Navegar por:

Sapo-boi : um sistema de detecção de instrusões por assinatura em espaços de kernel e usuário utilizando BPF e XDP

Use este link compartilhar ou citar este material: http://educapes.capes.gov.br/handle/1884/97900
Registro completo de metadados
MetadadosDescriçãoIdioma
Autor(es): dc.contributorGrégio, André Ricardo Abed, 1983--
Autor(es): dc.contributorFülber Garcia, Vinícius-
Autor(es): dc.contributorUniversidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática-
Autor(es): dc.creatorMachnicki, Raphael Kaviak-
Data de aceite: dc.date.accessioned2025-09-01T11:44:38Z-
Data de disponibilização: dc.date.available2025-09-01T11:44:38Z-
Data de envio: dc.date.issued2025-08-12-
Data de envio: dc.date.issued2025-08-12-
Data de envio: dc.date.issued2024-
Fonte completa do material: dc.identifierhttps://hdl.handle.net/1884/97900-
Fonte: dc.identifier.urihttp://educapes.capes.gov.br/handle/1884/97900-
Descrição: dc.descriptionOrientador: André Ricardo Abed Grégio-
Descrição: dc.descriptionCoorientador: Vinicius Fulber-Garcia-
Descrição: dc.descriptionDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 18/06/2025-
Descrição: dc.descriptionInclui referências-
Descrição: dc.descriptionÁrea de concentração: Ciência da Computação-
Descrição: dc.descriptionResumo: Sistemas de Detecção de Intrusão em redes por assinatura proporcionam uma maneira de realizar inspeção de tráfego em um segmento de rede, aumentando assim sua segurança, haja vista a possível detecção de padrões relacionados com atividade maliciosa (assinaturas de malware). Devido à execução de Deep Packet Inspection, o desempenho desse tipo de solução tende a ser menor à medida que as taxas de transmissão ou a quantidade de assinaturas presentes na base aumentam. Uma possível abordagem para o aumento de desempenho dessas soluções é a implementação em espaço de kernel, mais especificamente, em espaço de driver, antes que as estruturas que representam um pacote sejam alocadas pelo sistema operacional. Desta forma, é possível escrever um programa BPF (Berkeley Packet Filter), anexado à primeira camada da pilha de rede do kernel Linux, o XDP (eXpress Data Path), que tem por objetivo realizar a detecção de assinaturas de malware. Este trabalho propõe o Sapo-boi (Sistema de Avaliação e Processamento de tráfegO baseado em BPF/XDP para Observação de Intrusões), a fim de mostrar a viabilidade da implementação de um sistema de detecção de intrusões por assinatura em espaço de kernel/driver, bem como discutir as implicações e limitações de fazê-lo. A solução é dividida em dois módulos, o Módulo de Suspeição: um programa BPF/XDP usado para o casamento inicial de padrões maliciosos em espaço de kernel, que redireciona pacotes considerados suspeitos para o espaço de usuário através de sockets XDP; e o Módulo de Avaliação: processo de usuário, para onde os pacotes oriundos do Módulo de Suspeição são redirecionados para avaliação aprofundada e veredito final. Os experimentos foram executados de forma a comparar o Sapo-boi com outras três soluções: duas delas totalmente em espaço de usuário, e uma que, como o Sapo-boi, também é dividida entre espaços de kernel e usuário. Os resultados apontam uma queda significativa da taxa de pacotes não avaliados pela solução proposta quando comparada às soluções em espaço de usuário, bem como indicam que a maneira como o Sapo-boi realiza a passagem de pacotes para o espaço de usuário é mais robusta do que a maneira realizada pela outra solução em kernel. Mais especificamente, num cenário com alto número de assinaturas a serem avaliadas (16 mil) e 10Gbps, o Sapo-boi deixa de avaliar pouco mais de 2% dos pacotes, ao passo Suricata e Snort deixam de avaliar 9,61% e 91,7%, respectivamente. Com relação à outra solução em espaço de kernel, com as mesmas métricas citadas anteriormente, o Sapo-boi é capaz de redirecionar 99,99% dos pacotes ao espaço de usuário, ao passo que a solução mencionada redireciona pouco mais de 91%, o que pode acarretar na ausência de alertas, que representam a real detecção da atividade maliciosa.-
Formato: dc.format1 recurso online : PDF.-
Formato: dc.formatapplication/pdf-
Formato: dc.formatapplication/pdf-
Palavras-chave: dc.subjectTráfego-
Palavras-chave: dc.subjectSoftware de sistemas-
Palavras-chave: dc.subjectSistemas operacionais (Computadores)-
Palavras-chave: dc.subjectInternet-
Palavras-chave: dc.subjectVirus de computador-
Palavras-chave: dc.subjectCiência da Computação-
Título: dc.titleSapo-boi : um sistema de detecção de instrusões por assinatura em espaços de kernel e usuário utilizando BPF e XDP-
Aparece nas coleções:Repositório Institucional - Rede Paraná Acervo

Não existem arquivos associados a este item.
Mostrar registro simples do item Visualizar estatísticas

Avaliação