Publication:
Sistema para la correlación de alertas de NIDS basados en anomalías

Thumbnail Image
Files
thesis.pdf (3.91 MB)
Official URL
Full text at PDC
Publication Date
2013
Authors
Advisors (or tutors)
Editors
Journal Title
Journal ISSN
Volume Title
Publisher
Citations
Google Scholar
Exportar
DC QDC MarcXML RDF MODS METS ORE-ATOM
Research Projects
Organizational Units
Journal Issue
Abstract
El despliegue de un Sistema de Deteccion de Intrusiones basado en Redes (NIDS) en el perímetro de seguridad de un sistema ha de complementarse con la incorporación de herramientas que ayuden a mejorar su comportamiento. Los sistemas de correlación de alertas tienen como objetivo facilitar la gestión de las alertas emitidas, aportando información adicional, y permitiendo su agregación, agilizando de esta manera los procesos de prevención. A lo largo de los años, el area de investigación en la correlación de alertas se ha centrado en la detección de ataques distribuidos. La principal motivación de este trabajo procede de la escasez de propuestas para correlacionar las alertas emitidas por NIDS basados en anomalías, que establecen como objeto del análisis, la carga útil del tráfico auditado. Para ello, el sistema propuesto lleva a cabo un etiquetado de las alertas emitidas por el NIDS, tomando en cuenta criterios cuantitativos y cualitativos. Además, se considera el análisis llevado a cabo a nivel de paquetes, y el análisis llevado a cabo a nivel de trazas como alternativa a la reconstrucción de escenarios de ataques. A la vista de los resultados arrojados por los experimentos, los objetivos han sido cumplidos satisfactoriamente. Las propuestas han conseguido mitigar el problema de la inyección de falsos positivos y se ha conseguido agrupar las alertas emitidas, en base a los criterios establecidos. Además, el impacto sobre el sistema protegido ha sido mínimo, garantizando un procesamiento del tráfico en tiempo real. [ABSTRACT] The deployment of a Network-based Intrusion Detection System (NIDS) in the system perimeter security should be supplemented with tools to help improve their behavior. The alert correlation systems are designed to facilitate the management of alerts issued, providing additional information and allowing their aggregation, thereby expediting prevention processes. Throughout the years, the research area of the alert correlation focused on distributed attack detection. The main motivation of this work derived from the lack of proposals for correlating the alerts from anomaly-based NIDS, which process the audited traffic payload. To do this, the proposed system performs a labeling of the alerts issued by the NIDS, taking into account both quantitative and qualitative criteria. Also, is considered the analysis performed at the packet-level, and the analysis performed at the trace-level, as an alternative to the construction of attack scenarios. In view of the results obtained from the experiments, the objectives have been met satisfactorily. The proposals have managed to mitigate the problem of falsepositive injection and has managed to group the NIDS alerts based on the established criteria. In addition, the impact on the protected system has been minimal, ensuring traffic processing in real time.
Description
Máster en Investigación en Informática, Facultad de Informática, Departamento de Ingeniería del Software e Inteligencia Artificial, curso 2012-2013.
UCM subjects
Seguridad informática
Unesco subjects
Keywords
Citation
URI
https://hdl.handle.net/20.500.14352/36313
Collections
Trabajos Fin de Master (TFM)