Autores

4346
Claudia de Abreu Silva
842,1945
4347
842,1945

Informações:

Publicações do PESC

Título
Proposta e Implantação de Uma Ferramenta para Gerência de Segurança em Redes Baseada Numa Nova Metodologia Usando Análise de Tráfego em Backbones IP
Linha de pesquisa
Redes de Computadores
Tipo de publicação
Dissertação de Mestrado
Número de registro
Data da defesa
29/9/2006
Resumo

A análise de tráfego constitui um importante instrumento para a identificação de atividades maliciosas que vêm assolando as redes de computadores. Pragas digitais, também denominadas worms, têm sido ameaça constante na rede, provocando ataques avassaladores e coordenados com o intuito de sobrecarregar o tráfego nas redes locais e congestionar os enlaces da Internet. Trabalhos relacionados à aplicação do monitoramento voltado para a análise de segurança das redes foram realizados, adotando algoritmos e critérios de classificação baseados na variação do volume de tráfego, na variação do número de conexões abertas, na periodicidade de ocorrência de fluxos ou no conteúdo dos dados dos pacotes trafegados. Entretanto, nenhum deles consegue classificar, com eficácia e de forma imediata, as características das atividades de propagação dos worms.

O presente trabalho propõe uma nova metodologia para a identificação de atividades maliciosas, características da propagação de worms em redes de dados. Propõe-se o uso de um algoritmo que classifica e filtra o tráfego, com base nas informações contidas nos cabeçalhos dos fluxos trafegados e no conhecimento prévio das portas comumente exploradas por aplicativos maliciosos. A fim de validar a metodologia proposta, é feita a implementação do protótipo de uma ferramenta composta por módulos que efetuam a classificação, filtragem, registro do histórico das ocorrências e a apresentação visual dos eventos anômalos resultantes deste trabalho, em tempo próximo do real. Os resultados obtidos comprovaram o diferencial qualitativo positivo e inovador em relação aos demais trabalhos da literatura, possibilitando a adoção imediata das medidas necessárias para conter uma epidemia de worms em andamento. Destaca-se, ainda, a capacidade de mensurar o volume médio de tráfego oriundo de atividades de propagação de worms em uma rede gigabit ethernet acadêmica e de pesquisa e os benefícios obtidos com a visualização permanente dos eventos anômalos da rede, provenientes da propagação de worms e com o acesso imeditato aos registros de ocorrências.

Abstract

Traffic analysis define an important instrument for identification of maiicious activities that threaten computer network users a11 over the world. Worms have been a constant threat to networks causing coordinated, devastating attacks with the objective of overloading local area networks and Internet links. Works related to the application of traffic monitoring in network security analysis have been done, adopting algorithms and classification criteria based on traffic volume variations, variations in the number of opened connections, periodicity of flows occurrences or based on the data content in the packets composing network traffic. However, none of those could classify, fast and efficiently, the characteristics of worms propagation activities.

The present work proposes a new methodology to identify the characteristics of malicious worm propagation activities in a data network. It is proposed the use of an algorithm that classifies and filters network traffic, based on information contained in heading of the flow traffic and on previews knowledge of cornmon exploited ports. In order to evaluate the work done, a to01 was built implementing the proposed methodology. This to01 is composed by modules that perform tasks like classification, filtering, registering and visual presentation of detected network anomalies in real time. The obtained results had proven the positive and innovative qualitative differential in relation to others works of literature, having made possible the immediate adoption of the measures necessary to contain a in progress epidemic of worms. It is distinguished, still, the capacity of measuring of traffic anomalies caused by worms propagation in a gigabit ethernet academic research network and the benefits gotten with the permanent visualization of the anomalous events of the net, proceeding from the propagation of worms and with the immediate access to the registers of occurrences.

Arquivo
Topo