Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Intrusion Detection Systems (IDS) are designed to monitor the computer network infrastructure
against possible attacks by generating security alerts. With the increase of components
connected to computer networks, traditional IDS are not capable of effectively detecting
malicious attacks. This occurs either by the distributed amount of data that traverses the network
or the complexity of the attacks launched against the network. Therefore, the design of
Internet Early Warning Systems (IEWS) enables the early detection of threats in the network,
possibly avoiding eventual damages to the network resources. The IEWS works as a sink that
collects alerts from different sources (for example, from different IDS), centralizing and correlating
information in order to provide a holistic view of the network. This way, the current
dissertation describes an IEWS architecture for correlating alerts from (geographically) spread
out IDS using the Case-Based Reasoning (CBR) technique together with IP Georeferencing.
The results obtained during experiments, which were executed over the implementation of the
developed technique, showed the viability of the technique in reducing false-positives. This
demonstrates the applicability of the proposal as the basis for developing advanced techniques
inside the extended IEWS architecture. / Sistemas de Detecção de Instrução (Intrusion Detection Systems IDS) são projetados
para monitorar possíveis ataques à infraestruturas da rede através da geração de alertas. Com a
crescente quantidade de componentes conectados na rede, os IDS tradicionais não estão sendo
suficientes para a efetiva detecção de ataques maliciosos, tanto pelo volume de dados como
pela crescente complexidade de novos ataques. Nesse sentido, a construção de uma arquitetura
Internet Early Warning Systems (IEWS) possibilita detectar precocemente as ameaças, antes de
causar algum perigo para os recursos da rede. O IEWS funciona como um coletor de diferentes
geradores de alertas, possivelmente IDS, centralizando e correlacionado informações afim
de gerar uma visão holística da rede. Sendo assim, o trabalho tem como objetivo descrever
uma arquitetura IEWS para a correlação de alertas gerados por IDS dispersos geograficamente
utilizando a técnica Case-Based Reasoning (CBR) em conjunto com Georreferenciamento de
endereços IP. Os resultados obtidos nos experimentos, realizados sobre a implementação da técnica
desenvolvida, mostraram a viabilidade da técnica na redução de alertas classificados como
falsos-positivos. Isso demonstra a aplicabilidade da proposta como base para o desenvolvimento
de técnicas mais apuradas de detecção dentro da arquitetura de IEWS estendida.
| Identifer | oai:union.ndltd.org:IBICT/oai:repositorio.ufsm.br:1/5439 |
| Date | 28 February 2014 |
| Creators | Ceolin Junior, Tarcisio |
| Contributors | Santos, Osmar Marchi dos, Maziero, Carlos Alberto, Legg, Andrei Piccinini |
| Publisher | Universidade Federal de Santa Maria, Programa de Pós-Graduação em Informática, UFSM, BR, Ciência da Computação |
| Source Sets | IBICT Brazilian ETDs |
| Language | Portuguese |
| Detected Language | Portuguese |
| Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
| Format | application/pdf |
| Source | reponame:Repositório Institucional da UFSM, instname:Universidade Federal de Santa Maria, instacron:UFSM |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | 100300000007, 400, 300, 300, 300, 300, 395bedff-2411-4a8b-ac21-5815d13d092b, 343125df-468f-4870-af19-fe135b937de0, 0099fb6b-52ba-4d76-a93b-b8fbfdfe7852, bf7513d9-8517-42c1-8288-9ccffa1129e3 |
Page generated in 0.0024 seconds