Identificação e análise de comportamentos anômalos

Santos, Anderson Fernandes Pereira dos

10 August 2009

Made available in DSpace on 2015-03-04T18:51:18Z (GMT). No. of bitstreams: 1 Tese.pdf: 7360626 bytes, checksum: 2dafc32ffe671ffbc0ed16f2c7cf3864 (MD5) Previous issue date: 2009-08-10 / Um processo pode ser monitorado de várias maneiras diferentes. A mais usual é a medição de alguma característica do processo. O acompanhamento desta característica, agora representada através de uma variável de controle, permite a identificação de um comportamento não usual, também dito anômalo. Existem diversas medidas que podem ser realizadas sobre um fenômeno.Estas medidas podem sofrer alterações durante todo o ciclo de vida do fenômeno. Destas, algumas podem representar o fenômeno em seus vários estados de transição,permitindo assim,que seja possível acompanhar o fenômeno pela monitoração desta medida.Desta forma, se o fenômeno for interpretado como um processo, esta medida pode ser interpretada como um produto deste processo. Na área de controle estatístico da qualidade há inúmeras ferramentas que permitem o acompanhamento de um processo, em especial de um processo de fabricação.Dentre estas ferramentas há o gráfico de controle que, a partir da interpretação da normalidade de um processo, pode indicar quando um processo torna-se não controlável. A partir de um gráfico de controle para processos não normais e de lógica fuzzy, foi desenvolvido o Algoritmo de Detecção de Anomalias com Janelas Adaptativas. Esse algoritmo foi aplicado nas áreas de Segurança da Informação e Vazão em uma rede de distribuição. No primeiro caso foi utilizado na identificação de ataques de negação de serviço.Ataques deste tipo são caracterizados pelo aumento do número de solicitações a um servidor.O intervalo de tempo entre os pacotes foi a variável selecionada para monitorar o processo. No segundo caso foi utilizado na identificação de vazamentos em redes de distribuição de água.A variável de controle utilizada neste caso foi da vazão obtida em ponto de rede.

Sistemas de Segurança

Segurança da Informação

Negação de Serviço

Negação de Serviço Distribuído

Identificação e Análise de Comportamentos Anômalos

Anderson Fernandes Pereira dos Santos

10 August 2009

Um processo pode ser monitorado de várias maneiras diferentes. A mais usual é a medição de alguma característica do processo. O acompanhamento desta característica, agora representada através de uma variável de controle, permite a identificação de um comportamento não usual, também dito anômalo. Existem diversas medidas que podem ser realizadas sobre um fenômeno.Estas medidas podem sofrer alterações durante todo o ciclo de vida do fenômeno. Destas, algumas podem representar o fenômeno em seus vários estados de transição,permitindo assim,que seja possível acompanhar o fenômeno pela monitoração desta medida.Desta forma, se o fenômeno for interpretado como um processo, esta medida pode ser interpretada como um produto deste processo. Na área de controle estatístico da qualidade há inúmeras ferramentas que permitem o acompanhamento de um processo, em especial de um processo de fabricação.Dentre estas ferramentas há o gráfico de controle que, a partir da interpretação da normalidade de um processo, pode indicar quando um processo torna-se não controlável. A partir de um gráfico de controle para processos não normais e de lógica fuzzy, foi desenvolvido o Algoritmo de Detecção de Anomalias com Janelas Adaptativas. Esse algoritmo foi aplicado nas áreas de Segurança da Informação e Vazão em uma rede de distribuição. No primeiro caso foi utilizado na identificação de ataques de negação de serviço.Ataques deste tipo são caracterizados pelo aumento do número de solicitações a um servidor.O intervalo de tempo entre os pacotes foi a variável selecionada para monitorar o processo. No segundo caso foi utilizado na identificação de vazamentos em redes de distribuição de água.A variável de controle utilizada neste caso foi da vazão obtida em ponto de rede.

CIENCIA DA COMPUTACAO

Negação de Serviço Distribuído

Negação de Serviço

Sistemas de Segurança

Segurança da Informação

CIENCIA DA COMPUTACAO

Um Sistema de Detecção de Intrusão para Detecção de Ataques de Negação de Serviço na Internet das Coisas. / An Intrusion Detection System for Detection of Attacks Service Denial on the Internet of Things.

SOUSA, Breno Fabrício Lira Melo

21 December 2016

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-01T15:17:20Z No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) / Made available in DSpace on 2017-08-01T15:17:20Z (GMT). No. of bitstreams: 1 Breno Fabricio.pdf: 3022898 bytes, checksum: d3e376b3280034170ef737c756a8bb30 (MD5) Previous issue date: 2016-12-21 / The paradigm of the Internet of Things (in english, Internet of Things - IoT) came to allow intercommunication between different objects via Internet, and thereby facilitate the form of how the end user will interact with a wide variety of devices that surround him in everyday life. The availability of features that these devices have is a factor that deserves great attention because the use of such resources inappropriately can cause serious damage. Therefore, since such devices are connected to the internet, they are vulnerable to various threats, such as, denial-of-service attack (DoS). In order to tackle DoS type threats in IoT, an Intrusion Detection System (IDS) is proposed for IoT, aiming at detecting some types of DoS attacks. / O paradigma da Internet das Coisas (em inglês, Internet of Things - IoT) surgiu para possibilitar a intercomunicação entre os diferentes objetos através da Internet, e, com isso, facilitar a forma de como o usuário final interagirá com a grande variedade de dispositivos que o cerca no dia a dia. A disponibilidade de recursos que estes dispositivos possuem é um fator que merece uma grande atenção, pois o uso de tais recursos de forma não apropriada pode gerar graves danos. Para tanto, uma vez que tais dispositivos estão conectados à Internet, estes estão vulneráveis a diversas ameaças, como, por exemplo, ataque de negação de serviço (DoS). A fim de enfrentar ameaças do tipo DoS em IoT, propõe-se um IDS (Intrusion Detection System) para IoT, objetivando a detecção de alguns ataques do tipo DoS.

Arquitetura de Sistemas de Computação

Estratégias para tratamento de ataques de negação de serviço na camada de aplicação em redes IP

Dantas, Yuri Gil

14 July 2015

Submitted by Viviane Lima da Cunha (viviane@biblioteca.ufpb.br) on 2016-02-15T12:15:56Z No. of bitstreams: 1 arquivototal.pdf: 3158533 bytes, checksum: 99b0075b0671ec0e3c4fdda3a82a360f (MD5) / Made available in DSpace on 2016-02-15T12:15:56Z (GMT). No. of bitstreams: 1 arquivototal.pdf: 3158533 bytes, checksum: 99b0075b0671ec0e3c4fdda3a82a360f (MD5) Previous issue date: 2015-07-14 / Distributed Denial of Service (DDoS) attacks remain among the most dangerous and noticeable attacks on the Internet. Differently from previous attacks, many recent DDoS attacks have not been carried out over the Transport Layer, but over the Application Layer. The main difference is that in the latter, an attacker can target a particular application of the server, while leaving the others applications still available, thus generating less traffic and being harder to detected. Such attacks are possible by exploiting application layer protocols used by the target application. This work proposes a novel defense, called SeVen, for Application Layer DDoS attacks (ADDoS) based on the Adaptive Selective Verification (ASV) defense used for Transport Layer DDoS attacks. We used two approches to validate the SeVen: 1) Simulation: The entire defense mechanism was formalized in Maude tool and simulated using the statistical model checker (PVeStA). 2) Real scenario experiments: Analysis of efficiency SeVen, implemented in C++, in a real experiment on the network. We investigate the resilience for mitigating three attacks using the HTTP protocol: HTTPPOST, Slowloris, and HTTP-GET. The defence is effective, with high levels of availability, for all three types of attacks, despite having different attack profiles, and even for a relatively large number of attackers. / Ataques de Negação de Serviço Distribuídos (Distributed Denial of Service - DDoS) estão entre os ataques mais perigosos na Internet. As abordagens desses ataques vêm mudando nos últimos anos, ou seja, os ataques DDoS mais recentes não têm sido realizados na camada de transporte e sim na camada de aplicação. A principal diferença é que, nesse último, um atacante pode direcionar o ataque para uma aplicação específica do servidor, gerando menos tráfego na rede e tornando-se mais difícil de detectar. Tais ataques exploram algumas peculiaridades nos protocolos utilizados na camada de aplicação. Este trabalho propõe SeVen, um mecanismo de defesa probabilístico para mitigar ataques DDoS na camada de aplicação, baseada em Adaptive Selective Verification (ASV), um mecanismo de defesa para ataques DDoS na camada de transporte. Foram utilizadas duas abordagens para validar o SeVen: 1) Simulação: Todo o mecanismo de defesa foi formalizado na ferramenta computacional, baseada em lógica de reescrita, chamada Maude e simulado usando um modelo estatístico (PVeStA). 2) Experimentos na rede: Análise da eficiência do SeVen, implementado em C++, em um experimento real na rede. Em particular, foram investigados três ataques direcionados ao Protocolo HTTP: GET FLOOD, Slowloris e o POST. Nesses ataques, apesar de terem perfis diferentes, o SeVen obteve um elevado índice de disponibilidade.

Ataques de negação de serviço

Camada de aplicação

Mecanismo de defesa

Application layer

Defense mechanism

Denial of Service

Mitigando Ataques de Negação de Serviço em Infraestruturas de Computação em Nuvem. / Mitigating denial-of-service attacks on infrastructure Cloud computing.

MEDEIROS, Gleison de Oliveira

04 September 2014

Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-09-04T14:37:04Z No. of bitstreams: 1 Gleison.pdf: 3054404 bytes, checksum: 11aa5497fadacc31dbe5c2817f241266 (MD5) / Made available in DSpace on 2017-09-04T14:37:04Z (GMT). No. of bitstreams: 1 Gleison.pdf: 3054404 bytes, checksum: 11aa5497fadacc31dbe5c2817f241266 (MD5) Previous issue date: 2014-09-04 / Cloud computing has been widely used as an ultimate solution for the growing demands of users of Information Technology services. Concomitant to the rapid development of this technology, new forms of intrusion (and intruders) have emerged. In this context, it is proposed in this dissertation, an architecture of intrusion detection system based on Multi-agent systems associated with the use of techniques for encryption and digital signature to detect and treat the attempted denial of service attacks in an Infrastructure Service. The partial results obtained with the implementation of a prototype are considered satisfactory in view of the performance presented by the tool. / A Computação em Nuvem tem sido bastante utilizada como uma solução recente para as demandas crescentes de usuários de serviços de Tecnologia da Informação. Concomitante ao desenvolvimento acelerado desta tecnologia, novas formas de intrusão (e de intrusos) acabam emergindo. Nesse contexto, é proposta nesta dissertação, uma arquitetura de sistema de detecção de intrusão, baseada em sistemas Multiagentes, associadas ao uso de técnicas de criptografia e assinatura digital, para detectar e tratar as tentativas de ataques de DoS (Denial of Service) em uma Infraestrutura de Nuvem IaaS (Infrastructure as a Service). Os resultados parciais obtidos com a implementação de um protótipo são considerados satisfatórios, tendo em vista o desempenho apresentado pela ferramenta.

Sistemas de Informação.

Um esquema de segurança para quadros de controle em redes IEEE 802.11

FRANÇA NETO, Ivan Luiz de

14 August 2015

Submitted by Haroudo Xavier Filho (haroudo.xavierfo@ufpe.br) on 2016-03-11T14:34:26Z No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) DissertacaoIvanFranca.pdf: 1367108 bytes, checksum: 8ceed302b395b606d9ac49b5a05987db (MD5) / Made available in DSpace on 2016-03-11T14:34:26Z (GMT). No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) DissertacaoIvanFranca.pdf: 1367108 bytes, checksum: 8ceed302b395b606d9ac49b5a05987db (MD5) Previous issue date: 2015-08-14 / Os quadros de controle IEEE 802.11 desempenham funções importantes na rede sem fio. Dentre elas estão o controle de acesso ao meio de comunicação, a recuperação de quadros armazenados no Ponto de Acesso e a confirmação do recebimento de blocos de quadros ou de certos tipos de quadros. Apesar da importância dos quadros de controle, eles são vulneráveis a ataques de forjação, manipulação e reinjeção devido a inexistência de mecanismos de proteção. Este trabalho propõe um esquema de segurança para quadros de controle em redes IEEE 802.11 a fim de evitar esses ataques. A proposta se diferencia dos trabalhos relacionados por prover um alto grau de segurança em todos os seus módulos com baixo impacto na vazão da rede. Além disso, a proposta não incorre nas fraquezas que eles possuem na contenção dos ataques de reinjeção e no processo de geração e distribuição de chaves. / IEEE 802.11 control frames play important role in the wireless network. Among them are the medium access control, the retrieving of buffered frames in the Access Point, and the acknowledgment of block of frames or certain types of frames. Despite their importance, control frames remain vulnerable to forging, tampering, and replay attacks due to lack of protection mechanisms. This work proposes a security scheme for IEEE 802.11 control frames to prevent such attacks. Our proposal differs from related work by providing a high level of security in all modules along with low impact on network throughput. Furthermore, the proposal avoid the weaknesses that they have in the restraint the replay attacks and in the key generation and distribution process.

Redes sem fio

Quadros de controle

Geração e distribuição de chave

Negação de Serviço

Ataque de replicação

Wireless network

Control frame

Denial of service

Key generation and distribution

Replay attack

Uma arquitetura para a detecção de intrusos no ambiente wireless usando redes neurais artificiais / An architecture for detecting intruders in the Wireless environment using artificial neural networks

ATAÍDE, Ricardo Luis da Rocha

27 December 2007

Made available in DSpace on 2016-08-17T14:52:37Z (GMT). No. of bitstreams: 1 Ricardo Luis da Rocha Ataide.pdf: 1712992 bytes, checksum: 27d451c245e151370c1c17a8e89cf8bb (MD5) Previous issue date: 2007-12-27 / Most of the existing software of wireless intrusion detection identify behaviors obtrusive only taking as a basis the exploitation of known vulnerabilities commonly called of attack signatures. They analyze the activity of the system, watching sets of events that are similar to a pre-determined pattern that describes an intrusion known. Thus, only known vulnerabilities are detected, leading to the need for new techniques for detecting intrusions be constantly added to the system. It is necessary to implement a wireless IDS that can identify intrusive behaviors also based on the observation of the deflection normal behaviour of the users, hosts or network connections. This normal behaviour should be based on historical data, collected over a long period of normal operation. This present work proposes an architecture for a system to intrusion detection in wireless networks by anomalies, which is based on the application of technology to artificial neural networks, both in the processes of intrusion detection, as making countermeasures. The system can be adapted to the profile of a new community of users, and can recognize attacks with characteristics somewhat different from the already known by the system, relying only on deviations in behaviour of this new community. A prototype has been implemented and various simulations and tests were performed on it, with three denial of service attacks. The tests were to verify the effectiveness of the application of neural networks in the solution of the problem of wireless network intrusion detection, and concentrated its focus on the power of generalization of neural networks. This ensures the system detects attacks though these features slightly different from those already known. / A maioria dos sistemas de detecção de intrusos para redes wireless existentes identificam comportamentos intrusivos apenas tomando como base a exploração de vulnerabilidades conhecidas, comumente chamadas de assinaturas de ataques. Eles analisam a atividade do sistema, observando conjuntos de eventos que sejam semelhantes a um padrão pré-determinado que descreva uma intrusão conhecida. Com isso, apenas vulnerabilidades conhecidas são detectadas, trazendo a necessidade de que novas técnicas de intrusão sejam constantemente adicionadas ao sistema. Torna-se necessária a implementação de um WIDS (Wireless Intrusion Detection System) que possa identificar comportamentos intrusivos baseandose também na observação de desvios do comportamento normal dos usuários, computadores pessoais ou conexões da rede. Esse comportamento normal deve se basear em dados históricos, coletados durante um longo período normal de operação. Este trabalho propõe uma arquitetura para um sistema de detecção de intrusos em redes wireless por anomalias, que tem como base a aplicação da tecnologia de redes neurais artificiais, tanto nos processos de detecção de intrusões quanto de tomada de contramedidas. O sistema pode se adaptar ao perfil de uma nova comunidade de usuários, bem como pode reconhecer ataques com características um pouco diferentes das já conhecidas pelo sistema, baseando-se apenas nos desvios de comportamento dessa nova comunidade. Um protótipo foi implementado e várias simulações e testes desse protótipo foram realizadas, para três ataques de negação de serviço. Os testes tiveram o objetivo de verificar a eficácia da aplicacação de redes neurais na solução do problema da detecção de intrusos em redes wireless, concentrando seu foco no poder de generalização das redes neurais. Isto garante que o sistema detecte ataques ainda que estes apresentem características ligeiramente diferentes das já conhecidas. Redes Neurais Artificiais.

Redes Wireless

Detecção de Intrusos

Negação de Serviço

Redes Neurais Artificiais

Wireless Networks

Intrusion Detection

Denial of Service

Artificial Neural Networks