Network Traffic Characterisation Using Flow-Based Statistics

Performing research on live network traffic requires the traffic to be well documented and described. The results of such research are heavily dependent on the particular network. This paper presents a study of network characteristics, which can be used to describe the behaviour of a network. We propose a number of characteristics that can be collected from the networks and evaluate them on five different networks of Masaryk University. The proposed characteristics cover IP, transport and application layers of the network traffic. Moreover, they reflect strong day-night and weekday patterns that are present in most of the networks. Variation in the characteristics between the networks indicates that they can be used for the description and differentiation of the networks. Furthermore, a weak correlation between the chosen characteristics implies their independence and contribution to network description

Cyber Situation Awareness via IP Flow Monitoring

Cyber situation awareness has been recognized as a vital requirement for effective cyber defense. Cyber situation awareness allows cybersecurity operators to identify, understand, and anticipate incoming threats. Achieving and maintaining the cyber situation awareness is a challenging task given the continuous evolution of the computer networks, increasing volume and speeds of the data in a network, and rising number of threats to network security. Our work contributes to the continuous evolution of cyber situation awareness by the research of novel approaches to the perception and comprehension of a computer network. We concentrate our research efforts on the domain of IP flow network monitoring. We propose improvements to the IP flow monitoring techniques that enable the enhanced perception of a computer network. Further, we conduct detailed analyses of network traffic, which allows for an in-depth understanding of host behavior in a computer network. Last but not least, we propose a novel approach to IP flow network monitoring that enables real-time cyber situation awareness

Planificación de transferencias masivas en entornos multi-PoP

Desde los comienzos de la computación, períodos de baja carga han sido aprovechados para programar tareas no interactivas. Hoy en día, entre estas tareas destaca la planificación de transferencias masivas —aquellas transferencias de gran volumen sin exigencias precisas en cuanto a su momento de realización, como pueden ser la distribución de bases de datos o la replicación de recursos o copias de seguridad—, debido a su efecto directo tanto en el rendimiento como en el coste de las redes. A través de una revisión e inspección visual de las curvas de demandas de tráfico de diversos puntos de presencia (PoP), ya sean una red, enlace, ISP o IXP, se hace evidente que los períodos de bajo uso de ancho de banda se producen a primera hora de la mañana, mostrando una apreciable forma convexa en ese momento. Tal observación nos ha llevado a estudiar y modelar el instante cuando tales demandas alcanzan su mínimo, en lo que hemos denominado momento valle como una aproximación al lapso ideal para realizar transferencias masivas. Después de estudiar y modelar escenarios de PoPs individuales buscando homogeneidad temporal y espacial en el fenómeno, así como su extensión a escenarios multi-PoP —metanodos construidos a partir de la agregación de varios PoPs—, se propone un sistema predictor para el momento valle. Esta herramienta funciona como un oráculo para la planificación de transferencias masivas, con diferentes versiones según las escalas de tiempo y el equilibrio deseado entre precisión y complejidad, y tiene en cuenta las diferentes zonas horarias de cada uno de los nodos; por lo tanto, está pensada para redes geodistribuidas. La evaluación del sistema, denominado VTO, ha demostrado su utilidad, con errores inferiores a una hora en la estimación de momentos valle, así como errores en torno al 10% en términos de ancho de banda entre la predicción y el tráfico del valle real. Asimismo, se ha calculado el impacto en el percentil 95 de uso de una red real de efectuar transferencias masivas con VTO, mostrando su mejora frente a un sistema de hora fija.Periods of light load have been employed for the scheduling of non-interactive tasks since the early stages of computing. Nowadays, among such tasks it stands out the scheduling of bulk transfers—i.e., large-volume transfers without a precise timing—such as database distribution, resources replication or backups, given its direct effect on both the performance and billing of networks. Through a review and visual inspection of traffic-demand curves of diverse points of presence (PoP), either a network, link, ISP or IXP, it becomes apparent that low-use periods of bandwidth demands occur at early morning, showing a noticeable convex shape. Such observation conducted us to study and model the time when such demands come to their minimum, on what we have named valley time of a PoP as an approximation to the ideal moment to carry out bulk transfers. After studying and modeling single-PoP scenarios both temporally and spatially seeking homogeneity in the phenomenon, as well as its extension to multi-PoP scenarios or paths—a meta-PoP constructed as the aggregation of several PoPs—, a final predictor system is proposed for the valley time. This tool works as an oracle for scheduling bulk transfers, with different versions according to time scales and the desired trade-off between precision and complexity, and takes into account different time zones; hence, it is intended to serve geodistributed networks. The evaluation of the system, named VTO, has proven its usefulness with errors below an hour on estimating the occurrence of valley times, as well as errors about 10% in terms of bandwidth between the prediction and the actual valley traffic. Likewise, the impact of effecting bulk transfers with VTO on the 95th percentile usage of a real network has been calculated, showing an improvement over a fixed-time system

Diseño e implementación de una plataforma de detección de amenazas de red

Este TFG presenta una guía completa de los aspectos teóricos y prácticos necesarios para realizar el diseño e implementación de una plataforma de detección de amenazas en la red del Departamento de Informática de la Universidad de Valladolid. Como introducción al proyecto se nos describen los problemas de seguridad a los que se expone una red y las distintas medidas existentes para lograr protegerla. Esta introducción nos presenta las medidas de seguridad que tendrán relevancia a lo largo del proyecto, estas medidas son los sistemas de detección de intrusos (IDS) y los sistemas de seguridad de la información y gestión de eventos(SIEM). Con el fin de realizar la elección de las herramientas empleadas en la plataforma de detección, se ha realizado un estudio individualizado de las herramientas IDS y SIEM en el mercado. Este estudio nos ha permitido decidir emplear la distribución Security Onion para la creación de la plataforma de detección. Mediante el diseño e implementación de una arquitectura distribuida Security Onion se ha logrado monitorizar el tráfico del Departamento de Informática y con ello permitir desarrollar un estudio con las posibles vulnerabilidades de la red. Como comprobaciones complementarias, se ha realizado la inyección sobre la plataforma de detección de archivos PCAP con tráfico malicioso que nos ha permitido corroborar la correcta detección de ataques.Grado en Ingeniería Informátic