Detail aplikovaného výsledku

Systém lokální detekce kybernetických útoků (síťová sonda)

KALENDA, M.; VRBA, K.; MARTINÁSEK, Z.; MORES, T.; SAFONOV, Y.; GERLICH, T.; EFFENEBERGER, T.; HIRŠ, D.

Originální název

Systém lokální detekce kybernetických útoků (síťová sonda)

Anglický název

Local cyber attack detection system (network probe)

Druh

Software

Abstrakt

Jedná se o softwarovou implementaci nízkonákladové sondy IDS, která je optimalizována pro operační systém Linux. Sonda je připojena na standartní ethernetové rozhraní přepínače pro autonomní analýzu zrcadlených dat v lokální síti. Programové vybavení realizuje základní detekci kybernetických útoků na L2/L3 pomocí detekce vzorů (signatur, prahových hodnot popř. statistického modelu). Výsledkem analýzy je hlášení incidentů, které jsou dále předávány do hlavního systému dohledu v datacentru. Sonda také přeposílá parametry a data do centrálního systému pro další pokročilejší detekci a distribuovaný dohled. Program tedy provádí monitoring a uchovávání parametrů L2/L3 sítě (MAC adresy, IP adresy, ARP zprávy, DHCP zprávy, ICMP zprávy) a umožní i včasnou detekci kybernetických útoků na základě odezvy a propojení aktivních zařízením.

Abstrakt aglicky

It is a software implementation of a low-cost IDS probe that is optimized for the Linux operating system. The probe will be connected to a standard Ethernet switch interface for autonomous analysis of mirrored data on the local network. The software will implement basic detection of cyber attacks on L2/L3 by pattern detection (signatures, thresholds or statistical model). The result of the analysis is incident reporting, which is further forwarded to the main surveillance system in the datacenter. The probe also forwards parameters and data to the central system for further advanced detection and distributed surveillance. Thus, the program monitors and stores L2/L3 network parameters (MAC addresses, IP addresses, ARP messages, DHCP messages, ICMP messages) and also enables early detection of cyber attacks based on the response and connectivity of active devices.

Klíčová slova

network monitoring; network traffic analysis; log collection; log processing; SIEM

Klíčová slova anglicky

network monitoring; network traffic analysis; log collection; log processing; SIEM

Umístění

Nethost s.r.o.

Licenční poplatek

K využití výsledku jiným subjektem je vždy nutné nabytí licence

www

https://www.deepscope.net/