PV210 Bezpečnostní analýza síťového provozu

Fakulta informatiky
podzim 2011
Rozsah
2/0/1. 3 kr. (plus ukončení). Ukončení: k.
Vyučující
doc. RNDr. Jan Vykopal, Ph.D. (přednášející)
Garance
prof. RNDr. Luděk Matyska, CSc.
Katedra počítačových systémů a komunikací – Fakulta informatiky
Rozvrh
Pá 8:00–9:50 B410
Předpoklady
(( MB104 Matematika IV || MV011 Statistika I ) && ( PB156 Počítačové sítě || PV183 Technologie počítačových sítí ) ) || SOUHLAS
Omezení zápisu do předmětu
Předmět je nabízen i studentům mimo mateřské obory.
Předmět si smí zapsat nejvýše 30 stud.
Momentální stav registrace a zápisu: zapsáno: 0/30, pouze zareg.: 0/30, pouze zareg. s předností (mateřské obory): 0/30
Mateřské obory/plány
Cíle předmětu
Seminář je zaměřen na metody a hardwarové a softwarové nástroje používané k bezpečnostní analýze síťového provozu. Pozornost je věnována jednoduchým i pokročilým matematickým a vizualizačním metodám analýzy datového provozu TCP/IP v dnešních sítích. Budou představeny metody pracující s jednotlivými pakety i agregovanými charakteristikami (počty přenesených paketů a bajtů, počty toků aj.). Probírané metody budou ilustrovány na vzorcích provozu ze sítě Masarykovy univerzity. Po ukončení předmětu by student měl být schopen
porozumět struktuře dat přenášených v koncových sítí;
používat základní metody analýzy provozu včetně příslušných nástrojů.
Osnova
  • Principy komunikace v internetu, protokolová sada TCP/IP a důležité aplikační protokoly.
  • Síťové útoky a jejich rozdělení podle síťových vrstev. Základní prvky zabezpečení sítě: firewall, IDS, IPS, antispamový filtr, antivirus.
  • Úvod do monitorování sítě s důrazem na bezpečnost. Základní pojmy: pakety, spojení, toky, pasivní a aktivní monitoring, způsoby měření a sběru dat, analytické a vizualizační nástroje.
  • Jednoduché a pokročilé metody zpracovávající agregované záznamy o síťovém provozu.
  • Objemové veličiny (počty bajtů a paketů), statistická analýza časových řad, metody predikce.
  • Rozložení klíčových položek IP toků (adres a portů) v časových vzorcích: entropie a principal component analysis.
  • Ukázka dostupných implementací.
Literatura
  • Bellovin, S. M. Security problems in the TCP/IP protocol suite.
  • Quittek J. et al. Requirements for IP Flow Information Export (IPFIX). RFC 3917, IETF, 2004.
  • Brutlag, J.: Aberrant behaviour Detection in Time Series for Network Monitoring, 2000
  • SANS: The Top Cyber Security Risks. http://www.sans.org/top-cyber-security-risks
  • Lakhina A., Crovella M., Diot C. Mining anomalies using traffic feature distributions. In: Proc. ACM SIGCOMM'05, p. 217-228, 2005.
  • Scarfone, K. Mell, P.: Guide to Intrusion Detection and Prevention Systems (IDPS). Recommendations of the National Institute of Standards and Technology, 2007.
Výukové metody
Interaktivní přednáška (s diskuzí) a domácí úkoly.
Metody hodnocení
Průběžné domácími úkoly, písemný test a pohovor (kolokvium) na konci semestru.
Další komentáře
Studijní materiály
Předmět je vyučován každoročně.
Předmět je zařazen také v obdobích podzim 2008, podzim 2009, podzim 2010, podzim 2012, podzim 2013, podzim 2014, podzim 2015, podzim 2016, podzim 2017, podzim 2018, podzim 2019, podzim 2021, podzim 2022, podzim 2023, podzim 2024.