Bezpečnost informačních a komunikačních systémů, on-line monitorování, vizualizace a filtrace paketů
(
CYBER)


 

Projekt CYBER v době řešení spadal do jedné z hlavních tematických priorit obranného výzkumu a vývoje Ministerstva obrany ČR, kterou je ochrana informačních a komunikačních systémů proti kybernetickým útokům, tzv. Cyber Defence. V rámci projektu probíhala analýza bezpečnostních hrozeb, byly navrhovány metodiky a uskutečnilo se praktické testování v otevřených i v uzavřených počítačových sítích. Díky projektu byl objeven důležitý botnet Chuck Norris.

Smysl projektu

V moderních počítačových sítích se neustále setkáváme se stále vyspělejšími počítačovými hrozbami, které využívají pokročilejších technologií. Proto jsme se v projektu zaměřili na podrobnou analýzu mnoha druhů bezpečnostních hrozeb (vzorců chování). Vytvořili jsme širokou bázi znalostí umožňujících připravit metodiky se specifickými postupy automatických reakcí na bezpečnostní hrozby.

Podle typu hrozby a bezpečnostní politiky může touto reakcí být třeba jen upozornění síťového operátora, ale i sled komplikovanějších činností jako zablokování provozu ze strany útočníka, změna bezpečnostní politiky uvnitř sítě nebo protiakce vůči útočníkovi. Pro obranu datové sítě jsme podrobně zkoumali možnosti využití pokročilé síťové sondy.

Technologie a specifika

    • Ověření možností využití pokročilé síťové sondy při aktivní obraně datové sítě
      Testovali jsme pokročilou síťovou sondu FlowMon vyvinutou sdružením CESNET, z.s.p.o. Díky sondě jsme byli schopni plně monitorovat počítačové sítě i při rychlosti 10 Gb/s. Sondu jsme nasadili v situacích vyžadujících aktivní obranu počítačové sítě proti útočníkovi (například filtrování škodlivého provozu nesoucího samotný útok nebo vyvolání protiakce vůči útočníkovi).
    • Detekce anomálií na základě změny profilu chování
      Profily chování představují souhrnné informace o komunikaci počítačů a dalších zařízení připojených k počítačové síti. Agregací NetFlow dat v pravidelných časových intervalech získávají profily chování charakter časových řad. Na ty lze aplikovat statistické metody a následně detekovat anomálie a odychylky od očekávaného chování jednotlivých počítačů a dalších zařízení komunikujících na síti. Vytvořili jsme software využívající nástroj nfdump, skrze který byly vytvářeny profily chování a ve formě časové řady předávány k analýze v systému R
  • Praktické využití a nasazení výstupů projektu týmy CSIRT-MU a CIRC MO
    Síťovou sondu jsme testovali jak na otevřené počítačové síti (Masarykova univerzita), tak na uzavřené (Ministerstvo obrany ČR – pod správou příslušníků CIRC MO). Obojí nám přineslo bezprostřední zpětnou vazbu k aktuálním výsledkům výzkumu.

Úspěchy projektu

V roce 2009 byl na Masarykově univerzitě objeven botnet Chuck Norris. Tento škodlivý software cílil na zařízení s operačním systémem Linux a procesory MIPS (například ADSL modemy). Napadal síťovou infrastrukturu, proto nebyl detekovatelný běžnými antivirovými program, a získával přístup k síťovému provozu všech uživatelů napadené sítě.

V projektu CYBER jsme ale dosáhli mnoha dalších zajímavých výsledků. Vyvinuli jsme detekční nástroj cndet (plugin NetFlow kolektoru NfSen), který pomocí nasbíraných dat v lokální síti a detekčních vzorců chování odhaluje členy botnetu.

Zaměřili jsme se také na klasifikaci externích datových zdrojů (veřejně dostupné a organizačně závislé), ve kterých se nachází informace o zařízeních v síti. Takové informace pomáhají například při vyšetřování bezpečnostního incidentu nebo při analýze aktivit na síti.

Dále jsme vyvinuli efektivní algoritmus pro automatické párování jednosměrných toků. NetFlow data obsahují pouze informace z jednoho směru komunikace (server, klient), což vytváří dva odlišné toky. Párování do komunikačních dvojic zrychlilo naše řešení o několik řádů. Lze jej využít například při profilování síťových zařízení, odbourání "šumu" v agregovaných statistikách v podobě nepárových toků, zjednodušení detekce síťových anomálií a nebo odstraňování provozních problémů.

IDENTIFIKAČNÍ KÓD

OVMASUN200801