Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2003 |
| Tipo de documento: | Tese |
| Idioma: | por |
| Título da fonte: | Biblioteca Digital de Teses e Dissertações da UFRGS |
| Texto Completo: | http://hdl.handle.net/10183/4112 |
Resumo: | A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas. |
| id |
URGS_ab9f569fc2fd4f5f987f6ca963796706 |
|---|---|
| oai_identifier_str |
oai:www.lume.ufrgs.br:10183/4112 |
| network_acronym_str |
URGS |
| network_name_str |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| repository_id_str |
1853 |
| spelling |
Silva, Ana Cristina Benso daTarouco, Liane Margarida Rockenbach2007-06-06T17:33:01Z2003http://hdl.handle.net/10183/4112000407656A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas.application/pdfporRedes : ComputadoresGerencia : Redes : ComputadoresSeguranca : Redes : ComputadoresSistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamentoinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/doctoralThesisUniversidade Federal do Rio Grande do SulInstituto de InformáticaPrograma de Pós-Graduação em ComputaçãoPorto Alegre, BR-RS2003doutoradoinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSORIGINAL000407656.pdf000407656.pdfTexto completoapplication/pdf1815267http://www.lume.ufrgs.br/bitstream/10183/4112/1/000407656.pdfc301fa704b4c439055cf15b30f1b7a3eMD51TEXT000407656.pdf.txt000407656.pdf.txtExtracted Texttext/plain209847http://www.lume.ufrgs.br/bitstream/10183/4112/2/000407656.pdf.txt93d679c2ab231a881887db20d6c2c798MD52THUMBNAIL000407656.pdf.jpg000407656.pdf.jpgGenerated Thumbnailimage/jpeg1159http://www.lume.ufrgs.br/bitstream/10183/4112/3/000407656.pdf.jpg59f186bee6bbfa2ff50e65f58ec8a384MD5310183/41122018-10-15 09:08:51.203oai:www.lume.ufrgs.br:10183/4112Biblioteca Digital de Teses e Dissertaçõeshttps://lume.ufrgs.br/handle/10183/2PUBhttps://lume.ufrgs.br/oai/requestlume@ufrgs.br||lume@ufrgs.bropendoar:18532018-10-15T12:08:51Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false |
| dc.title.pt_BR.fl_str_mv |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| title |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| spellingShingle |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento Silva, Ana Cristina Benso da Redes : Computadores Gerencia : Redes : Computadores Seguranca : Redes : Computadores |
| title_short |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| title_full |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| title_fullStr |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| title_full_unstemmed |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| title_sort |
Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento |
| author |
Silva, Ana Cristina Benso da |
| author_facet |
Silva, Ana Cristina Benso da |
| author_role |
author |
| dc.contributor.author.fl_str_mv |
Silva, Ana Cristina Benso da |
| dc.contributor.advisor1.fl_str_mv |
Tarouco, Liane Margarida Rockenbach |
| contributor_str_mv |
Tarouco, Liane Margarida Rockenbach |
| dc.subject.por.fl_str_mv |
Redes : Computadores Gerencia : Redes : Computadores Seguranca : Redes : Computadores |
| topic |
Redes : Computadores Gerencia : Redes : Computadores Seguranca : Redes : Computadores |
| description |
A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas. |
| publishDate |
2003 |
| dc.date.issued.fl_str_mv |
2003 |
| dc.date.accessioned.fl_str_mv |
2007-06-06T17:33:01Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/doctoralThesis |
| format |
doctoralThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10183/4112 |
| dc.identifier.nrb.pt_BR.fl_str_mv |
000407656 |
| url |
http://hdl.handle.net/10183/4112 |
| identifier_str_mv |
000407656 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFRGS instname:Universidade Federal do Rio Grande do Sul (UFRGS) instacron:UFRGS |
| instname_str |
Universidade Federal do Rio Grande do Sul (UFRGS) |
| instacron_str |
UFRGS |
| institution |
UFRGS |
| reponame_str |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| collection |
Biblioteca Digital de Teses e Dissertações da UFRGS |
| bitstream.url.fl_str_mv |
http://www.lume.ufrgs.br/bitstream/10183/4112/1/000407656.pdf http://www.lume.ufrgs.br/bitstream/10183/4112/2/000407656.pdf.txt http://www.lume.ufrgs.br/bitstream/10183/4112/3/000407656.pdf.jpg |
| bitstream.checksum.fl_str_mv |
c301fa704b4c439055cf15b30f1b7a3e 93d679c2ab231a881887db20d6c2c798 59f186bee6bbfa2ff50e65f58ec8a384 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS) |
| repository.mail.fl_str_mv |
lume@ufrgs.br||lume@ufrgs.br |
| _version_ |
1810085038027440128 |