StatefulanalysisofTCP/IPnetworktrafficforintrusiondetectionapplication / Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão
AUTOR(ES)
Marcelo Henrique Peixoto Caetano Chaves
DATA DE PUBLICAÇÃO
2002
RESUMO
Este trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sess~oes, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do n umero de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que comp~oem uma sess~ao podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela tamb em permite correlacionar informações de um conjunto de sessões na identicação de atividades hostis, que n~ao podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estacão de análise, onde o RECON de executado. Uma caracteristica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, s~ao relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiencia, capacidade e possibilidades de sua aplicação.
ASSUNTO(S)
redes tcp/ip networks security intrusion detection systems sistemas de detecção de intrusão. key words: tcp/ip networks segurança de redes
ACESSO AO ARTIGO
http://urlib.net/sid.inpe.br/jeferson/2003/06.30.09.23Documentos Relacionados
- Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão
- ARTIFICIAL NEURAL NETWORKS APPLIED TO INTRUSION DETECTION ON TCP/IP NETWORKS
- Application of data mining techniques to TCP/IP network traffic logs analysis
- Aplicação de técnicas de data mining para a análise de logs de trafégo TCP/IP
- Protocolos TCP/IP para sistemas embarcados