Modelagem e análise de políticas de segurança em sistemas com regras associadas ao negócio. / Modeling and analysis of security policies for systems having business-related rules.

Fábio José Muneratti Ortega

25 September 2013

Propõe-se uma estratégia de modelagem e de análise formal de políticas de segurança para sistemas baseados em fluxos de trabalho (workflows) e contendo regras que envolvam aspectos de lógica de negócios. Verifica-se com o auxílio de uma política de exemplo que a estratégia proposta resulta em modelos amplamente capazes de expressar restrições lógicas em função de parâmetros de negócio sem comprometer a viabilidade de suas análises. A modelagem baseia-se no uso de um metamodelo definido a partir da identificação das entidades que caracterizam o estado de proteção de um sistema e representado na forma de uma rede de Petri colorida. Por meio da escrita de predicados para consulta sobre o espaço de estados da rede de Petri, verifica-se o atendimento às regras de segurança no modelo formal. A tratabilidade da análise é garantida pela adoção de um paradigma diferenciado principalmente pela busca de ramos inseguros em vez de nós inseguros no espaço de estados e por explorar a natureza independente entre serviços de negócio distintos, expressa por restrições ao fluxo de informação no metamodelo. Tais restrições permitem que a análise seja fracionada evitando o problema da explosão de estados. O exemplo discutido de modelagem e análise de um sistema de serviços bancários online fornece evidências suficientes para atestar a aplicabilidade do método à validação de políticas de segurança para sistemas reais. / A strategy is proposed for the formal modeling and analysis of workflow- -based security policies having rules which involve aspects of business logic. Aided by an example of security policy, the proposed strategy is shown to lead to models widely capable of expressing logical restrictions as functions of business parameters without compromising the feasibility of its analyses. The modeling is based on the usage of a metamodel defined from the identification of the entities that characterize the protection state of a system, and represented as a colored Petri net. By writing predicates for querying the Petri net state-space, compliance with security rules at the formal model is verified. The feasibility of the analysis is ensured by the adoption of a paradigm distinguished mainly for the search for insecure branches rather than insecure nodes in the state-space, and for exploiting the independent nature among different business services, expressed by restrictions to the information flow within the metamodel. Such restrictions allow the analysis to be fractioned, avoiding the state explosion problem. The example provided of modeling and analysis of an online banking services system offers enough evidence to attest the applicability of the method to the validation of security policies for real-world systems.

Redes de Petri

Segurança de redes (Política)

Verificação de modelos

Network security (Policy)

Petri nets

Verification of models

Gerenciamento de identidades com privacidade do usuário em ambiente Web. / Privacy enhanced identity management system for the Web.

Rony Rogério Martins Sakuragui

02 December 2011

Sistemas de Gerenciamento de Identidade Centrados no Usuário têm sido utilizados na Internet como meio de evitar o gerenciamento de múltiplas contas em sites e serviços na Web. Embora o uso de tais sistemas apresente benefícios, usuários podem ter sua privacidade prejudicada, uma vez que suas identidades tendem a ser conhecidas e controladas por uma entidade central. Dessa maneira, os acessos a serviços e o comportamento dos usuários tendem a ser facilmente rastreáveis em toda a rede. Por outro lado, do ponto de vista dos serviços, existem casos onde o conhecimento e a comprovação de informações do usuário é uma necessidade para o controle de acesso e provimento do serviço. Assim, o objetivo deste trabalho é propor uma solução de gerenciamento de identidades que proteja a privacidade e, ao mesmo tempo, possibilite a comprovação de atributos de identidade do usuário para um provedor de serviços no ambiente Web atual. Esta proposta inova dentre os trabalhos relacionados encontrados na literatura devido à sua adequação às necessidades e limitações existentes no ambiente típico da interação entre usuários e sites na Internet. A verificação do cumprimento dos objetivos de autenticação de atributos de identidade e privacidade do usuário é realizada por meio da análise formal do protocolo da solução. Ainda, com a aplicação de uma métrica, são analisados as condições e níveis de anonimato de um usuário no uso do sistema. / User-centric Identity Management Systems have been used on the Internet for avoiding the management of multiple users accounts in different sites and services on the Web. Although those systems can bring some benefits for its users, their privacy may be jeopardized since their identities are likely to be known and controlled by a central entity. This way, users behavior and their accesses to services are likely to be easily tracked on the network. On the other side, from the services point of view, there are occasions where the knowledge and verification of some users aspects and attributes are necessary for access control and service providing. Thereby, the goal of this work is to propose a solution for identity management that provides enhanced privacy for user and, at the same time, allows them to prove attributes of their identity to a service provider on the current Web environment on the Internet. This proposal innovates when compared to related works due to its suitability to the environment and its interactions between clients and sites on the Internet. The objectives related to the verification of identitys attributes and privacy concerns in this proposal are analyzed by formal methods. This work also presents an analysis on the conditions and levels of anonymity when users interact with the system based on a metric.

Internet

Protocolos de comunicação

Segurança de redes

Blind signatures

Identity management

Privacy

Web

Uma proposta de desenvolvimento de métricas para a rede da Unipampa

Nascimento, Tiago Belmonte

25 July 2013

Submitted by Sandro Camargo (sandro.camargo@unipampa.edu.br) on 2015-05-09T19:15:36Z No. of bitstreams: 1 107110009.pdf: 1750995 bytes, checksum: 7c771ac4e6d9517bfe5c709731c3743e (MD5) / Made available in DSpace on 2015-05-09T19:15:36Z (GMT). No. of bitstreams: 1 107110009.pdf: 1750995 bytes, checksum: 7c771ac4e6d9517bfe5c709731c3743e (MD5) Previous issue date: 2013-07-25 / Um dos maiores desafios da implantação da Universidade Federal do Pampa como uma instituição pública de ensino superior no interior do Rio Grande do Sul é a estruturação de sua rede de dados. Devido às suas peculiaridades a rede de computadores da UNIPAMPA necessita de controles eficientes para garantir sua operação com estabilidade e segurança. Dessa forma, torna-se imprescindível o uso de sistemas confiáveis de comunicação que interliguem todas estas unidades descentralizadas. Em geral, a confiabilidade dos sistemas de comunicação pode ser melhorada em três grandes frentes de ação. 1) manipulação e codificação da informação, 2) melhoria de recursos como potência e banda nos canais de comunicação físicos 3) levantamento de métricas nos pontos de transmissão e recepção. A fim de colaborar neste processo, nosso trabalho consistiu na elaboração de uma proposta do uso de métricas na política de segurança desta rede, tornando mais eficiente a detecção de vulnerabilidades e a orientação de novas políticas de segurança e investimentos. As 10 métricas apresentadas e o método que foi utilizado para gerá-las podem ser aplicados em qualquer rede com características similares à rede da Unipampa. / One of the biggest challenges in the implementation of the University of Pampa as a public university in the countryside of the state of Rio Grande do Sul is the structure of its data network. Due to its peculiarities, the Unipampa's computer network needs efficient controls to ensure operations with stability and safety. Thus, it ecomes essential to use reliable communication systems that interconnect all these decentralized units. In general, the reliability of communication systems can be improved in three major areas of action. 1) anipulation and encoding of information, 2) improving resources such as power and bandwidth in communication physical channels 3) survey metrics at points of transmission and reception. Aiming to contribute in this process, our research consisted in elaborating a proposal of metric use in the security policy of this network, making the vulnerability detection more efficient as well as the orientation of new policies of safety and investment. The 10 metrics and presented method was used to generate them may be applied in any network with similar characteristics to the network of Unipampa.

CNPQ::ENGENHARIAS

Métricas de segurança

Redes de computadores

Segurança de redes

Security metrics

Computer networks

Network security

Segurança para web services com criptografia heterogênea baseada em Proxy

Souza, Samuel Camargo de

January 2010

Made available in DSpace on 2013-08-07T18:42:30Z (GMT). No. of bitstreams: 1 000424471-Texto+Completo-0.pdf: 3818721 bytes, checksum: d6fbd6820f37d0e5f23b429ebe486f73 (MD5) Previous issue date: 2010 / Currently, many different services are available through the Internet and there is a growing demand for these applications. Considering that the Internet is not secure, the confidentiality of such information is a factor of increasing importance. To overcome this problem, many security techniques have emerged and each company has adopted the policies in a different way, but with a tendency to adopt the model of Service-Oriented Architectures. Sometimes different services with different security policies need to be grouped to work together, which makes it difficult to create an application that follows this pattern. A new approach is needed to facilitate the coexistence of these techniques in a productive manner. Based on these requirements, this paper presents a model aimed at the automatic processing of security features to services ordered in Service Oriented Architectures, this model serves as an intermediate system able to “translate” the safety techniques for a particular format. Based on this model, it is presented a prototype able to automatically handle different asymmetric encryption algorithms, including RSA, DSA and ECDSA. This study is to demonstrate the effectiveness of the model through a case study, presenting a situation that can be adopted by real applications. / Atualmente, diversos serviços são disponibilizados pela Internet e há uma crescente demanda por estas aplicações. Considerando que a Internet não é uma rede segura, a confidencialidade de informações que circulam na rede é um fator de importância cada vez maior. Visando solucionar este problema, várias técnicas de segurança surgiram e cada empresa as adotou em suas políticas de uma forma diferente. Porém com a tendência de adoção do modelo de Arquiteturas Orientadas a Serviços, diferentes serviços com diferentes políticas de segurança necessitaram ser agrupados para que pudessem trabalhar em conjunto, o que acabou dificultando a criação de uma aplicação que segue um determinado padrão. Uma nova abordagem se faz necessária para facilitar a coexistência destas técnicas de segurança de uma forma produtiva. Assim, este trabalho apresenta um modelo voltado ao tratamento automático de características de segurança para serviços ordenados em Arquiteturas Orientadas a Serviço. Este modelo atua como um sistema intermediário capaz de “traduzir” as técnicas de segurança para um formato determinado. Com base neste modelo é apresentado um protótipo capaz de tratar automaticamente diferentes algoritmos de criptografia assimétrica, entre eles RSA, DSA e ECDSA. O objetivo do trabalho é testar a efetividade do modelo por meio de um estudo de caso, apresentando uma situação que este pode ser adotado por aplicações reais.

INFORMÁTICA

SEGURANÇA DE REDES DE COMPUTADORES

SEGURANÇA DE DADOS

WEB SITES - MEDIDAS DE SEGURANÇA

SERVIDOR PROXY

Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede / A distributed architecture for network security data analysis

Holtz, Marcelo Dias

09 March 2012

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) / A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT / The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.

Segurança de dados

Segurança da informação

Proposta de um sistema de gerência de redes PLC utilizando SNMPv3 / Proposal of a management system for PLC networks using SNMPv3

OLIVEIRA, Diogo Nunes de

20 August 2009

Made available in DSpace on 2014-07-29T15:08:22Z (GMT). No. of bitstreams: 1 dissertacao diogo oliveira.pdf: 704815 bytes, checksum: 785a905781cd04a8e166c428e941689b (MD5) Previous issue date: 2009-08-20 / ACCESS technologies for data transmission, such as xDSL, Wi-¯ and cable modem are widely used because they support high data transmission rates at low cost. Among these technologies, Power Line Communications, known as PLC, is a promising solution. PLC technology transmits data over power network, which presents high capilarity, due to the fact that it is present in 99% of residences. Since most of its structure already exists, power supply concessionaries started investing in this solution to stop being only a power supply concessionary and to be also a telecommunication company. In order to obtain control over a technology it is necessary to use management techniques that permits the maximum extraction of information from technology and involved devices. One of the goals of this work is to present the management solution developed to PLC networks. This solution di®ers from network management solutions used on other data transmission technologies due to the transmission media utilized. The management software used as base of the management system implemented is a free and no cost software. The concept of free code was adopted to the solutions implemented to the management system. The other goal of this work is to present the proposal and implementation of an embedded system based on PIC microcontroller that performs conversion of versions of SNMP protocol, which is the default management protcol in TCP/IP based networks. This converter device brings security to PLC networks management, since PLC devices only support version 2c of SNMP protocol, which is faulty regarding security. Since SNMPv3 supports authentication and privacy al gorithms, the designed converter device is capable of providing security, due to its capacity of coding a SNMPv2c packet into a SNMPv3 packet, and vice-versa. / TECNOLOGIAS de acesso para transmiss~ao de dados, como xDSL, Wi-¯ e cable modem s~ao amplamente utilizadas por permitirem altas taxas de transmissãao a baixo custo. Dentre essas tecnologias, a Power Line Communications, conhecida como PLC, ¶e uma solução promissora. A tecnologia PLC permite a transmiss~ao de dados atrav¶es da rede el¶etrica, rede essa que apresenta elevada capilaridade, pois est¶a presente em 99% das resid^en- cias. Por ser uma tecnologia que j¶a tem grande parte de sua estrutura pronta, as concession¶arias de energia el¶etrica come»cam a investir nessa solu»c~ao, com o intuito de deixar de ser apenas uma concession¶aria de energia, passando a ser tamb¶em uma operadora de telecomunicações. Para ter controle sobre uma tecnologia ¶e necess¶ario utilizar t¶ecnicas de gerenciamento que permitam extrair o m¶aximo de informa»c~oes a respeito do funcionamento e estado da tecnologia e dos equipamentos envolvidos, e como resultado, proporcionar con¯abilidade nessa tecnologia. Este trabalho tem como um de seus objetivos apresentar a solu»c~ao de gerenciamento desenvolvida para redes PLC. Esta solu»c~ao difere de sistemas de gerência de outras tecnologias de transmiss~ao de dados devido ao meio utilizado para a transmiss~ao e por ser uma tecnologia ainda pouco utilizada. O software de gerenciamento utilizado como base do sistema de ger^encia que fora implementado ¶e um software de c¶odigo livre e gratuito. Para o desenvolvimento da ferramenta de gerência de redes PLC foi adotado o conceito do software livre, sendo assim, todos os softwares utilizados s~ao livres e gratuitos. O outro objetivo deste trabalho ¶e apresentar a proposta e implementa»c~ao de um sistema embarcado baseado em microcontrolador para realizar a convers~ao de vers~oes do protocolo SNMP, utilizado no gerenciamento de redes TCP/IP. A ¯nalidade deste conversor ¶e implementar seguran»ca no gerenciamento de redes PLC, visto que os ativos PLC suportam apenas o protocolo SNMP em sua vers~ao 2c, vers~ao esta que ¶e bastante falha se tratando de seguran»ca dos dados. Como o SN-MPv3 suporta algoritmos de autentica»c~ao e criptogra¯a, o equipamento conversor desenvolvido ¶e capaz de prover seguran»ca, devido µa sua capacidade de codi¯car um pacote SNMPv2c em um pacote SNMPv3, e vice-versa

gerenciamento de redes

segurança de redes

PLC

CNPQ::ENGENHARIAS

Gerenciamento de identidades com privacidade do usuário em ambiente Web. / Privacy enhanced identity management system for the Web.

Sakuragui, Rony Rogério Martins

02 December 2011

Sistemas de Gerenciamento de Identidade Centrados no Usuário têm sido utilizados na Internet como meio de evitar o gerenciamento de múltiplas contas em sites e serviços na Web. Embora o uso de tais sistemas apresente benefícios, usuários podem ter sua privacidade prejudicada, uma vez que suas identidades tendem a ser conhecidas e controladas por uma entidade central. Dessa maneira, os acessos a serviços e o comportamento dos usuários tendem a ser facilmente rastreáveis em toda a rede. Por outro lado, do ponto de vista dos serviços, existem casos onde o conhecimento e a comprovação de informações do usuário é uma necessidade para o controle de acesso e provimento do serviço. Assim, o objetivo deste trabalho é propor uma solução de gerenciamento de identidades que proteja a privacidade e, ao mesmo tempo, possibilite a comprovação de atributos de identidade do usuário para um provedor de serviços no ambiente Web atual. Esta proposta inova dentre os trabalhos relacionados encontrados na literatura devido à sua adequação às necessidades e limitações existentes no ambiente típico da interação entre usuários e sites na Internet. A verificação do cumprimento dos objetivos de autenticação de atributos de identidade e privacidade do usuário é realizada por meio da análise formal do protocolo da solução. Ainda, com a aplicação de uma métrica, são analisados as condições e níveis de anonimato de um usuário no uso do sistema. / User-centric Identity Management Systems have been used on the Internet for avoiding the management of multiple users accounts in different sites and services on the Web. Although those systems can bring some benefits for its users, their privacy may be jeopardized since their identities are likely to be known and controlled by a central entity. This way, users behavior and their accesses to services are likely to be easily tracked on the network. On the other side, from the services point of view, there are occasions where the knowledge and verification of some users aspects and attributes are necessary for access control and service providing. Thereby, the goal of this work is to propose a solution for identity management that provides enhanced privacy for user and, at the same time, allows them to prove attributes of their identity to a service provider on the current Web environment on the Internet. This proposal innovates when compared to related works due to its suitability to the environment and its interactions between clients and sites on the Internet. The objectives related to the verification of identitys attributes and privacy concerns in this proposal are analyzed by formal methods. This work also presents an analysis on the conditions and levels of anonymity when users interact with the system based on a metric.

Blind signatures

Identity management

Internet

Privacy

Protocolos de comunicação

Segurança de redes

Web

Lyra: uma função de derivação de chaves com custos de memória e processamento configuráveis. / Lyra: password-based key derivation with tunable memory and processing costs.

Almeida, Leonardo de Campos

16 March 2016

Este documento apresenta o Lyra, um novo esquema de derivação de chaves, baseado em esponjas criptográficas. O Lyra foi projetado para ser estritamente sequencial, fornecendo um nível elevado de segurança mesmo contra atacantes que utilizem múltiplos núcleos de processamento, como uma GPU ou FPGA. Ao mesmo tempo possui uma implementação simples em software e permite ao usuário legítimo ajustar o uso de memória e tempo de processamento de acordo com o nível de segurança desejado. O Lyra é, então, comparado ao scrypt, mostrando que esta proposta fornece um nível se segurança mais alto, além de superar suas deficiências. Caso o atacante deseje realizar um ataque utilizando pouca memória, o tempo de processamento do Lyra cresce exponencialmente, enquanto no scrypt este crescimento é apenas quadrático. Além disto, para o mesmo tempo de processamento, o Lyra permite uma utilização maior de memória, quando comparado ao scrypt, aumentando o custo de ataques de força bruta. / This document presents Lyra, a password-based key derivation scheme based on cryptographic sponges. Lyra was designed to be strictly sequential, providing strong security even against attackers that use multiple processing cores, such as FPGAs or GPUs. At the same time, it is very simple to implement in software and allows legitimate users to tune its memory and processing costs according to the desired level of security. We compare Lyra with scrypt, showing how this proposal provides a higher security level and overcomes limitations of scrypt. If the attacker wishes to perform a low-memory attack against the algorithm, the processing cost grwos expontetialy, while in scrypt, this growth is only quadratic. In addition, for an identical processing time, Lyra allows for a higher memory usage than its counterparts, further increasing the cost of brute force attacks.

Criptologia

Cryptographic sponges

Derivação de chaves

Esponjas criptográficas

Memória RAM

Memory usage

Password-based key derivation

Security

Segurança de redes

Utilização de memória

Protocolo de comunicação segura para plataforma de distribuição de vídeo em redes sobrepostas. / Protocol of secure communication for video distribution platform on overlay networks.

Pimentel, Hélcio Machado

07 July 2011

As redes de distribuição de vídeo têm sido amplamente utilizadas na atualidade pela Internet. O sucesso de Portais de Vídeo evidencia tal uso. Por poderem ser redes de grande porte, há uma grande preocupação com as vulnerabilidades existentes nessas redes. A comunicação de seus elementos deve ser segura o bastante para garantir a disponibilidade, o sigilo e integridade de suas mensagens e a autenticidade dos seus elementos. Este trabalho apresenta um protocolo de comunicação segura que busca atender a tais necessidades de uma maneira eficiente - pois consegue atender aos requisitos de desempenho na entrega do conteúdo aos usuários - e genérica - pois pode ser utilizado em outras plataformas de distribuição. A validação do trabalho é feita de maneira a mostrar que a proposta consegue atender aos requisitos de um sistema de distribuição de vídeo seguro. / Video delivery network has been widely used across the Internet nowadays. The success of Video Portals is an evidence of this use. Due to its potential to turn into large infrastructures, there is a concern about its vulnerabilities. The communication among its elements must be secure enough to guarantee the availability, the secrecy and integrity of messages and the authenticity of its elements. We present in this work a secure communication protocol to meet such requisites in an efficient - since it meets the performance requisites for delivering the content to the users - and generic way - because it can be used by other distribution systems. The validity of this work is done in order to show that this proposal can meet the requisites of a secure video delivery system.

Communication Protocol

Distributed Systems

Network Security

Protocolos de Comunicação

Segurança em Redes

Sistemas Distribuídos

Vídeo (Distribuição)

Video (Distribution)

Proposta e implementação de uma Camada de Integração de Serviços de Segurança (CISS) em SoC e multiplataforma. / Proposal and Implementation of an Security Services Integration Layer (ISSL) in SoC and multiplatform.

Pereira, Fábio Dacêncio

09 November 2009

As redes de computadores são ambientes cada vez mais complexos e dotados de novos serviços, usuários e infra-estruturas. A segurança e a privacidade de informações tornam-se fundamentais para a evolução destes ambientes. O anonimato, a fragilidade e outros fatores muitas vezes estimulam indivíduos mal intencionados a criar ferramentas e técnicas de ataques a informações e a sistemas computacionais. Isto pode gerar desde pequenas inconveniências até prejuízos financeiros e morais. Nesse sentido, a detecção de intrusão aliada a outras ferramentas de segurança pode proteger e evitar ataques maliciosos e anomalias em sistemas computacionais. Porém, considerada a complexidade e robustez de tais sistemas, os serviços de segurança muitas vezes não são capazes de analisar e auditar todo o fluxo de informações, gerando pontos falhos de segurança que podem ser descobertos e explorados. Neste contexto, esta tese de doutorado propõe, projeta, implementa e analisa o desempenho de uma camada de integração de serviços de segurança (CISS). Na CISS foram implementados e integrados serviços de segurança como Firewall, IDS, Antivírus, ferramentas de autenticação, ferramentas proprietárias e serviços de criptografia. Além disso, a CISS possui como característica principal a criação de uma estrutura comum para armazenar informações sobre incidentes ocorridos em um sistema computacional. Estas informações são consideradas como a fonte de conhecimento para que o sistema de detecção de anomalias, inserido na CISS, possa atuar com eficiência na prevenção e proteção de sistemas computacionais detectando e classificando prematuramente situações anômalas. Para isso, foram criados modelos comportamentais com base nos conceitos de Modelo Oculto de Markov (HMM) e modelos de análise de seqüências anômalas. A CISS foi implementada em três versões: (i) System-on-Chip (SoC), (ii) software JCISS em Java e (iii) simulador. Resultados como desempenho temporal, taxas de ocupação, o impacto na detecção de anomalias e detalhes de implementação são apresentados, comparados e analisados nesta tese. A CISS obteve resultados expressivos em relação às taxas de detecção de anomalias utilizando o modelo MHMM, onde se destacam: para ataques conhecidos obteve taxas acima de 96%; para ataques parciais por tempo, taxas acima de 80%; para ataques parciais por seqüência, taxas acima de 96% e para ataques desconhecidos, taxas acima de 54%. As principais contribuições da CISS são a criação de uma estrutura de integração de serviços de segurança e a relação e análise de ocorrências anômalas para a diminuição de falsos positivos, detecção e classificação prematura de anormalidades e prevenção de sistemas computacionais. Contudo, soluções foram criadas para melhorar a detecção como o modelo seqüencial e recursos como o subMHMM, para o aprendizado em tempo real. Por fim, as implementações em SoC e Java permitiram a avaliação e utilização da CISS em ambientes reais. / Computer networks are increasingly complex environments and equipped with new services, users and infrastructure. The information safety and privacy become fundamental to the evolution of these environments. The anonymity, the weakness and other factors often encourage people to create malicious tools and techniques of attacks to information and computer systems. It can generate small inconveniences or even moral and financial damage. Thus, the detection of intrusion combined with other security tools can protect and prevent malicious attacks and anomalies in computer systems. Yet, considering the complexity and robustness of these systems, the security services are not always able to examine and audit the entire information flow, creating points of security failures that can be discovered and explored. Therefore, this PhD thesis proposes, designs, implements and analyzes the performance of an Integrated Security Services Layer (ISSL). So several security services were implemented and integrated to the ISSL such as Firewall, IDS, Antivirus, authentication tools, proprietary tools and cryptography services. Furthermore, the main feature of our ISSL is the creation of a common structure for storing information about incidents in a computer system. This information is considered to be the source of knowledge so that the system of anomaly detection, inserted in the ISSL, can act effectively in the prevention and protection of computer systems by detecting and classifying early anomalous situations. In this sense, behavioral models were created based on the concepts of the Hidden Markov Model (MHMM) and models for analysis of anomalous sequences. The ISSL was implemented in three versions: (i) System-on-Chip (SoC), (ii) JCISS software in Java and (iii) one simulator. Results such as the time performance, occupancy rates, the impact on the detection of anomalies and details of implementation are presented, compared and analyzed in this thesis. The ISSL obtained significant results regarding the detection rates of anomalies using the model MHMM, which are: for known attacks, rates of over 96% were obtained; for partial attacks by a time, rates above 80%, for partial attacks by a sequence, rates were over 96% and for unknown attacks, rates were over 54%. The main contributions of ISSL are the creation of a structure for the security services integration and the relationship and analysis of anomalous occurrences to reduce false positives, early detection and classification of abnormalities and prevention of computer systems. Furthermore, solutions were figured out in order to improve the detection as the sequential model, and features such as subMHMM for learning at real time. Finally, the SoC and Java implementations allowed the evaluation and use of the ISSL in real environments.

Anomaly detection

Circuitos lógicos

FPGA programmable circuits

Security services integration

Segurança de redes

System-on-Chip