4.1-2 Защита информации в сети

Тематический план

• Общее
  

  Общее

  • Конспект лекций Файл
• Сбор информации
  

  Сбор информации

  tcpdump и wireshark - средства сбора информации и мониторинга сети
  

  • Задание по теме:

    1. Используя tcpdump или wareshark собрать на домашнем компьютере dump в течении нескольких часов работы.
    2. Определить доли пакетов различных протоколов.
    3. Выявить пакеты с неправильными заголовками пакетов.

    
    
• Анализ числа SYN и SYN_ACK пакетов
  

  Анализ числа SYN и SYN_ACK пакетов

  Ведётся подсчёт числа пакетов в TCP соединениях с установленными SYN и SYN_ACK флагами. Определяется среднее по времени число таких пакетов и выясняются причины возможных отклонений от среднего значения.
  

  • Задание по теме:

    1. В DUMP-файле class_tcpdump.log (взять у преподавателя) проанализировать изменение относительной разности числа пакетов с установленными syn и syn-ack флагами.
    2. Построить график изменения упомянутой разности со временем.
    3. Выявить аномальные значения.
    4. Объяснить причины появления аномалий.
       
• nmap и portsentry
  

  nmap и portsentry

  Утилиты nmap и portsentry для сканирования сети и обнаружения сканирования
  

  • Описание nmap Файл
  • Задание по теме:

    1. Провести взаимное сканирование тремя разными способами (способ сканирования держать в тайне).
    2. По результатам анализа DUMP-файла определить какими способами сканировали Ваш компьютер.
       
• Структура TCPDUMP log-файла
  

  Структура TCPDUMP log-файла

  Рассматривается формат log-файла программы TCPDUMP и программа работы с ним
  

  • введение необходимых структур данных Файл
  • Задание:

        1. Реализовать программу для подсчёта SYN и SYN-ACK пакетов в DUMP файле

        2. Реализовать программу определения временного интервала между соседними пакетами.
    

• Методы Data Mining в задачах обнаружения нарушений в сети
  

  Методы Data Mining в задачах обнаружения нарушений в сети

  • Материал по теме Файл

    1. файл "методы Data Mining в задачах обнаружения нарушений.docx" - теоретический материал
    2. файл "result_syn.pcap" - dump при syn-сканировании сети
    3. файл "class_splash_3.pcap" - dump при трёх всплесках syn-пакетов в сети
       
• Модель программы обнаружения вторжений
  

  Модель программы обнаружения вторжений

  Рассматривается общая архитектура системы обнаружения вторжений, необходимые компоненты и функционал такой программы.
  

  • Модель обнаружения вторжений Файл
  • Задание. Реализовать модель обнаружения вторжений и выполнить следующие пункты:
    
  • 1. Использовать один из dump-файлов предыдущего раздела
    
  • 2. Выбрать 2-4 характеристики состояния сети
  • 3. Если характеристик больше двух, то использовать метод главных компонент для снижения размерности до двух.
  • 4. Вывести результат распределения точек данных на плоскости
  • 5. Выявить и проанализировать кластеры в распределении точек данных.