Uma metodologia para detecção de ataques no tráfego de redes baseada em redes neurais

A fim de precaver-se contra situações inesperadas e indesejadas e impedir a proliferação dos ataques continuamente lançados contra diferentes alvos na rede, são implantados mecanismos de proteção, tais como firewalls, antivírus, sistemas de autenticação, mecanismos de criptografia e sistemas de dete...

Full description

Bibliographic Details
Main Author: Lilia de Sá Silva
Other Authors: José Demisio Simões da Silva
Language:Portuguese
Published: Instituto Nacional de Pesquisas Espaciais 2007
Online Access:http://urlib.net/sid.inpe.br/mtc-m17@80/2007/07.31.12.49
Description
Summary:A fim de precaver-se contra situações inesperadas e indesejadas e impedir a proliferação dos ataques continuamente lançados contra diferentes alvos na rede, são implantados mecanismos de proteção, tais como firewalls, antivírus, sistemas de autenticação, mecanismos de criptografia e sistemas de detecção de intrusão nos ambientes de rede por todo o mundo. Os sistemas de detecção de intrusão compõem uma parte essencial da infra-estrutura de segurança em camadas e tem por objetivo a análise de dados de auditoria de hosts ou dados do tráfego de rede em busca de eventos suspeitos ou ataques lançados contra redes ou sistemas. Diversas técnicas para reconhecimento de eventos de intrusão têm sido propostas e disponibilizadas em forma de ferramentas de domínio público ou soluções comerciais. Entretanto, observa-se a necessidade de uma metodologia de fácil aplicação que sirva de apoio aos analistas nas tarefas para detecção de ataques a redes. Portanto, esta tese propõe uma metodologia de apoio à detecção de ataques no tráfego de redes, baseada em redes neurais, provendo métodos, técnicas e ferramentas para modelagem e tratamento de dados, para geração de tráfego normal e anômalo para treinamento e testes de modelos de detecção e métodos para detecção de ataques no tráfego de rede baseados em redes neurais. Também são apresentadas informações sobre atualização de bases de assinaturas e de tráfego normal, bem como informações sobre análise de comportamento do tráfego. Os estudos de casos realizados comprovaram a factibilidade da metodologia proposta para detecção de ataques no tráfego HTTP, com base principal na aplicação de redes neurais para análise de dados de pacotes de rede. === In order to be cautious against unexpected and undesired situations and to prevent the proliferation of attacks continuously launched to different targets in the network, protection mechanisms like firewalls, antivirus, authentication system, cryptography and intrusion detection systems are installed in network environments all over the world. Intrusion detection systems compose an essential part of the infrastructure of in-layer security and its objective is to analyze audit trails data of hosts or network traffic data in order to search suspected events or attacks against network or systems. Several techniques to recognize intrusion events have been proposed, from public domain tools to commercial solutions. However, a methodology of easy application to aid the analysts in the tasks for network attack detection is necessary. Thus, a neural network-based methodology to aid analysts in detecting attacks on the network traffic is proposed in this thesis. This methodology provides strategies, methods, techniques, and tools to model and treat data, to generate normal and anomalous traffic used for training and testing of detection models and methods for attack detection on the network traffic based on neural networks. Also, it provides information about signature and normal traffic databases updating, as well as information about computer network traffic behavior analysis. Studies of cases had disclosed the possibility of efficient use of the proposal methodology to detect attacks in computer network HTTP traffic, with emphasis in the application of neural networks to analyze network packet data.