Attack-tolerant communication in a siem tool

Detalhes bibliográficos
Autor(a) principal: Fonseca, Ricardo Jorge Pato
Data de Publicação: 2012
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/9504
Resumo: Trabalho de projecto de mestrado em Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), apresentado à Universidade de Lisboa, através da Faculdade de Ciências, 2012
id RCAP_f4ffdf56f80688e9f879a1a749bc992c
oai_identifier_str oai:repositorio.ul.pt:10451/9504
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Attack-tolerant communication in a siem toolTrabalhos de projecto de mestrado - 2012Trabalho de projecto de mestrado em Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), apresentado à Universidade de Lisboa, através da Faculdade de Ciências, 2012Uma ferramenta SIEM (Security Information and Event Management) representa uma solução que combina a coleção de eventos em tempo real através da monitorização de uma rede de computadores em múltiplas localizações, com a correlação e análise dos dados obtidos pela monitorização, a fim de descobrir se existem ataques/intrusões em progresso para que alarmes e ações de remediação possam ser iniciadas. ”Prevenção é ideal, mas deteção é obrigatória”. Este ´e o lema utilizado pelo projeto europeu MASSIF (FP7-257475) [1] que visa utilizar tecnologias SIEM para oferecer deteção de ataques e intrusões em sistemas informáticos sob variados contextos. Hoje em dia, a tecnologia SIEM não ´e novidade, no entanto, o projeto MASSIF aborda diversas limitações existentes nos sistemas SIEM atuais, e tenciona apresentar soluções inovadoras para esses problemas. Uma das limitações presentes é a incapacidade do sistema de fornecer um elevado grau de confiabilidade ou resiliência a ataques na disseminação de eventos entre os seus componentes (sensores e motor de correlação). O projeto MASSIF tem como objetivo contribuir para a resolução desse problema, fornecendo um mecanismo de comunicação que assegure a entrega fiável e atempada dos eventos de segurança, ainda que este se encontre sob ataque, quer nos nós que o concretizam como na rede que os liga. Esta tese foi desenvolvida neste contexto, oferecendo uma solução para a comunicação confiável em SIEMs. Uma vez que sensores e motores de correlação podem encontrar-se geograficamente dispersos, existe a necessidade de fornecer um sistema de comunicação capaz de transmitir dados (e.g., eventos e comandos de reconfiguração) não só em redes de estrutura LAN, mas também em redes de larga escala como a Internet. Alguns dos problemas associados a esta comunicação são atrasos nas transmissões de dados, configurações incorretas de rotas, violações de integridade nos dados transmitidos, e ataques de negação de serviço (DoS). Todos estes problemas podem potencialmente afetar a conformidade da análise de eventos. Na tese ´e apresentada a conceção de um Resilient Event Bus (REB) para uma comunicação confiável entre sensores e motores de correlação. O REB é baseado numa rede sobreposta que opera sobre a infraestrutura SIEM existente, e que usa vários mecanismos, como algoritmos de codificação, multihoming e transmissão de dados por múltiplas rotas, para assegurar uma entrega atempada de dados em vários cenários de falha (i.e., do tipo acidental ou malicioso). A tese apresenta o desenho dos vários mecanismos empregues pelo REB, incluindo uma comparação com outras soluções na literatura atual e a justificação das escolhas feitas. O trabalho também inclui uma descrição de uma primeira concretização do REB, a metodologia utilizada na sua execução e a análise de alguns resultados de testes.A Security Information and Event Management (SIEM) tool is a security solution that combines real-time event collection by monitoring a target network at a diverse set of locations, with the correlation and analysis of the obtained data to find out if attacks/intrusions are in progress, so that alarms and remediation actions can be initiated. Since the different components of a SIEM tool (e.g., the sensors and the correlation engine) may be geographically dispersed, there is the need for a communication subsystem capable of transmitting data (e.g., events and reconfiguration commands) not only in LAN settings, but also over large scale networks such as the Internet. Some of the inherent problems associated to this communication are delays, routing misconfigurations, message integrity violations and denial of service attacks, which can all affect the correctness of the event analysis. This thesis presents the design of a Resilient Event Bus (REB) for a resilient communication across a diverse set of network environments. The REB is based on an overlay network superimposed on top of the existing SIEM infrastructure, which uses several mechanisms, such as coding algorithms, multihoming and multipath data transmission, to ensure timely data delivery in various failure scenarios (i.e., of both accidental and malicious nature).Neves, Nuno Fuentecilla Maia Ferreira, 1969-Repositório da Universidade de LisboaFonseca, Ricardo Jorge Pato2013-11-08T15:56:20Z20122012-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/9504enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T15:53:59Zoai:repositorio.ul.pt:10451/9504Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:33:42.324345Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Attack-tolerant communication in a siem tool
title Attack-tolerant communication in a siem tool
spellingShingle Attack-tolerant communication in a siem tool
Fonseca, Ricardo Jorge Pato
Trabalhos de projecto de mestrado - 2012
title_short Attack-tolerant communication in a siem tool
title_full Attack-tolerant communication in a siem tool
title_fullStr Attack-tolerant communication in a siem tool
title_full_unstemmed Attack-tolerant communication in a siem tool
title_sort Attack-tolerant communication in a siem tool
author Fonseca, Ricardo Jorge Pato
author_facet Fonseca, Ricardo Jorge Pato
author_role author
dc.contributor.none.fl_str_mv Neves, Nuno Fuentecilla Maia Ferreira, 1969-
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Fonseca, Ricardo Jorge Pato
dc.subject.por.fl_str_mv Trabalhos de projecto de mestrado - 2012
topic Trabalhos de projecto de mestrado - 2012
description Trabalho de projecto de mestrado em Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), apresentado à Universidade de Lisboa, através da Faculdade de Ciências, 2012
publishDate 2012
dc.date.none.fl_str_mv 2012
2012-01-01T00:00:00Z
2013-11-08T15:56:20Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/9504
url http://hdl.handle.net/10451/9504
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134231152033792

Registros relacionados