Detekce bezpečnostních hrozeb na aktivních prvcích kritických infrastruktur

Popis software

Aplikace Aequor Tracer je částečným výsledkem projektu ``Detekce bezpečnostních hrozeb na aktivních komponentách kritických infrastruktur''. Proto je funkce aplikace specifická pro účel projektu. Dvě hlavní funkce aplikace jsou:

1. Rozhodnutí o pozici adresy IP (Internet Protocol).
2. Analýza chování provozu.

Další funkce jsou DNS (Domain Name System) resolver, síťové nástroje, grafy provozu. Algoritmus pro detekci polohy IP adresy může zjistit, zda konkrétní IP adresa leží uvnitř vybrané mapy na základě hodnot zeměpisné šířky a délky. Pro výpočet se použijí hodnoty zeměpisné šířky a délky. Tyto hodnoty se používají jak pro IP adresu, tak pro hranice pozadí mapy. Následně, za použití algoritmu polygonového průniku a algoritmu klastrování, je určeno, zda hodnota IP adresy existuje ve vybrané oblasti. Výpočet lze provést ručně zadáním IP adresy, nebo se výpočet provede automaticky pro všechny nové příchozí veřejné IP adresy.

Analýza chování provozu byla primárně vyvinuta pro detekci stejného nebo podobného chování přenosu dat. Chcete-li například zjistit aktivitu ``ransomware'', která má při vytváření odkazů na řídicí servery pravidelné vlastnosti. Taková analýza je možná pro veškerý provoz, ať už je to jakýkoliv časový rozsah a různé zdroje. Následně bylo prokázáno, že jakýkoli typ provozu má svou charakteristickou křivku v daném pohledu. Tato funkce byla proto zahrnuta do této aplikace. Je tedy možné sledovat, které zdroje mají identické vlastnosti a pak je zobrazit v grafu závislosti. Pro tento algoritmus je použit princip lifelines. Křivky přežití jsou pak porovnány pomocí K-Means klastrovacího algoritmu.

Aplikace je vyvinuta v programovacím jazyce Python a webovém prostředí Flask. Tuto aplikaci je možné používat v operačních systémech Windows i Linux pomocí služby IIS (Internet Information Services) a Apache.

Aequor Tracer GUI

Aequor Tracer - Netflow Pie Graph

Aequor Tracer - traffic graph

Aequor Tracer - LifeLines Graph

Aequor Tracer - Clustered Graph - similar traffic dependence

Software description

The Aequor Tracer application is a partial result of the project ``Detection of security threats on the active components of critical infrastructures''. Therefore, the functionality of the application is specific to the purpose of the project. The two main functions of the application are:

1. IP (Internet Protocol) address position decision.
2. Behaviour analysis of traffic.

Other functions are DNS (Domain Name System) resolver, network tools, traffic graphs. The algorithm for IP address position detection can figure out if a specific IP address lies inside a selected map based on latitude and longitude values. The latitude and longitude values are used for the calculation. Such values are used for both the IP address and the map background boundaries. Subsequently, using the polygon intersection algorithm and the clustering algorithm, it is determined whether the IP address value exists within a selected region. The calculation can be done manually by entering the IP address, or the calculation is performed automatically for all new incoming public IP addresses.

Behavioral traffic analysis was primarily developed to detect the same or similar data transfer behavior. For example, to detect ``ransomware'' activity that has periodic properties when establishing links to control servers. Such analysis is possible for all traffic, be it any time range and different sources. Subsequently, it has been shown that any type of traffic has its characteristic curve in a given view. Therefore, this feature has been included in this application. It is thus possible to observe what sources have identical properties and then display them in the dependency graph. The principle of lifelines is used for this algorithm. The lifelines curves are then compared using K-Means clustering algorithm.

The application is developed in the Python programming language and the Flask web framework. It is possible to use this application in both Windows and Linux operating system using IIS (Internet Information Services), Apache, etc.

AEQUOR-TRACER-1.0.0

Aktuální stav (Current status): Alfa. Verze (Version) 1.0.0. Licence (License): MIT Jméno balíčku (Package name): AEQUOR-TRACER-1.0..

Autoři (Authors): Oujezský, V.; Horváth, T.; Münster, P.

Odkaz ke stažení (Download)

AEQUOR-TRACER-1.0.0 source Nahráno (Uploaded on): 27.07.2019 ; Velikost (Size): xxx ; MD5:xxx