“Analisador Comportamental de Rede”

From Navigators

Jump to: navigation, search

João Manuel Alexandre Cardana (advised by Nuno Ferreira Neves)

Master’s thesis, Faculty of Sciences, University of Lisbon, Lisbon, Portugal, Dec. 2006

Abstract: A globalização das comunicações e a necessidade da partilha de informação, tem provocado um impacto inegável na segurança dos dados que transitam pelas redes de computadores. As vulnerabilidades que surgem constantemente, dia após dia, criaram a necessidade que novos dispositivos de segurança fossem desenvolvidos, com capacidades cada vez mais evoluídas. Por exemplo, equipamentos maioritariamente de prevenção de ataques, como as anteparas de segurança, deixaram de ser suficientes para fazerem face às ameaças, obrigando a que surgissem soluções para a descoberta de ataques/intrusões em tempo real. Muitos dos sistemas de detecção de intrusões comercializados actualmente, são incapazes de localizar novos ataques, que não estejam previstos nas suas bases de dados. Estes equipamentos precisam assim de uma actualização periódica das assinaturas de ataques para que se mantenham eficazes. Neste trabalho propõe-se um sistema complementar, que se baseia numa análise comportamental do funcionamento da rede. Neste sistema existe uma fase inicial de aprendizagem, que resulta na definição de um comportamento padrão da rede. Depois, na fase de detecção, procuram-se anomalias com algum significado estatístico, correspondendo cada uma delas potencialmente a um ataque. A solução proposta assenta em três processos distintos, que são executados com uma periodicidade reduzida. O processo de captura recolhe o tráfego existente na rede, retira alguns dados relevantes dos pacotes, e armazena-os numa estrutura hierárquica. No fim de cada período, o processo de análise aplica alguns métodos estatísticos para gerar um conjunto (caso exista) de excepções, que correspondem aos comportamentos anómalos que foram observados. Por último, o processo de decisão baseia-se nas excepções para, por exemplo, informar o administrador que um ataque está em curso, ou para interagir directamente com os outros equipamentos de rede de maneira a minorar (ou idealmente terminar) os efeitos do ataque. A tese descreve uma concretização deste modelo, e faz uma avaliação do protótipo numa rede de computadores sujeita a vários tipos de ataques. Os resultados mostram que o modelo descrito é eficaz para detecção de diversos ataques de negação de serviço.


Export citation

BibTeX

Project(s):

Research line(s): Fault and Intrusion Tolerance in Open Distributed Systems (FIT)

Personal tools
Navigators toolbox