Document details

Trabalho de projecto de mestrado em Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), apresentado à Universidade de Lisboa, através da Faculdade de Ciências, 2009

Este trabalho traz uma consciencialização para problemas de segurança que afectam fontes de informação. Intrusões e ataques relacionados com fuga de Informação são particularmente sérios em mercados muito competitivos como é o das telecomunicações. Nestes mercados, as bases de dados são tipicamente recursos essenciais na infra-estrutura de organizações como são empresas que dependem de TI. Para as proteger, aproximaçõoes clássicas como firewall 's ou IDS podem oferecer alguma segurança contra utilizadores externos e não autorizados mas são ineficientes para enfrentar ataques perpretados por utilizados internos e autorizados que poderão ter sido comprometidos. Para melhorar a segurança nestes recursos, exige-se um suporte específico para o efeito. Baseado num modelo heurístico (para uma análise discreta de dados) e estatístico (para uma visão macroscópica) propõe-se, neste documento, uma solução para a detecção de anomalias em ambientes de produção real. O resultado é um sistema capaz de analizar passivamente os uxos de tráfego de rede e determinar automaticamente problemas que possam afectar a privacidade, a disponibilidade ou até a integridade dos dados. Para atingir este fim, há vários desafios que têm de ser vencidos como são a captura eficiente de tráfego de rede, a agregação e correlação de eventos aplicados a grandes volumes de informação. A arquitectura de software utilizado no desenvolvimento do protótipo Owl visa suportar as exigências em termos de complexidade ao mesmo tempo que fornece um esquema não intrusivo importante para a produtividade das empresas. Finalmente, as ideias apresentadas nesta tese são avaliadas experimentalmente através de um conjunto de testes a que o Owl foi sujeito para assim validar esta aproximação como sendo adequada e eficaz.

This work brings awareness to the security problems concerning data sources. Information leakage as well as intrusion attacks are particularly serious in very competitive markets such as the telecommunications. In these markets, databases are commonly assets of very high dependability in organizations such as enterprises that depend upon IT. Classic approaches such as firewalls or IDS may offer some protection against external and non-authorized users but are not efficient in handling attacks by internal and authorized users which have been compromised. To improve security on these resources, a specific support is demanded. Based on a statistical (for a discrete data analysis) and heuristic (for a macroscopic vison on the data) model, an applicable solution to detect anomalies in real production environments is proposed on this document. The outcome is a system able to passively monitor the network traffic flows and automatically determine problems that may affect privacy, availability or even the integrity of data. To meet this capacity there are many challenges to overcome such as the efficient network traffic capture, event clustering and event co-relation applied to high volumes of data. The software architecture used in the development of a prototype named Owl takes in heavy consideration the complexity demands and grants a non-intrusive scheme so that the corporation productivity is not affected. Finally, the ideas presented in this thesis are evaluated through a set of tests on Owl performance in order to validate the adopted approach as effective and adequate.