Um modelo de detecção de eventos em redes baseado no rastreamento de fluxos

Corrêa, Jorge Luiz [UNESP]

25 August 2009

Made available in DSpace on 2014-06-11T19:29:40Z (GMT). No. of bitstreams: 0 Previous issue date: 2009-08-25Bitstream added on 2014-06-13T20:19:45Z : No. of bitstreams: 1 correa_jl_me_sjrp.pdf: 1580875 bytes, checksum: f27e3532f4fe7e993ae4b32275dcaf24 (MD5) / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / Este trabalho apresenta um modelo de detecção de eventos em redes baseado no rastreamento de fluxos no padrão Netflow. Atualmente, a utilização de fluxos de rede como mecanismo de monitoria de tráfego tem se tornado cada vez mais importante devido a escalabilidade proporcionada. Inicialmente estabelece-se uma arquitetura de coleta e armazenamento de fluxos baseada em bancos de dados relacionais. Coletados os fluxos, criam-se estruturadas denominadas assinaturas para a descrição dos eventos de interesse no ambiente monitorado. O modelo utiliza duas vertentes na detecção de eventos: a baseada em abuso e a baseada em anomalias. A detecção baseada em abuso visa identificar eventos que produzam características fixas no tráfego de um ambiente. A detecção por anomalias visa identificar padrões de tráfego considerados anormais, podendo utilizar diferentes mecanismos de detecção. A arquitetura do sistema é capaz de coletar e armazenar fluxos, processá-los confrontando-os com uma base de assinaturas, utilizar mecanismos de detecção de anomalias e produzir relatórios para o administrador. O sistema foi testado em um ambiente isolado para coleta de informações, tais como taxas de erros e acertos, e no ambiente de produção do Instituto de Biociências, Letras e Ciências Exatas de São José do Rio Preto (IBILCE - UNESP). Além de eventos isolados de interesse dos administradores, podem ser descritos e detectados eventos como ataques de dicionário, hosts com aplicações de compartilhamento de arquivos (P2P), Bittorrent, chamadas de voz Skype, varreduras de redes e artefatos maliciosos. O modelo é aplicável em redes de pequeno e médio porte sem grandes investimentos, permitindo que eventos sejam detectados por meio da identificação de padrões comportamentais que estes geram no ambiente de rede. Testes mostraram que o modelo é capaz de descrever diversos protocolos... / This work presents a detection model of networks events based on the tracking of Netflow standard flows. Currently, the use of network flows as a mechanism for monitoring traffic has become increasingly important because of the scalability provided. Initially an architecture is established for collection and storage of flows based on relational databases. Once collected the flows, structures called signatures are created to describe the events of interest in the environment monitored. The model uses two strands in the detection of events: one based on the abuse and one based on anomalies. The abuse detection aims to identify events that produce fixed characteristics in the traffic of an environment. The anomaly detection aims to identify traffic patterns considered abnormal and may use different mechanisms of detection. The architecture of the system is able to collect and store flows, process them confronting them with a signature database, make use mechanisms of anomaly detection and produce reports for the administrator. The system was tested in an isolated environment for collecting information such as rates of errors and successes, and in the production environment of the Instituto de Biociencias, Letras e Ciencias Exatas de Sao Jose do Rio Preto (IBILCE - UNESP). Further of isolated events of interest of administrators, can be detected and described events as a dictionary attack, hosts with file sharing applications (P2P), BitTorrent, Skype voice calls, network scans and malicious softwares. The model is applicable to networks of small and medium businesses without large investments, allowing events to be detected by identifying behavioral patterns that they generate in the network environment. Tests showed that the model is able to describe several protocols and patterns of attacks, with rates of hits and misses compatible with security tools known efficient.

Assinaturas digitais

Sistemas de segurança

Análise de fluxos

Detecção de intrusão

Abuso e anomalia

Security systems

Classificação de anomalias e redução de falsos positivos em sistemas de detecção de intrusão baseados em rede utilizando métodos de agrupamento /

Ferreira, Vinícius Oliveira.

January 2016

Orientador: Adriano Mauro Cansian / Banca: Paulo Lício de Geus / Banca: Cesar Augusto Cavalheiro Marcondes / Resumo: Os Sistemas de Detecção de Intrusão baseados em rede (NIDS) são tradicionalmente divididos em dois tipos de acordo com os métodos de detecção que empregam, a saber: (i) detecção por abuso e (ii) detecção por anomalia. Aqueles que funcionam a partir da detecção de anomalias têm como principal vantagem a capacidade de detectar novos ataques, no entanto, é possível elencar algumas dificuldades com o uso desta metodologia. Na detecção por anomalia, a análise das anomalias detectadas pode se tornar dispendiosa, uma vez que estas geralmente não apresentam informações claras sobre os eventos maliciosos que representam; ainda, NIDSs que se utilizam desta metodologia sofrem com a detecção de altas taxas de falsos positivos. Neste contexto, este trabalho apresenta um modelo para a classificação automatizada das anomalias detectadas por um NIDS. O principal objetivo é a classificação das anomalias detectadas em classes conhecidas de ataques. Com essa classificação pretende-se, além da clara identificação das anomalias, a identificação dos falsos positivos detectados erroneamente pelos NIDSs. Portanto, ao abordar os principais problemas envolvendo a detecção por anomalias, espera-se equipar os analistas de segurança com melhores recursos para suas análises / Abstract: Network Intrusion Detection Systems (NIDS) are traditionally divided into two types according to the detection methods they employ, namely (i) misuse detection and (ii) anomaly detection. The main advantage in anomaly detection is its ability to detect new attacks. However, this methodology has some downsides. In anomaly detection, the analysis of the detected anomalies is expensive, since they often have no clear information about the malicious events they represent; also, it suffers with high amounts of false positivesdetected. In this context, this work presents a model for automated classification of anomalies detected by an anomaly based NIDS. Our main goal is the classification of the detected anomalies in well-known classes of attacks. By these means, we intend the clear identification of anomalies as well as the identification of false positives erroneously detected by NIDSs. Therefore, by addressing the key issues surrounding anomaly baseddetection, our main goal is to equip security analysts with best resources for their analyses / Mestre

Ciência da computação.

Redes de computadores.

Algoritmos de computador.

Computer science

Projeto e desenvolvimento de uma ferramenta de baixa intrusão para administração e gerência de aglomerados de computadores / Project and developing of tools with low intrusion for administration and manage of agglomerate\'s computers

Leonardo Marcus Ribeiro da Silva

22 February 2006

Este trabalho apresenta uma ferramenta denominada FAGAC que se destina à administração e gerência de aglomerados de computadores, através de uma interface Web. A ferramenta tem a característica de ser pouco intrusiva no ambiente, ou seja, consumir poucos recursos computacionais a fim de não causar atrasos na execução dos serviços e processos do sistema. Inclui também funcionalidades que geram informações para o cliente ou administrador do sistema, a respeito do estado de ocupação de memória e de CPU, monitoramento do estado da carga de cada computador, tráfego gerado na rede, espaços em disco, informações de hardware e configurações do sistema. A validação da ferramenta foi feita por meio de experimentos comparativos das cinco principais funcionalidades comuns entre o FAGAC e o Ganglia, mostrando melhores resultados nas cinco funcionalidades, e que FAGAC é menos intrusivo que o Ganglia. / This research presents a tool named FAGAC for cluster management and administration of agglomerated of computers, through a web interface. This tool has the characteristic of being little intrusive in the environment, what means that it should consume a little computational resource in order to not delay the services and processes in execution at the system. The tool has functions to inform the customer or system administrator about the status of memory and CPU occupation, monitorating the load of each computer, the traffic generated in the net, disk space, hardware informations and configurations of the system. It was validated by comparing the results of the experiments from the main similar functions between FAGAC and Ganglia, showing best results for five functions tested, and that FAGAC is less intrusive than Ganglia.

Ferramenta de baixa intrusão

Sistemas distribuídos

Cluster computers management

Distributed computing

Little intrusive tool

Implementação de um IDS utilizando SNMP e lógica difusa / Implementation of an IDS using SNMP and fuzzy logic

Virti, Émerson Salvadori

January 2007

Este trabalho busca o estudo da segurança em redes de computadores através da implementação de um sistema detector de intrusão embasado na captura de informações pela utilização do protocolo SNMP. Para alcançar-se a diminuição no número de falsos positivo e negativo, problema peculiar à maioria dos IDS, utiliza-se a lógica difusa para, com o auxilio dos administradores de segurança de cada rede, possibilitar a construção de um sistema detector de intrusão que melhor se adeque às características das redes monitoradas. Posteriormente, utilizando o monitoramento de uma rede de produção, avalia-se a melhora na segurança obtida com o uso do IDS implementado por esse trabalho que, atuando quase em tempo real, propicia sua adoção como mecanismo complementar à segurança de redes. / This work develops a study about Computer Network Security through the implementation of an Instruction Detection System (IDS) based on system information captured by the SNMP protocol. To reach a reduction in the number of false positive and false negative, a peculiar problem to the majority of the IDS, it is used fuzzy logic and the assistance of Network Security Administrators. Thus it is possible to build an Intrusion Detection System better adjusted to the network characteristics that must be monitored. At last, by monitoring a production network, it is evaluated the overall security improvement obtained by the IDS proposed in this work and considers its adoption as a complementary network security mechanism.

Seguranca : Computadores

Seguranca : Redes : Computadores

Detecção : Intrusão

Intrusion detection systems

Security

Fuzzy logic

SNMP

Uma metodologia para computação com DNA / A DNA computing methodology

Isaia Filho, Eduardo

January 2004

A computação com DNA é um campo da Bioinformática que, através da manipulação de seqüências de DNA, busca a solução de problemas. Em 1994, o matemático Leonard Adleman, utilizando operações biológicas e manipulação de seqüências de DNA, solucionou uma instância de um problema intratável pela computação convencional, estabelecendo assim, o início da computação com DNA. Desde então, uma série de problemas combinatoriais vem sendo solucionada através deste modelo de programação. Este trabalho analisa a computação com DNA, com o objetivo de traçar algumas linhas básicas para quem deseja programar nesse ambiente. Para isso, são apresentadas algumas vantagens e desvantagens da computação com DNA e, também, alguns de seus métodos de programação encontrados na literatura. Dentre os métodos estudados, o método de filtragem parece ser o mais promissor e, por isso, uma metodologia de programação, através deste método, é estabelecida. Para ilustrar o método de Filtragem Seqüencial, são mostrados alguns exemplos de problemas solucionados a partir deste método. / DNA computing is a field of Bioinformatics that, through the manipulation of DNA sequences, looks for the solution of problems. In 1994 the mathematician Leonard Adleman, using biological operations and DNA sequences manipulation, solved an instance of a problem considered as intractable by the conventional computation, thus establishing the beginning of the DNA computing. Since then, a series of combinatorial problems were solved through this model of programming. This work studies the DNA computing, aiming to present some basic guide lines for those people interested in this field. Advantages and disadvantages of the DNA computing are contrasted and some methods of programming found in literature are presented. Amongst the studied methods, the filtering method appears to be the most promising and for this reason it was chosen to establish a programming methodology. To illustrate the sequential filtering method, some examples of problems solved by this method are shown.

Redes : Computadores

Seguranca : Redes : Computadores

Detecção : Intrusão

DNA computing

DNA programming methodologies

Filtering method

âModelagem da IntrusÃo Salina Utilizando Analise de Sensitividade Adjunta â Estudo de Caso: Cap-Bon/Tunisiaâ / "Modeling of Saline Intrusion Using Sensitivity Analysis Assistant - Case Study: Cap-Bon/Tunisia"

Erika da Justa Teixeira Rocha

11 February 2011

CoordenaÃÃo de AperfeiÃoamento de Pessoal de NÃvel Superior / Nos dias atuais a Ãgua se constitui em um bem natural que limita o desenvolvimento socioeconÃmico e, atà mesmo, a subsistÃncia da populaÃÃo. Como tentativa de minimizar o problema da escassez de Ãgua tem-se utilizado a explotaÃÃo da Ãgua subterrÃnea. Entretanto, esse crescimento da utilizaÃÃo de Ãguas subterrÃneas foi feito de forma desordenada e com a construÃÃo inadequada de poÃos. Essa prÃtica acabou por colocar em risco a qualidade das Ãguas subterrÃneas. Assim, a gestÃo dos recursos hÃdricos subterrÃneos tem se tornado um grande desafio. Essa tese propÃe o desenvolvimento um modelo para a simulaÃÃo de fluxo hÃdrico e de transporte de massa para problemas transientes em aqÃÃferos costeiros sujeitos à intrusÃo salina, por meio do desenvolvimento de um modelo numÃrico. Em seguida à desenvolvida uma anÃlise de sensitividade com o objetivo de possibilitar, atravÃs do melhor conhecimento dos parÃmetros locais e suas influÃncias, uma melhor adequaÃÃo do modelo à realidade. / Today the water is a natural well which limits the socioeconomic development and even the subsistence of the population. An attempt to minimize the problem of water scarcity has used the farming of groundwater. However, this growth of the use of groundwater was done inappropriately and with inadequate wells construction. This practice was eventually put at risk the quality of groundwater. Thus, the management of groundwater resources has become a major challenge. This thesis proposes developing a model for the simulation of water flow and mass transport for transient problems in coastal aquifers subject to saline intrusion, through the development of a numerical model. Then we developed a sensitivity analysis with the goal of enabling through better knowledge of local parameters and their influences, a best fit of model to reality.

ENGENHARIA HIDRAULICA

Fundamentos hidrogeoquimicos aplicados na bacia hidrografica de Santa Cruz, ilha de Santiago - Cabo Verde, como instrumento para a gestÃo de recursos hÃdricos / Fundamentals hydrogeochemical applied in watershed of Santa Cruz, the island of Santiago - Cape Verde, as a tool for water resources management

AntÃnio Pedro Said Aly de Pina

09 December 2011

FundaÃÃo Cearense de Apoio ao Desenvolvimento Cientifico e TecnolÃgico / FundaÃÃo de Amparo à Pesquisa do Estado do Cearà / A evoluÃÃo da percepÃÃo dos problemas de qualidade da Ãgua nÃo à exclusiva do Ãltimo sÃculo. Alguns apontamentos histÃricos mostram como a sociedade olhou ao longo dos tempos para a problemÃtica da qualidade de seus recursos hÃdricos. Jà em 1489, Leonardo da Vinci constatou que âdos quatro elementos, a Ãgua à o segundo em peso e em mobilidade. Eleva-se facilmente por si prÃpria pelo calor em sutil vapor atravÃs do ar. O frio fÃ-la gelar, e a imobilidade a corrompe. Assume todo o odor, cor e sabor, e de si, nada temâ. O projeto âAvaliaÃÃo do MilÃnio, Estudos Desenvolvidos dos Ecossistemasâ, lanÃado em junho de 2001 por iniciativa do SecretÃrio-Geral das NaÃÃes Unidas, mostrou que sÃo muitos os ecossitemas no mundo que estÃo ameaÃados pela sobrexplotaÃÃo de Ãguas subterrÃneas, seja pela poluiÃÃo tÃpica e difusa que as afeta, seja pelo impato direto e indireto na disponibilidade hÃdrica causados por alteraÃÃes climÃticas. As aÃÃes antropogÃnicas tÃm reflexos negativos na vitalidade dos ecossistemas e nos benefÃcios que eles prestam à humanidade, como à o caso particular dos ecossistemas dependentes de Ãguas subterrÃneas que garantem a biodiversidade fundamental para o equilÃbrio do ecossistema terrestre como um todo. O grau de dependÃncia da Ãgua subterrÃnea de cada ecossistema deve ser avaliado sob diversas Ãticas hidrogeolÃgicas, como o caudal de escoamento subterrÃneo, o nÃvel potenciomÃtrico e os descritores hidroquÃmicos para que possa ser preservado em sua integridade por longo tempo. O comportamento hidrogeoquÃmico da Ãgua subterrÃnea dos aquÃferos costeiros na parte oriental da ilha de Santiago em Cabo Verde, onde se localiza a bacia hidrogrÃfica da Ribeira Seca, à um exemplo de ecossistema que sofreu uma degradaÃÃo significativa ao longo das duas Ãltimas dÃcadas por causa do rÃpido crescimento populacional associado à intensa explotaÃÃo dos recursos hÃdricos, permitindo assim o avanÃo da Ãgua do mar para o interior do continente. A avaliaÃÃo acurada deste ecossistema pode ser efetuada atravÃs da elaboraÃÃo de cartas de vulnerabilidade baseadas nas caracterÃsticas intrÃnsecas do aquÃfero e no tipo de poluente (vulnerabilidade especÃfica) utilizando dois Ãndices de natureza intrÃnseca (DRASTIC e GOD) e um de natureza especÃfica (IS). Deste modo à possÃvel selecionar os resultados mais prÃximos de realidade observada, servindo posteriormente como instrumento de apoio a ÃrgÃos gestores de recursos hÃdricos na definiÃÃo de polÃticas pÃblicas que visem à conservaÃÃo e ao uso sustentÃvel das Ãguas subterrÃneas. Todas estas preocupaÃÃes surgem, mais do que nunca, como um imperativo Ãtico, social e econÃmico em tudo o que diga respeito à proteÃÃo e sustentabilidade ambiental, cruciais para um desenvolvimento social e econÃmico que pretende ser integrado e harmonioso. A atribuiÃÃo do PrÃmio Nobel da Paz de 2007 a temÃticas ambientais veio reforÃar a importÃncia da sustentabilidade ambiental para a paz no mundo. Saibamos, portanto, todos nÃs dar a nossa contribuiÃÃo para corrigir o que sabemos que nÃo à sustentÃvel.

Qualidade da Ãgua

IntrusÃo salina

HidroquÃmica

Water quality

Saline Intrusion

Hydrochemistry

GEOCIENCIAS

O narrador no livro das crônicas: estratégias narrativas para o estabelecimento de um novo discurso religioso

Toniolo, Ricardo

27 October 2017

Submitted by Giovanna Brasil (1154060@mackenzie.br) on 2017-12-15T21:43:31Z No. of bitstreams: 2 Ricardo Cesar Toniolo.pdf: 1234105 bytes, checksum: fef5499d9d3e0ef9f531cec57a73313e (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Approved for entry into archive by Paola Damato (repositorio@mackenzie.br) on 2017-12-20T14:16:02Z (GMT) No. of bitstreams: 2 Ricardo Cesar Toniolo.pdf: 1234105 bytes, checksum: fef5499d9d3e0ef9f531cec57a73313e (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Made available in DSpace on 2017-12-20T14:16:02Z (GMT). No. of bitstreams: 2 Ricardo Cesar Toniolo.pdf: 1234105 bytes, checksum: fef5499d9d3e0ef9f531cec57a73313e (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Previous issue date: 2017-10-27 / Universidade Presbiteriana Mackenzie / The present research aims to identify how the narrator of the book of Chronicles behaves in relation to the narrators of the books taken as sources, Samuel and Reis, since many of the same events are present in it. Comparing the source texts with that of Chronicles, it was possible to identify omissions and insertions. Parallel narratives and how the narrator of Chronicles established a new discourse from the same stories were specifically analyzed. The main strategies encountered were the insertion of reports, lists and data and, mainly, explanations and evaluations both in the Chronicles narrator's own voice and in direct speeches of key characters in greater numbers than occurs in the books of Samuel and Kings. It was concluded that the narrator of the new work behaves in a more intrusive way, interpreting and leading the reader as he delimits his way of interpreting the narratives. Acting in this way, the narrator could lead the reader to accept the priesthood and the Levitical ministry as fundamental for the construction of an identity of the Jewish people in the postexilic period. / A presente pesquisa tem por objetivo identificar como o narrador do livro de Crônicas se comporta em relação aos narradores dos livros tomados como fontes, Samuel e Reis, uma vez que muitos dos mesmos acontecimentos estão nele presentes. Comparando os textos fonte com o de Crônicas pôde-se identificar omissões e inserções. Foram analisadas especificamente as narrativas paralelas e como o narrador de Crônicas estabeleceu um novo discurso a partir das mesmas histórias. As principais estratégias encontradas foram a inserção de relatórios, listas e dados e, principalmente, explicações e avaliações tanto na voz do próprio narrador de Crônicas quanto em discursos diretos de personagens chave em maior número do que ocorre nos livros de Samuel e de Reis. Concluiu-se que o narrador da nova obra se comporta de maneira mais intrusa, interpretando e conduzindo o leitor à medida que delimita a maneira deste, interpretar as narrativas. Atuando assim, o narrador pôde levar o leitor a aceitar o sacerdócio e o ministério levítico como fundamentais para a construção de uma identidade do povo judeu no período pós-exílico.

crônicas

narrador

estratégia

discurso

intrusão

CNPQ::CIENCIAS HUMANAS::TEOLOGIA

Avaliação de técnicas de captura para sistemas detectores de intrusão. / Evaluation of capture techniques for intrusion detection systems.

Dalton Matsuo Tavares

04 July 2002

O objetivo principal do presente trabalho é apresentar uma proposta que permita a combinação entre uma solução de captura de pacotes já existente e não muito flexível (sniffer) e o conceito de agentes móveis para aplicação em redes segmentadas. Essa pesquisa possui como foco principal a aplicação da técnica captura de pacotes em SDIs network based, utilizando para isso o modelo desenvolvido no ICMC (Cansian, 1997) e posteriormente adequado ao ambiente de agentes móveis (Bernardes, 1999). Assim sendo, foi especificada a camada base do ambiente desenvolvido em (Bernardes, 1999) visando as interações entre seus agentes e o agente de captura de pacotes. / The main objective of the current work is to present a proposal that allows the combination between an existent and not so flexible packet capture solution (sniffer) and the concept of mobile agents for application in switched networks. This research focuses the application of the packet capture technique in IDSs network-based, using for this purpose the model developed at ICMC (Cansian, 1997) and later adjusted to the mobile agents environment (Bernardes, 1999). Therefore, the base layer of the developed environment (Bernardes, 1999} was specified focusing the interactions between its agents and the packet capture agent.

agentes móveis

captura em switches

sistemas de detecção de intrusão

capture over switches

intrusion detection systems

mobile agents

Avaliação do uso de agentes móveis em segurança computacional. / An evaluation of the use of mobile agents in computational security.

Mauro Cesar Bernardes

22 December 1999

Em decorrência do aumento do número de ataques de origem interna, a utilização de mecanismos de proteção, como o firewall, deve ser ampliada. Visto que este tipo de ataque, ocasionado pelos usuários internos ao sistema, não permite a localização imediata, torna-se necessário o uso integrado de diversas tecnologias para aumentar a capacidade de defesa de um sistema. Desta forma, a introdução de agentes móveis em apoio a segurança computacional apresenta-se como uma solução natural, uma vez que permitirá a distribuição de tarefas de monitoramento do sistema e automatização do processo de tomada de decisão, no caso de ausência do administrador humano. Este trabalho apresenta uma avaliação do uso do mecanismo de agentes móveis para acrescentar características de mobilidade ao processo de monitoração de intrusão em sistemas computacionais. Uma abordagem modular é proposta, onde agentes pequenos e independentes monitoram o sistema. Esta abordagem apresenta significantes vantagens em termos de overhead, escalabilidade e flexibilidade. / The use of protection mechanisms must be improved due the increase of attacks from internal sources. As this kind of attack, made by internal users do not allow its immediate localization, it is necessary the integrated use of several technologies to enhance the defense capabilities of a system. Therefore, the introduction of mobile agents to provide security appears to be a natural solution. It will allow the distribution of the system monitoring tasks and automate the decision making process, in the absence of a human administrator. This project presents an evaluation of the use of mobile agents to add mobile capabilities to the process of intrusion detection in computer systems. A finer-grained approach is proposed, where small and independent agents monitor the system. This approach has significant advantages in terms of overhead, scalability and flexibility.

agentes móveis

segurança computacional

sistemas de detecção de intrusão

computational security

intrusion detection systems

mobile agents