Nariz - um sistema de correlacionamento distribuído de alertas
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2004 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da UFPR |
| Texto Completo: | https://hdl.handle.net/1884/25065 |
Resumo: | Orientador : Roberto A. Hexsel |
| id |
UFPR_9acbe8f2e1024c41d362848ae0494c8f |
|---|---|
| oai_identifier_str |
oai:acervodigital.ufpr.br:1884/25065 |
| network_acronym_str |
UFPR |
| network_name_str |
Repositório Institucional da UFPR |
| repository_id_str |
308 |
| spelling |
Mello, Thiago Eugenio Bezerra deUniversidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em InformáticaHexsel, Roberto, 1960-2022-08-11T11:56:39Z2022-08-11T11:56:39Z2004https://hdl.handle.net/1884/25065Orientador : Roberto A. HexselDissertaçao (mestrado) - Universidade Federal do Paraná, Setor de Ciencias Exatas, Programa de Pós-Graduaçao em Informática. Defesa: Curitiba, 2004Inclui bibliografiaResumo: Com o aumento das taxas transmissão de dados em redes, novos tipos de ataques e suas quantidades têm aumentado. Sistemas de detecção de intrusão são ferramentas essenciais para a segurança de redes de computadores. Esses sistemas, quando implementados em redes com altas taxas de tráfego e ataques, processam muitas informações e podem gerar grandes volumes de evidências de tentativas de ataques através de alertas. Torna-se portanto necessário um sistema que produza, de forma resumida, evidências para análise por um humano. Esse trabalho descreve um sistema de correlacionamento distribuído de alertas, chamado Nariz. O Nariz baseia-se em duas fases de correlacionamento, com préprocessamento local e pós-processamento distribuído. O correlacionamento distribuído de alertas é uma técnica nova de correlacionamento de alertas. O sistema Nariz visa correlacionar alertas de forma distribuída em uma rede de alta velocidade, através de sub-sistemas de correlacionamento que podem ser executados em computadores com custo menor do que em sistemas centralizados. O correlacionamento distribuído utiliza troca de mensagens entre seus correlacionadores, que estão espalhados pela rede. O alerta é encaminhado ao administrador da rede quando o sistema tem vários indícios sobre uma tentativa de ataque. Mostramos em resultados experimentais que com esse mecanismo o Nariz pode reduzir o número de alertas sobre um mesmo evento, bem como o número de falsos positivos.Abstract: The ever increasing network transmission rates give rise to new forms of attack as well as to an increase in their frequency. Intrusion detection systems (IDS) are essencial to computer network security. When these systems operate in networks with high traffic densities, and therefore under frequent attacks, they must process a big amount of information and thus may produce large number of reports of intrusion attempts. It is important that an IDS generate reports in a volume that are suitable for analysis by a human being. A distributed alert correlation system, named Nariz (nose) is described. This system is composed by several instances of alert correlators, and these correlate intrusion alerts in two steps, first locally and then accross all Narizes. The distibuted correlation of alerts is a new technique that is well suited to high speed networks since it can be implemented on machines with lower computing power than it would be possible with centralized correlation. Lower power machines are normally also lower cost machines. The individual correlators exchange messages to correlate intrusion alerts and a message is sent to a human manager whenever the distributed system collects enough information regarding an intrusion attempt. In this way, we show through experimental results that the Nariz system can reduce the number of messages sent to the human overseers, while eliminating some of the false positives.81f. : il.application/pdfDisponível em formato digitalTesesRedes de computação - Medidas de segurançaInternet - Medidas de segurançaCiencia da ComputaçãoNariz - um sistema de correlacionamento distribuído de alertasinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALD - MELLO, THIAGO.pdfapplication/pdf2145743https://acervodigital.ufpr.br/bitstream/1884/25065/1/D%20-%20MELLO%2c%20THIAGO.pdfc122aeda02f97ce0a99cbbd936d9a27dMD51open accessTEXTD - MELLO, THIAGO.pdf.txtExtracted Texttext/plain144229https://acervodigital.ufpr.br/bitstream/1884/25065/2/D%20-%20MELLO%2c%20THIAGO.pdf.txt2bba54cbcfc31c26e6a79000047f0cd8MD52open accessTHUMBNAILD - MELLO, THIAGO.pdf.jpgGenerated Thumbnailimage/jpeg1160https://acervodigital.ufpr.br/bitstream/1884/25065/3/D%20-%20MELLO%2c%20THIAGO.pdf.jpgfe0bc313fddfdbb2b97e92e9cacb83fcMD53open access1884/250652022-08-11 08:56:39.843open accessoai:acervodigital.ufpr.br:1884/25065Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082022-08-11T11:56:39Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false |
| dc.title.pt_BR.fl_str_mv |
Nariz - um sistema de correlacionamento distribuído de alertas |
| title |
Nariz - um sistema de correlacionamento distribuído de alertas |
| spellingShingle |
Nariz - um sistema de correlacionamento distribuído de alertas Mello, Thiago Eugenio Bezerra de Teses Redes de computação - Medidas de segurança Internet - Medidas de segurança Ciencia da Computação |
| title_short |
Nariz - um sistema de correlacionamento distribuído de alertas |
| title_full |
Nariz - um sistema de correlacionamento distribuído de alertas |
| title_fullStr |
Nariz - um sistema de correlacionamento distribuído de alertas |
| title_full_unstemmed |
Nariz - um sistema de correlacionamento distribuído de alertas |
| title_sort |
Nariz - um sistema de correlacionamento distribuído de alertas |
| author |
Mello, Thiago Eugenio Bezerra de |
| author_facet |
Mello, Thiago Eugenio Bezerra de |
| author_role |
author |
| dc.contributor.other.pt_BR.fl_str_mv |
Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática |
| dc.contributor.author.fl_str_mv |
Mello, Thiago Eugenio Bezerra de |
| dc.contributor.advisor1.fl_str_mv |
Hexsel, Roberto, 1960- |
| contributor_str_mv |
Hexsel, Roberto, 1960- |
| dc.subject.por.fl_str_mv |
Teses Redes de computação - Medidas de segurança Internet - Medidas de segurança Ciencia da Computação |
| topic |
Teses Redes de computação - Medidas de segurança Internet - Medidas de segurança Ciencia da Computação |
| description |
Orientador : Roberto A. Hexsel |
| publishDate |
2004 |
| dc.date.issued.fl_str_mv |
2004 |
| dc.date.accessioned.fl_str_mv |
2022-08-11T11:56:39Z |
| dc.date.available.fl_str_mv |
2022-08-11T11:56:39Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
https://hdl.handle.net/1884/25065 |
| url |
https://hdl.handle.net/1884/25065 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.relation.pt_BR.fl_str_mv |
Disponível em formato digital |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
81f. : il. application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFPR instname:Universidade Federal do Paraná (UFPR) instacron:UFPR |
| instname_str |
Universidade Federal do Paraná (UFPR) |
| instacron_str |
UFPR |
| institution |
UFPR |
| reponame_str |
Repositório Institucional da UFPR |
| collection |
Repositório Institucional da UFPR |
| bitstream.url.fl_str_mv |
https://acervodigital.ufpr.br/bitstream/1884/25065/1/D%20-%20MELLO%2c%20THIAGO.pdf https://acervodigital.ufpr.br/bitstream/1884/25065/2/D%20-%20MELLO%2c%20THIAGO.pdf.txt https://acervodigital.ufpr.br/bitstream/1884/25065/3/D%20-%20MELLO%2c%20THIAGO.pdf.jpg |
| bitstream.checksum.fl_str_mv |
c122aeda02f97ce0a99cbbd936d9a27d 2bba54cbcfc31c26e6a79000047f0cd8 fe0bc313fddfdbb2b97e92e9cacb83fc |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR) |
| repository.mail.fl_str_mv |
|
| _version_ |
1813898695182123008 |