Klasifikace komunikace SSH protokolu

Abstract

Tato práce se zabývá problematikou šifrovaného provozu SSH protokolu z pohledu bezpečnostního monitoringu sítě a jeho následnou klasifikací se zaměřením na část ověřující identitu uživatele. Práce analyzuje zachycenou komunikaci i samotný SSH protokol a odhaluje specifické rysy různých situací. Následně implementuje výstupy analýzy do softwarového prototypu. Detekční algoritmus je navržený s ohledem na vysokou propustnost tak, aby byl vhodný i pro vysokorychlostní sítě, kde není možné z výkonových důvodů provádět inspekci jednotlivých paketů. Pro vyhodnocení úspěšnosti se používá zachycený provoz reálné sítě a ve většině situacích prototyp dosahuje velmi přesných výsledků. Závěrem práce jsou diskutována možná opatření ke zvýšení přesnosti detektoru u neobvyklých situací nebo u zatím méně rozšířených parametrů spojení.

This work focuses on the issue of SSH protocol encrypted traffic in terms of network security monitoring and its subsequent classification with emphasis on the authentication phase. The aim of this work is to perform an SSH protocol analysis using intercepted communication and the protocol definition itself to reveal specific features of various situations. The outputs of the analysis are then implemented into a software prototype. The detection algorithm is designed with regard to high throughput so that it is also suitable for high-speed networks, where due to performance reasons is not possible to inspect all individual packets. Captured traffic from a real network is used to evaluate the accuracy of the detector and in most situations the prototype achieves very accurate results. At the end of work, possible measures to increase the accuracy in unusual situations or in the less common connection parameters are discussed.