Identifikace síťových zařízení a služeb pomocí pasivního monitorování

Abstract

Viditelnost do síťového provozu je nezbytnou součástí síťové bezpečnosti a bezpečnostní analýzy. Současné stávající nástroje však obvykle poskytují pouze všeobecné informace o komunikaci jednotlivých zařízení. Tato diplomová práce se zabývá možnostmi využití vícero informačních zdrojů v lokálních sítích k identifikaci významu a účelu daného síťového připojení, které jsou srozumitelné pro většinu uživatelů. Tato práce se konkrétně zaměřuje na kombinování informací z "service discovery" protokolů s tradičními daty z IP toků. Výsledkem je vyvinutý softwarový prototyp analyzátoru - modul ACID, který zpracovává několik informačních zdrojů a přiřazuje síťovým spojením štítky, tj. pozorované aktivity. Tento přístup je mnohem slibnější než v současnosti používané nástroje založené na dobře známých portech a protokolech.

Visibility into network traffic is an essential part of network security and security analysis. However, current existing tools usually provide only low-level technical information about the communication of devices. This diploma's thesis explores the possibilities of using several information sources on local networks to deliver high-level meaning and purpose of a network connection that is more understandable by the majority of users. Specifically, this work focuses on combining information from service discovery protocols with traditional IP flow data. As a result, the developed software prototype of the ACID analyzer module processes several information sources and assigns labels, i.e., activities to the network connections. This approach is much more promising than the currently used tools based on just well-known ports and protocols.