Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2009 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da UNESP |
| Texto Completo: | http://hdl.handle.net/11449/98655 |
Resumo: | Este trabalho apresenta um modelo de detecção de eventos em redes baseado no rastreamento de fluxos no padrão Netflow. Atualmente, a utilização de fluxos de rede como mecanismo de monitoria de tráfego tem se tornado cada vez mais importante devido a escalabilidade proporcionada. Inicialmente estabelece-se uma arquitetura de coleta e armazenamento de fluxos baseada em bancos de dados relacionais. Coletados os fluxos, criam-se estruturadas denominadas assinaturas para a descrição dos eventos de interesse no ambiente monitorado. O modelo utiliza duas vertentes na detecção de eventos: a baseada em abuso e a baseada em anomalias. A detecção baseada em abuso visa identificar eventos que produzam características fixas no tráfego de um ambiente. A detecção por anomalias visa identificar padrões de tráfego considerados anormais, podendo utilizar diferentes mecanismos de detecção. A arquitetura do sistema é capaz de coletar e armazenar fluxos, processá-los confrontando-os com uma base de assinaturas, utilizar mecanismos de detecção de anomalias e produzir relatórios para o administrador. O sistema foi testado em um ambiente isolado para coleta de informações, tais como taxas de erros e acertos, e no ambiente de produção do Instituto de Biociências, Letras e Ciências Exatas de São José do Rio Preto (IBILCE - UNESP). Além de eventos isolados de interesse dos administradores, podem ser descritos e detectados eventos como ataques de dicionário, hosts com aplicações de compartilhamento de arquivos (P2P), Bittorrent, chamadas de voz Skype, varreduras de redes e artefatos maliciosos. O modelo é aplicável em redes de pequeno e médio porte sem grandes investimentos, permitindo que eventos sejam detectados por meio da identificação de padrões comportamentais que estes geram no ambiente de rede. Testes mostraram que o modelo é capaz de descrever diversos protocolos... |
| id |
UNSP_19b57cfacd52844118df908c95009a2f |
|---|---|
| oai_identifier_str |
oai:repositorio.unesp.br:11449/98655 |
| network_acronym_str |
UNSP |
| network_name_str |
Repositório Institucional da UNESP |
| repository_id_str |
2946 |
| spelling |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxosRedes de computadores - Medidas de segurançaAssinaturas digitaisSistemas de segurançaAnálise de fluxosDetecção de intrusãoAbuso e anomaliaSecurity systemsEste trabalho apresenta um modelo de detecção de eventos em redes baseado no rastreamento de fluxos no padrão Netflow. Atualmente, a utilização de fluxos de rede como mecanismo de monitoria de tráfego tem se tornado cada vez mais importante devido a escalabilidade proporcionada. Inicialmente estabelece-se uma arquitetura de coleta e armazenamento de fluxos baseada em bancos de dados relacionais. Coletados os fluxos, criam-se estruturadas denominadas assinaturas para a descrição dos eventos de interesse no ambiente monitorado. O modelo utiliza duas vertentes na detecção de eventos: a baseada em abuso e a baseada em anomalias. A detecção baseada em abuso visa identificar eventos que produzam características fixas no tráfego de um ambiente. A detecção por anomalias visa identificar padrões de tráfego considerados anormais, podendo utilizar diferentes mecanismos de detecção. A arquitetura do sistema é capaz de coletar e armazenar fluxos, processá-los confrontando-os com uma base de assinaturas, utilizar mecanismos de detecção de anomalias e produzir relatórios para o administrador. O sistema foi testado em um ambiente isolado para coleta de informações, tais como taxas de erros e acertos, e no ambiente de produção do Instituto de Biociências, Letras e Ciências Exatas de São José do Rio Preto (IBILCE - UNESP). Além de eventos isolados de interesse dos administradores, podem ser descritos e detectados eventos como ataques de dicionário, hosts com aplicações de compartilhamento de arquivos (P2P), Bittorrent, chamadas de voz Skype, varreduras de redes e artefatos maliciosos. O modelo é aplicável em redes de pequeno e médio porte sem grandes investimentos, permitindo que eventos sejam detectados por meio da identificação de padrões comportamentais que estes geram no ambiente de rede. Testes mostraram que o modelo é capaz de descrever diversos protocolos...This work presents a detection model of networks events based on the tracking of Netflow standard flows. Currently, the use of network flows as a mechanism for monitoring traffic has become increasingly important because of the scalability provided. Initially an architecture is established for collection and storage of flows based on relational databases. Once collected the flows, structures called signatures are created to describe the events of interest in the environment monitored. The model uses two strands in the detection of events: one based on the abuse and one based on anomalies. The abuse detection aims to identify events that produce fixed characteristics in the traffic of an environment. The anomaly detection aims to identify traffic patterns considered abnormal and may use different mechanisms of detection. The architecture of the system is able to collect and store flows, process them confronting them with a signature database, make use mechanisms of anomaly detection and produce reports for the administrator. The system was tested in an isolated environment for collecting information such as rates of errors and successes, and in the production environment of the Instituto de Biociencias, Letras e Ciencias Exatas de Sao Jose do Rio Preto (IBILCE - UNESP). Further of isolated events of interest of administrators, can be detected and described events as a dictionary attack, hosts with file sharing applications (P2P), BitTorrent, Skype voice calls, network scans and malicious softwares. The model is applicable to networks of small and medium businesses without large investments, allowing events to be detected by identifying behavioral patterns that they generate in the network environment. Tests showed that the model is able to describe several protocols and patterns of attacks, with rates of hits and misses compatible with security tools known efficient.Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)Universidade Estadual Paulista (Unesp)Cansian, Adriano Mauro [UNESP]Universidade Estadual Paulista (Unesp)Corrêa, Jorge Luiz [UNESP]2014-06-11T19:29:40Z2014-06-11T19:29:40Z2009-08-25info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesis98 f. : il.application/pdfCORRÊA, Jorge Luiz. Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos. 2009. 98 f. Dissertação (mestrado) - Universidade Estadual Paulista, Instituto de Biociências, Letras e Ciências Exatas, 2009.http://hdl.handle.net/11449/98655000598734correa_jl_me_sjrp.pdf33004153073P200959219433459740000-0003-4494-1454Alephreponame:Repositório Institucional da UNESPinstname:Universidade Estadual Paulista (UNESP)instacron:UNESPporinfo:eu-repo/semantics/openAccess2023-10-01T06:03:49Zoai:repositorio.unesp.br:11449/98655Repositório InstitucionalPUBhttp://repositorio.unesp.br/oai/requestopendoar:29462024-08-05T13:39:47.455986Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP)false |
| dc.title.none.fl_str_mv |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| title |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| spellingShingle |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos Corrêa, Jorge Luiz [UNESP] Redes de computadores - Medidas de segurança Assinaturas digitais Sistemas de segurança Análise de fluxos Detecção de intrusão Abuso e anomalia Security systems |
| title_short |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| title_full |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| title_fullStr |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| title_full_unstemmed |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| title_sort |
Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos |
| author |
Corrêa, Jorge Luiz [UNESP] |
| author_facet |
Corrêa, Jorge Luiz [UNESP] |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Cansian, Adriano Mauro [UNESP] Universidade Estadual Paulista (Unesp) |
| dc.contributor.author.fl_str_mv |
Corrêa, Jorge Luiz [UNESP] |
| dc.subject.por.fl_str_mv |
Redes de computadores - Medidas de segurança Assinaturas digitais Sistemas de segurança Análise de fluxos Detecção de intrusão Abuso e anomalia Security systems |
| topic |
Redes de computadores - Medidas de segurança Assinaturas digitais Sistemas de segurança Análise de fluxos Detecção de intrusão Abuso e anomalia Security systems |
| description |
Este trabalho apresenta um modelo de detecção de eventos em redes baseado no rastreamento de fluxos no padrão Netflow. Atualmente, a utilização de fluxos de rede como mecanismo de monitoria de tráfego tem se tornado cada vez mais importante devido a escalabilidade proporcionada. Inicialmente estabelece-se uma arquitetura de coleta e armazenamento de fluxos baseada em bancos de dados relacionais. Coletados os fluxos, criam-se estruturadas denominadas assinaturas para a descrição dos eventos de interesse no ambiente monitorado. O modelo utiliza duas vertentes na detecção de eventos: a baseada em abuso e a baseada em anomalias. A detecção baseada em abuso visa identificar eventos que produzam características fixas no tráfego de um ambiente. A detecção por anomalias visa identificar padrões de tráfego considerados anormais, podendo utilizar diferentes mecanismos de detecção. A arquitetura do sistema é capaz de coletar e armazenar fluxos, processá-los confrontando-os com uma base de assinaturas, utilizar mecanismos de detecção de anomalias e produzir relatórios para o administrador. O sistema foi testado em um ambiente isolado para coleta de informações, tais como taxas de erros e acertos, e no ambiente de produção do Instituto de Biociências, Letras e Ciências Exatas de São José do Rio Preto (IBILCE - UNESP). Além de eventos isolados de interesse dos administradores, podem ser descritos e detectados eventos como ataques de dicionário, hosts com aplicações de compartilhamento de arquivos (P2P), Bittorrent, chamadas de voz Skype, varreduras de redes e artefatos maliciosos. O modelo é aplicável em redes de pequeno e médio porte sem grandes investimentos, permitindo que eventos sejam detectados por meio da identificação de padrões comportamentais que estes geram no ambiente de rede. Testes mostraram que o modelo é capaz de descrever diversos protocolos... |
| publishDate |
2009 |
| dc.date.none.fl_str_mv |
2009-08-25 2014-06-11T19:29:40Z 2014-06-11T19:29:40Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
CORRÊA, Jorge Luiz. Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos. 2009. 98 f. Dissertação (mestrado) - Universidade Estadual Paulista, Instituto de Biociências, Letras e Ciências Exatas, 2009. http://hdl.handle.net/11449/98655 000598734 correa_jl_me_sjrp.pdf 33004153073P2 0095921943345974 0000-0003-4494-1454 |
| identifier_str_mv |
CORRÊA, Jorge Luiz. Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos. 2009. 98 f. Dissertação (mestrado) - Universidade Estadual Paulista, Instituto de Biociências, Letras e Ciências Exatas, 2009. 000598734 correa_jl_me_sjrp.pdf 33004153073P2 0095921943345974 0000-0003-4494-1454 |
| url |
http://hdl.handle.net/11449/98655 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
98 f. : il. application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
| publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
| dc.source.none.fl_str_mv |
Aleph reponame:Repositório Institucional da UNESP instname:Universidade Estadual Paulista (UNESP) instacron:UNESP |
| instname_str |
Universidade Estadual Paulista (UNESP) |
| instacron_str |
UNESP |
| institution |
UNESP |
| reponame_str |
Repositório Institucional da UNESP |
| collection |
Repositório Institucional da UNESP |
| repository.name.fl_str_mv |
Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP) |
| repository.mail.fl_str_mv |
|
| _version_ |
1808128260851105792 |