ReconnaissanceNIDS - Uma proposta de sistema de detecção de intrusão não supervisionado para ataques cibernéticos de reconhecimento
| dc.contributor.advisor | Oliveira, Mauri Aparecido de | |
| dc.contributor.advisor-co | Pereira Junior, Lourenço Alves | |
| dc.contributor.advisor-coLattes | http://lattes.cnpq.br/9207573181802953 | pt_BR |
| dc.contributor.advisorLattes | http://lattes.cnpq.br/4663153865292835 | pt_BR |
| dc.contributor.author | Melo Junior, Fabio Antero de Pulpa [UNIFESP] | |
| dc.contributor.authorLattes | http://lattes.cnpq.br/1313422444375380 | pt_BR |
| dc.coverage.spatial | São José dos Campos, SP | pt_BR |
| dc.date.accessioned | 2024-02-28T18:42:10Z | |
| dc.date.available | 2024-02-28T18:42:10Z | |
| dc.date.issued | 2024-02-01 | |
| dc.description.abstract | A fase de reconhecimento é fundamental para o sucesso de ataques cibernéticos. Tal fato se confirma pelo predomínio deste tipo de operação entre os incidentes de segurança registrados no Brasil. Com vistas a oferecer uma alternativa para identificar este tipo de ataque propomos o ReconnaissanceNIDS, uma ferramenta customizada a partir do Kitsune, especializada em detectar ataques de reconhecimento, com especial ênfase em escaneamento de portas do tipo SYN-SCAN. Para tanto, foi realizado um estudo a partir da geração de tráfego de rede sintético em quatro cenários diferentes e para cada um dos quais, foram analisados a influência de diferentes proporções de pacotes TCP e UDP. A partir da análise dos dados gerados, foram identificados os atributos presentes no cabeçalho TCP que são cruciais para a detecção dos ataques de SYN-SCAN. Posteriormente o Kitsune foi customizado para incluir esses atributos no cômputo das estatísticas incrementais utilizadas para derivar os atributos de treinamento e detecção de anomalias do Kitsune e os dados sintéticos gerados foram reprocessados para identificar o efeito das alterações na taxa de detecção. Os resultados obtidos mostram que a taxa de detecção de anomalias para ataques do tipo SYN-SCAN foram incrementadas. Por fim, o procedimento implementado foi customizado para operar de forma on-line, em um dispositivo Raspberry-PI 4, e teve seu desempenho computacional avaliado a fim de identificar o comportamento da ferramenta, considerando a mesma infraestrutura experimental utilizada para a geração dos dados sintéticos. O resultado da análise mostrou que o Raspberry PI 4, no cenário de teste proposto, possui capacidade computacional suficiente para fazer uma análise em tempo real dos dados. | pt_BR |
| dc.description.sponsorship | Não recebi financiamento | pt_BR |
| dc.emailadvisor.custom | mauri@ita.br | pt_BR |
| dc.identifier.uri | https://repositorio.unifesp.br/handle/11600/70796 | |
| dc.language | por | pt_BR |
| dc.publisher | Universidade Federal de São Paulo | pt_BR |
| dc.rights | info:eu-repo/semantics/openAccess | pt_BR |
| dc.subject | Sistemas de reconhecimento | pt_BR |
| dc.subject | Cibernética | pt_BR |
| dc.subject | Defesa | pt_BR |
| dc.subject | Aprendizagem (inteligência artificial) | pt_BR |
| dc.subject | Análise Estatística | pt_BR |
| dc.subject | Pesquisa operacional | pt_BR |
| dc.title | ReconnaissanceNIDS - Uma proposta de sistema de detecção de intrusão não supervisionado para ataques cibernéticos de reconhecimento | pt_BR |
| dc.type | info:eu-repo/semantics/masterThesis | pt_BR |
| unifesp.campus | Instituto de Ciência e Tecnologia (ICT) | pt_BR |
| unifesp.graduateProgram | Pesquisa Operacional | pt_BR |
| unifesp.knowledgeArea | Engenharia de Produção / Pesquisa Operacional | pt_BR |
| unifesp.researchArea | Ciência de Dados | pt_BR |