Osnova Opakovaní IDS Vizualizace a toky PV210 Bezpečnostní analýza síťového provozu Automatické systémy detekce a vizualizace toků Pavel Čeleda 29. 10. 2014 Osnova Opakovaní Vizualizace a toky Opakování Systémy pro detekci útoků/anomálií Vizualizace a toky Osnova Opakovaní Vizualizace a toky Co již znáte Proč? Opakování Vizualizace a toky Co již znáte Schopnost zachytávat velké množství dat z celé sítě V datech mohou být obsaženy nové informace o bezpečnostních událostech Osnova Opakovaní Vizualizace a toky Co již znáte Jak? Opakovaní Vizualizace a toky Co již znáte Co? Osnova Opakovaní IDS Vizualizace a toky Co již znáte Charakteristika naměřených dat • Základní charakteristiky provozu: časová značka, zdrojová/cílová IR číslo zdrojového/cílového portu, typ protokolu, objem provozu, TCP príznaky ... • Rozšiřující charakteristiky: zeměpisná poloha, HTTP doména, user agent, typ aplikace ... • Odvozené charakteristiky: počet toků do destinací z dané IP, počet toků do cílové IP využívající stejný zdrojový port... Jak cennou informaci tyto data nesou, jak ji získat? Opakovaní Co ještě neznáte Co s tím? Osnova Opakovaní Vizualizace a toky Co ještě neznáte IDS ADS IPS Opakovaní IDS Vizualizace a toky Systémy pro detekci útoků/anomálií umožňuje získat informace o síťovém provozu => možnost správy, možnost optimalizace umožňuje vyhodnotit informace ze síťového provozu => detekce útoků/anomálií umožňuje použít získané informace ze síťového provozu => možnost automatizace, kooperace Osnova Opakovaní IDS Vizualizace a toky Cílový zákazník Industry Fragmentation Inly 2013 Organization Fragmentation July 2013 I Aerospace I Retail I Content Re-commendation Zdroj:http://hackmageddon. com/ Osnova Opakovaní IDS Vizualizace a toky Co Systémy pro detekci přináší? Dobrý detekční systém • Zachycuje tzv. zero-day útoky • Možnost definice nových analýz • Umožní získat porozumění síťovému prostředí • Iniciativní přístup k síťové bezpečnosti • Malá míra falešných poplachů • Schopnost integrace a spolupráce se stávajícími řešeními Osnova Opakovaní IDS Vizualizace a toky Co Systémy pro detekci přináší? Špatný detekční systém • Výkonnostní nedostatky • Zahlcení informacemi • Nevhodné využití modelů (Intrusion Detection has been shown to have fundamental differences from other areas where machine learning has been applied (Sommer & Paxson, 2010).) • Vysoký počet falešných poplachů • Náročný handling událostí Osnova Opakovaní IDS Vizualizace a toky Taxonomie systémů IDS Host based Network based Information /^\ Application Logs ^~~~~| Wireless networks Sensor Alerts Analysis strategy Anomaly Detection Misuse Detection Time Aspects Architecture ^^|Rcal-time prediction! Off-line prediction | Centralized I Distributed & heterogeneous] Response Active response Passive reaction Aleksandar Lazarevic, Vipin Kumar, and Jaideep Srivastava: INTRUSION DETECTION: A SURVEY Osnova Opakování IDS Vizualizace a toky Architektura systémů Monowar H. Bhuyan, D. K. Bhattacharyya, and J. K. Kalita: Network Anomaly Detection: Methods, Systems and Tools Opakovaní IDS Vizualizace a toky Praktická ukázka IDS • NfSen - open-source nástroj http://nfsen.sourceforge.net/ • FlowMon INVEA-TECH - komerční nástroj https://www.invea.com/ Osnova Opakovaní Vizualizace a toky Vizualizace a toky Proč? Osnova Opakovaní IDS Vizualizace a toky Grafy (diagramy) • Přirozená metoda vizualizace. • Na osu x nanášíme většinou čas a na osu y sledovanou veličinu. • Vhodně vybrané veličiny a podsítě mohou pomoci s odhalením anomálie pouhým okem. • Ukázka grafů různých veličin univerzitní sítě v nástroji NfSen. Osnova Opakovaní IDS Vizualizace a toky 2D graf počtu toků v čase Thu Nov 24 20:20:00 2011 Flows/s any protocol □ honeypot Osnova Opakování IDS Vizualizace a toky Využití stereoskopického vnímání • „Převádí" vzory provozu na grafické vzory a útvary. • The Spinning Cube of Potential Doom • osa x: lokální adresový prostor, • osa z: globální adresový prostor, • osa y: čísla cílových portů. • Úspěšná TCP spojení bíle, neúspěšná v barvě duhy. • Ukázka vizualizací pomocí nástroje Flamingo5. 5http://flamingo.merit.edu/gallery.html Osnova Opakovaní IDS Vizualizace a toky IDS Opakování Stroje a toky jako orientovaný graf Vizuali; Vrcholy grafu tvoří stroje (IP adresy). Hrany zobrazují jednotlivé toky nebo jejich agregace. Velikost, zabarvení.. .vrcholu/hrany odráží nějakou jeho/její charakteristiku (např. počet přenesených bajtů). Pohled na to, kdo kolik čeho kam přenášel. Osnova Opakovaní IDS Vizualizace a toky Orientovaný graf zobrazující síťový provoz Osnova Opakovaní IDS Další příklad grafu Vizualizace a toky *hosts=129 Výstup z nástroje HAPviewer - http : //hapviewer . sourceforge.net/ Opakování Vizualizace a toky Vizualizace IPv4 adresního prostoru Využiti IPv4 adresního prostoru MU v červnu 2013 Osnova Opakovaní Vizualizace a toky Vizualizace IPv4 adresního prostoru Internet Census 2012 http://internetcensus2012.bitbucket.org/paper.html • umožňuje zobrazit vztah více veličin v průběhu času Osnova Opakování IDS Vizualizace a toky Pokročilé vizualizace DDoS útoků • Real-time vizualizace DDoS útoků po celém světě (Google Ideas & Arbor Networks ) http://www.digitalattackmap.com/ • Ukázka pokročilých vizualizací http://infosthetics.com/archives/2012/06/ nict_daedalus_3d_real-time_cyber-attack_ alert_visualization.html Osnova Opakování IDS Vizualizace a toky Další literatura • InetVis, a Visual Tool for Network Telescope Traffic Analysis http://www.cs.ru.ac.za/research/g02v2468/ publications/vanRiel-Afrigraph2 0 0 6.pdf • WireViz (plugin do Wiresharku) - screencast http://www.youtube.com/watch?v=fU8w0jooIwE • Manidant APT1 Report http://intelreport.mandiant.com/Mandiant_ APTl_Report.pdf