Utilize este identificador para referenciar este registo: http://hdl.handle.net/10451/30957
Título: Geração automática de conhecimento para SDI extraído de OSINTs
Autor: Vacas, Ivo Ricardo Guerreiro
Orientador: Medeiros, Ibéria Vitória de Sousa, 1971-
Ribeiro, Carlos Nuno da Cruz
Palavras-chave: Deteção de ameaças
SDI
OSINT
Threat intelligence
Segurança
Teses de mestrado - 2017
Data de Defesa: 2017
Resumo: A crescente evolução das tecnologias de informação e comunicação, aplicações e serviços fez com que, nos dias de hoje, o recurso a computadores e à comunicação entre eles se tornasse imprescindível para a realização de enumeras ações e de diversos fins, desde o acesso a dados até a transações financeiras. A par desta evolução, o cibercrime tem vindo a intensificar-se, tendo como intuito a apropriação ilícita de dados privados e de monetização. Os ataques informáticos atuais praticados no cibercrime são mais sofisticados, de tal forma que a sua deteção é cada vez mais difícil e os seus danos são cada vez mais devastadores. Este facto leva a que o cibercrime seja uma preocupação tanto para as empresas como para os profissionais de segurança informática. Um dos recursos utilizados para a concretização destes ataques são as botnets. As botnets são redes compostas por dispositivos vulneráveis (bots), tais como computadores, e controladas por entidades criminosas. A sua utilização permite o anonimato destas entidades durante os ataques. Para se protegerem destes ataques, as organizações utilizam mecanismos de defesa, tais como sistemas detetores de intrusões (SDI), no entanto, a sua eficácia na deteção destes ataques depende do conhecimento que estes contêm sobre as ameaças e da forma como as deteta, tornando obrigatório que os SDI sejam atualizados constantemente com conhecimento sobre novas ameaças. Este conhecimento pode ser obtido de diversas fontes de inteligência - Open Source Intelligence (OSINT) - públicas, as quais se encontram acessíveis em diversos locais na Internet. Esta dissertação apresenta uma solução para melhorar uma arquitetura de deteção de intrusões em SDI para detetar bots dissimulados na rede de computadores da Universidade de Lisboa. A solução propõe um gerador de regras e blacklists para SDI, com base em informação OSINT recolhida por uma plataforma de threat intelligence, bem como a integração automática das regras e blacklists no SDI. Foi realizada uma avaliação experimental da solução em ambiente real, usando 44 fontes de OSINT coletadas pela plataforma threat intelligence IntelMQ e o SDI Snort. A arquitetura proposta permitiu detetar ameaças de diversas categorias.
The continuous evolution of information and communication technologies, applications and services, made the computer an essential resource for performing several and different tasks, such as access to data and financial transactions. Alongside this evolution, the cybercrime has been increasing and unfortunately a common action. Its purpose is the illegal appropriation of private data, and monetization. The cyber-attacks became more sophisticated, in such a way that their detection is getting more difficult and their damage increasingly devastating. This makes the cybercrime a concern for both enterprises and security professionals. One of the most well-known techniques used to practice these crimes, is the creation and management of botnets. Botnets are networks composed by vulnerable devices (bots) such as computers, and controlled by criminal entities. Its use allows the anonymity of these entities when the attacks are performed. Enterprises, for protecting themselves against these attacks, they use defence mechanisms, such as intrusion detection systems (IDS), however, their effectiveness in detecting these attacks depends on their knowledge about threats and how they detect them, turning mandatory that IDSs must be constantly updated with knowledge of new threats. This knowledge can be obtained from many public intelligence sources - Open Source Intelligence (OSINT), which are accessible at several locations on the Internet. The main objective of this dissertation is the improvement of an intrusion detection architecture by using a IDS to detect hidden and dissimulated bots in the network infrastructure of the University of Lisbon. The presented solution proposes a rule and blacklist generator for IDS, using information from OSINT feeds collected and processed by a threat intelligence platform, and the automatic integration of the rules and blacklists in the IDS. An experimental evaluation of the solution in a real environment was performed using 44 OSINT sources collected by the IntelMQ threat intelligence platform, and the Snort IDS. The proposed architecture detected threats of several categories.
Descrição: Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017
URI: http://hdl.handle.net/10451/30957
Designação: Mestrado em Segurança Informática
Aparece nas colecções:FC-DI - Master Thesis (dissertation)

Ficheiros deste registo:
Ficheiro Descrição TamanhoFormato 
ulfc121616_tm_Ivo_Vacas.pdf1,62 MBAdobe PDFVer/Abrir


FacebookTwitterDeliciousLinkedInDiggGoogle BookmarksMySpace
Formato BibTex MendeleyEndnote 

Todos os registos no repositório estão protegidos por leis de copyright, com todos os direitos reservados.