Uma Proposta de uso da Arquitetura Trace como um sistema de detecção de intrusão
AUTOR(ES)
Meneghetti, Edgar Athayde
DATA DE PUBLICAÇÃO
2007
RESUMO
Este trabalho propõe a utilização da arquitetura Trace como um sistema de detecção de intrusão. A arquitetura Trace oferece suporte ao gerenciamento de protocolos de alto nível, serviços e aplicações através de uma abordagem baseada na observação passiva de interações de protocolos (traços) no tráfego de rede. Para descrever os cenários a serem monitorados, é utilizada uma linguagem baseada em máquinas de estado. Esta linguagem permite caracterizar aspectos observáveis do tráfego capturado com vistas a sua associação com formas de ataque. O trabalho mostra, através de exemplos, que esta linguagem é adequada para a modelagem de assinaturas de ataques e propõe extensões para permitir a especificação de um número maior de cenários ligados ao gerenciamento de segurançaa. Em seguida, é descrita a implementação do agente de monitoração, componente-chave da arquitetura Trace, e sua utilização para detectar intrusões. Esse agente (a) captura o tráfego da rede, (b) observa a ocorrência dos traços programados e (c) armazena estatísticas sobre a sua ocorrência em uma base de informações de gerenciamento (MIB { Management Information Base). O uso de SNMP permite a recuperação destas informações relativas µa ocorrências dos ataques. A solução apresentada mostrou ser apropriada para resolver duas classes de problemas dos sistemas de detecção de intrusão: o excesso de falsos positivos e a dificuldade em se modelar certos ataques.
ASSUNTO(S)
redes : computadores seguranca : redes : computadores gerencia : redes : computadores detecção : intrusão
ACESSO AO ARTIGO
http://hdl.handle.net/10183/3704Documentos Relacionados
- Proposta de um sistema de detecção e classificação de intrusão em redes de computadores baseado em transformadas wavelets e redes neurais artificiais
- Uma proposta de aplicação paralela de técnicas distintas de detecção de intrusão em ambientes de grid
- Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento
- Sistema de detecção de intrusão por anomalia no comportamento para redes AD-HOC
- Instalação e utilização de um sistema de detecção de intrusão