Universidad Complutense de Madrid
E-Prints Complutense

Sistema para la correlación de alertas de NIDS basados en anomalías

Impacto

Downloads

Downloads per month over past year



Maestre Vidal, Jorge (2013) Sistema para la correlación de alertas de NIDS basados en anomalías. [Trabajo Fin de Máster]

[img]
Preview
PDF
4MB


Abstract

El despliegue de un Sistema de Deteccion de Intrusiones basado en Redes (NIDS) en el perímetro de seguridad de un sistema ha de complementarse con la incorporación de herramientas que ayuden a mejorar su comportamiento. Los sistemas de correlación de alertas tienen como objetivo facilitar la gestión de las alertas emitidas, aportando información adicional, y permitiendo su agregación, agilizando de esta manera los procesos de prevención.
A lo largo de los años, el area de investigación en la correlación de alertas se ha centrado en la detección de ataques distribuidos. La principal motivación de este
trabajo procede de la escasez de propuestas para correlacionar las alertas emitidas por NIDS basados en anomalías, que establecen como objeto del análisis, la carga
útil del tráfico auditado. Para ello, el sistema propuesto lleva a cabo un etiquetado de las alertas emitidas por el NIDS, tomando en cuenta criterios cuantitativos y
cualitativos. Además, se considera el análisis llevado a cabo a nivel de paquetes, y el análisis llevado a cabo a nivel de trazas como alternativa a la reconstrucción de
escenarios de ataques. A la vista de los resultados arrojados por los experimentos, los objetivos han sido
cumplidos satisfactoriamente. Las propuestas han conseguido mitigar el problema de la inyección de falsos positivos y se ha conseguido agrupar las alertas emitidas, en base a los criterios establecidos. Además, el impacto sobre el sistema protegido ha sido mínimo, garantizando un procesamiento del tráfico en tiempo real.
[ABSTRACT]
The deployment of a Network-based Intrusion Detection System (NIDS) in the system perimeter security should be supplemented with tools to help improve their behavior. The alert correlation systems are designed to facilitate the management of alerts issued, providing additional information and allowing their aggregation, thereby expediting prevention processes. Throughout the years, the research area of the alert correlation focused on distributed attack detection. The main motivation of this work derived from the lack of proposals for correlating the alerts from anomaly-based NIDS, which process the audited traffic payload. To do this, the proposed system performs a labeling of the alerts issued by the NIDS, taking into account both quantitative and qualitative criteria.
Also, is considered the analysis performed at the packet-level, and the analysis performed at the trace-level, as an alternative to the construction of attack scenarios.
In view of the results obtained from the experiments, the objectives have been met satisfactorily. The proposals have managed to mitigate the problem of falsepositive injection and has managed to group the NIDS alerts based on the established criteria. In addition, the impact on the protected system has been minimal, ensuring traffic processing in real time.


Item Type:Trabajo Fin de Máster
Additional Information:

Máster en Investigación en Informática, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, curso 2012-2013.

Directors:
DirectorsDirector email
García Villalba, Luis Javier
Uncontrolled Keywords:Anomalas, Correlacion de alertas, Intrusion, NIDS, Anomalies, Alert Correlation, Intrusion.
Subjects:Sciences > Computer science > Computer security
ID Code:22651
Deposited On:02 Aug 2013 08:36
Last Modified:07 Feb 2014 10:49

Origin of downloads

Repository Staff Only: item control page