Este trabalho propõe a utilização da arquitetura Trace como um sistema de detecção de intrusão. A arquitetura Trace oferece suporte ao gerenciamento de protocolos de alto nível, serviços e aplicações através de uma abordagem baseada na observação passiva de interações de protocolos (traços) no tráfego de rede. Para descrever os cenários a serem monitorados, é utilizada uma linguagem baseada em máquinas de estado. Esta linguagem permite caracterizar aspectos observáveis do tráfego capturado com vistas a sua associação com formas de ataque. O trabalho mostra, através de exemplos, que esta linguagem é adequada para a modelagem de assinaturas de ataques e propõe extensões para permitir a especificação de um número maior de cenários ligados ao gerenciamento de segurançaa. Em seguida, é descrita a implementação do agente de monitoração, componente-chave da arquitetura Trace, e sua utilização para detectar intrusões. Esse agente (a) captura o tráfego da rede, (b) observa a ocorrência dos traços programados e (c) armazena estatísticas sobre a sua ocorrência em uma base de informações de gerenciamento (MIB { Management Information Base). O uso de SNMP permite a recuperação destas informações relativas µa ocorrências dos ataques. A solução apresentada mostrou ser apropriada para resolver duas classes de problemas dos sistemas de detecção de intrusão: o excesso de falsos positivos e a dificuldade em se modelar certos ataques.
Identifer | oai:union.ndltd.org:IBICT/oai:lume.ufrgs.br:10183/3704 |
Date | January 2002 |
Creators | Meneghetti, Edgar Athayde |
Contributors | Tarouco, Liane Margarida Rockenbach |
Source Sets | IBICT Brazilian ETDs |
Language | Portuguese |
Detected Language | Portuguese |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
Format | application/pdf |
Source | reponame:Biblioteca Digital de Teses e Dissertações da UFRGS, instname:Universidade Federal do Rio Grande do Sul, instacron:UFRGS |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0023 seconds