Dataset KIS 2019
- Autori : Jana Uramová, Tomáš Mokoš, Patrik Rodina, Peter Seemann, Miroslav Kohútik
Tento článok popisuje sieťový dataset KIS 2019. Ak máte zájuem o prístup k tomuto datasetu, kontaktujte nás na e-mailovej adrese dataset[AT]kis.fri.uniza.sk.
Dataset KIS 2019 bol vytvorený ako súčasť diplomovej práce Tomáša Mokoša na Katedre Informačných Sietí na Fakulte Riadenia a Informatiky Žilinskej Univerzity v Žiline.
Dataset KIS 2019 pozostáva z jedného súboru formátu PCAP o veľkosti 12 GB. Sieťová prevádzka v datasete pozostáva z útočnej a benígnej, ktoré sú v súbore príslušne označené.
Zachytávanie dát sa odohráva 23.4.2019 počas 6 hodinového časového okna v čase od 13:00 do 19:00. V datasete je využitých 5 verzií rôznych operačných systémov, pričom pri útočných scenároch je využitých viacero typov útokov. Dataset taktiež obsahuje kompletnú sieťovú prevádzku útočníkov a taktiež obetí, čo bolo zaistené pomocou nástrojov Wireshark a tcpdump. Navyše, aby sme vedeli poskytnúť aj dodatočné informácie, dataset okrem samotnej prevádzky obsahuje aj logovacie súbory obetí, ktoré by mali byť nápomocné pri skúmaní správania sa obetí počas útokov.
Pri tvorbe datasetu KIS 2019 sme využili viaceré znalosti vyplývajúce z analýzy datasetov kanadských výskumníkov z Kanadského Inštitútu pre Kyberbezpečnosť (CIC). CIC sa venuje tvorbe verejne dostupných sieťových datasetov od roku 1998 a v roku 2016 identifikovali 11 kritérií, ktoré by mal spĺňať spoľahlivý sieťový dataset. Dataset KIS 2019 spĺňa 10 z 11 týchto kritérií, ktoré uvádzame nižšie.
Kompletná sieťová konfigurácia (Complete Network configuration):
V rámci datasetu boli využité viaceré typy zariadení ako smerovače, prepínače, firewall, web server a samozrejme klientské PC.
Kompletná prevádzka (Complete Traffic):
Prípad generovania sieťovej prevádzky bol riešený pomocou doplnenia dodatočnej neútočnej sieťovej prevádzky z Flowmon sondy k neútočnej prevádzke zo zariadení v cloude.
Značkovaný dataset (Labeled dataset):
Dataset je korektne označkovaný, pričom je označená útočná aj neútočná sieťová prevádzka. Útočná prevádzka obsahuje dodatočné značky, ktoré určujú jednotlivé útoky.
Kompletná sieťová interakcia (Complete Interaction):
V rámci zachytenia komunikácie v jednotlivých sieťach boli spustené na zariadeniach nástroje Wireshark a tcpdump v závislosti od operačného systému.
Kompletné zachytávanie (Complete Capture):
Kompletné zachytávanie bolo docielené pomocou systému Moloch, ale využili sme taktiež zachytávanie pomocou nástrojov Wireshark a tcpdump, pre zachytenie kompletnej sieťovej prevádzky zo zariadení.
Použité protokoly (Available Protocols):
V datasete sa nachádza viacero druhov protokolov, medzi ktoré patrí hlavne HTTP, HTTPS, FTP, SSH a ďalšie.
Anonymita (Anonymity):
Verejné IP adresy boli nahradené adresami v privátnom rozsahu.
Heterogenita (Heterogenity):
Dataset poskytuje okrem samotnej sieťovej prevádzky, taktiež logovacie súbory z jednotlivých používateľských zariadení použitých v datasete.
Feature set:
Na extrahovanie rôznych dôležitých vlastností datasetu sme využili CICFlowmeter, ktorého výstup je súčasťou datasetu.
Dokumentácia (Metadata):
V rámci dokumentácie je popísaná sieťová infraštruktúra, využité používateľské zariadenia, spôsob generovania sieťovej prevádzky, ale taktiež aj útočné scenáre.
Sieťová infraštruktúra
Sieťová infraštruktúra datasetu KIS 2019 pozostáva z dvoch sietí, v ktorých sa nachádzajú útočníci a v ktorej sa nachádzajú obete. Obete sa nachádzajú na počítačoch v školskom laboratóriu a útočníci sa nachádzajú v katedrovom cloude.
Sieť útočníkov
Sieť útočníkov pozostáva z troch zariadení, pričom drvivá väčšina útokov bola vykonávaná zo zariadenia s operačným systémom Kali Linux. Zo zvyšných dvoch zariadení boli vykonané webové útoky a DDoS útok.
| IP adresa | Operačný systém | Procesor | RAM |
|---|---|---|---|
| 192.168.153.165 | Kali Linux | 2x Intel Core Processor (Skylake) 2.10GHz | 4GB |
| 192.168.153.143 | Windows 10 Pro 64bit | 2x Intel Core Processor (Skylake) 2.10GHz | 8GB |
| 192.168.153.176 | Windows 10 Pro 64bit | 2x Intel Core Processor (Skylake) 2.10GHz | 8GB |
Sieť obetí
Sieť obetí pozostáva z 3 klientov, pričom dvaja mali nasadení operačný systém Ubuntu 18.04 a tretí mal operačný systém Windows 7.
| IP adresa | Operačný systém | Procesor | RAM |
|---|---|---|---|
| 192.168.139.184 | Ubuntu Server 16.04 | i5-4460 , 3.20GHz, 1 Core | 4GB |
| 192.168.139.185 | Ubuntu 18.04 LTS | i5-4460 , 3.20GHz, 1 Core | 2GB |
| 192.168.139.187 | Ubuntu 18.04 LTS | i5-4460 , 3.20GHz, 1 Core | 2GB |
| 192.168.139.173 | Windows 7 32bit | i5-4460 , 3.20GHz, 1 Core | 2GB |
Útočné scenáre
V rámci útokov boli použité nasledovné typy útokov a nástrojov :
- DoS – Hulk, Slowhttptest, Xerxes, GoldenEye
- DDoS –LOIC
- Skenovanie siete – Nmap
- Útok hrubou silou – Patator
- Webové útoky – SQL Injection, XSS
Skenovanie siete
Pre tento typ útoku sme použili nástroj Nmap. Útočili sme z Kali Linuxu (192.168.153.165) na zariadenia, ktoré sa nachádzali v sieti „Victims ‘ network“. Ako prvé sme zistili, ktoré stroje sú zapnute následne sme použili prepínače slúžiace na zistenie otvorených portov, detekciu bežiacich služieb a zistenie operačného systému. Z výstupov sme zistili že v sieti sa nachádzajú 4 zapnuté zariadenia.
BruteForce útok SSH a FTP
Pri útoku hrubou silou sme použili nástroj Patator. Tento nástroj slúži na útok hrubou silou na viacero služieb ako napr. ssh, ftp, smb, telnet. V prvom prípade sme útočili na SSH a FTP službu Ubuntu Servera (192.168.139.184). SSH bolo prelomené 14:22:15 , FTP 14:59:38. V druhom prípade sme útočili na SSH službu Ubuntu 18.04 TLS (192.168.139.187). SSH prihlásenie bolo úspešné 15:25:17.
SQL Injection
SQL Injection je typ útoku, ktorý využíva bezpečnostné chyby v aplikáciách ktoré používajú SQL databázu. Pre tento typ útoku sme nainštalovali DVWA aplikáciu na Ubuntu Server (192.168.139.184). DVWA je aplikácia, ktorá obsahuje bezpečnostné chyby. Útočník bol Windows 10 (192.168.153.143), ktorý použil viacero SQL príkazov napr. „. %’ and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users #“ pomocou týchto príkazov zistil údaje z databázy ako meno a hesla.
Cross-site scripting
Cross-site scripting (XSS) je typ útoku pri ktorom sa používajú skripty na poškodenie WWW stránky. V tomto prípade bol útočník Windows 10 (192.168.153.143) a obeť Ubuntu Server (192.168.139.184). Útočník použil skripty ako „“ pre poškodenie stránky.
DoS
Pre tento typ útoku boli použité nástroje Hulk, Slowhttptest, Xerxes, GoldenEye. Útočník bol Kali Linux (192.168.153.165) a obeť Ubuntu Server (192.168.139.184) s nainštalovaným Apache httpd 2.4.18. Server sa po niekoľkých sekundách stal nedostupným.
DDoS
V tomto scenári bol použitý nástroj LOIC. Pre útok boli použité dva Windows 10 (192.168.153.143, 192.168.153.176) a obeťou bol Ubuntu Server (192.168.139.184) s nainštalovaným Apache httpd 2.4.18. Server sa rovnako ako pri DoS útoku stal po niekoľkých sekundách nedostupný.
Infiltrácia
Infiltrácia je typ útoku v ktorom obeť spustí škodlivý softvér pomocou ktorého útočník môže používať príkazový riadok obete.
V našom prípade sme použili nástroj Metasploit, kde sme si vygenerovali škodlivý softvér, ktorý sa pri spustení pripojil na naše útočné zariadenie (192.168.153.165) z ktorého následne sme mohli používať príkazový riadok obete (192.168.139.173). Útočník mohol sťahovať súbory z obete a vykonávať príkazy v cmd.
Botnet
V našom prípade sme použili botnet Ares. Útočník bol Kali Linux (192.168.153.165) a obeť Windows 7 (192.168.139.173). Obeť si stiahla .exe súbor zo servera. Po spustení .exe súboru sa botnet pripojil na svoj C&C server, následne útočník mohol spustiť keylogger, prípadne robiť screenshooty, ktoré sa posielali na server.
Zoznam útokov spolu s ich trvaním, útočníkmi a obeťami sa nachádzajú v nasledujúcej tabuľke.
| Útok | Trvanie | Útočník | Obeť |
|---|---|---|---|
| Nmap | 13:49:02 – 13:49:16 | 192.168.153.165 | 192.168.139.173 |
| 13:49:11 – 13:49:25 | 192.168.153.165 | 192.168.139.184 | |
| 13:49:25 – 13:49:39 | 192.168.153.165 | 192.168.139.185 | |
| 13:49:33 – 13:49:47 | 192.168.153.165 | 192.168.139.187 | |
| 13:51:20 – 13:51:39 | 192.168.153.165 | 192.168.139.184 | |
| 13:52:15 – 13:52:33 | 192.168.153.165 | 192.168.139.184 | |
| 13:55:05 – 13:55:27 | 192.168.153.165 | 192.168.139.185 | |
| 13:56:16 – 13:56:25 | 192.168.153.165 | 192.168.139.187 | |
| BruteForce SSH | 14:05:01 – 14:23:15 | 192.168.153.165 | 192.168.139.184 |
| BruteForce FTP | 14:28:46 – 15:00:17 | 192.168.153.165 | 192.168.139.184 |
| BruteForce SSH | 15:05:41 – 15:26:32 | 192.168.153.165 | 192.168.139.187 |
| SQL Injection | 16:13:10 – 16:14:40 | 192.168.153.143 | 192.168.139.184 |
| XSS | 16:25:02 – 16:31:10 | 192.168.153.143 | 192.168.139.184 |
| DoS Hulk | 16:35:31 – 16:50:54 | 192.168.153.165 | 192.168.139.184 |
| DoS Slowhttp | 16:55:40 – 16:59:55 | 192.168.153.165 | 192.168.139.184 |
| DoS GoldenEye | 17:20:17 – 17:26:51 | 192.168.153.165 | 192.168.139.184 |
| DDoS LOIC | 17:54:53 – 18:05:55 | 192.168.153.143 | 192.168.139.184 |
| 17:54:53 – 18:05:55 | 192.168.153.176 | 192.168.139.184 | |
| DoS Xerxes | 18:17:20 – 18:25:16 | 192.168.153.165 | 192.168.139.184 |
| Botnet | 18:49:23 – 18:51:52 | 192.168.153.165 | 192.168.139.173 |
| Infiltrácia | 18:52:49-18:55:37 | 192.168.153.165 | 192.168.139.173 |