Dissertação
A Fault-Tolerant Network Intrusion Detection System EVALUATED
Os sistemas de deteção de intrusões de rede podem desempenhar um papel determinante na segurança de uma organização; é por isso importante que eles possam analizar o máximo possível dos dados disponíveis. É no entanto sabido que, em certas circunstâncias, em particular quando sujeitos a carga elevada, eles podem perder algum do tráfego de rede. Nesta tese foi investigada a possibilidade de minimizar falhas por omissão por parte destes sistemas, utilizando multiplas réplicas de um sistema de deteção de intrusões. A ideia subjacente é o facto de a probabilidade de um conjunto de réplicas perder um dado pacote ser menor do que a de um sistema composto por uma única instância. Foi desenvolvida uma camada de sincronização, colocada entre a camada de captura de pacotes e a camada de deteção de intrusões (Snort). Esta camada deteta desalinhamentos nos conjuntos de pacotes recebidos por cada réplica, utiliza o algoritmo diff para comparar os pacotes recebidos e recupera os pacotes perdidos por cada uma. Apesar de o protocolo de sincronização ser normalmente necessário precisamente quando as condições são mais exigentes, e a capacidade de recuperação poder por isso ser limitada, os resultados sugerem que pelo menos em alguns cenários o mecanismo de sincronização poderia revelar-se útil. Os casos em que as réplicas conseguiram recuperar pacotes e manter o alinhamento, em situações em que um sistema único perderia pacotes, foram o de tráfego de rede com picos, e o da breve execução de um processo com necessidades elevadas de processamento, numa das réplicas.
junho 1, 2012, 10:30
Publicação
Obra sujeita a Direitos de Autor
Orientação
ORIENTADOR
Departamento de Engenharia Informática (DEI)
Professor Auxiliar