dc.creator | Carvalho, Diego Couto de | |
dc.date.accessioned | 2023-09-05T21:22:46Z | |
dc.date.available | 2023-09-05T21:22:46Z | |
dc.date.issued | 2023-08-04 | |
dc.identifier.uri | http://repositorio.ufsm.br/handle/1/30182 | |
dc.description.abstract | Modern intrusion detection systems are commonly developed using machine learning
algorithms and feature selection. However, the computational cost of these algorithms limits
the ability to respond immediately to intrusions. This is because these algorithms are typically
run on controllers, which are centralized devices that process information received from probes
on the network in order to obtain a classification result for the analyzed network traffic. As a
result, problems such as delays in threat identification may arise, as well as the possibility of
overloading the centralized device if attacks are occurring on multiple devices simultaneously.
In this work, an architecture for real-time intrusion detection on network devices compatible
with eBPF is proposed, using models optimized asynchronously through a feature selection
strategy to optimize ML models. Such optimization is necessary to deal with the constraints
imposed by eBPF technology when executed on network devices, which impose limitations
on generated programs in terms of memory, functions, and program size to be executed. This
architecture aims to configure a classifier that can be employed on network devices such as
switches. In this way, classification can be performed directly on these devices, eliminating
the need for probes that send information to controllers. As a proof of concept, a model can
be constructed, starting from a computer that performs the evaluation and configuration of a
classifier compatible with eBPF devices in the Linux system kernel. The results obtained reveal
that the proposed solution is capable of detecting and preventing intrusions in real-time with
low overhead for the evaluated scenarios. | eng |
dc.language | por | por |
dc.publisher | Universidade Federal de Santa Maria | por |
dc.rights | Attribution-NonCommercial-NoDerivatives 4.0 International | * |
dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/4.0/ | * |
dc.subject | Incidentes de segurança | por |
dc.subject | Detecções de intrusões | por |
dc.subject | Segurança da Informação | por |
dc.subject | Sistemas de resposta à intrusão | por |
dc.subject | Inteligência artificial | por |
dc.subject | Security incidents | eng |
dc.subject | Intrusion detections | eng |
dc.subject | Information security | eng |
dc.subject | Intrusion response systems | eng |
dc.subject | Artificial intelligence | eng |
dc.title | Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley | por |
dc.title.alternative | Intrusion detection on network devices with the Berkeley packet filter | eng |
dc.type | Dissertação | por |
dc.description.resumo | Sistemas de detecção de intrusões modernos são comumente desenvolvidos com uso de
algoritmos de aprendizado de máquina e seleção de atributos. No entanto, o custo computacional desses algoritmos limita a capacidade de resposta imediata às intrusões. Isso acontece
porque esses algoritmos são geralmente executados em controladores que são dispositivos centralizados, os quais processam as informações recebidas de sondas na rede, visando obter um
resultado de classificação para o tráfego de rede analisado. Como resultado, podem surgir problemas como atraso na identificação de ameaças, além da possibilidade de sobrecarga nesse
dispositivo centralizado caso os ataques estejam ocorrendo em diversos dispositivos simultaneamente. Neste trabalho, é proposta uma arquitetura para detecção de intrusões em tempo
real em dispositivos de rede compatíveis com eBPF a partir de modelos otimizados assincronamente através de uma estratégia de seleção de atributos com vistas a otimizar modelos de ML.
Tal otimização é necessária para lidar com as restrições impostas pela tecnologia eBPF quando
executada em dispositivos de rede, as quais impõem limitações nos programas gerados quanto
à memória, funções e ao tamanho do programa a ser executado. Essa arquitetura visa configurar um classificador que possa ser empregado em dispositivos de rede como switches. Dessa
maneira, a classificação pode ser realizada diretamente nesses equipamentos, eliminando a necessidade das sondas que enviam informações para os controladores. Como prova de conceito,
um modelo pode ser construído, partindo de um computador que realiza a avaliação e configuração de um classificador compatível com dispositivos eBPF no Kernel do sistema Linux. Os
resultados obtidos revelam que a solução proposta é capaz de detectar e prevenir intrusões em
tempo real com baixa sobrecarga para os cenários avaliados. | por |
dc.contributor.advisor1 | Santos, Carlos Raniery Paula dos | |
dc.contributor.advisor1Lattes | http://lattes.cnpq.br/0538173746410766 | por |
dc.contributor.referee1 | Nunes , Raul Ceretta | |
dc.contributor.referee2 | Garcia , Vinícius Fülber | |
dc.creator.Lattes | http://lattes.cnpq.br/5526010153299297 | por |
dc.publisher.country | Brasil | por |
dc.publisher.department | Ciência da Computação | por |
dc.publisher.initials | UFSM | por |
dc.publisher.program | Programa de Pós-Graduação em Ciência da Computação | por |
dc.subject.cnpq | CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO | por |
dc.publisher.unidade | Centro de Tecnologia | por |