Automatická detekce podezřelého síťového provozu pomocí blacklistů

Abstract

Tato práce se zabývá implementací sady modulů pro detekci podezřelého sí- ťového provozu pomocí veřejných blacklistů. Kromě základní detekce, která spočívá v nahlášení všech síťových toků, umožňují vytvořené moduly sledovat další provoz klientů, kteří s blacklistovanou entitou komunikovali. Cílem práce je využít analýzu dodatečně zachycených informací o provozu podezřelých klientů k lepšímu a přesnějšímu rozhodování o podstatě/kontextu komunikace. Díky této analýze je možné odhalit, jestli základní detekce není jen falešný poplach. K zachytávání dodatečných informací v reálném čase byl vytvořen modul, tzv. adaptivní filtr, který patří k hlavním přínosům této práce. Práce se zaměřuje zejména na využití veřejně dostupných seznamů Command&Control serverů a analýzu provozu klientů, kteří s těmito servery komunikují. Všechny vytvořené softwarové nástroje jsou součástí open source projektu NEMEA, který se používá k analýze provozu a detekci bezpečnostních událostí v národní akademické síti CESNET2.

This thesis deals with implementation of a set of modules for detection of suspicious network traffic with the use of public blacklists. In addition to basic detection, which consists in reporting all network flows, the modules can be used to track additional traffic of clients who communicated with the blacklisted entity. The aim of the thesis is to use the analysis of additionally captured infor- mation about the suspicious clients' traffic for better and more precise decision about the essence/context of communication. This analysis makes it possible to reveal whether the basic detection is not just a false alarm. To capture additional real-time information, a module called adaptive filter, which is one of the main benefits of this thesis, has been created. The work focuses mainly on the use of publicly accessible lists of Command&Control servers as well as on the analysis of the traffic of clients communicating with these servers. All created software tools are part of the open-source NEMEA project, which is used to analyze traffic and detection of security incidents in the national academic network CESNET2.