Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. === Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d...

Full description

Bibliographic Details
Main Author: Holtz, Marcelo Dias
Other Authors: Sousa Júnior, Rafael Timóteo de
Language:Portuguese
Published: 2012
Subjects:
Online Access:http://repositorio.unb.br/handle/10482/11212
id ndltd-IBICT-oai-repositorio.unb.br-10482-11212
record_format oai_dc
collection NDLTD
language Portuguese
sources NDLTD
topic Segurança de dados
Segurança da informação
Redes de computação - medidas de segurança
Segurança em redes de computadores - arquitetura
spellingShingle Segurança de dados
Segurança da informação
Redes de computação - medidas de segurança
Segurança em redes de computadores - arquitetura
Holtz, Marcelo Dias
Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
description Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. === Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) === Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) === Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) === A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT === The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.
author2 Sousa Júnior, Rafael Timóteo de
author_facet Sousa Júnior, Rafael Timóteo de
Holtz, Marcelo Dias
author Holtz, Marcelo Dias
author_sort Holtz, Marcelo Dias
title Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
title_short Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
title_full Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
title_fullStr Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
title_full_unstemmed Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
title_sort uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede
publishDate 2012
url http://repositorio.unb.br/handle/10482/11212
work_keys_str_mv AT holtzmarcelodias umaarquiteturadistribuidaaplicadaaotratamentoderegistrosdesegurancaderede
AT holtzmarcelodias adistributedarchitecturefornetworksecuritydataanalysis
_version_ 1718737746871189504
spelling ndltd-IBICT-oai-repositorio.unb.br-10482-112122018-09-23T06:06:38Z Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede A distributed architecture for network security data analysis Holtz, Marcelo Dias Sousa Júnior, Rafael Timóteo de Segurança de dados Segurança da informação Redes de computação - medidas de segurança Segurança em redes de computadores - arquitetura Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-18T13:08:35Z No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T19:59:26Z (GMT) No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) Made available in DSpace on 2012-09-18T19:59:26Z (GMT). No. of bitstreams: 1 2012_MarceloDiasHoltz.pdf: 2280816 bytes, checksum: 4f3aabf34913db1c54e01e6e8d18aeab (MD5) A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities. 2012-09-18T19:59:26Z 2012-09-18T19:59:26Z 2012-09-18T19:59:26Z 2012-03-09 info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/masterThesis HOLTZ, Marcelo Dias. A distributed architecture for network security data analysis. 2012. xi, 73 f. Dissertação (Mestrado em Engenharia Elétrica)—Universidade de Brasília, Brasília, 2012. http://repositorio.unb.br/handle/10482/11212 por info:eu-repo/semantics/openAccess reponame:Repositório Institucional da UnB instname:Universidade de Brasília instacron:UNB