Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos

Detalhes bibliográficos
Autor(a) principal: Viescinski, Amanda Benites, 1995-
Data de Publicação: 2021
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Institucional da UFPR
Texto Completo: https://hdl.handle.net/1884/72070
Resumo: Orientador: Carlos Alberto Maziero
id UFPR_ec745c13fba6d1da37a63267d036945d
oai_identifier_str oai:acervodigital.ufpr.br:1884/72070
network_acronym_str UFPR
network_name_str Repositório Institucional da UFPR
repository_id_str 308
spelling Viescinski, Amanda Benites, 1995-Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em InformáticaMaziero, Carlos Alberto, 1965-2021-12-20T20:26:09Z2021-12-20T20:26:09Z2021https://hdl.handle.net/1884/72070Orientador: Carlos Alberto MazieroDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 22/03/2021Inclui referências: p. 49-52Área de concentração: Ciência da ComputaçãoResumo: A segurança é fundamental em sistemas distribuídos. Contudo, a implementação de sistemas seguros para proteger informações têm sido uma meta dificilmente alcançada. Além dos mecanismos de prevenção, o monitoramento desses sistemas e de seus componentes, no intuito de identificar comportamentos de natureza suspeita, é uma abordagem amplamente adotada. Para isso, sistemas de detecção de intrusão (Intrusion Detection System - IDS) são implantados em diversos pontos do sistema monitorado, configurados para supervisionar ações locais, bem como comunicar ocorrências de eventos. Para que um IDS exerça suas funções, é necessário que seja capaz de reconhecer comportamentos benignos e maliciosos. Diferentes técnicas de detecção podem ser aplicadas ao projetar um IDS. A técnica considerada mais simples é a detecção por assinatura, que reconhece as estratégias padrões de uma ameaça. Para isso, é necessária uma base de execuções desses ataques, extraindo suas principais características que resultará em uma assinatura. Sendo assim, apenas ataques previamente conhecidos são detectados. A técnica de detecção por anomalias não requer o conhecimento prévio dos padrões de ataques, já que o comportamento normal do ambiente monitorado é utilizado como base para detecção. Neste caso, um modelo de comportamento normal do sistema é construído e utilizado pelo sistema de detecção para checar desvios no comportamento do ambiente monitorado. Este trabalho propõe uma técnica de modelagem comportamental para aplicações distribuídas através dos traços de operações dos seus nós. A abordagem descrita neste trabalho permite a elaboração de uma estratégia para a identificação de anomalias em um sistema distribuído. A estratégia escolhida consiste na construção de modelos de comportamento normal do sistema sob estudo, que são dispostos em conjuntos de ??-gramas de eventos (sequências de ?? eventos consecutivos envolvendo um ou mais nós). O objetivo da proposta é construir modelos funcionais e eficazes, que possibilitem detecções de anomalias no sistema, com taxas reduzidas de falsos positivos. Toda a investigação é realizada com base em traços de uma aplicação distribuída real. São apresentados os procedimentos realizados para a construção de modelos parciais, incluindo as abordagens utilizadas para a ordenação dos eventos que ocorreram no sistema e o cálculo dos ??-gramas. Os resultados obtidos através da avaliação dos modelos destacam a viabilidade do uso de ??-gramas para representar atividades corretas de um sistema, com resultados propícios na taxa de falso positivo e também em termos de acurácia. Palavras-chave: Modelos. Sistemas de detecção de intrusão. Detecção de anomalias.Abstract: Security is critical in distributed systems. However, the implementation of secure systems to protect sensitive information has been a difficult goal to achieve. In addition to the prevention mechanisms, the monitoring of these systems and their components to identify suspicious behaviors is an adopted approach. For this purpose, Intrusion Detection System (IDS) are deployed at different points of the monitored system, configured to supervise local actions, as well as report event occurrences. For an IDS to perform its functions, it must be able to recognize benign and malicious behavior. Different detection techniques can be applied when designing an IDS. The technique considered simplest is signature detection, which recognizes the standard strategies of a threat. For that, it is necessary to have a database of executions of these attacks, extracting their main characteristics that will result in a signature. Therefore, only previously known attacks are detected. Anomaly detection does not require prior knowledge of attack patterns, as the normal behavior of the monitored environment is used as a basis for detection. In this case, a model of the normal behavior of the system is constructed and used by the detection system to check for deviations in the behavior of the monitored environment. This work proposes a behavioral modeling technique for distributed applications through the traces of operations of its nodes. The approach described in this work allows the development of a strategy for the identification of anomalies in a distributed system. The chosen strategy consists of building models of the normal behavior of the system under study, which is arranged in sets of ??-grams of events (sequences of ?? consecutive events involving one or more nodes). The objective of the work is to build adequate and effective models, which make it possible to detect anomalies in the system, with reduced rates of false positives. All research is carried out based on traces of a real distributed application. The procedures performed for the construction of partial models are presented, including the approaches used for the ordering of the events that occurred in the system and the calculation of the ??-grams. The results obtained through the evaluation of the models highlight the feasibility of using ??-grams to represent correct activities of a system, with favorable results in the false positive rate and also accuracy. Keywords: Models. Intrusion Detection System. Anomaly detection1 arquivo (53 p.) : PDF.application/pdfRedes de computação - Medidas de segurançaCiência da ComputaçãoConstrução de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídosinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - AMANDA BENITES VIESCINSKI.pdfapplication/pdf1129243https://acervodigital.ufpr.br/bitstream/1884/72070/1/R%20-%20D%20-%20AMANDA%20BENITES%20VIESCINSKI.pdfb6100da60122c4cb532d560d4c6d3cecMD51open access1884/720702021-12-20 17:26:09.609open accessoai:acervodigital.ufpr.br:1884/72070Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082021-12-20T20:26:09Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false
dc.title.pt_BR.fl_str_mv Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
title Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
spellingShingle Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
Viescinski, Amanda Benites, 1995-
Redes de computação - Medidas de segurança
Ciência da Computação
title_short Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
title_full Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
title_fullStr Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
title_full_unstemmed Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
title_sort Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos
author Viescinski, Amanda Benites, 1995-
author_facet Viescinski, Amanda Benites, 1995-
author_role author
dc.contributor.other.pt_BR.fl_str_mv Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática
dc.contributor.author.fl_str_mv Viescinski, Amanda Benites, 1995-
dc.contributor.advisor1.fl_str_mv Maziero, Carlos Alberto, 1965-
contributor_str_mv Maziero, Carlos Alberto, 1965-
dc.subject.por.fl_str_mv Redes de computação - Medidas de segurança
Ciência da Computação
topic Redes de computação - Medidas de segurança
Ciência da Computação
description Orientador: Carlos Alberto Maziero
publishDate 2021
dc.date.accessioned.fl_str_mv 2021-12-20T20:26:09Z
dc.date.available.fl_str_mv 2021-12-20T20:26:09Z
dc.date.issued.fl_str_mv 2021
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://hdl.handle.net/1884/72070
url https://hdl.handle.net/1884/72070
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv 1 arquivo (53 p.) : PDF.
application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFPR
instname:Universidade Federal do Paraná (UFPR)
instacron:UFPR
instname_str Universidade Federal do Paraná (UFPR)
instacron_str UFPR
institution UFPR
reponame_str Repositório Institucional da UFPR
collection Repositório Institucional da UFPR
bitstream.url.fl_str_mv https://acervodigital.ufpr.br/bitstream/1884/72070/1/R%20-%20D%20-%20AMANDA%20BENITES%20VIESCINSKI.pdf
bitstream.checksum.fl_str_mv b6100da60122c4cb532d560d4c6d3cec
bitstream.checksumAlgorithm.fl_str_mv MD5
repository.name.fl_str_mv Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)
repository.mail.fl_str_mv
_version_ 1801860582450659328

Registros relacionados