Tento projekt je spolufinancován se státní podporou Technologické agentury ČR v rámci 3. veřejná soutěž - Programu průmyslového výzkumu a experimentálního vývoje TREND, PODPROGRAM 1 – TECHNOLOGIČTÍ LÍDŘI
www.tacr.cz
Výzkum užitečný pro společnost.

Detail projektu

Analýza šifrovaného provozu založena na kontextové analýze pomocí flow dat

Období řešení: 01.01.2021 — 31.12.2023

Zdroje financování

Technologická agentura ČR - 3. veřejná soutěž - Program průmyslového výzkumu a experimentálního vývoje TREND, PODPROGRAM 1 – TECHNOLOGIČTÍ LÍDŘI

- částečně financující (2021-01-01 - 2023-12-31)

O projektu

Cílem projektu je navrhnou nový systém pro detekci hrozeb pomocí kontextové NetFlow analýzy. Tato analýza je založena na odhalování vztahů mezi jednotlivými záznamy o síťovém provozu bez nutnosti provoz dešifrovat s cílem zlepšit schopnosti analýzy v porovnání s klasickým přístupem, který je založený na analýze pouze jednotlivých záznamů izolovaně. S novým typem analýzy je možné identifikovat hrozby, které jsou aktuálně skryté z důvodu šifrování a zároveň poskytnout správcům sítí dodatečné informace pro vytvoření celkového obrazu o stavu sítě, využívaných službách nebo aplikacích.

Popis anglicky
The goal of the project is to design a new system for threat detection using contextual NetFlow analysis. This analysis is based on revealing the relationships between individual network traffic records without the need to decrypt the traffic to improve the analysis capabilities compared to the classical approach, which is based on the analysis of only individual records in isolation. With the new type of analysis, it is possible to identify threats that are currently hidden due to encryption and, at the same time, provide network administrators additional information to create an overall picture of the state of the network, services, or applications used.

Klíčová slova
kontextová analýza, analýza NetFlow záznamů, šifrovaná analýza provozu

Klíčová slova anglicky
context-based analysis, NetFlow records relationship, encrypted traffic analysis

Označení

FW03010099

Originální jazyk

čeština

Řešitelé

Ryšavý Ondřej, doc. Ing., Ph.D. - hlavní řešitel
Hranický Radek, Ing., Ph.D. - spoluřešitel

Útvary

Ústav informačních systémů
- spolupříjemce (15.05.2020 - 31.12.2023)
Flowmon Networks a.s.
- příjemce (15.05.2020 - 31.12.2023)

Výsledky

RADER, R.; JEŘÁBEK, K.; RYŠAVÝ, O. Detecting DoH-Based Data Exfiltration: FluBot Malware Case Study. IEEE 48th Conference on Local Computer Networks (LCN). Daytona Beach: IEEE Computer Society, 2023. p. 50-54. ISBN: 979-8-3503-0074-1.
Detail

JEŘÁBEK, K.; HYNEK, K.; RYŠAVÝ, O.; BURGETOVÁ, I. DNS over HTTPS Detection Using Standard Flow Telemetry. IEEE Access, 2023, vol. 2023, no. 11, p. 50000-50012. ISSN: 2169-3536.
Detail

RYŠAVÝ, O.; HOLKOVIČ, M.; MATOUŠEK, P.; MINAŘÍK, P.; ALEŠ, Š.; HOJDAR, Š.; JAN, S.; UNZEITIG, M.: FW03010099-V3; Systém pro detekci malware založený na kontextové analýze. V privátním repozitáři projektu.. URL: https://www.fit.vut.cz/research/product/812/. (software)
Detail

RYŠAVÝ, O.; HOLKOVIČ, M.; MATOUŠEK, P.; MINAŘÍK, P.; ALEŠ, Š.; JAN, S.: ETA-CONTEXT; Systém pro odhalování vztahů mezi datovými toky (NetFlow/IPFIX). V privátním repozitáři projektu.. URL: https://www.fit.vut.cz/research/product/751/. (software)
Detail

JEŘÁBEK, K.; MINAŘÍK, P.; HOLKOVIČ, M.: DoH Detector; Systém pro detekci šifrované DNS komunikace. Produkt je uložen v privátním Git repozitáři.. URL: https://www.fit.vut.cz/research/product/722/. (software)
Detail

Odpovědnost: Ryšavý Ondřej, doc. Ing., Ph.D.