Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos

Página do item simplificado
dc.contributor.advisorCansian, Adriano Mauro [UNESP]
dc.contributor.authorCorrêa, Jorge Luiz [UNESP]
dc.contributor.institutionUniversidade Estadual Paulista (Unesp)
dc.date.accessioned2014-06-11T19:29:40Z
dc.date.available2014-06-11T19:29:40Z
dc.date.issued2009-08-25
dc.description.abstractEste trabalho apresenta um modelo de detecção de eventos em redes baseado no rastreamento de fluxos no padrão Netflow. Atualmente, a utilização de fluxos de rede como mecanismo de monitoria de tráfego tem se tornado cada vez mais importante devido a escalabilidade proporcionada. Inicialmente estabelece-se uma arquitetura de coleta e armazenamento de fluxos baseada em bancos de dados relacionais. Coletados os fluxos, criam-se estruturadas denominadas assinaturas para a descrição dos eventos de interesse no ambiente monitorado. O modelo utiliza duas vertentes na detecção de eventos: a baseada em abuso e a baseada em anomalias. A detecção baseada em abuso visa identificar eventos que produzam características fixas no tráfego de um ambiente. A detecção por anomalias visa identificar padrões de tráfego considerados anormais, podendo utilizar diferentes mecanismos de detecção. A arquitetura do sistema é capaz de coletar e armazenar fluxos, processá-los confrontando-os com uma base de assinaturas, utilizar mecanismos de detecção de anomalias e produzir relatórios para o administrador. O sistema foi testado em um ambiente isolado para coleta de informações, tais como taxas de erros e acertos, e no ambiente de produção do Instituto de Biociências, Letras e Ciências Exatas de São José do Rio Preto (IBILCE - UNESP). Além de eventos isolados de interesse dos administradores, podem ser descritos e detectados eventos como ataques de dicionário, hosts com aplicações de compartilhamento de arquivos (P2P), Bittorrent, chamadas de voz Skype, varreduras de redes e artefatos maliciosos. O modelo é aplicável em redes de pequeno e médio porte sem grandes investimentos, permitindo que eventos sejam detectados por meio da identificação de padrões comportamentais que estes geram no ambiente de rede. Testes mostraram que o modelo é capaz de descrever diversos protocolos...pt
dc.description.abstractThis work presents a detection model of networks events based on the tracking of Netflow standard flows. Currently, the use of network flows as a mechanism for monitoring traffic has become increasingly important because of the scalability provided. Initially an architecture is established for collection and storage of flows based on relational databases. Once collected the flows, structures called signatures are created to describe the events of interest in the environment monitored. The model uses two strands in the detection of events: one based on the abuse and one based on anomalies. The abuse detection aims to identify events that produce fixed characteristics in the traffic of an environment. The anomaly detection aims to identify traffic patterns considered abnormal and may use different mechanisms of detection. The architecture of the system is able to collect and store flows, process them confronting them with a signature database, make use mechanisms of anomaly detection and produce reports for the administrator. The system was tested in an isolated environment for collecting information such as rates of errors and successes, and in the production environment of the Instituto de Biociencias, Letras e Ciencias Exatas de Sao Jose do Rio Preto (IBILCE - UNESP). Further of isolated events of interest of administrators, can be detected and described events as a dictionary attack, hosts with file sharing applications (P2P), BitTorrent, Skype voice calls, network scans and malicious softwares. The model is applicable to networks of small and medium businesses without large investments, allowing events to be detected by identifying behavioral patterns that they generate in the network environment. Tests showed that the model is able to describe several protocols and patterns of attacks, with rates of hits and misses compatible with security tools known efficient.en
dc.description.sponsorshipCoordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)
dc.format.extent98 f. : il.
dc.identifier.aleph000598734
dc.identifier.capes33004153073P2
dc.identifier.citationCORRÊA, Jorge Luiz. Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos. 2009. 98 f. Dissertação (mestrado) - Universidade Estadual Paulista, Instituto de Biociências, Letras e Ciências Exatas, 2009.
dc.identifier.filecorrea_jl_me_sjrp.pdf
dc.identifier.lattes0095921943345974
dc.identifier.orcid0000-0003-4494-1454
dc.identifier.urihttp://hdl.handle.net/11449/98655
dc.language.isopor
dc.publisherUniversidade Estadual Paulista (Unesp)
dc.rights.accessRightsAcesso aberto
dc.sourceAleph
dc.subjectRedes de computadores - Medidas de segurançapt
dc.subjectAssinaturas digitaispt
dc.subjectSistemas de segurançapt
dc.subjectAnálise de fluxospt
dc.subjectDetecção de intrusãopt
dc.subjectAbuso e anomaliapt
dc.subjectSecurity systemsen
dc.titleUm modelo de detecção de eventos em redes baseado no rastreamento de fluxospt
dc.typeDissertação de mestrado
unesp.advisor.lattes0095921943345974[1]
unesp.advisor.orcid0000-0003-4494-1454[1]
unesp.campusUniversidade Estadual Paulista (Unesp), Instituto de Biociências Letras e Ciências Exatas, São José do Rio Pretopt
unesp.graduateProgramCiência da Computação - IBILCEpt
unesp.knowledgeAreaSistemas de computaçãopt

Arquivos

Pacote Original
Agora exibindo 1 - 1 de 1
Imagem de Miniatura
Nome:
correa_jl_me_sjrp.pdf
Tamanho:
1.51 MB
Formato:
Adobe Portable Document Format
Baixar

Coleções

Dissertações - Ciência da Computação - IBILCE