Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede / A distributed architecture for network security data analysis

Holtz, Marcelo Dias

09 March 2012

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT / The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.

Segurança de dados

Segurança da informação

A CMS-based tool for continuous and collaborative risk management process.

Gabriel Negreira Barbosa

13 August 2009

A Security Risk Management Process is an important part for any approach to software security. To be effective, this process should address some issues, like the analysis of different risks and related safeguards, continuous collaboration among involved professionals, and a robust access control mechanism due to the sensitivity of the involved information. In this research, it was developed a solution for security risk management based on an open-source CMS (Content Management System). This tool attends requirements for a secure, continuous and collaborative risk management, due to the importance and the lack of mature solutions in those aspects.

Tecnologia da informação

Segurança de dados

Gerenciamento de riscos

Trabalho em grupo (computadores)

Gestão de conteúdo

Engenharia de software

Avaliação do desempenho do sistema GATELINK para PHM utilizando métodos de segurança WPA-2 e IPsec

Natalia Ezagui Garcia Rocha

10 December 2009

O monitoramento da saúde dos sistemas de uma aeronave - PHM (Prognostic and Heatlth Monitoring) - é o cenário deste estudo, que aborda a transferência dos dados do avião no solo até o centro de operação e manutenção de uma companhia aérea, tendo em vista alguns requisitos de operação, como um tempo mínimo para que os dados sejam transmitidos, o tamanho de um arquivo típico de PHM e como a necessidade de se obter um canal seguro sob o ponto de vista de integridade e confidencialidade dos dados impacta no cumprimento destes requisitos. O sistema de transmissão de dados em solo abordado é composto pelo Gatelink, que utiliza um sistema de comunicação sem fio através do protocolo 802.11 entre a aeronave e um roteador no aeroporto, e uma rede cabeada Frame Relay dentro do aeroporto. Para segurança, são adotados os protocolos WPA-2 no trecho sem fio e o IPsec no trecho cabeado. O estudo demonstra que o tempo para se transmitir um quadro no trecho sem fio mostrou-se pouco afetado pela introdução do cabeçalho de segurança do WPA-2. Os cabeçalhos inseridos pelo IPsec afetam o tempo de transmissão dos dados, porém mostra-se que ainda é possível transmitir dentro do intervalo de tempo especificado considerando o método de cifragem dos dados AES.

Monitoramento da saúde de sistemas

Manutenção de aeronaves

Análise de sistemas

Comunicação de dados

Comunicação sem fio

Protocolos de comunicação

Segurança de dados

Engenharia aeronáutica

Aplicação de transformação conforme em codificação e decodificação de imagens / Conformal mapping applied to images encoding and decoding

Silva, Alan Henrique Ferreira

31 March 2016

Submitted by JÚLIO HEBER SILVA (julioheber@yahoo.com.br) on 2017-03-24T17:48:37Z No. of bitstreams: 2 Dissertação - Alan Henrique Ferreira Silva - 2016.pdf: 10881029 bytes, checksum: 1c411277f8b103cc8a55709053ed7f9b (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Approved for entry into archive by Luciana Ferreira (lucgeral@gmail.com) on 2017-03-27T15:13:01Z (GMT) No. of bitstreams: 2 Dissertação - Alan Henrique Ferreira Silva - 2016.pdf: 10881029 bytes, checksum: 1c411277f8b103cc8a55709053ed7f9b (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) / Made available in DSpace on 2017-03-27T15:13:01Z (GMT). No. of bitstreams: 2 Dissertação - Alan Henrique Ferreira Silva - 2016.pdf: 10881029 bytes, checksum: 1c411277f8b103cc8a55709053ed7f9b (MD5) license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Previous issue date: 2016-03-31 / This work proposes method to encode and decode imas using conformal mapping. Conformal mapping modifies domains without modifyung physical characteristics between them. Real images are processed between these domains using encoding keys, also called transforming functions. The advantage of this methodology is the ability to carry the message as an encoded image in printed media for posterior-decoding. / Este trabalho propõe método que utiliza transformações conformes para codificar e decodificar imagens. As transformações conformes modificam os domínios em estudos sem modificar as características físicas entre eles. As imagens reais são transformadas entre estes domínios utilizando chaves, que são funções transformadoras. o diferencial desta metodologia é a capacidade de transportar a mensagem contida na imagem em meio impresso codificado e depois, decodificá-la.

Transformação conforme

Criptografia visual

Decodificação de imagem impressa

Segurança de dados

Conformal mapping

Image encode and decoding

Visual cryptography

Decoding printed image

Data security

ENGENHARIAS::ENGENHARIA ELETRICA

IPSFlow: Um framework para Sistema de Prevenção de Intrusão baseado em Redes Definidas por Software

NAGAHAMA, Fábio Yu

09 October 2013

Submitted by Cleide Dantas (cleidedantas@ufpa.br) on 2014-07-31T14:26:52Z No. of bitstreams: 2 license_rdf: 23898 bytes, checksum: e363e809996cf46ada20da1accfcd9c7 (MD5) Dissertacao_IpsflowFrameworkSistema.pdf: 5908429 bytes, checksum: 790a3383734a6d24cf5e9a14636bca8b (MD5) / Approved for entry into archive by Ana Rosa Silva (arosa@ufpa.br) on 2014-09-05T13:54:37Z (GMT) No. of bitstreams: 2 license_rdf: 23898 bytes, checksum: e363e809996cf46ada20da1accfcd9c7 (MD5) Dissertacao_IpsflowFrameworkSistema.pdf: 5908429 bytes, checksum: 790a3383734a6d24cf5e9a14636bca8b (MD5) / Made available in DSpace on 2014-09-05T13:54:37Z (GMT). No. of bitstreams: 2 license_rdf: 23898 bytes, checksum: e363e809996cf46ada20da1accfcd9c7 (MD5) Dissertacao_IpsflowFrameworkSistema.pdf: 5908429 bytes, checksum: 790a3383734a6d24cf5e9a14636bca8b (MD5) Previous issue date: 2013 / Os Sistemas de Detecção e Prevenção de Intrusão (Intrusion Detection Systems – IDS e Intrusion Prevention Systems - IPS) são ferramentas bastante conhecidas e bem consagradas no mundo da segurança da informação. Porém, a falta de integração com os equipamentos de rede como switches e roteadores acaba limitando a atuação destas ferramentas e exige um bom dimensionamento de recursos de hardware como processamento, memória e interfaces de rede de alta velocidade, utilizados para implementá-las. Diante de diversas limitações deparadas por pesquisadores e administradores de redes, surgiu o conceito de Rede Definida por Software (Software Defined Network – SDN), que ao separar os planos de controle e de dados, permite adaptar o funcionamento da rede de acordo com as necessidades de cada um. Desta forma, devido à padronização e flexibilidade propostas pelas SDNs, e das limitações apresentadas dos IPSs, esta dissertação de mestrado propõe o IPSFlow, um framework que utiliza uma rede baseada na arquitetura SDN e o protocolo OpenFlow para a criação de um IPS com ampla cobertura e que permite bloquear um tráfego caracterizado pelos IDS(s) como malicioso no equipamento mais próximo da origem. Para validar o framework, experimentos no ambiente virtual Mininet foram realizados utilizando-se o Snort como IDS para analisar tráfego de varredura (scan) gerado pelo Nmap de um host ao outro. Os resultados coletados apresentam que o IPSFlow funcionou conforme planejado ao efetuar o bloqueio de 85% do tráfego de varredura. / Intrusion Detection and Prevention Systems (IDSs/IPSs) are well known tools and well enshrined in the world of information security. However, the lack of integration with network equipment, such as switches and routers, tends to limit the performance of these tools leads to require a proper dimensioning of hardware resources such as processor, memory and high-speed network interfaces used to implement them. Faced with several limitations encountered by researchers and network administrators, the concept of Software Defined Network (SDN), that separates the data and control planes, emerged allowing to adapt the operation of the network according to their needs. Thus, due to standardization and flexibility offered by SDNs, and the limitations presented by IDSs, this dissertation proposes IPSFlow, a framework that uses a network based on the SDN architecture, and the OpenFlow protocol, to create an IPS with wide coverage that blocks a malicious traffic in the equipment closer to the origin. To validate the framework, experiments in the virtual Mininet environment were conducted using Snort as IDS to analyze scanning traffic generated by Nmap from a host to another. The results show that the IPSFlow worked as planned by blocking almost 85% of scanning traffic.

Redes de computadores

IPSFlow

Segurança de dados

SDNs

IDS

IPS

Rede definida por software

Framework

Provendo segurança em redes definidas por software através da integração com sistemas de detecção e prevenção de intrusão

Fernandes, Henrique Santos

03 July 2017

Submitted by Patrícia Cerveira (pcerveira1@gmail.com) on 2017-06-07T20:29:49Z No. of bitstreams: 1 Henrique_Fernandes Dissertação.pdf: 2826928 bytes, checksum: f7388a5396e90a8444a4aac05feada53 (MD5) / Approved for entry into archive by Biblioteca da Escola de Engenharia (bee@ndc.uff.br) on 2017-07-03T14:05:51Z (GMT) No. of bitstreams: 1 Henrique_Fernandes Dissertação.pdf: 2826928 bytes, checksum: f7388a5396e90a8444a4aac05feada53 (MD5) / Made available in DSpace on 2017-07-03T14:05:51Z (GMT). No. of bitstreams: 1 Henrique_Fernandes Dissertação.pdf: 2826928 bytes, checksum: f7388a5396e90a8444a4aac05feada53 (MD5) / Os Sistemas de Detecção e Prevenção de Intrusão são fundamentais para a segurança da rede de computadores, inspecionar o tráfego da rede em tempo real em busca de intrusos para garantir uma rede confiável é um dos seus papéis. Porém a falta de integração com os ativos da rede é um dos principais fatores que limitam sua atuação. O conceito de Redes Definidas por Software visa diminuir a falta de integração entre os ativos de rede devido a separação do plano de dados do plano de controle. Diante da limitação da integração entre os ativos de redes e os Sistemas de Detecção e Prevenção de Intrusão, o presente estudo propõe, desenvolve e demonstra o IDSFlow, um modelo de integração de sistemas de detecção de intrusão em redes definidas por software. Para validar o IDSFlow, foram realizados testes utilizando o Openflow, o Mininet, CPqD e o Snort. Os resultados obtidos pelos algorítimos desenvolvidos e apresentados mostram a capacidade de integração proposta, é possível verificar a viabilidade de utilizar as regras já existentes e funcionais para o Snort assim como utilizar o histórico de utilização da rede para aumentar a efetividade da detecção e dos bloqueios de intrusos. / Intrusion Detection and Prevention Systems are fundamental to the network security, to inspect the traffic in real time seeking intruders to ensure a reliable network is one of it’s roles. However the lack of integration between the network equipments, is one of the biggest factors to limit its operations. The concept of Software Defined Networks aims to reduce the lack of integration among network assets due to the separation of the data plan from the control plan. Given the limitation of integration between networks assets and Intrusion Detection and Prevention Systems, the present study proposes, develops and demonstrates IDSFlow, an integration model of intrusion detection systems in softwaredefined networks. To validate IDSFlow, tests were run using Openflow, Mininet, CPqD and Snort. The results obtained by the algorithms developed and presented show the proposed integration capacity, it is possible to verify the feasibility of using the existing and functional rules for Snort as well as to use the network usage history to increase the effectiveness of intrusion detection and block.

SDN

Openflow

Snort

IDS

Rede de Computadores

IPS

NIDS

Segurança

Análise de tráfego

Redes definidas por software

Rede de computadores

Segurança de dados on-line

Fluxo contínuo

Sistema de telecomunicação

Software defined networks

Networks

Network Security

Security