Validação experimental de sistemas de arquivos baseados em journaling para o sistema operacional Linux

Mello, Leonardo Garcia de

January 2004

Alta disponibilidade (muitas vezes referenciada como HA, de High Availability) é uma característica de sistemas computacionais que são projetados para evitar ao máximo as interrupções, planejadas ou não, na prestação de serviços. Em alta disponibilidade, o ideal é haver poucas falhas e, mesmo quando estas acontecerem, que o seu tempo médio de reparo (ou MTTR, de Mean Time To Repair) seja tão pequeno quanto possível. Sistemas operacionais têm um papel importante em alta disponibilidade, sendo preferível o uso daqueles que possuam sistemas de arquivos seguros e relativamente independentes de ações por agentes humanos para a recuperação. Uma das abordagens para auxiliar a obter-se uma alta disponibilidade em sistemas de arquivos é a do tipo journaling, ou meta-data logging. Existe uma série de sistemas de arquivos para o sistema operacional Linux baseando-se nela, tais como ext3, JFS, ReiserFS e XFS. Este trabalho tem por objetivo propor uma metodologia de validação experimental para avaliar a eficiência do mecanismo para recuperação de sistemas de arquivos baseados em journaling, na ocorrência de falhas. Para isso, a técnica de validação empregada é a da injeção de falhas e o sistema sob teste é uma implementação do XFS. Foram utilizados os recursos de depuração do sistema operacional Linux (que permitem a utilização de métodos para interceptação e manipulação de chamadas de sistema) para a implementação de um injetor de falhas específico para sistemas de arquivos baseados em journaling, o qual foi chamado de FIJI (Fault Injector for Journaling fIlesystems). Manipular os parâmetros de chamadas de sistema (ou system calls) através do FIJI equivale a alterar as requisições feitas ao sistema operacional. A eficiência do mecanismo de journaling é medida injetando-se falhas e medindose o MTTR e a cobertura de falhas. Basicamente, o que procura-se fazer através do injetor de falhas FIJI é ignorar os logs do journaling e manipular uma quantidade de informações diferente daquela que foi solicitada originalmente.

Seguranca : Computadores

Sistemas operacionais

Linux

Gerencia : Arquivos

Software livre

Técnicas de detecção de Sniffers / Sniffer detection techniques

Casagrande, Rogério Antônio

January 2003

A área de Detecção de Intrusão, apesar de muito pesquisada, não responde a alguns problemas reais como níveis de ataques, dim ensão e complexidade de redes, tolerância a falhas, autenticação e privacidade, interoperabilidade e padronização. Uma pesquisa no Instituto de Informática da UFRGS, mais especificamente no Grupo de Segurança (GSEG), visa desenvolver um Sistema de Detecção de Intrusão Distribuído e com características de tolerância a falhas. Este projeto, denominado Asgaard, é a idealização de um sistema cujo objetivo não se restringe apenas a ser mais uma ferramenta de Detecção de Intrusão, mas uma plataforma que possibilite agregar novos módulos e técnicas, sendo um avanço em relação a outros Sistemas de Detecção atualmente em desenvolvimento. Um tópico ainda não abordado neste projeto seria a detecção de sniffers na rede, vindo a ser uma forma de prevenir que um ataque prossiga em outras estações ou redes interconectadas, desde que um intruso normalmente instala um sniffer após um ataque bem sucedido. Este trabalho discute as técnicas de detecção de sniffers, seus cenários, bem como avalia o uso destas técnicas em uma rede local. As técnicas conhecidas são testadas em um ambiente com diferentes sistemas operacionais, como linux e windows, mapeando os resultados sobre a eficiência das mesmas em condições diversas. / The area of Intrusion Detection, although widely searched, does not answer to some real problems as the level of attacks, dimension and complexity of networks, fault tolerance, authentication and privacy, interoperability and standardization. A current research at the Institute of Computer Science of UFRGS, more specifically in the Security Group (GSEG), aims at developing a Distributed Intrusion Detection System with features of fault tolerance. This project, called Asgaard, is the accomplishment of a system whose objective is not only restricted to be another tool concerning Intrusion Detection, but also a platform that makes possible to add new modules and techniques, which is an advance with respect to other Intrusion Detection Systems in progress. A point which has not yet been investigated in this project would be the network sniffer detection, which is supposed to be a way to prevent that an attack proceeds to other hosts and interconnected networks, once a intruder usually installs a sniffer after a well-performed attack. This work explores the sniffers detection techniques, their sets, as well as verifies these techniques in a local area network. The known techniques are tested in an environment with different operating systems, as linux and windows, explaining the results on the efficiency of these systems in several conditions.

Detecção : Intrusão

Seguranca : Computadores

Security

Intrusion detection

Sniffer

Sniffer detection

Arquitetura distribuída e automatizada para mitigação de botnet baseada em análise dinâmica de malwares / An automated and distributed architecture for botnet mitigation based in dynamic malware analysis

Ceron, João Marcelo

January 2010

Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets - rede de máquinas comprometidas e controladas remotamente por um atacante - caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizouse de monitoração de fluxos através da solução Netflow para identificar o comportamento de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observouse um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas. / Currently, botnets are one of the most serious threats of Internet security. The botnets - network of compromissed machines remotely controlled by an attacker - are being very dynamic threats. Often new features are incorporated into thismalicious networksmaking hard for traditional tools, such as antivirus and IDS, to be effective. Therefore, it is necessary to develop new mechanisms that can complement the current defense techniques. This dissertation presents an architecture for a tool for botnet mitigation and detection. The tool is based in network signature obtained from bot compromissed machine’s. This architecture automates the process of signature generation compiling information from online malwares analyze tools. Furthermore, flows monitoring tools was used to identify similar behavior to those mapped in malware (bot) analyzed by the system. This mapped behavior in flows indicates possible compromissed machines, with this, the system triggers events to help the security manager to mitigate the compromissed machines. Finally, the proposed solution was evaluated in a academic network: in the Federal University of Rio Grande do Sul. The results achieved by this solution helped to observe that more than 1.5% of the botnet controllers’s remain active for a long period of time (52 days) performing malicious activities. Also, was observed a small group of controllers responsible for the adminstration of a large number of compromissed machines.

Redes : Computadores

Seguranca : Redes : Comunicacao : Dados

Botnet

Bot

Malware analysis

Utilizando funções de autenticação de mensagens para a detecção e recuperação de violações de integridade de acesso a tabelas relacionais

Silvério, Anderson Luiz

January 2014

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Ciência da Computação, Florianópolis, 2014 / Made available in DSpace on 2015-02-05T21:08:53Z (GMT). No. of bitstreams: 1 330918.pdf: 4046809 bytes, checksum: be44b72591845a95dea81acfac239c22 (MD5) Previous issue date: 2014 / Este trabalho propõe métodos para verificar a integridade dos dados em tempo real, simplificando e automatizando um processo de auditoria. Os métodos propostos utilizam funções criptográficas de baixo custo, são independentes do sistema de banco de dados e permitem a detecção de atualizações, remoções e inserções maliciosas, além da verificação da atualidade de registros e recuperação de tuplas modificadas de forma indevida. A detecção das alterações maliciosas dos dados é feita através de funções MAC, calculadas sobre a concatenação dos atributos de cada tupla das tabelas. Já a detecção da remoção é feita através de um novo algoritmo proposto, chamado CMAC, que faz o encadeamento de todas as linhas de uma tabela, não permitindo que novas linhas sejam inseridas ou removidas sem o conhecimento da chave utilizada para o cálculo do CMAC. Este trabalho também explora diferentes arquiteturas para a implementação dos métodos propostos, apresentando as vantagens e desvantagens de cada arquitetura. Além disso, é feita a avaliação dos métodos propostos, mostrando que o custo para calcular e armazenar os dados necessários para controlar a integridade é muito pequeno.<br> / Abstract: Unauthorized changes to database content can result in significant losses for organizations and individuals. As a result, there is a need for mechanisms capable of assuring the integrity of stored data. Meanwhile, existing solutions have requirements that are difficult to meet in real world environments. These requirements can include modifications to the database engine or the usage of costly cryptographic functions. In this master's thesis, we propose a technique that uses low cost cryptographic functions and it is independent of the database engine. Our approach allows for the detection of malicious update operations, as well as insertion and deletion operations. This is achieved by the insertion of a small amount of protection data into the database.The protection data is utilized by the data owner for data access security by applying Message Authentication Codes. In addition, our experiments have shown that the overhead of calculating and storing the protection data is very low.

Computação

Banco de dados relacionais

Banco de dados -

Medidas de seguranca

Programa de proteção radiológica em um serviço hospitalar de radiologia

Huhn, Andréa

January 2014

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro de Ciências da Saúde, Programa de Pós-Graduação em Enfermagem, Florianópolis, 2014. / Made available in DSpace on 2015-03-18T21:05:52Z (GMT). No. of bitstreams: 1 332826.pdf: 2102752 bytes, checksum: 7cdd836ef226b67644e9273ac13f6932 (MD5) Previous issue date: 2014 / Estudo qualitativo, exploratório e descritivo que utilizou dados da observação não participante, entrevista semiestruturada e análise documental: do Memorial Descritivo, que contém o Programa de Proteção Radiológica (PPR) do serviço de radiologia de um hospital público de ensino do sul do Brasil e da legislação vigente no Brasil acerca do PPR e da proteção radiológica. Teve como objetivo geral analisar a implementação e o conhecimento da equipe multiprofissional de saúde sobre o PPR em um serviço hospitalar de radiologia. Os objetivos específicos foram: Comparar o PPR do serviço de radiologia hospitalar com o estabelecido na legislação vigente; Identificar a participação da equipe multiprofissional de saúde no PPR e Descrever a implementação do PPR pela equipe multiprofissional. O hospital foi escolhido intencionalmente, por possuir um setor de proteção radiológica em funcionamento. Para o desenvolvimento da pesquisa, utilizou-se o método da triangulação de dados. Para tal, realizou-se o estudo em duas etapas, inicialmente realizou-se o estudo documental e observação não participante e, posteriormente entrevista semiestruturada, voltada para equipe multiprofissional atuante no serviço hospitalar de radiologia, ou seja, trabalhadores ocupacionalmente e para-ocupacionalmente expostos à radiação ionizante, que atuam no serviço. Na etapa da observação não participante, participaram 13 profissionais e na etapa da entrevista semiestruturada participaram 25, de um total de 46 profissionais que atuam no serviço. A amostra foi considerada suficiente quando ocorreu a saturação de dados. Foram observados e entrevistados os profissionais ativos na escala de trabalho do serviço e excluídos os trabalhadores afastados em situação de licença saúde ou maternidade. Para a análise dos dados utilizou-se a análise de conteúdo, pautada em Bardin, com auxílio de um software, o Atlas.ti 7.0 (Qualitative Research and Solutions). Os resultados encontrados a partir da observação não participante e da pesquisa documental subsidiaram a descrição detalhada de informações necessárias para que o cotidiano dos trabalhadores da saúde que atuam nos serviços de radiologia paute-se em ações quegarantam a proteção das pessoas que, por diferentes motivos, estão suscetíveis à exposição à radiação ionizante. Os resultados das entrevistas semiestruturadas foram discutidos em duas categorias principais: participação da equipe multiprofissional de saúde no PPR e implementação do PPR pela equipe multiprofissional de saúde, demonstrando que o PPR é um documento desconhecido de grande parte da equipe, o que indica que os trabalhadores teriam dificuldades em identificar intercorrências envolvendo radiações ionizantes e de encontrar rápidas soluções em situações emergenciais. Por fim, sugere-se uma maior frequência de supervisões e fiscalização, para que o PPR mantenha-se atualizado. A educação continuada também pode assegurar a qualidade dos Programas desenvolvidos no âmbito da proteção radiológica, contribuindo consequentemente, para garantia da organização dos setores de proteção radiológica, além de garantir a integridade da saúde dos que atuam em ambientes com emissores de radiação ionizante.<br> / Abstract : Qualitative study, exploratory and descriptive based on data from non-participant observation, semi-structured interviews and documentary analysis: Description of Memorial, which contains the Radiation Protection Program (RPP) of the radiology department of a public teaching hospital in southern Brazil and current legislation in Brazil about the PPR and radiological protection. Aimed to analyze the implementation and the knowledge of the multidisciplinary health team about PPR in a hospital radiology service. The specific objectives were to compare the PPR hospital radiology service with the provisions of law; Identify the participation of multidisciplinary health team in PPR and describe the implementation of the PPR by the multidisciplinary team. The hospital was intentionally chosen, by owning a radiological protection sector in operation. For the development of the research, we used the method of data triangulation. To this end, we carried out the study in two stages, initially held the desk study and non-participant observation and later semi-structured interviews, focused on multidisciplinary team operating in the hospital radiology department, in other words, occupationally and paraoccupationally exposed workers to ionizing radiation, which act in the service. In the stage of non-participant observation, attended by 13 professionals and semi-structured interviews step attended 25 out of a total of 46 professionals working in the service. The sample was considered sufficient when it occurred to data saturation. Were interviewed and observed professionals active in the working range of service and excluded workers away on leave or maternity health situation. For data analysis we used the content analysis, guided by Bardin, with the help of a software, the Atlas.ti 7.0 (Qualitative Research and Solutions). The results from the non-participant observation and document research supported the detailed description of information necessary for the daily life of health workers who work in radiology services whose agenda on actions to ensure the protection of persons who, for different reasons are susceptible to exposure to ionizing radiation. The results of the semi-structured interviews were discussed in two main categories:participation of the multidisciplinary health care team in PPR and implementation of the multidisciplinary health care team, demonstrating that PPR is an unknown document of much of the staff, which indicates that workers would have difficulty identifying complications involving ionizing radiation and to find quick solutions in emergency situations. Finally, it is suggested a higher frequency of supervision and inspection, so that the PPR keep up to date. Lifelong learning can also ensure the quality of their programs in the context of radiological protection, contributing thus to guarantee the organization of radiological protection sectors, and ensure the integrity of health who work in environments with ionizing radiation emitters.

Enfermagem

Radiação ionizante

Radiologia

Radiacao -

Medidas de seguranca

Legislação

O gerenciamento de riscos na cidade dos meninos: um sítio contaminado por pesticidas organoclorados, no Estado do Rio de Janeiro / The safety management in the city of the boys: a small farm contaminated by pesticides organochlorine, in the State of the Rio de Janeiro

Souza, José Alberto Porto de

January 2003

Made available in DSpace on 2012-09-06T01:11:41Z (GMT). No. of bitstreams: 2 license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) 559.pdf: 2000197 bytes, checksum: 94b13043249e95f7a975418f66b21c17 (MD5) Previous issue date: 2003 / Em 1987 tornou-se público um caso de contaminação química por pesticidas organoclorados em uma localidade denominada Cidade dos Meninos, situada no Município de Duque de Caxias, estado do Rio de Janeiro.Tratava-se de uma área com 19,4 milhões de metros quadrados, onde se achava instalada a Fundação Abrigo Cristo Redentor, criada para atender menores carentes, sendo que por razões não justificadas fora escolhida pelo Governo Federal para implantação de uma fábrica de pesticidas, principalmente o HCH (hexaclorociclohexano) conhecido por BHC e popularmente chamado de pó-de-broca.O problema começou quando a fábrica encerrou suas atividades, em 1961, sem que fossem tomadas as mínimas providências para evitar a disseminação ambiental das substâncias que ali se encontravam. Assim, pelo menos, 350 toneladas de HCH e outras substâncias relacionadas com a produção de pesticidas, subprodutos e rejeitos foram completamente abandonados contaminando o meio ambiente e colocando em risco os habitantes da região.A partir de denúncias na imprensa de casos de doenças, sobretudo câncer, atribuídos à exposição ao HCH na Cidade dos Meninos, diversos órgãos responsáveis pelas questões ambientais e de saúde pública começaram a se articular em busca de soluções. Contudo, até hoje, 14 anos depois, muito pouco se realizou em termos práticos, inclusive algumas ações chegaram a agravar a situação, tanto no tocante à exposição aos riscos químicos como aos conflitos entre moradores locais e tomadores de decisão.Através de fontes secundárias e pesquisa de campo, este trabalho procurou reunir e analisar todas as informações e dados disponíveis sobre a contaminação na Cidade dos Meninos, visando montar um panorama do processo de gerenciamento de risco.Foram constatadas inúmeras deficiências no processo, como a descontinuidade das ações, a falta de integração dos órgãos responsáveis pelas avaliações, o retorno inadequado dos resultados das avaliações e o não envolvimento efetivo das partes interessadas no processo de tomada de decisão, especialmente da população afetada, gerando tensões emocionais e sentimentos de insegurança, preocupação, desconfiança e incerteza.

INSETICIDAS ORGANOCLORADOS

POPULACAO EXPOSTA

POLUICAO AMBIENTAL

GERENCIAMENTO DE SEGURANCA

[en] SOFTWARE SECURITY METRICS / [pt] MÉTRICAS DE SEGURANÇA DE SOFTWARE

CARLOS FREUD ALVES BATISTA

06 December 2007

[pt] A dependência cada vez maior da tecnologia de informação (TI) torna software seguro um elemento chave para a continuidade dos serviços de nossa sociedade atual. Nos últimos anos, instituições públicas e privadas aumentaram seus investimentos em segurança da informação, mas a quantidade de ataques vem crescendo mais rapidamente do que a nossa capacidade de poder enfrentálos, colocando em risco a propriedade intelectual, a relação de confiança de clientes e a operação de serviços e negócios apoiados pelos serviços de TI. Especialistas em segurança afirmam que atualmente boa parte dos incidentes de segurança da informação ocorrem a partir de vulnerabilidades encontradas no software, componente presente em boa parte dos sistemas de informação. Para tornar o software fidedigno em relação à segurança, a criação e o uso de métricas de segurança serão fundamentais para gerenciar e entender o impacto dos programas de segurança nas empresas. Porém, métricas de segurança são cobertas de mistério e consideradas bastante difíceis de serem implementadas. Este trabalho pretende mostrar que hoje ainda não é possível termos métricas quantitativas capazes de indicar o nível de segurança que o software em desenvolvimento virá a ter. Necessitam-se, então, outras práticas para assegurar níveis de segurança a priori, ou seja, antes de se por o software em uso. / [en] Today`s growing dependency on information technology (IT) makes software security a key element of IT services. In recent years public and private institutions raised the investment on information security, however the number of attacks is growing faster than our power to face them, putting at risk intellectual property, customer`s confidence and businesses that rely on IT services. Experts say that most information security incidents occur due to the vulnerabilities that exist in software systems in first place. Security metrics are essential to assess software dependability with respect to security, and also to understand and manage impacts of security initiatives in organizations. However, security metrics are shrouded in mystery and very hard to implement. This work intends to show that there are no adequate metrics capable of indicating the security level that a software will achieve. Hence, we need other practices to assess the security of software while developing it and before deploying it.

[pt] SEGURANCA

[en] SECURITY

[pt] MEDICAO

[en] MEASUREMENT

[pt] METRICA

[en] METRIC

Técnicas de detecção de Sniffers / Sniffer detection techniques

Casagrande, Rogério Antônio

January 2003

A área de Detecção de Intrusão, apesar de muito pesquisada, não responde a alguns problemas reais como níveis de ataques, dim ensão e complexidade de redes, tolerância a falhas, autenticação e privacidade, interoperabilidade e padronização. Uma pesquisa no Instituto de Informática da UFRGS, mais especificamente no Grupo de Segurança (GSEG), visa desenvolver um Sistema de Detecção de Intrusão Distribuído e com características de tolerância a falhas. Este projeto, denominado Asgaard, é a idealização de um sistema cujo objetivo não se restringe apenas a ser mais uma ferramenta de Detecção de Intrusão, mas uma plataforma que possibilite agregar novos módulos e técnicas, sendo um avanço em relação a outros Sistemas de Detecção atualmente em desenvolvimento. Um tópico ainda não abordado neste projeto seria a detecção de sniffers na rede, vindo a ser uma forma de prevenir que um ataque prossiga em outras estações ou redes interconectadas, desde que um intruso normalmente instala um sniffer após um ataque bem sucedido. Este trabalho discute as técnicas de detecção de sniffers, seus cenários, bem como avalia o uso destas técnicas em uma rede local. As técnicas conhecidas são testadas em um ambiente com diferentes sistemas operacionais, como linux e windows, mapeando os resultados sobre a eficiência das mesmas em condições diversas. / The area of Intrusion Detection, although widely searched, does not answer to some real problems as the level of attacks, dimension and complexity of networks, fault tolerance, authentication and privacy, interoperability and standardization. A current research at the Institute of Computer Science of UFRGS, more specifically in the Security Group (GSEG), aims at developing a Distributed Intrusion Detection System with features of fault tolerance. This project, called Asgaard, is the accomplishment of a system whose objective is not only restricted to be another tool concerning Intrusion Detection, but also a platform that makes possible to add new modules and techniques, which is an advance with respect to other Intrusion Detection Systems in progress. A point which has not yet been investigated in this project would be the network sniffer detection, which is supposed to be a way to prevent that an attack proceeds to other hosts and interconnected networks, once a intruder usually installs a sniffer after a well-performed attack. This work explores the sniffers detection techniques, their sets, as well as verifies these techniques in a local area network. The known techniques are tested in an environment with different operating systems, as linux and windows, explaining the results on the efficiency of these systems in several conditions.

Detecção : Intrusão

Seguranca : Computadores

Security

Intrusion detection

Sniffer

Sniffer detection

Uma Proposta de uso da Arquitetura Trace como um sistema de detecção de intrusão

Meneghetti, Edgar Athayde

January 2002

Este trabalho propõe a utilização da arquitetura Trace como um sistema de detecção de intrusão. A arquitetura Trace oferece suporte ao gerenciamento de protocolos de alto nível, serviços e aplicações através de uma abordagem baseada na observação passiva de interações de protocolos (traços) no tráfego de rede. Para descrever os cenários a serem monitorados, é utilizada uma linguagem baseada em máquinas de estado. Esta linguagem permite caracterizar aspectos observáveis do tráfego capturado com vistas a sua associação com formas de ataque. O trabalho mostra, através de exemplos, que esta linguagem é adequada para a modelagem de assinaturas de ataques e propõe extensões para permitir a especificação de um número maior de cenários ligados ao gerenciamento de segurançaa. Em seguida, é descrita a implementação do agente de monitoração, componente-chave da arquitetura Trace, e sua utilização para detectar intrusões. Esse agente (a) captura o tráfego da rede, (b) observa a ocorrência dos traços programados e (c) armazena estatísticas sobre a sua ocorrência em uma base de informações de gerenciamento (MIB { Management Information Base). O uso de SNMP permite a recuperação destas informações relativas µa ocorrências dos ataques. A solução apresentada mostrou ser apropriada para resolver duas classes de problemas dos sistemas de detecção de intrusão: o excesso de falsos positivos e a dificuldade em se modelar certos ataques.

Redes : Computadores

Seguranca : Redes : Computadores

Gerencia : Redes : Computadores

Detecção : Intrusão

Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento

Silva, Ana Cristina Benso da

January 2003

A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas.

Redes : Computadores

Gerencia : Redes : Computadores

Seguranca : Redes : Computadores