Dissertação

{en_GB=Detection of Unknown Network Attackers Through Flow Analysis} {} EVALUATED

{pt=As ameaças à segurança de redes informáticas estão a tornar-se cada vez mais proeminentes, e as capacidades das ligações dos Internet Service Providers (ISP) estão a crescer a um ritmo acelerado. Os Sistemas de Deteção de Instrusões em Redes (SDIR) tradicionais baseiam-se em abordagens signature- ou behavior-based, i.e. procuram determinados conjuntos de bits nos pacotes que sabem corresponder a uma intrusão, ou procuram desvios de padrões de comportamento normais por parte dos utilizadores, respectivamente. Estes SDIR não conseguem acompanhar a crescente tendência de ameaças à segurança, uma vez que a maioria destes sistemas estão desenhados de forma a detectar instrusões que já são conhecidas, ou requerem tráfego de treino sem ataques. Para além disto, estes sistemas geralmente dependem da inspeção do conteúdo dos pacotes, o que pode representar um estrangulamento na deteção em tempo real, e actualmente a grande maioria das comunicações é feita através de mensagens cifradas, o que torna quase impossível interpretar qualquer conteúdo dos pacotes observados. De forma a ultrapassar estas limitações nos sistemas tradicionais, desenvolvemos um SDIR baseado na análise de flows, conceito este que pode ser definido como sendo um conjunto de pacotes com características comuns entre si que passa por um determinado ponto de monitorização da rede num dado período de tempo. Este trabalho apresenta então um SDIR baseado em flows, capaz de detectar utilizadores maliciosos sem qualquer conhecimento prévio dos mesmos. Os resultados são validados com dados de rede recolhidos pela operadora de telecomunicações Vodafone Portugal., en=Network security threats are becoming more and more proeminent and the connection links at the Internet Service Providers (ISP) are getting faster. Traditional Network Intrusion Detection Systems (NIDS) are either signature- or behavior-based, which means looking up for known intrusion signatures in the packets, or detecting deviations from normal behavior, respectively. These NIDSs are not able to cope with the high increase of network security threats, as the majority of them are designed to detect specific intrusions that are previously known, or trained with intrusion-free traffic. Also, most of them rely on payload inspection, which can create a bottleneck in real-time detection. Furthermore, now that frequently every communication is done through encrypted messages, it is almost impossible to interpret the observed payload. In order to counter these limitations, we propose a NIDS that detects malicious hosts by using flows, which are defined as a set of packets with common characteristics that pass a specific observation point in a given time period. This work will therefore present a proposal for a flow-based NIDS capable of detecting malicious hosts without any a priori knowledge. The results from this proposed system were validated with a realistic dataset provided by the network operator Vodafone Portugal.}
{pt=Sistemas de Deteção de Intrusões em Redes, Fluxos de Rede, Aprendizagem Automática, en=Network Intrusion Detection Systems, Network Flows, Machine Learning}

Novembro 15, 2016, 10:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

Miguel Nuno Dias Alves Pupo Correia

Departamento de Engenharia Informática (DEI)

Professor Associado

ORIENTADOR

João Bota

Vodafone

Especialista