického modelu jejich modelování.

Nástroj pro detekci anomálií v profilech chování zařízení na síti

• verze 1.0.0, kontrolní součet (SHA-1) balíčku
• soubor readme.txt
• datum vydání: 17. 1. 2012