Тематический план
- Общее
Общее
- Сбор информации
Сбор информации
tcpdump и wireshark - средства сбора информации и мониторинга сети
Задание по теме:
- Используя tcpdump или wareshark собрать на домашнем компьютере dump в течении нескольких часов работы.
- Определить доли пакетов различных протоколов.
- Выявить пакеты с неправильными заголовками пакетов.
- Анализ числа SYN и SYN_ACK пакетов
Анализ числа SYN и SYN_ACK пакетов
Ведётся подсчёт числа пакетов в TCP соединениях с установленными SYN и SYN_ACK флагами. Определяется среднее по времени число таких пакетов и выясняются причины возможных отклонений от среднего значения.
Задание по теме:
- В DUMP-файле class_tcpdump.log (взять у преподавателя) проанализировать изменение относительной разности числа пакетов с установленными syn и syn-ack флагами.
- Построить график изменения упомянутой разности со временем.
- Выявить аномальные значения.
- Объяснить причины появления аномалий.
- nmap и portsentry
nmap и portsentry
Утилиты nmap и portsentry для сканирования сети и обнаружения сканирования
Задание по теме:
- Провести взаимное сканирование тремя разными способами (способ сканирования держать в тайне).
- По результатам анализа DUMP-файла определить какими способами сканировали Ваш компьютер.
- Структура TCPDUMP log-файла
Структура TCPDUMP log-файла
Рассматривается формат log-файла программы TCPDUMP и программа работы с ним
Задание:
1. Реализовать программу для подсчёта SYN и SYN-ACK пакетов в DUMP файле
2. Реализовать программу определения временного интервала между соседними пакетами.
- Методы Data Mining в задачах обнаружения нарушений в сети
Методы Data Mining в задачах обнаружения нарушений в сети
- файл "методы Data Mining в задачах обнаружения нарушений.docx" - теоретический материал
- файл "result_syn.pcap" - dump при syn-сканировании сети
- файл "class_splash_3.pcap" - dump при трёх всплесках syn-пакетов в сети
- Модель программы обнаружения вторжений
Модель программы обнаружения вторжений
Рассматривается общая архитектура системы обнаружения вторжений, необходимые компоненты и функционал такой программы.
- Задание. Реализовать модель обнаружения вторжений и выполнить следующие пункты:
- 1. Использовать один из dump-файлов предыдущего раздела
- 2. Выбрать 2-4 характеристики состояния сети
- 3. Если характеристик больше двух, то использовать метод главных компонент для снижения размерности до двух.
- 4. Вывести результат распределения точек данных на плоскости
- 5. Выявить и проанализировать кластеры в распределении точек данных.
- Задание. Реализовать модель обнаружения вторжений и выполнить следующие пункты:
- Тема 11
Тема 11
- Тема 12
Тема 12