Menu Zavrieť

Dataset KIS 2019

Dataset KIS 2019

  • Autori : Jana Uramová, Tomáš Mokoš, Patrik Rodina, Peter Seemann, Miroslav Kohútik

Tento článok popisuje sieťový dataset KIS 2019. Ak máte zájuem o prístup k tomuto datasetu, kontaktujte nás na e-mailovej adrese dataset[AT]kis.fri.uniza.sk.

Dataset KIS 2019 bol vytvorený ako súčasť diplomovej práce Tomáša Mokoša na Katedre Informačných Sietí na Fakulte Riadenia a Informatiky Žilinskej Univerzity v Žiline.

Dataset KIS 2019 pozostáva z jedného súboru formátu PCAP o veľkosti 12 GB. Sieťová prevádzka v datasete pozostáva z útočnej a benígnej, ktoré sú v súbore príslušne označené.

Zachytávanie dát sa odohráva 23.4.2019 počas 6 hodinového časového okna v čase od 13:00 do 19:00. V datasete je využitých 5 verzií rôznych operačných systémov, pričom pri útočných scenároch je využitých viacero typov útokov. Dataset taktiež obsahuje kompletnú sieťovú prevádzku útočníkov a taktiež obetí, čo bolo zaistené pomocou nástrojov Wireshark a tcpdump. Navyše, aby sme vedeli poskytnúť aj dodatočné informácie, dataset okrem samotnej prevádzky obsahuje aj logovacie súbory obetí, ktoré by mali byť nápomocné pri skúmaní správania sa obetí počas útokov.

Pri tvorbe datasetu KIS 2019 sme využili viaceré znalosti vyplývajúce z analýzy datasetov kanadských výskumníkov z Kanadského Inštitútu pre Kyberbezpečnosť (CIC). CIC sa venuje tvorbe verejne dostupných sieťových datasetov od roku 1998 a v roku 2016 identifikovali 11 kritérií, ktoré by mal spĺňať spoľahlivý sieťový dataset. Dataset KIS 2019 spĺňa 10 z 11 týchto kritérií, ktoré uvádzame nižšie.

Kompletná sieťová konfigurácia (Complete Network configuration):

V rámci datasetu boli využité viaceré typy zariadení ako smerovače, prepínače, firewall, web server a samozrejme klientské PC.

Kompletná prevádzka (Complete Traffic):

Prípad generovania sieťovej prevádzky bol riešený pomocou doplnenia dodatočnej neútočnej sieťovej prevádzky z Flowmon sondy k neútočnej prevádzke zo zariadení v cloude.

Značkovaný dataset (Labeled dataset):

Dataset je korektne označkovaný, pričom je označená útočná aj neútočná sieťová prevádzka. Útočná prevádzka obsahuje dodatočné značky, ktoré určujú jednotlivé útoky.

Kompletná sieťová interakcia (Complete Interaction):

V rámci zachytenia komunikácie v jednotlivých sieťach boli spustené na zariadeniach nástroje Wireshark a tcpdump v závislosti od operačného systému.

Kompletné zachytávanie (Complete Capture):

Kompletné zachytávanie bolo docielené pomocou systému Moloch, ale využili sme taktiež zachytávanie pomocou nástrojov Wireshark a tcpdump, pre zachytenie kompletnej sieťovej prevádzky zo zariadení.

Použité protokoly (Available Protocols):

V datasete sa nachádza viacero druhov protokolov, medzi ktoré patrí hlavne HTTP, HTTPS, FTP, SSH a ďalšie.

Anonymita (Anonymity):

Verejné IP adresy boli nahradené adresami v privátnom rozsahu.

Heterogenita (Heterogenity):

Dataset poskytuje okrem samotnej sieťovej prevádzky, taktiež logovacie súbory z jednotlivých používateľských zariadení použitých v datasete.

Feature set:

Na extrahovanie rôznych dôležitých vlastností datasetu sme využili CICFlowmeter, ktorého výstup je súčasťou datasetu.

Dokumentácia (Metadata):

V rámci dokumentácie je popísaná sieťová infraštruktúra, využité používateľské zariadenia, spôsob generovania sieťovej prevádzky, ale taktiež aj útočné scenáre.

Sieťová infraštruktúra

Sieťová topológia datasetu

Sieťová infraštruktúra datasetu KIS 2019 pozostáva z dvoch sietí, v ktorých sa nachádzajú útočníci a v ktorej sa nachádzajú obete. Obete sa nachádzajú na počítačoch v školskom laboratóriu a útočníci sa nachádzajú v katedrovom cloude.

Sieť útočníkov

Sieť útočníkov pozostáva z troch zariadení, pričom drvivá väčšina útokov bola vykonávaná zo zariadenia s operačným systémom Kali Linux. Zo zvyšných dvoch zariadení boli vykonané webové útoky a DDoS útok.

IP adresaOperačný systémProcesorRAM
192.168.153.165Kali Linux2x Intel Core Processor (Skylake) 2.10GHz4GB
192.168.153.143Windows 10 Pro 64bit2x Intel Core Processor (Skylake) 2.10GHz8GB
192.168.153.176Windows 10 Pro 64bit2x Intel Core Processor (Skylake) 2.10GHz8GB

Sieť obetí

Sieť obetí pozostáva z 3 klientov, pričom dvaja mali nasadení operačný systém Ubuntu 18.04 a tretí mal operačný systém Windows 7.

IP adresaOperačný systémProcesorRAM
192.168.139.184Ubuntu Server 16.04i5-4460 , 3.20GHz, 1 Core4GB
192.168.139.185Ubuntu 18.04 LTSi5-4460 , 3.20GHz, 1 Core2GB
192.168.139.187Ubuntu 18.04 LTSi5-4460 , 3.20GHz, 1 Core2GB
192.168.139.173Windows 7 32biti5-4460 , 3.20GHz, 1 Core2GB

Útočné scenáre

V rámci útokov boli použité nasledovné typy útokov a nástrojov :

  • DoS – Hulk, Slowhttptest, Xerxes, GoldenEye
  • DDoS –LOIC
  • Skenovanie siete – Nmap
  • Útok hrubou silou – Patator
  • Webové útoky – SQL Injection, XSS

Skenovanie siete

Pre tento typ útoku sme použili nástroj Nmap. Útočili sme z Kali Linuxu (192.168.153.165) na zariadenia, ktoré sa nachádzali v sieti „Victims ‘ network“. Ako prvé sme zistili, ktoré stroje sú zapnute následne sme použili prepínače slúžiace na zistenie otvorených portov, detekciu bežiacich služieb a zistenie operačného systému. Z výstupov sme zistili že v sieti sa nachádzajú 4 zapnuté zariadenia.

BruteForce útok SSH a FTP

Pri útoku hrubou silou sme použili nástroj Patator. Tento nástroj slúži na útok hrubou silou na viacero služieb ako napr. ssh, ftp, smb, telnet. V prvom prípade sme útočili na SSH a FTP službu Ubuntu Servera (192.168.139.184). SSH bolo prelomené 14:22:15 , FTP 14:59:38. V druhom prípade sme útočili na SSH službu Ubuntu 18.04 TLS (192.168.139.187). SSH prihlásenie bolo úspešné 15:25:17.

SQL Injection

SQL Injection je typ útoku, ktorý využíva bezpečnostné chyby v aplikáciách ktoré používajú SQL databázu. Pre tento typ útoku sme nainštalovali DVWA aplikáciu na Ubuntu Server (192.168.139.184). DVWA je aplikácia, ktorá obsahuje bezpečnostné chyby. Útočník bol Windows 10 (192.168.153.143), ktorý použil viacero SQL príkazov napr. „. %’ and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users #“ pomocou týchto príkazov zistil údaje z databázy ako meno a hesla.

Cross-site scripting

Cross-site scripting (XSS) je typ útoku pri ktorom sa používajú skripty na poškodenie WWW stránky. V tomto prípade bol útočník Windows 10 (192.168.153.143) a obeť Ubuntu Server (192.168.139.184). Útočník použil skripty ako „“ pre poškodenie stránky.

DoS

Pre tento typ útoku boli použité nástroje Hulk, Slowhttptest, Xerxes, GoldenEye. Útočník bol Kali Linux (192.168.153.165) a obeť Ubuntu Server (192.168.139.184) s nainštalovaným Apache httpd 2.4.18. Server sa po niekoľkých sekundách stal nedostupným.

DDoS

V tomto scenári bol použitý nástroj LOIC. Pre útok boli použité dva Windows 10 (192.168.153.143, 192.168.153.176) a obeťou bol Ubuntu Server (192.168.139.184) s nainštalovaným Apache httpd 2.4.18. Server sa rovnako ako pri DoS útoku stal po niekoľkých sekundách nedostupný.

Infiltrácia

Infiltrácia je typ útoku v ktorom obeť spustí škodlivý softvér pomocou ktorého útočník môže používať príkazový riadok obete.
V našom prípade sme použili nástroj Metasploit, kde sme si vygenerovali škodlivý softvér, ktorý sa pri spustení pripojil na naše útočné zariadenie (192.168.153.165) z ktorého následne sme mohli používať príkazový riadok obete (192.168.139.173). Útočník mohol sťahovať súbory z obete a vykonávať príkazy v cmd.

Botnet

V našom prípade sme použili botnet Ares. Útočník bol Kali Linux (192.168.153.165) a obeť Windows 7 (192.168.139.173). Obeť si stiahla .exe súbor zo servera. Po spustení .exe súboru sa botnet pripojil na svoj C&C server, následne útočník mohol spustiť keylogger, prípadne robiť screenshooty, ktoré sa posielali na server.

Zoznam útokov spolu s ich trvaním, útočníkmi a obeťami sa nachádzajú v nasledujúcej tabuľke.

ÚtokTrvanieÚtočníkObeť
Nmap13:49:02 – 13:49:16192.168.153.165192.168.139.173
13:49:11 – 13:49:25192.168.153.165192.168.139.184
13:49:25 – 13:49:39192.168.153.165192.168.139.185
13:49:33 – 13:49:47192.168.153.165192.168.139.187
13:51:20 – 13:51:39192.168.153.165192.168.139.184
13:52:15 – 13:52:33192.168.153.165192.168.139.184
13:55:05 – 13:55:27192.168.153.165192.168.139.185
13:56:16 – 13:56:25192.168.153.165192.168.139.187
BruteForce SSH14:05:01 – 14:23:15192.168.153.165192.168.139.184
BruteForce FTP14:28:46 – 15:00:17192.168.153.165192.168.139.184
BruteForce SSH15:05:41 – 15:26:32192.168.153.165192.168.139.187
SQL Injection16:13:10 – 16:14:40192.168.153.143192.168.139.184
XSS16:25:02 – 16:31:10192.168.153.143192.168.139.184
DoS Hulk16:35:31 – 16:50:54192.168.153.165192.168.139.184
DoS Slowhttp16:55:40 – 16:59:55192.168.153.165192.168.139.184
DoS GoldenEye17:20:17 – 17:26:51192.168.153.165192.168.139.184
DDoS LOIC17:54:53 – 18:05:55192.168.153.143192.168.139.184
17:54:53 – 18:05:55192.168.153.176192.168.139.184
DoS Xerxes18:17:20 – 18:25:16192.168.153.165192.168.139.184
Botnet18:49:23 – 18:51:52192.168.153.165192.168.139.173
Infiltrácia18:52:49-18:55:37192.168.153.165192.168.139.173

Zdroje:

J. Uramova, P. Segec, M. Moravcik, J. Papan, M. Kontsek, and J. Hrabovsky, “Infrastructure for Generating New IDS Dataset,” in 2018 16th International Conference on Emerging eLearning Technologies and Applications (ICETA), 2018, pp. 603–610.

Rate this post

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.