Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley
Visualizar/ Abrir
Data
2023-08-04Primeiro membro da banca
Nunes , Raul Ceretta
Segundo membro da banca
Garcia , Vinícius Fülber
Metadata
Mostrar registro completoResumo
Sistemas de detecção de intrusões modernos são comumente desenvolvidos com uso de
algoritmos de aprendizado de máquina e seleção de atributos. No entanto, o custo computacional desses algoritmos limita a capacidade de resposta imediata às intrusões. Isso acontece
porque esses algoritmos são geralmente executados em controladores que são dispositivos centralizados, os quais processam as informações recebidas de sondas na rede, visando obter um
resultado de classificação para o tráfego de rede analisado. Como resultado, podem surgir problemas como atraso na identificação de ameaças, além da possibilidade de sobrecarga nesse
dispositivo centralizado caso os ataques estejam ocorrendo em diversos dispositivos simultaneamente. Neste trabalho, é proposta uma arquitetura para detecção de intrusões em tempo
real em dispositivos de rede compatíveis com eBPF a partir de modelos otimizados assincronamente através de uma estratégia de seleção de atributos com vistas a otimizar modelos de ML.
Tal otimização é necessária para lidar com as restrições impostas pela tecnologia eBPF quando
executada em dispositivos de rede, as quais impõem limitações nos programas gerados quanto
à memória, funções e ao tamanho do programa a ser executado. Essa arquitetura visa configurar um classificador que possa ser empregado em dispositivos de rede como switches. Dessa
maneira, a classificação pode ser realizada diretamente nesses equipamentos, eliminando a necessidade das sondas que enviam informações para os controladores. Como prova de conceito,
um modelo pode ser construído, partindo de um computador que realiza a avaliação e configuração de um classificador compatível com dispositivos eBPF no Kernel do sistema Linux. Os
resultados obtidos revelam que a solução proposta é capaz de detectar e prevenir intrusões em
tempo real com baixa sobrecarga para os cenários avaliados.
Coleções
Os arquivos de licença a seguir estão associados a este item: