témavezető: Holczer Tamás
helyszín (magyar oldal): Hálózati Rendszerek és Szolgáltatások Tanszék helyszín rövidítés: HIT
A kutatási téma leírása:
Különböző számítógépek egy hálózaton keresztül változatos protokollok segítségével tartják egymással a kapcsolatot. Ezek a protokollok leírják, hogy mik az elfogadható üzenet formátumok, és az üzenetek értelmezését is definiálják. Sok esetben ez a leírás és definíció egyáltalán nem áll rendelkezésre vagy legalábbis nem publikus módon. Ilyen esetek az ipari hálózatok zárt szabványai, vagy a támadó célú botnetek saját C&C protokolljai.
A doktori kutatás fő célkitűzése, hogy megvizsgálja, hogy egy ilyen ismeretlen protokollról mi deríthető ki automatikus eszközökkel. Az automatikus eszközök használata azért célszerű és indokolt, mivel egy ismeretlen protokoll kézi visszafejtése rendkívül nehézkes és hosszú időt igénylő feladat. Az így nyert teljes vagy részleges protokoll leírás segítségével jobb minőségű IDS szabályokat tudunk alkotni, csapdákat (honeypot) tudunk tervezni és kivitelezni, hatékonyabban tudjuk fuzzolni a protokollt, jobban tudunk hibát keresni egy integrációs feladatban, vagy könnyebben tudunk védekezni egy ismeretlen malware ellen.
A doktori kutatás egyik célja annak felmérése, hogy különböző esetekben (például rendelkezésre áll nagy mennyiségű forgalom vagy sem, rendelkezésre áll a protokollt feldolgozó bináris esetleg forráskód vagy sem), meddig lehet elmenni automatikus eszközök segítségével a protokoll szintakszis, szemantika és állapotgép megértésében. A kutatás másik fontos célja új módszerek kidolgozása, amelyek a jelenleg ismert módszereknél jobb eredményt (például nagyobb fedés, vagy pontosabb állapotgép) érnek el.