Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley
| dc.creator | Carvalho, Diego Couto de | |
| dc.date.accessioned | 2023-09-05T21:22:46Z | |
| dc.date.available | 2023-09-05T21:22:46Z | |
| dc.date.issued | 2023-08-04 | |
| dc.identifier.uri | http://repositorio.ufsm.br/handle/1/30182 | |
| dc.description.abstract | Modern intrusion detection systems are commonly developed using machine learning algorithms and feature selection. However, the computational cost of these algorithms limits the ability to respond immediately to intrusions. This is because these algorithms are typically run on controllers, which are centralized devices that process information received from probes on the network in order to obtain a classification result for the analyzed network traffic. As a result, problems such as delays in threat identification may arise, as well as the possibility of overloading the centralized device if attacks are occurring on multiple devices simultaneously. In this work, an architecture for real-time intrusion detection on network devices compatible with eBPF is proposed, using models optimized asynchronously through a feature selection strategy to optimize ML models. Such optimization is necessary to deal with the constraints imposed by eBPF technology when executed on network devices, which impose limitations on generated programs in terms of memory, functions, and program size to be executed. This architecture aims to configure a classifier that can be employed on network devices such as switches. In this way, classification can be performed directly on these devices, eliminating the need for probes that send information to controllers. As a proof of concept, a model can be constructed, starting from a computer that performs the evaluation and configuration of a classifier compatible with eBPF devices in the Linux system kernel. The results obtained reveal that the proposed solution is capable of detecting and preventing intrusions in real-time with low overhead for the evaluated scenarios. | eng |
| dc.language | por | por |
| dc.publisher | Universidade Federal de Santa Maria | por |
| dc.rights | Attribution-NonCommercial-NoDerivatives 4.0 International | * |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/4.0/ | * |
| dc.subject | Incidentes de segurança | por |
| dc.subject | Detecções de intrusões | por |
| dc.subject | Segurança da Informação | por |
| dc.subject | Sistemas de resposta à intrusão | por |
| dc.subject | Inteligência artificial | por |
| dc.subject | Security incidents | eng |
| dc.subject | Intrusion detections | eng |
| dc.subject | Information security | eng |
| dc.subject | Intrusion response systems | eng |
| dc.subject | Artificial intelligence | eng |
| dc.title | Detecção de intrusões em dispositivos de rede com o filtro de pacote Berkeley | por |
| dc.title.alternative | Intrusion detection on network devices with the Berkeley packet filter | eng |
| dc.type | Dissertação | por |
| dc.description.resumo | Sistemas de detecção de intrusões modernos são comumente desenvolvidos com uso de algoritmos de aprendizado de máquina e seleção de atributos. No entanto, o custo computacional desses algoritmos limita a capacidade de resposta imediata às intrusões. Isso acontece porque esses algoritmos são geralmente executados em controladores que são dispositivos centralizados, os quais processam as informações recebidas de sondas na rede, visando obter um resultado de classificação para o tráfego de rede analisado. Como resultado, podem surgir problemas como atraso na identificação de ameaças, além da possibilidade de sobrecarga nesse dispositivo centralizado caso os ataques estejam ocorrendo em diversos dispositivos simultaneamente. Neste trabalho, é proposta uma arquitetura para detecção de intrusões em tempo real em dispositivos de rede compatíveis com eBPF a partir de modelos otimizados assincronamente através de uma estratégia de seleção de atributos com vistas a otimizar modelos de ML. Tal otimização é necessária para lidar com as restrições impostas pela tecnologia eBPF quando executada em dispositivos de rede, as quais impõem limitações nos programas gerados quanto à memória, funções e ao tamanho do programa a ser executado. Essa arquitetura visa configurar um classificador que possa ser empregado em dispositivos de rede como switches. Dessa maneira, a classificação pode ser realizada diretamente nesses equipamentos, eliminando a necessidade das sondas que enviam informações para os controladores. Como prova de conceito, um modelo pode ser construído, partindo de um computador que realiza a avaliação e configuração de um classificador compatível com dispositivos eBPF no Kernel do sistema Linux. Os resultados obtidos revelam que a solução proposta é capaz de detectar e prevenir intrusões em tempo real com baixa sobrecarga para os cenários avaliados. | por |
| dc.contributor.advisor1 | Santos, Carlos Raniery Paula dos | |
| dc.contributor.advisor1Lattes | http://lattes.cnpq.br/0538173746410766 | por |
| dc.contributor.referee1 | Nunes , Raul Ceretta | |
| dc.contributor.referee2 | Garcia , Vinícius Fülber | |
| dc.creator.Lattes | http://lattes.cnpq.br/5526010153299297 | por |
| dc.publisher.country | Brasil | por |
| dc.publisher.department | Ciência da Computação | por |
| dc.publisher.initials | UFSM | por |
| dc.publisher.program | Programa de Pós-Graduação em Ciência da Computação | por |
| dc.subject.cnpq | CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO | por |
| dc.publisher.unidade | Centro de Tecnologia | por |
Arquivos deste item
Este item aparece na(s) seguinte(s) coleção(s)
-
Programa de Pós-Graduação em Ciência da Computação [139]
Coleção de dissertações de Pós-Graduação em Ciência da Computação
Exceto quando indicado o contrário, a licença deste item é descrito como Attribution-NonCommercial-NoDerivatives 4.0 International