Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2023 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Manancial - Repositório Digital da UFSM |
| dARK ID: | ark:/26339/001300000cgzr |
| Texto Completo: | http://repositorio.ufsm.br/handle/1/30182 |
Resumo: | Modern intrusion detection systems are commonly developed using machine learning algorithms and feature selection. However, the computational cost of these algorithms limits the ability to respond immediately to intrusions. This is because these algorithms are typically run on controllers, which are centralized devices that process information received from probes on the network in order to obtain a classification result for the analyzed network traffic. As a result, problems such as delays in threat identification may arise, as well as the possibility of overloading the centralized device if attacks are occurring on multiple devices simultaneously. In this work, an architecture for real-time intrusion detection on network devices compatible with eBPF is proposed, using models optimized asynchronously through a feature selection strategy to optimize ML models. Such optimization is necessary to deal with the constraints imposed by eBPF technology when executed on network devices, which impose limitations on generated programs in terms of memory, functions, and program size to be executed. This architecture aims to configure a classifier that can be employed on network devices such as switches. In this way, classification can be performed directly on these devices, eliminating the need for probes that send information to controllers. As a proof of concept, a model can be constructed, starting from a computer that performs the evaluation and configuration of a classifier compatible with eBPF devices in the Linux system kernel. The results obtained reveal that the proposed solution is capable of detecting and preventing intrusions in real-time with low overhead for the evaluated scenarios. |
| id |
UFSM_3fb180430a29ab47b0f1811b31ade432 |
|---|---|
| oai_identifier_str |
oai:repositorio.ufsm.br:1/30182 |
| network_acronym_str |
UFSM |
| network_name_str |
Manancial - Repositório Digital da UFSM |
| repository_id_str |
|
| spelling |
Detecção de intrusões em dispositivos de rede com o filtro de pacote BerkeleyIntrusion detection on network devices with the Berkeley packet filterIncidentes de segurançaDetecções de intrusõesSegurança da InformaçãoSistemas de resposta à intrusãoInteligência artificialSecurity incidentsIntrusion detectionsInformation securityIntrusion response systemsArtificial intelligenceCNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAOModern intrusion detection systems are commonly developed using machine learning algorithms and feature selection. However, the computational cost of these algorithms limits the ability to respond immediately to intrusions. This is because these algorithms are typically run on controllers, which are centralized devices that process information received from probes on the network in order to obtain a classification result for the analyzed network traffic. As a result, problems such as delays in threat identification may arise, as well as the possibility of overloading the centralized device if attacks are occurring on multiple devices simultaneously. In this work, an architecture for real-time intrusion detection on network devices compatible with eBPF is proposed, using models optimized asynchronously through a feature selection strategy to optimize ML models. Such optimization is necessary to deal with the constraints imposed by eBPF technology when executed on network devices, which impose limitations on generated programs in terms of memory, functions, and program size to be executed. This architecture aims to configure a classifier that can be employed on network devices such as switches. In this way, classification can be performed directly on these devices, eliminating the need for probes that send information to controllers. As a proof of concept, a model can be constructed, starting from a computer that performs the evaluation and configuration of a classifier compatible with eBPF devices in the Linux system kernel. The results obtained reveal that the proposed solution is capable of detecting and preventing intrusions in real-time with low overhead for the evaluated scenarios.Sistemas de detecção de intrusões modernos são comumente desenvolvidos com uso de algoritmos de aprendizado de máquina e seleção de atributos. No entanto, o custo computacional desses algoritmos limita a capacidade de resposta imediata às intrusões. Isso acontece porque esses algoritmos são geralmente executados em controladores que são dispositivos centralizados, os quais processam as informações recebidas de sondas na rede, visando obter um resultado de classificação para o tráfego de rede analisado. Como resultado, podem surgir problemas como atraso na identificação de ameaças, além da possibilidade de sobrecarga nesse dispositivo centralizado caso os ataques estejam ocorrendo em diversos dispositivos simultaneamente. Neste trabalho, é proposta uma arquitetura para detecção de intrusões em tempo real em dispositivos de rede compatíveis com eBPF a partir de modelos otimizados assincronamente através de uma estratégia de seleção de atributos com vistas a otimizar modelos de ML. Tal otimização é necessária para lidar com as restrições impostas pela tecnologia eBPF quando executada em dispositivos de rede, as quais impõem limitações nos programas gerados quanto à memória, funções e ao tamanho do programa a ser executado. Essa arquitetura visa configurar um classificador que possa ser empregado em dispositivos de rede como switches. Dessa maneira, a classificação pode ser realizada diretamente nesses equipamentos, eliminando a necessidade das sondas que enviam informações para os controladores. Como prova de conceito, um modelo pode ser construído, partindo de um computador que realiza a avaliação e configuração de um classificador compatível com dispositivos eBPF no Kernel do sistema Linux. Os resultados obtidos revelam que a solução proposta é capaz de detectar e prevenir intrusões em tempo real com baixa sobrecarga para os cenários avaliados.Universidade Federal de Santa MariaBrasilCiência da ComputaçãoUFSMPrograma de Pós-Graduação em Ciência da ComputaçãoCentro de TecnologiaSantos, Carlos Raniery Paula doshttp://lattes.cnpq.br/0538173746410766Nunes , Raul CerettaGarcia , Vinícius FülberCarvalho, Diego Couto de2023-09-05T21:22:46Z2023-09-05T21:22:46Z2023-08-04info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://repositorio.ufsm.br/handle/1/30182ark:/26339/001300000cgzrporAttribution-NonCommercial-NoDerivatives 4.0 Internationalhttp://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccessreponame:Manancial - Repositório Digital da UFSMinstname:Universidade Federal de Santa Maria (UFSM)instacron:UFSM2023-09-05T21:22:46Zoai:repositorio.ufsm.br:1/30182Biblioteca Digital de Teses e Dissertaçõeshttps://repositorio.ufsm.br/ONGhttps://repositorio.ufsm.br/oai/requestatendimento.sib@ufsm.br||tedebc@gmail.comopendoar:2023-09-05T21:22:46Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)false |
| dc.title.none.fl_str_mv |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley Intrusion detection on network devices with the Berkeley packet filter |
| title |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| spellingShingle |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley Carvalho, Diego Couto de Incidentes de segurança Detecções de intrusões Segurança da Informação Sistemas de resposta à intrusão Inteligência artificial Security incidents Intrusion detections Information security Intrusion response systems Artificial intelligence CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| title_short |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| title_full |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| title_fullStr |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| title_full_unstemmed |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| title_sort |
Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley |
| author |
Carvalho, Diego Couto de |
| author_facet |
Carvalho, Diego Couto de |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Santos, Carlos Raniery Paula dos http://lattes.cnpq.br/0538173746410766 Nunes , Raul Ceretta Garcia , Vinícius Fülber |
| dc.contributor.author.fl_str_mv |
Carvalho, Diego Couto de |
| dc.subject.por.fl_str_mv |
Incidentes de segurança Detecções de intrusões Segurança da Informação Sistemas de resposta à intrusão Inteligência artificial Security incidents Intrusion detections Information security Intrusion response systems Artificial intelligence CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| topic |
Incidentes de segurança Detecções de intrusões Segurança da Informação Sistemas de resposta à intrusão Inteligência artificial Security incidents Intrusion detections Information security Intrusion response systems Artificial intelligence CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO |
| description |
Modern intrusion detection systems are commonly developed using machine learning algorithms and feature selection. However, the computational cost of these algorithms limits the ability to respond immediately to intrusions. This is because these algorithms are typically run on controllers, which are centralized devices that process information received from probes on the network in order to obtain a classification result for the analyzed network traffic. As a result, problems such as delays in threat identification may arise, as well as the possibility of overloading the centralized device if attacks are occurring on multiple devices simultaneously. In this work, an architecture for real-time intrusion detection on network devices compatible with eBPF is proposed, using models optimized asynchronously through a feature selection strategy to optimize ML models. Such optimization is necessary to deal with the constraints imposed by eBPF technology when executed on network devices, which impose limitations on generated programs in terms of memory, functions, and program size to be executed. This architecture aims to configure a classifier that can be employed on network devices such as switches. In this way, classification can be performed directly on these devices, eliminating the need for probes that send information to controllers. As a proof of concept, a model can be constructed, starting from a computer that performs the evaluation and configuration of a classifier compatible with eBPF devices in the Linux system kernel. The results obtained reveal that the proposed solution is capable of detecting and preventing intrusions in real-time with low overhead for the evaluated scenarios. |
| publishDate |
2023 |
| dc.date.none.fl_str_mv |
2023-09-05T21:22:46Z 2023-09-05T21:22:46Z 2023-08-04 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://repositorio.ufsm.br/handle/1/30182 |
| dc.identifier.dark.fl_str_mv |
ark:/26339/001300000cgzr |
| url |
http://repositorio.ufsm.br/handle/1/30182 |
| identifier_str_mv |
ark:/26339/001300000cgzr |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International http://creativecommons.org/licenses/by-nc-nd/4.0/ info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International http://creativecommons.org/licenses/by-nc-nd/4.0/ |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Federal de Santa Maria Brasil Ciência da Computação UFSM Programa de Pós-Graduação em Ciência da Computação Centro de Tecnologia |
| publisher.none.fl_str_mv |
Universidade Federal de Santa Maria Brasil Ciência da Computação UFSM Programa de Pós-Graduação em Ciência da Computação Centro de Tecnologia |
| dc.source.none.fl_str_mv |
reponame:Manancial - Repositório Digital da UFSM instname:Universidade Federal de Santa Maria (UFSM) instacron:UFSM |
| instname_str |
Universidade Federal de Santa Maria (UFSM) |
| instacron_str |
UFSM |
| institution |
UFSM |
| reponame_str |
Manancial - Repositório Digital da UFSM |
| collection |
Manancial - Repositório Digital da UFSM |
| repository.name.fl_str_mv |
Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM) |
| repository.mail.fl_str_mv |
atendimento.sib@ufsm.br||tedebc@gmail.com |
| _version_ |
1815172321691828224 |