Václav Bartoš. Meeting projektu SABU , Vranovská ves

Podobné dokumenty
Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Analýza dat z Wardenu

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Systém detekce a pokročilé analýzy KBU napříč státní správou

Inteligentní analýza bezpečnostních událostí (iabu)

BEZPEČNOSTNÍ MONITORING SÍTĚ

Bezpečnost aktivně. štěstí přeje připraveným

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Marketingová komunikace. 2. soustředění. Mgr. Pavel Vávra Kombinované studium Skupina N9KMK1aPH/N9KMK1bPH (um1a1ph/um1b1ph)

FlowMon Monitoring IP provozu

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

SÍŤOVÁ INFRASTRUKTURA MONITORING

Tomáš Čejka Monitorování sítě pomocí flow. case studies

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

ZADÁNÍ DIPLOMOVÉ PRÁCE

Petr Soukeník.

Network Measurements Analysis (Nemea)

Business Intelligence

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

8.2 Používání a tvorba databází

FlowMon Vaše síť pod kontrolou

Jak využít NetFlow pro detekci incidentů?

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

Petr Velan. Monitorování sítě pomocí flow case studies

Databázové systémy. Doc.Ing.Miloš Koch,CSc.

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Nasazení a využití měřících bodů ve VI CESNET

Opensource antispamová ochrana

Distribuovaný SSH honeypot

Případová studie: Adresářové řešení pro webhosting pomocí ApacheDS. Lukáš Jelínek

Sledování IP provozu sítě

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Maturitní témata Školní rok: 2015/2016

CAL (CAN Application Layer) a CANopen

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Firewally a iptables. Přednáška číslo 12

Počítačová Podpora Studia. Přednáška 5 Úvod do html a některých souvisejících IT. Web jako platforma pro vývoj aplikací.

Strategie sdružení CESNET v oblasti bezpečnosti

Výměnný formát XML DTM DMVS PK

Detekce volumetrických útoků a jejich mi4gace v ISP

Nadpis 1 - Nadpis Security 2

Inteligentní NetFlow analyzátor

Seminář o bezpečnosti sítí a služeb

Analýza nákazy v domácí síti. Robin Obůrka

Karel Bittner HUMUSOFT s.r.o. HUMUSOFT s.r.o.

Modul. Univerzální tabulkový export

DETEKCE ANOMÁLNÍHO CHOVÁNÍ UŽIVATELŮ KATASTRÁLNÍCH MAPOVÝCH SLUŽEB

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Predikce a řízení incidentů, událostí a poruchových stavů v reálném čase

Obsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework

Marketingová komunikace. 2. a 3. soustředění. Mgr. Pavel Vávra 9103@mail.vsfs.cz. Kombinované studium Skupina N9KMK3PH (vm3aph)

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Bezpečnostní monitoring sítě

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Projekt JetConf REST API pro vzdálenou správu

Monitoring sítě a síťová obrana

ANOTACE nově vytvořených/inovovaných materiálů

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Audit bezpečnosti počítačové sítě

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

CESNET Day. Bezpečnost

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Domino 10 nové komponenty a související témata (node.js, ES )

Počítačové systémy. Uživatelské účty. Mgr. Martin Kolář

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Proč prevence jako ochrana nestačí? Luboš Lunter

Technologie. Osnovy kurzu: Školení správců systému. 1. den, dopolední blok

Olga Rudikova 2. ročník APIN

Monitorování datových sítí: Dnes

ANECT, SOCA a bezpečnost aplikací

Sledování sítě pomocí G3

Databáze II. 1. přednáška. Helena Palovská

Monitorování a bezpečnostní analýza

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Web. Získání informace z internetu Grafické zobrazení dat a jejich struktura Rozšíření funkcí pomocí serveru Rozšíření funkcí pomocí prohlížeče

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

PRODUKTY. Tovek Tools

ové služby na IPv6-only

Novinky v.cz registru a mojeid. Zdeněk Brůna

Architektura připojení pro kritické sítě a služby

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Kurz Databáze. Obsah. Návrh databáze E-R model. Datová analýza, tabulky a vazby. Doc. Ing. Radim Farana, CSc.

Transkript:

Václav Bartoš Meeting projektu SABU 12. 10. 2016, Vranovská ves

Osnova 1) Co je (má být) reputační databáze 2) Jak to funguje 3) Aktuální stav a) Ukázka b) Co je hotovo c) Co zbývá dodělat 4) Výpočty reputačního skóre

Detekce útoků a zpracování alertů V síti CESNET2 je mnoho detektorů škodlivého provozu NEMEA, FTAS, různé honeypoty, Sdílení přes Warden Zapojování dalších organizací cca 2 mil. hlášení denně Zpracování Mentat uložení reportování incidentů, jejichž zdroj je uvnitř CENSET2 (a několika partnerských sítí) zbytek nevyužit

Reputační databáze Databáze síťových entit (IP adresy, sítě, domény, ) Seznam známých zdrojů škodlivých aktivit na internetu a všeho, co o nich víme Hlavní cíle: Přijímat hlášení o bezpečnostních událostech z Wardenu (příp. i z jiných obdobných systémů) Agregace podle zdrojové adresy

Reputační databáze Databáze síťových entit (IP adresy, sítě, domény, ) Seznam známých zdrojů škodlivých aktivit na internetu a všeho, co o nich víme Hlavní cíle: Přijímat hlášení o bezpečnostních událostech z Wardenu (příp. i z jiných obdobných systémů) Agregace podle zdrojové adresy Obohacení o další data z externích zdorjů Hostname, ASN, geolokace, Přítomnost na blacklistech Open[DNS,NTP, ] resolvers TOR exit nodes...

Reputační databáze Databáze síťových entit (IP adresy, sítě, domény, ) Seznam známých zdrojů škodlivých aktivit na internetu a všeho, co o nich víme Hlavní cíle: Přijímat hlášení o bezpečnostních událostech z Wardenu (příp. i z jiných obdobných systémů) Obohacení o další data z externích zdorjů Agregace podle zdrojové adresy Hostname, ASN, geolokace, Přítomnost na blacklistech Open[DNS,NTP, ] resolvers TOR exit nodes... Shrnutí všech informací do reputation score Ohodnocení jak velkou hrozbu entita představuje

NERD Logická architektura query Web interface or REST API Reputation Database (properties of IP addresses) response meta-info Other systems? external data (geo, AS, blacklists,...) properties Reputation score estimation Event database events reputation score (machine learning)

Implementace Backend Python daemon Modulární architektura O každou vlastnot se stará určitý modul Snadná rozšiřitelnost Frontend Web-based Python + Flask HTML5, CSS, JavaScript + jquery,...

Architektura (implementace) Web server External data sources Python + Flask Update manager cache Entity database (MongoDB) Entity DB controller Event DB controller Event database (files) Event receiver Rep. scoring Python Python Warden filer Other systems??? File system (messages = files in directory)

Aktuální stav Co je hotovo: Databáze běží a sbírá data (od července) Moduly pro: Příjem dat z Wardenu a ukládání událostí DNS (hostname) ASN Geolokace Blacklisty DNSBL i lokálně stahované, mj. i TOR Shodan (připraveno, zatím nespuštěno) Frontend Zobrazení dat Vyhledávání podle většiny položek Login přes lokální účet nebo eduid/edugain

Web frontend https://nerd.cesnet.cz/nerd/ Login/heslo: sabu/sabu

Zbývá dodělat Frontend: Přehlednější detail IP adresy Spousta drobných dodělávek Veřejná verze (jak data anonymizovat a přitom stále poskytovat zajímavé informace?) Backend: Další zdroje: Včetně časové osy událostí, grafů, vyhledávání v událostech Další blacklisty (ne vždy lze snadno stáhnout, potřeba speciálně vyjednat přístup) - kromě spam např. Dial-up prefixy, OpenDNS/NTP Jiné reputační databáze Jiné zdroje událostí než Warden (DShield, MISP, AlienVault OTX,?) Agregace zpráv (nejlépe kdyby se dělala jinde než v NERD) Přechod z MongoDB na PostgreSQL (nebo něco jiného?) Updaty (blacklisty, hostname) Vylepšit odmazávání starých dat Podpora jiných entit než IP adres (ASN, domény, země, prefixy) Whitelisty API Výpočet reputation score

Výpočet reputačního skóre Reputační skóre Shrnuje všechny informace v DB Hodnota vyjadřující, jak moc je IP adresa nebezpečná. Nemusí být nutně jen jedno číslo Nebezpečnost v určitém kontextu, např. vzheldem k určitému typu útoku. Formální definice: Pravděpodobnost, že daná entita (IP adresa) bude v blízké budoucnosti (např. příštích 24h) vykazovat škodlivou činnost, kombinovaná s mírou závažnosti této činnosti. (a ta bude detekována) Předvídání útoků Je to vůbec možné?

Predikce útoků Analýza dat ze systému Warden. 70 mil. hlášení from ze dvou měsíců (dva měsíční vzorky z r. 2015). 68% IP adres je detekováno jen v jednom dni z měsíce. Ale 8.5% je nahlášeno v 5 a více dnech. Tyto jsou zodpovědné za 65% všech hlášení. Tisíce adres jsou detekovány (téměř) každý den.

Predikce útoků Analýza dat ze systému Warden. 70 mil. hlášení from ze dvou měsíců (dva měsíční vzorky z r. 2015). 68% IP adres je detekováno jen v jednom dni z měsíce. Ale 8.5% je nahlášeno v 5 a více dnech. Tyto jsou zodpovědné za 65% všech hlášení. Tisíce adres jsou detekovány (téměř) každý den. Pro (D)DoS útoky je 30% útoků detekováno v 10 a více dnech z měsíce.

Predikce útoků Pravděpodobnost detekce v následujícím dni Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS Login Skenování 9 10

Predikce útoků Pravděpodobnost detekce v následujícím dni Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS Login Skenování 9 10

Predikce útoků Pravděpodobnost detekce v následujícím dni Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS Login Skenování 9 10

Predikce útoků Pravděpodobnost detekce, pokud byl adresa detekována v n z m předchozích dní. Pouze port scan, pro ostatní útoky příliš málo dat (statisíce útoků; tisíce adres)

Predikce útoků Můžeme přidávat i další vstupní parametry Např. geolokaci, blacklisty Problém: pro každou kombinaci vstupních hodnot potřebujeme dostatek vzorků pro výpočet pravděpodobnosti Počet kombinací stoupá exponenciálně Řešení: Výpočet pravděpodobnosti je vlastně funkce X 1 X 2... X n [0, 1] poměrně hladká lze aproximovat i s menším množstvím vzorků Máme trénovací data --> Strojové učení (s učitelem)

Predikce pomocí strojového učení Pro každou entitu (IP adresu), a typ škodlivé aktivity: Vstup: historie detekovaných událostí ostatní data o entitě (DNS, AS, geo, blacklisty...) Výstup: pravděpodobnost, že bude v příštích 24h detekována událost s touto IP now Detected events 30 days supplementary data f() 1 day

Aktuální stav Připravena nová datová sada září 2016 36 mil. záznamů První experimenty v SW Weka login attempt na základě informací o detekci v 7 dnech předpověď pro 8. den 96.7% rozhodnuto správně (shodně 3 různé ML metody) 1,0,0,0,0,0,0 0,0,0,1,0,0,0 0,0,0,0,0,0,1 1,0,0,0,0,0,0 0,0,1,0,0,0,0 0,0,0,0,0,1,1 1,0,0,0,0,1,0 0,0,0,0,1,0,1... (59k záznamů) 0 0 0 0 0 1 0 1

Děkuji za pozornost

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář