Тематический план

  • Общее

    Свернуть всё Развернуть всё

  • Общее

  • Сбор информации

    tcpdump и wireshark - средства сбора информации и мониторинга сети

    • Задание по теме:

      1. Используя tcpdump или wareshark собрать на домашнем компьютере dump в течении нескольких часов работы.
      2. Определить доли пакетов различных протоколов.
      3. Выявить пакеты с неправильными заголовками пакетов.


  • Анализ числа SYN и SYN_ACK пакетов

    Ведётся подсчёт числа пакетов в TCP соединениях с установленными SYN и SYN_ACK флагами. Определяется среднее по времени число таких пакетов и выясняются причины возможных отклонений от среднего значения.

    • Задание по теме:

      1. В DUMP-файле class_tcpdump.log (взять у преподавателя) проанализировать изменение относительной разности числа пакетов с установленными syn и syn-ack флагами.
      2. Построить график изменения упомянутой разности со временем.
      3. Выявить аномальные значения.
      4. Объяснить причины появления аномалий.
    • Иконка Файл
      Пример для анализа Файл
    • Иконка Файл
      График class_tcpdump.pcap Файл

  • nmap и portsentry

    Утилиты nmap и portsentry для сканирования сети и обнаружения сканирования

    • Иконка Файл
      Описание nmap Файл

    • Задание по теме:

      1. Провести взаимное сканирование тремя разными способами (способ сканирования держать в тайне).
      2. По результатам анализа DUMP-файла определить какими способами сканировали Ваш компьютер.

  • Структура TCPDUMP log-файла

    Рассматривается формат log-файла программы TCPDUMP и программа работы с ним

    • Задание:

          1. Реализовать программу для подсчёта SYN и SYN-ACK пакетов в DUMP файле

          2. Реализовать программу определения временного интервала между соседними пакетами.

    • Иконка Файл
      Программа анализа PCAP файла

  • Методы Data Mining в задачах обнаружения нарушений в сети

    • Иконка Файл
      Материал по теме Файл
      1. файл "методы Data Mining в задачах обнаружения нарушений.docx" - теоретический материал
      2. файл "result_syn.pcap" - dump при syn-сканировании сети
      3. файл "class_splash_3.pcap" - dump при трёх всплесках syn-пакетов в сети
    • Иконка Файл
      Редукция размерности - стресс функция Файл

  • Модель программы обнаружения вторжений

    Рассматривается общая архитектура системы обнаружения вторжений, необходимые компоненты и функционал такой программы.

    • Иконка Файл
      Модель обнаружения вторжений Файл

    • Задание. Реализовать модель обнаружения вторжений и выполнить следующие пункты:
    • 1. Использовать один из dump-файлов предыдущего раздела
    • 2. Выбрать 2-4 характеристики состояния сети
    • 3. Если характеристик больше двух, то использовать метод главных компонент для снижения размерности до двух.
    • 4. Вывести результат распределения точек данных на плоскости
    • 5. Выявить и проанализировать кластеры в распределении точек данных.