Dissertação

A Fault-Tolerant Network Intrusion Detection System EVALUATED

Os sistemas de deteção de intrusões de rede podem desempenhar um papel determinante na segurança de uma organização; é por isso importante que eles possam analizar o máximo possível dos dados disponíveis. É no entanto sabido que, em certas circunstâncias, em particular quando sujeitos a carga elevada, eles podem perder algum do tráfego de rede. Nesta tese foi investigada a possibilidade de minimizar falhas por omissão por parte destes sistemas, utilizando multiplas réplicas de um sistema de deteção de intrusões. A ideia subjacente é o facto de a probabilidade de um conjunto de réplicas perder um dado pacote ser menor do que a de um sistema composto por uma única instância. Foi desenvolvida uma camada de sincronização, colocada entre a camada de captura de pacotes e a camada de deteção de intrusões (Snort). Esta camada deteta desalinhamentos nos conjuntos de pacotes recebidos por cada réplica, utiliza o algoritmo diff para comparar os pacotes recebidos e recupera os pacotes perdidos por cada uma. Apesar de o protocolo de sincronização ser normalmente necessário precisamente quando as condições são mais exigentes, e a capacidade de recuperação poder por isso ser limitada, os resultados sugerem que pelo menos em alguns cenários o mecanismo de sincronização poderia revelar-se útil. Os casos em que as réplicas conseguiram recuperar pacotes e manter o alinhamento, em situações em que um sistema único perderia pacotes, foram o de tráfego de rede com picos, e o da breve execução de um processo com necessidades elevadas de processamento, numa das réplicas.
Sistemas de deteção de intrusões de rede, falhas por omissão, replicação, protocolo de sincronização, diff

Junho 1, 2012, 10:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

CO-ORIENTADOR

Paolo Romano

Departamento de Engenharia Informática (DEI)

Professor Auxiliar

ORIENTADOR

Carlos Nuno da Cruz Ribeiro

Departamento de Engenharia Informática (DEI)

Professor Auxiliar