ReconnaissanceNIDS - Uma proposta de sistema de detecção de intrusão não supervisionado para ataques cibernéticos de reconhecimento

Data
2024-02-01
Tipo
Dissertação de mestrado
Título da Revista
ISSN da Revista
Título de Volume
Resumo
A fase de reconhecimento é fundamental para o sucesso de ataques cibernéticos. Tal fato se confirma pelo predomínio deste tipo de operação entre os incidentes de segurança registrados no Brasil. Com vistas a oferecer uma alternativa para identificar este tipo de ataque propomos o ReconnaissanceNIDS, uma ferramenta customizada a partir do Kitsune, especializada em detectar ataques de reconhecimento, com especial ênfase em escaneamento de portas do tipo SYN-SCAN. Para tanto, foi realizado um estudo a partir da geração de tráfego de rede sintético em quatro cenários diferentes e para cada um dos quais, foram analisados a influência de diferentes proporções de pacotes TCP e UDP. A partir da análise dos dados gerados, foram identificados os atributos presentes no cabeçalho TCP que são cruciais para a detecção dos ataques de SYN-SCAN. Posteriormente o Kitsune foi customizado para incluir esses atributos no cômputo das estatísticas incrementais utilizadas para derivar os atributos de treinamento e detecção de anomalias do Kitsune e os dados sintéticos gerados foram reprocessados para identificar o efeito das alterações na taxa de detecção. Os resultados obtidos mostram que a taxa de detecção de anomalias para ataques do tipo SYN-SCAN foram incrementadas. Por fim, o procedimento implementado foi customizado para operar de forma on-line, em um dispositivo Raspberry-PI 4, e teve seu desempenho computacional avaliado a fim de identificar o comportamento da ferramenta, considerando a mesma infraestrutura experimental utilizada para a geração dos dados sintéticos. O resultado da análise mostrou que o Raspberry PI 4, no cenário de teste proposto, possui capacidade computacional suficiente para fazer uma análise em tempo real dos dados.
Descrição
Citação
Pré-visualização PDF(s)