Descoberta de conhecimento em Logs de tentativas de intrusão. Um estudo de caso em Instituições de Ensino Superior

Morais, João Afonso Sarmento

http://hdl.handle.net/10400.22/2618

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
DM_JoaoMorais_2010_MEI.pdf		1017.84 KB	Adobe PDF	Download

Send Feedback

Authors

Morais, João Afonso Sarmento

Advisor(s)

Oliveira, Paulo

Abstract(s)

Perante a evolução constante da Internet, a sua utilização é quase obrigatória. Através da web, é possível conferir extractos bancários, fazer compras em países longínquos, pagar serviços sem sair de casa, entre muitos outros. Há inúmeras alternativas de utilização desta rede. Ao se tornar tão útil e próxima das pessoas, estas começaram também a ganhar mais conhecimentos informáticos. Na Internet, estão também publicados vários guias para intrusão ilícita em sistemas, assim como manuais para outras práticas criminosas. Este tipo de informação, aliado à crescente capacidade informática do utilizador, teve como resultado uma alteração nos paradigmas de segurança informática actual. Actualmente, em segurança informática a preocupação com o hardware é menor, sendo o principal objectivo a salvaguarda dos dados e continuidade dos serviços. Isto deve-se fundamentalmente à dependência das organizações nos seus dados digitais e, cada vez mais, dos serviços que disponibilizam online. Dada a mudança dos perigos e do que se pretende proteger, também os mecanismos de segurança devem ser alterados. Torna-se necessário conhecer o atacante, podendo prever o que o motiva e o que pretende atacar. Neste contexto, propôs-se a implementação de sistemas de registo de tentativas de acesso ilícitas em cinco instituições de ensino superior e posterior análise da informação recolhida com auxílio de técnicas de data mining (mineração de dados). Esta solução é pouco utilizada com este intuito em investigação, pelo que foi necessário procurar analogias com outras áreas de aplicação para recolher documentação relevante para a sua implementação. A solução resultante revelou-se eficaz, tendo levado ao desenvolvimento de uma aplicação de fusão de logs das aplicações Honeyd e Snort (responsável também pelo seu tratamento, preparação e disponibilização num ficheiro Comma Separated Values (CSV), acrescentando conhecimento sobre o que se pode obter estatisticamente e revelando características úteis e previamente desconhecidas dos atacantes. Este conhecimento pode ser utilizado por um administrador de sistemas para melhorar o desempenho dos seus mecanismos de segurança, tais como firewalls e Intrusion Detection Systems (IDS).

Internet’s utilization is becoming more and more common. It’s almost mandatory. Through the web it’s possible to check bank statements, buy products from different countries, pay service bills, just to name a few. In spite of this usability and closeness to people, Internet users started to have more computer science knowlegde. There are also manuals and guides giving detailed instructions about how to break in systems, among other criminal activities. All these facts, together with the growing user knowlege, changed today’s systems and network security paradigms. Nowadays, computer security in a company is closely related to the protection of data and service availability other than computer integrity like in the old days. This is fundamentally due to the growing dependency of organizations on their digital data and online services. In order to follow the changing needs of security we must also change the security mecanisms. It’s becoming imperative to know the intruder’s motivation and goal. With this in mind, the implementation of an intrusion logging system in five colleges was proposed, as well as its data analysis and interpretation using data mining techniques, although the combination of these concepts isn´t a common goal. In spite of this singularity, it was necessary to find analogue objectives in order to enable the gathering of relevant information to the implementation of the solution. The achieved solution was considered to be effective as it was able to increase the previous knowledge obtained through statistical observation, revealing some of the attackers’ useful characteristics. This new knowledge can be implemented by system administrators in their security mechanisms, like firewalls and Intrusion Detection Systems (IDS). An application that combines the logs of the software Honeyd and Snort was also developed. This new application is capable of cleaning and preparing information as well as making it available in a standard Comma Separated Values (CSV) format so it can be used by other applications. Este conhecimento pode ser utilizado por um administrador de sistemas para melhorar o desempenho dos seus mecanismos de segurança, tais como firewalls e Intrusion Detection Systems (IDS).