Vizualizace škodlivé aktivity IP rozsahů

Abstract

V dnešní době má většina větších organizací zřízen svůj bezpečnostní tým, který analyzuje síťový provoz a řeší bezpečnostní incidenty, které by mohly ohrozit provoz organizace. Ač dnes existuje mnoho automatických nástrojů na detekci incidentů, stále má při analýze nezastupitelnou roli člověk. Nástroje na vizualizaci síťového provozu dokáží paralelně zobrazit velké množství dat a využívají percepční a kognitivní schopnosti analytika, který je schopen vizuálně detekovat různé anomálie a neobvyklé vzorce v síti. Diplomová práce se zabývá vytvořením nástroje na interaktivní vizualizace hodnot, které jsou přiřazené k IP adresám, pomocí Hilbertovy křivky, která zobrazuje IPv4 prostor a shlukuje blízké sítové adresy a rozsahy. Vizualizace pomůže členům bezpečnostních týmů například s hledáním síťových bloků, ze kterých je vedeno velké množství škodlivého provozu, a umožní jim na tyto situace efektivně reagovat. Vytvořený nástroj je funkční, byl otestován na datech ze systému NERD a je nasazen jako webová služba pro využití členy bezpečnostních týmů.

Today, the majority of larger organisations have their own security team whose job is to analyse the network traffic and handle security incidents which could endanger the operation of said organisation. Even though many tools for automatic detection of security incidents exist today, the role of a human analyst is still irreplaceable. Network traffic visualisation tools are capable of showcasing a large amount of data parallelly, utilising the perceptive and cognitive abilities of the analyst who is able to detect various anomalies and unusual traffic patterns visually. The master's thesis addresses the development of a tool for interactively visualising values assigned to IP addresses. Hilbert curve is used for the visualisation as it groups nearby network addresses and ranges together and can present the IPv4 space. For example, the visualisation will help the members of security teams locate address blocks, from which the extensive amounts of harmful traffic originate, thus enables them to react to those situations efficiently. The developed tool is functional, tested on data from the NERD system and deployed as a web service for the members of security teams to be used.