Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão
| Ano de defesa: | 2002 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Dissertação |
| Tipo de acesso: | Acesso aberto |
| Idioma: | por |
| Instituição de defesa: |
Instituto Nacional de Pesquisas Espaciais (INPE)
|
| Programa de Pós-Graduação: |
Programa de Pós-Graduação do INPE em Computação Aplicada
|
| Departamento: |
Não Informado pela instituição
|
| País: |
BR
|
| Resumo em Inglês: | In this work, the development of a session reconstruction methodology for TCP/IP network traffic is presented. The methodology is model-based and uses netwok traffic extracted data for the reconstruction and tracking of sessions state using only packet headers. By extrapolating the concept of session this modeling allows not just the reconstruction and tracking of TCP sessions states, but also the reconstruction of ICMP and UDP sessions. The model has been designed to support the development of the TCP/IP Session's Reconstruction System - RECON - for use in intrusion detection. Since the state and packets history associated with a session can be used to decide if the traffic is part of an attack, differently from other methods that based decisions on a packet by packet exam, the use of this methodology can reduce the number of false-positives and false-negatives. It also possible to correlate informations from a set of sessions for the identification of hostile activities that can not be observed in an isolated session. The system makes use of a sensor that is appropriatedly located to capture packets from network traffic and to store captured data in files regularly. This files are transfered to an analysis station, where RECON runs. One feature of this methodology is the ability to treat large amount of traffic, due to the use of a reduced amount of data associated with the packet headers. The developed system can also operate as a support tool, applied not just to intrusion detection but also to the management, monitoring and testing of TCP/IP network traffic. Finally, the results obtained with the developed system are reported and showing the efficiency, capability and possible applications. |
| Link de acesso: | http://urlib.net/sid.inpe.br/jeferson/2003/06.30.09.23 |
Resumo: | Este trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sessões, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do número de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que compõem uma sessão podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela também permite correlacionar informações de um conjunto de sessões na identificação de atividades hostis, que não podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estação de análise, onde o RECON de executado. Uma característica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, são relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiência, capacidade e possibilidades de sua aplicação. |
| id |
INPE_84a1402a62eb0039697908b695383c37 |
|---|---|
| oai_identifier_str |
oai:urlib.net:sid.inpe.br/jeferson/2003/06.30.09.23.44-0 |
| network_acronym_str |
INPE |
| network_name_str |
Biblioteca Digital de Teses e Dissertações do INPE |
| spelling |
info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisAnálise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusãoStateful analysis of TCP/IP network traffic for intrusion detection application2002-09-23Antonio Montes FilhoAdriano Mauro CansianMarcelo Henrique Peixoto Caetano ChavesInstituto Nacional de Pesquisas Espaciais (INPE)Programa de Pós-Graduação do INPE em Computação AplicadaINPEBRredes TCP/IPsegurança de redessistemas de detecção de intrusãoTCP/IP networksnetworks securityintrusion detection systemsEste trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sessões, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do número de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que compõem uma sessão podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela também permite correlacionar informações de um conjunto de sessões na identificação de atividades hostis, que não podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estação de análise, onde o RECON de executado. Uma característica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, são relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiência, capacidade e possibilidades de sua aplicação.In this work, the development of a session reconstruction methodology for TCP/IP network traffic is presented. The methodology is model-based and uses netwok traffic extracted data for the reconstruction and tracking of sessions state using only packet headers. By extrapolating the concept of session this modeling allows not just the reconstruction and tracking of TCP sessions states, but also the reconstruction of ICMP and UDP sessions. The model has been designed to support the development of the TCP/IP Session's Reconstruction System - RECON - for use in intrusion detection. Since the state and packets history associated with a session can be used to decide if the traffic is part of an attack, differently from other methods that based decisions on a packet by packet exam, the use of this methodology can reduce the number of false-positives and false-negatives. It also possible to correlate informations from a set of sessions for the identification of hostile activities that can not be observed in an isolated session. The system makes use of a sensor that is appropriatedly located to capture packets from network traffic and to store captured data in files regularly. This files are transfered to an analysis station, where RECON runs. One feature of this methodology is the ability to treat large amount of traffic, due to the use of a reduced amount of data associated with the packet headers. The developed system can also operate as a support tool, applied not just to intrusion detection but also to the management, monitoring and testing of TCP/IP network traffic. Finally, the results obtained with the developed system are reported and showing the efficiency, capability and possible applications.http://urlib.net/sid.inpe.br/jeferson/2003/06.30.09.23info:eu-repo/semantics/openAccessporreponame:Biblioteca Digital de Teses e Dissertações do INPEinstname:Instituto Nacional de Pesquisas Espaciais (INPE)instacron:INPE2021-07-31T06:52:53Zoai:urlib.net:sid.inpe.br/jeferson/2003/06.30.09.23.44-0Biblioteca Digital de Teses e Dissertaçõeshttp://bibdigital.sid.inpe.br/PUBhttp://bibdigital.sid.inpe.br/col/iconet.com.br/banon/2003/11.21.21.08/doc/oai.cgiopendoar:32772021-07-31 06:52:53.195Biblioteca Digital de Teses e Dissertações do INPE - Instituto Nacional de Pesquisas Espaciais (INPE)false |
| dc.title.pt.fl_str_mv |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| dc.title.alternative.en.fl_str_mv |
Stateful analysis of TCP/IP network traffic for intrusion detection application |
| title |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| spellingShingle |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão Marcelo Henrique Peixoto Caetano Chaves |
| title_short |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| title_full |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| title_fullStr |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| title_full_unstemmed |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| title_sort |
Análise de estado de tráfego de redes TCP/IP para aplicação em detecção de intrusão |
| author |
Marcelo Henrique Peixoto Caetano Chaves |
| author_facet |
Marcelo Henrique Peixoto Caetano Chaves |
| author_role |
author |
| dc.contributor.advisor1.fl_str_mv |
Antonio Montes Filho |
| dc.contributor.referee1.fl_str_mv |
Adriano Mauro Cansian |
| dc.contributor.author.fl_str_mv |
Marcelo Henrique Peixoto Caetano Chaves |
| contributor_str_mv |
Antonio Montes Filho Adriano Mauro Cansian |
| dc.description.abstract.por.fl_txt_mv |
Este trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sessões, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do número de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que compõem uma sessão podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela também permite correlacionar informações de um conjunto de sessões na identificação de atividades hostis, que não podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estação de análise, onde o RECON de executado. Uma característica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, são relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiência, capacidade e possibilidades de sua aplicação. |
| dc.description.abstract.eng.fl_txt_mv |
In this work, the development of a session reconstruction methodology for TCP/IP network traffic is presented. The methodology is model-based and uses netwok traffic extracted data for the reconstruction and tracking of sessions state using only packet headers. By extrapolating the concept of session this modeling allows not just the reconstruction and tracking of TCP sessions states, but also the reconstruction of ICMP and UDP sessions. The model has been designed to support the development of the TCP/IP Session's Reconstruction System - RECON - for use in intrusion detection. Since the state and packets history associated with a session can be used to decide if the traffic is part of an attack, differently from other methods that based decisions on a packet by packet exam, the use of this methodology can reduce the number of false-positives and false-negatives. It also possible to correlate informations from a set of sessions for the identification of hostile activities that can not be observed in an isolated session. The system makes use of a sensor that is appropriatedly located to capture packets from network traffic and to store captured data in files regularly. This files are transfered to an analysis station, where RECON runs. One feature of this methodology is the ability to treat large amount of traffic, due to the use of a reduced amount of data associated with the packet headers. The developed system can also operate as a support tool, applied not just to intrusion detection but also to the management, monitoring and testing of TCP/IP network traffic. Finally, the results obtained with the developed system are reported and showing the efficiency, capability and possible applications. |
| description |
Este trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sessões, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do número de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que compõem uma sessão podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela também permite correlacionar informações de um conjunto de sessões na identificação de atividades hostis, que não podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estação de análise, onde o RECON de executado. Uma característica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, são relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiência, capacidade e possibilidades de sua aplicação. |
| publishDate |
2002 |
| dc.date.issued.fl_str_mv |
2002-09-23 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| status_str |
publishedVersion |
| format |
masterThesis |
| dc.identifier.uri.fl_str_mv |
http://urlib.net/sid.inpe.br/jeferson/2003/06.30.09.23 |
| url |
http://urlib.net/sid.inpe.br/jeferson/2003/06.30.09.23 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.publisher.none.fl_str_mv |
Instituto Nacional de Pesquisas Espaciais (INPE) |
| dc.publisher.program.fl_str_mv |
Programa de Pós-Graduação do INPE em Computação Aplicada |
| dc.publisher.initials.fl_str_mv |
INPE |
| dc.publisher.country.fl_str_mv |
BR |
| publisher.none.fl_str_mv |
Instituto Nacional de Pesquisas Espaciais (INPE) |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações do INPE instname:Instituto Nacional de Pesquisas Espaciais (INPE) instacron:INPE |
| reponame_str |
Biblioteca Digital de Teses e Dissertações do INPE |
| collection |
Biblioteca Digital de Teses e Dissertações do INPE |
| instname_str |
Instituto Nacional de Pesquisas Espaciais (INPE) |
| instacron_str |
INPE |
| institution |
INPE |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações do INPE - Instituto Nacional de Pesquisas Espaciais (INPE) |
| repository.mail.fl_str_mv |
|
| publisher_program_txtF_mv |
Programa de Pós-Graduação do INPE em Computação Aplicada |
| contributor_advisor1_txtF_mv |
Antonio Montes Filho |
| _version_ |
1706805029439012864 |