Please use this identifier to cite or link to this item: https://ri.ufs.br/jspui/handle/riufs/10758
Document Type: Dissertação
Title: Abordagem imunológica de segurança baseada em correlação de alertas e redes programáveis
Authors: Melo, Roberto Vasconcelos
Issue Date: 12-Dec-2018
Advisor: Macedo, Douglas Dyllon Jeronimo de
Resumo : Na área de segurança, técnicas de detecção de anomalia foram desenvolvidas com o objetivo de detectar padrões de tráfego que representam ataques ou atividades maliciosas e são frequentemente referidos como anomalias. Particularmente, algumas anomalias podem estar associadas a invasores que executam ataques de negação de serviço distribuído (Distributed Denial-of-Service - DDoS) para degradar a disponibilidade de serviços online. Ameaças na categoria DoS podem envolver estágios iniciais, como ataques de reconhecimento. Nesse tipo de ameaça, a rede é escaneada com o objetivo de encontrar máquinas vulneráveis e comprometê-las. Dessa forma, as vulnerabilidades detectadas possibilitam o acesso não autorizado às máquinas por meio de ataques nas classes de usuário para super usuário (U2R) e remoto para local (R2L). As máquinas comprometidas podem ser utilizadas com o intuito de provocar a negação de serviço contra determinado alvo. Essas classes contém ataques que podem se esconder no tráfego normal devido à baixa intensidade de ataque requerida. Além disso, as técnicas de detecção baseadas em anomalia apresentam uma alta taxa de alarmes falsos, o que prejudica a eficácia da detecção. Para atenuar esses problemas, o presente trabalho tem como objetivo apresentar uma abordagem de segurança com a função de detectar e mitigar ataques que exploram vulnerabilidades da infraestrutura da nuvem. Essa abordagem consiste nos conceitos de imunologia, correlação de alertas e redes programáveis. A partir dela, um sistema de detecção de intrusão baseado em anomalia, e dentro da abordagem imunológica, é utilizado em conjunto com uma técnica de correlação de alertas baseada em grafos de ataque. Neste trabalho, os algoritmos de seleção negativa, seleção clonal e rede imune são usados para implementar um sistema de detecção baseado em agentes distribuídos para analisar o tráfego de rede. O sistema descrito é utilizado com o auxílio de grafos de ataque, a partir do qual um algoritmo de correlação de alertas pode auxiliar na taxa de redução de alarmes falsos. Grafos de Ataque podem também auxiliar na seleção de contramedidas baseadas na tecnologia de redes programáveis (SDN - Software Defined Networks), a partir da qual podem ser executadas medidas de prevenção como redirecionamento, ou isolamento do tráfego, variação na topologia da rede, e mudanças de endereços IP. A abordagem proposta foi testada a partir do tráfego de rede coletado das máquinas virtuais do Amazon Web Service (AWS), onde para sua análise ele foi convertido para datasets no formato NSL-KDD. A adição da técnica de correlação aumentou a eficácia da detecção para todas as classes de ataques estudadas.
Abstract: In the security field, anomaly detection techniques have been developed to detect traffic patterns related to attacks or malicious activities and are often referred to as anomalies. Particularly, some anomalies can represent attackers launching Distributed Denial-of-Service (DDoS) in order to degrade services availability. Threats in the DoS category can involve early-stage actions such as probe attacks. In this type of attack, a network is scanned in order to find vulnerable hosts and compromise them. As a result, the detected vulnerabilities enable unauthorized access to the machines through user to root (U2R) and remote to local (R2L) attacks. The compromised machines could be used in order to cause a denial of service against a particular target. These attack classes include threats that can hide in normal traffic due to low required attack intensity. In addition, anomaly-based detection techniques have a high false alarm rate, which helps in reducing the detection efficiency. This work aims to present a security model with detection and prevention functions against attacks that exploit the vulnerabilities of the cloud infrastructure to mitigate the previously mentioned problems. This model consists of the concepts of immunology, alert correlation, and software-defined networks (SDN). It consists of a distributed intrusion detection system based on anomaly detection within the artificial immune system (AIS) approach and attack graph correlation. Through this approach, an anomaly-based intrusion detection system inside the AIS field works with attack graph based correlation. The Negative Selection, Clonal Selection and Immune Network algorithms are used to implement an agent-based detection system to analyze network traffic. The described system works in conjunction with attack graphs and an alert correlation algorithm which can aid in the false alarm reduction rate. Attack graphs can also aid in the countermeasure selection through SDN technology. The SDN countermeasures can assist in attack prevention through traffic redirection, traffic isolation, network topology change, and IP address change. The proposed system was tested through the network traffic collected from the virtual machines on Amazon Web Service (AWS). The collected traffic data was converted to datasets in the NSL-KDD format. The addition of alert correlation technique in the proposed security approach increased detection efficiency for all studied attack classes.
Keywords: Sistema imunológico artificial
Sistema de detecção de intrusão
Sistema de prevenção de intrusão
Rede definida por software (SDN)
Comutação em nuvem
Artificial immune system (AIS)
Intrusion detection system (IDS)
Intrusion prevent system (IPS)
Cloud computing
Software-defined networking (SDN)
Subject CNPQ: CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
Sponsorship: Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES
Language: por
Institution: UFS
Program Affiliation: Pós-Graduação em Ciência da Computação
Citation: MELO, Roberto Vasconcelos. Abordagem imunológica de segurança baseada em correlação de alertas e redes programáveis. 2018. 142 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Federal de Sergipe, São Cristóvão, SE, 2018.
URI: http://ri.ufs.br/jspui/handle/riufs/10758
Appears in Collections:Mestrado em Ciência da Computação

Files in This Item:
File Description SizeFormat 
ROBERTO_VASCONCELOS_MELO.pdf7 MBAdobe PDFThumbnail
View/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.