Seminář UPSY - Bartoš V.: Pokročilá analýza hlášení o bezpečnostních incidentech na síti

V současné době je nasazováno mnoho systémů pro detekci bezpečnostních hrozeb v počítačových sítích, ať již jde o systémy založené na monitorování síťového povozu, analýze logů serverů či nasazování honeypotů. Tyto systémy jsou však obvykle provozovány samostatně a jejich výsledky nejsou nijak porovnávány s ostatními. Cílem mého výzkumu je nalézt metody pro sběr, analýzu, agregaci a hledání vzájemných korelací v hlášeních z těchto systémů za účelem identifikace entit nejvíce ohrožujících bezpečnost na síti.

V prezentaci bude představen vznikající systém určený pro shromažďování informací z nejrůznějších detektorů a pro výpočet reputace jednotlivých IP adres. Bude vysvětleno, co by tato reputace měla vyjadřovat a jaké jsou možnosti jejího využití. Dále ukážu výsledky vybraných analýz týkajících se bezpečnostních problémů, např. se podíváme na dlouhodobý průběh počtu pokusů o zneužití zranitelnosti Heartbleed.