Detecção de intrusos em redes de computadores com uso de códigos corretores de erros e medidas de informação. / Intrusion detection in computer networks using error correction codes and information measures.

LIMA, Christiane Ferreira Lemos.

13 August 2018

Submitted by Johnny Rodrigues (johnnyrodrigues@ufcg.edu.br) on 2018-08-13T19:50:34Z No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) / Made available in DSpace on 2018-08-13T19:50:34Z (GMT). No. of bitstreams: 1 CHRISTIANE FERREIRA LEMOS LIMA - TESE PPGEE 2013..pdf: 5704501 bytes, checksum: da700470760daace1ac791c6514082a3 (MD5) Previous issue date: 2013-04-19 / Capes / Este trabalho de tese tem como objetivo principal apresentar um novo esquema, direcionado à proteção de sistemas computacionais contra a ocorrência de invasões, fazendo uso de códigos corretores de erros e de medidas de informação. Para isto, considera-se que a identificação de diferentes tipos de ataques a uma rede de computadores pode ser vista como uma tarefa de classificação multiclasses, por envolver a discriminação de ataques em diversos tipos ou categorias. Com base nessa abordagem, o presente trabalho apresenta uma estratégia para classificação multiclasses, baseada nos princípios dos códigos corretores de erros, tendo em vista que para cada uma dasM classes do problema proposto é associada a um conjunto de palavras códigos de comprimento igual a N, em que N é o número de atributos, selecionados por meio de medidas de informação, e que serão monitorados por dispositivos de software, aqui chamados de detectores de rede e detectores dehost. Nesta abordagem, as palavras código que formam uma tabela são restritas a um sub-código de um código linear do tipo BCH (Bose-ChaudhuriHocquenghem), permitindo que a etapa de decodificação seja realizada, utilizando-se algoritmos de decodificação algébrica, o que não é possível para palavras código selecionadas aleatoriamente. Nesse contexto, o uso de uma variante de algoritmo genético é aplicado no projeto da tabela que será utilizada na identificação de ataques em redes de computadores. Dentre as contribuições efetivas desta tese, cujas comprovações são demonstradas em experimentos realizados por simulação computacional, tem-se a aplicação da teoria da codificação para a determinação de palavras código adequadas ao problema de detectar intrusões numa rede de computadores; a determinação dos atributos por meio do uso de árvores de decisão C4.5 baseadas nas medidas de informação de Rényi e Tsallis; a utilização de decodificação algébrica, baseado nos conceitos de decodificação tradicional e na decodificação por lista. / The thesis’s main objective is to present a scheme to protect computer networks against the occurrence of invasions by making use of error correcting codes and information measures. For this, the identification of attacks in a network is viewed as a multiclass classification task because it involves attacks discrimination into various categories. Based on this approach, this work presents strategies for multiclass problems based on the error correcting codes principles, where eachM class is associated with a codeword of lengthN, whereN is the number of selected attributes, chosen by use of information measures. These attributes are monitored by software devices, here called network detectors and detectors host. In this approach, the codewords that form a codewords table are a sub-code of a BCH-type linear code. This approach allows decoding step to be performed using algebraic decoding algorithms, what is not possible with random selected codewords. In this context, the use of a variant of genetic algorithm are applied in the table-approach design to be used in attacks identification in networks. The effective contributions of this thesis, demonstrated on the cientific experiments, are: the application of coding theory to determine the appropriate code words to network intrusion detection; the application of C4.5 decision tree based on information measurements of Rényi and Tsallis for attributes selection; the use of algebraic decoding, based on the concepts of the traditional decoding and list decoding techniques.

Engenharia Elétrica.

Detecção de intrusos - redes

Redes de computadores - intrusos

Árvore de decisão

Algoritmos genéticos

Detecção de intrusão

Decision tree

Intrusion detection

Proteção de sistemas computacionais

Segurança da informação digital

Ataques a redes de computadores

Digital information security

Security of information systems

Uma arquitetura para a detecção de intrusos no ambiente wireless usando redes neurais artificiais / An architecture for detecting intruders in the Wireless environment using artificial neural networks

ATAÍDE, Ricardo Luis da Rocha

27 December 2007

Made available in DSpace on 2016-08-17T14:52:37Z (GMT). No. of bitstreams: 1 Ricardo Luis da Rocha Ataide.pdf: 1712992 bytes, checksum: 27d451c245e151370c1c17a8e89cf8bb (MD5) Previous issue date: 2007-12-27 / Most of the existing software of wireless intrusion detection identify behaviors obtrusive only taking as a basis the exploitation of known vulnerabilities commonly called of attack signatures. They analyze the activity of the system, watching sets of events that are similar to a pre-determined pattern that describes an intrusion known. Thus, only known vulnerabilities are detected, leading to the need for new techniques for detecting intrusions be constantly added to the system. It is necessary to implement a wireless IDS that can identify intrusive behaviors also based on the observation of the deflection normal behaviour of the users, hosts or network connections. This normal behaviour should be based on historical data, collected over a long period of normal operation. This present work proposes an architecture for a system to intrusion detection in wireless networks by anomalies, which is based on the application of technology to artificial neural networks, both in the processes of intrusion detection, as making countermeasures. The system can be adapted to the profile of a new community of users, and can recognize attacks with characteristics somewhat different from the already known by the system, relying only on deviations in behaviour of this new community. A prototype has been implemented and various simulations and tests were performed on it, with three denial of service attacks. The tests were to verify the effectiveness of the application of neural networks in the solution of the problem of wireless network intrusion detection, and concentrated its focus on the power of generalization of neural networks. This ensures the system detects attacks though these features slightly different from those already known. / A maioria dos sistemas de detecção de intrusos para redes wireless existentes identificam comportamentos intrusivos apenas tomando como base a exploração de vulnerabilidades conhecidas, comumente chamadas de assinaturas de ataques. Eles analisam a atividade do sistema, observando conjuntos de eventos que sejam semelhantes a um padrão pré-determinado que descreva uma intrusão conhecida. Com isso, apenas vulnerabilidades conhecidas são detectadas, trazendo a necessidade de que novas técnicas de intrusão sejam constantemente adicionadas ao sistema. Torna-se necessária a implementação de um WIDS (Wireless Intrusion Detection System) que possa identificar comportamentos intrusivos baseandose também na observação de desvios do comportamento normal dos usuários, computadores pessoais ou conexões da rede. Esse comportamento normal deve se basear em dados históricos, coletados durante um longo período normal de operação. Este trabalho propõe uma arquitetura para um sistema de detecção de intrusos em redes wireless por anomalias, que tem como base a aplicação da tecnologia de redes neurais artificiais, tanto nos processos de detecção de intrusões quanto de tomada de contramedidas. O sistema pode se adaptar ao perfil de uma nova comunidade de usuários, bem como pode reconhecer ataques com características um pouco diferentes das já conhecidas pelo sistema, baseando-se apenas nos desvios de comportamento dessa nova comunidade. Um protótipo foi implementado e várias simulações e testes desse protótipo foram realizadas, para três ataques de negação de serviço. Os testes tiveram o objetivo de verificar a eficácia da aplicacação de redes neurais na solução do problema da detecção de intrusos em redes wireless, concentrando seu foco no poder de generalização das redes neurais. Isto garante que o sistema detecte ataques ainda que estes apresentem características ligeiramente diferentes das já conhecidas. Redes Neurais Artificiais.

Redes Wireless

Detecção de Intrusos

Negação de Serviço

Redes Neurais Artificiais

Wireless Networks

Intrusion Detection

Denial of Service

Artificial Neural Networks

UM MODELO DE ATUALIZAÇÃO AUTOMÁTICA DO MECANISMO DE DETECÇÃO DE ATAQUES DE REDE PARA SISTEMAS DE DETECÇÃO DE INTRUSÃO / A MODEL OF AUTOMATIC UPDATE OF THE MECHANISM OF DETENTION OF ATTACKS OF NET FOR SYSTEMS OF INTRUSION DETENTION

Dias, Rômulo Alves

21 November 2003

Made available in DSpace on 2016-08-17T14:52:54Z (GMT). No. of bitstreams: 1 Romulo Alves Dias.PDF: 2725851 bytes, checksum: eaa8311ad62c875b230e288dfc66efa3 (MD5) Previous issue date: 2003-11-21 / The obsolescence of the IDS's attack identification mechanisms critically compromises the security level of the networks. This research work presents a proposal of a automatic updating model of the network attack detection mechanism for intrusion detection systems based on a society of intelligent agents. The Security Central Agency, a component of the model, distributes a mini-society of attack detection agents, called SAARA, that uses a neural network trained with data captured from several network traffic sources. A computational implementation of the SAARA model, focusing data driven attack detection, is presented for the multiagent IDS NIDIA. / A obsolescência dos mecanismos de identificação de ataques dos SDI´s tem comprometido de forma crítica o nível de segurança das redes de computadores. Esta dissertação apresenta uma proposta de um modelo de atualização automática do mecanismo de detecção de ataques de rede para sistemas de detecção de intrusão baseados na noção de sociedade de agentes inteligentes. A Agência Central de Segurança integrante deste modelo distribui uma mini-sociedade de agentes de detecção de ataque, denominada de SAARA, que utiliza uma rede neural treinada a partir de dados coletados de diversas fontes de tráfego. Uma implementação computacional da SAARA, abordando detecção de ataques orientados a dados, é apresentada dentro do contexto do SDI multiagentes NIDIA.

detecção de intrusos

segurança de redes de computadores

ataques baseados em conteúdo

redes neurais

intrusion detection

network security

data driven attacks

neural networks

RESPOSTAS AUTOMÁTICAS PARA MELHORIA DA SEGURANÇA EM SISTEMAS DE DETECÇÃO DE INTRUSOS / AUTOMATIC ANSWERS FOR IMPROVEMENT OF THE SECURITY IN DETECTION SYSTEMS OF INTRUDERS

SANTOS, Glenda de Lourdes Ferreira dos

21 November 2003

Made available in DSpace on 2016-08-17T14:52:54Z (GMT). No. of bitstreams: 1 Glenda de Lourdes Ferreira dos Santos.pdf: 972743 bytes, checksum: 111a2522d029325d266db2465a430638 (MD5) Previous issue date: 2003-11-21 / The development of approaches for proving fast reactions against intruders and attackers have been one of the most important requirements in the critical defense of computer networks, since the intrusion occur quickly, demanding reactions without human intervention. These approaches should be able to, autonomously, respond to attacks and deal with several important aspects of the computer security problem in order to reduce the system administrator s workload Such approaches can offer larger reliability and effectiveness in the detection and response processes, a higher rate of security to private networks, better defense possibilities and, in addition, minimize the intruder's change of success. This research work deals with the specification of a society of intelligent agents for assessment and enhancement of intrusion response systems in computer networks. The proposal of the model of intrusion response system (IRS) be based on in several available architectures, in order to look for better solutions for the problems faced in the modelling of a system of that level. With that, was modeled a system to approach the main desirable functionalities for a system of active answers. The system, as part of the NIDIA (Network Intrusion Detection System based on Intelligent Agents) (Lima, 2001), is formed by a society of agents that are responsible for the functions of identification of the characteristic of the attack, choice of the best reaction strategy and for the execution of the response.The society is composed by agents able to determine and apply automatically corrective actions against attacks classified according to a given severity taxonomic model. In the proposed model was looked for to define response to intrusions for abuse and for anomaly to guarantee a lower robustness to the system. / O desenvolvimento de mecanismos para reações rápidas contra intrusos tem sido um dos mais importantes requisitos na defesa crítica de redes de computador, visto que estes agem rapidamente exigindo reações sem intervenção humana. Tais mecanismos devem estar habitas a, automaticamente, responder um ataque e lidar com o vários aspectos do problema de seguança de computadores, e com isso reduzir a carga de trabalho do administrador do sistema. Semelhantes características podem oferecer confiança e efetividade no processo de detecção e resposta, alta taxa de segunça a redes privadas, melhores possibilidades de defesa e, ainda, minimizar as chances do intruso. Essa dissertação trata da especificação de uma sociedade de agentes para a avaliação e aprimoramento de sistema de resposta de intrusão em redes de computadores. A proposta de um modelo de sistema de resposta de intrusao(IRS) é baseada em várias arquiteturas disponíveis na procura da melhor solução para os problemas encontrados na modelagem de um sistema deste nível. Com isso, foi modelado um sistema que contenha as principais funcionalidades desejáveis para um de respostas ativas. O sistema, que faz parte do NIDIA(Network Intrusion Detection System based on Intelligent Agents) (Lima, 2001), é formado por uma sociedade de agentes que são responsáveis pelas funções de identificação das características do ataque, escolha da melhor estratégia de reação a pela execução resposta.A sociedade é composta por agentes artificiais aptos em determinar e aplicar automaticamente ações, corretivas e preventivas, contra ataques classificados de acordo com um modelo taxonômico de severidade. No modelo proposto procurou-se definir respostas de intrusoes por abuso e por anomalia para garantir maior robustes ao sistema.

sistema de resposta de intrusão

detecção de intrusos

segurança de redes de computadores

sistemas multiagentes

redes neurais

intrusion response system

intrusion detection

multi-agents systems

neural networks

SISTEMA DE DETECÇÃO DE INTRUSOS EM ATAQUES ORIUNDOS DE BOTNETS UTILIZANDO MÉTODO DE DETECÇÃO HÍBRIDO / Intrusion Detection System in Attacks Coming from Botnets Using Method Hybrid Detection

CUNHA NETO, Raimundo Pereira da

28 July 2011

Made available in DSpace on 2016-08-17T14:53:19Z (GMT). No. of bitstreams: 1 dissertacao Raimundo.pdf: 3146531 bytes, checksum: 40d7a999c6dda565c6701f7cc4a171aa (MD5) Previous issue date: 2011-07-28 / The defense mechanisms expansion for cyber-attacks combat led to the malware evolution, which have become more structured to break these new safety barriers. Among the numerous malware, Botnet has become the biggest cyber threat due to its ability of controlling, the potentiality of making distributed attacks and because of the existing structure of control. The intrusion detection and prevention has had an increasingly important role in network computer security. In an intrusion detection system, information about the current situation and knowledge about the attacks contribute to the effectiveness of security process against this new cyber threat. The proposed solution presents an Intrusion Detection System (IDS) model which aims to expand Botnet detectors through active objects system by proposing a technology with collect by sensors, preprocessing filter and detection based on signature and anomaly, supported by the artificial intelligence method Particle Swarm Optimization (PSO) and Artificial Neural Networks. / A ampliação dos mecanismos de defesas no uso do combate de ataques ocasionou a evolução dos malwares, que se tornaram cada vez mais estruturados para o rompimento destas novas barreiras de segurança. Dentre os inúmeros malwares, a Botnet tornou-se uma grande ameaça cibernética, pela capacidade de controle e da potencialidade de ataques distribuídos e da estrutura de controle existente. A detecção e a prevenção de intrusão desempenham um papel cada vez mais importante na segurança de redes de computadores. Em um sistema de detecção de intrusão, as informações sobre a situação atual e os conhecimentos sobre os ataques tornam mais eficazes o processo de segurança diante desta nova ameaça cibernética. A solução proposta apresenta um modelo de Sistema de Detecção de Intrusos (IDS) que visa na ampliação de detectores de Botnet através da utilização de sistemas objetos ativos, propondo uma tecnologia de coleta por sensores, filtro de pré-processamento e detecção baseada em assinatura e anomalia, auxiliado pelo método de inteligência artificial Otimização de Enxame da Partícula (PSO) e Redes Neurais Artificiais.

Segurança de Redes

Botnets

Sistema de Detecção de Intrusos - IDS

Redes Neurais Artificiais

Network Security

Botnet

Intrusion Detection System - IDS

Particle Swarm Optimization - PSO

Artificial Neural Networks