Network security awareness based on flow monitoring (NetFlow) is used with success at Masaryk University. We have discovered a new botnet called Chuck Norris at Masaryk University in December 2009. This botnet attacks vulnerable devices as ADSL modems and routers. In this talk, we will present and describe a set of detection methods for revealing Chuck Norris botnet in observed network using flow data. Also we will show the implementation of these methods as a plugin for NetFlow collector NfSen.
Česky
Masarykova univerzita využívá s úspěchem bezpečnostní monitorování sítě založené na sledování toků (NetFlow). V prosinci roku 2009 byl objeven díky tomuto monitorování na Masarykově univerzitě botnet Chuck Norris. Tento botnet se zaměřuje na zranitelná zařízení jako jsou ADSL modemy a routery. V této prezentaci popisujeme sadu detekčních metod pro odhalení botnetu Chuck Norris ve sledované síti založených na analýze NetFlow dat. Zároveň je prezentována implementace těchto detekčních metod ve formě rozšiřujícího pluginu pro NetFlow kolektor NfSen.
Návaznosti
OVMASUN200801, projekt VaV
Název: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Akronym: CYBER)
Investor: Ministerstvo obrany ČR, CYBER - Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence