Summary: | Este trabalho apresenta o desenvolvimento de uma metodologia de reconstrução de sessões para o tráfego de redes TCP/IP. Esta metodologia baseia-se em um modelo, gerado a partir de dados extraídos do tráfego de rede, que permite reconstruir e rastrear o estado das sess~oes, utilizando apenas o cabe calho dos pacotes. Através da extrapolação do conceito de "sessão", esta modelagem permite não são reconstruir e rastrear o estado das sessões TCP, mas também reconstruir sessões ICMP e UDP. O modelo é, então, utilizado como base para o desenvolvimento do Sistema de Reconstrução de Sessões TCP/IP - RECON - para ser usado em atividades associadas à detecção de intrusão. Esta abordagem possibilita a redução do n umero de falso-positivos e falso-negativos, visto que o estado e todo o histórico de pacotes que comp~oem uma sess~ao podem ser utilizados na tomada de decisões, em contrapartida daquelas que tomam decisões avaliando pacote a pacote, isoladamente. Ela tamb em permite correlacionar informações de um conjunto de sessões na identicação de atividades hostis, que n~ao podem ser observadas em uma única sessão. O sistema faz uso de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Estes arquivos são transferidos para uma estacão de análise, onde o RECON de executado. Uma caracteristica desta metodologia de que ela permite tratar uma quantidade relativamente grande de informações, pois utiliza um número reduzido de dados por pacote, correspondentes apenas aos seus cabeçalhos. O sistema desenvolvido pode também funcionar como uma ferramenta de suporte, aplicado não são em atividades de detecção de intrusões, mas também a outras atividades, tais como o gerenciamento, monitoramento e estudo do importamento do tráfego de redes TCP/IP. Finalmente, s~ao relatados os resultados obtidos com o sistema desenvolvido, mostrando a eficiencia, capacidade e possibilidades de sua aplicação. === In this work, the development of a session reconstruction methodology for TCP/IP network traffic is presented. The methodology is model-based and uses netwok traffic extracted data for the reconstruction and tracking of sessions state using only packet headers. By extrapolating the concept of session this modeling allows not just the reconstruction and tracking of TCP sessions states, but also the reconstruction of ICMP and UDP sessions. The model has been designed to support the development of the TCP/IP Session's Reconstruction System - RECON - for use in intrusion detection. Since the state and packets history associated with a session can be used to decide if the traffic is part of an attack, differently from other methods that based decisions on a packet by packet exam, the use of this methodology can reduce the number of false-positives and false-negatives. It also possible to correlate informations from a set of sessions for the identification of hostile activities that can not be observed in an isolated session. The system makes use of a sensor that is appropriatedly located to capture packets from network traffic and to store captured data in files regularly. This files are transfered to an analysis station, where RECON runs. One feature of this methodology is the ability to treat large amount of traffic, due to the use of a reduced amount of data associated with the packet headers. The developed system can also operate as a support tool, applied not just to intrusion detection but also to the management, monitoring and testing of TCP/IP network traffic. Finally, the results obtained with the developed system are reported and showing the efficiency, capability and possible applications.
|