Snort plugin pro analýzu síťového provozu pomocí statistických metod

Abstract

Tato práce se zabývá vývojem rozšíření pro opensourcový detekční systém Snort, které umožňuje využití statistických metod pro detekci síťových anomálií. Práce popisuje architekturu Snortu a možnosti jeho rozšíření. Zahrnuta je rešerše sekvenčních statistických metod pro detekci anomálií. Vytvořený zásuvný modul byl otestován s vybranou metodou NP-CUSUM. Implemenována byla také webová aplikace pro zobrazování grafů detekčních statistik a optimalizaci jejich parametrů pomocí automaticky ukládaných historických dat. Řešení je rozšiřitelné a umožňuje použít i další statistické detekční metody v systému Snort.This thesis deals with development of an extension for the open-source detection system Snort that enables the use of statistical method for detection of network anomalies. The thesis describes the architecture of Snort and possibilities for its extensions. Included is a survey of sequential statistical methods for detection of network anomalies. The developed plugin was tested with a selected method NP-CUSUM. Developed was also a web application that displays the detection statistics and allows optimization of their parameters using automatically stored historical data. The presented solution is extendable and enables the use of other statistical detection methods in the Snort system.