Close
Metadata

Reference TypeThesis
Identifier6qtX3pFwXQZGivnJSY/KaFPp
Repositorysid.inpe.br/MTC-m13@80/2006/02.14.16.47   (restricted access)
Metadatasid.inpe.br/MTC-m13@80/2006/02.14.16.47.09
Sitemtc-m16c.sid.inpe.br
Secondary KeyINPE-14481-TDI/1162
Holder Codeisadg {BR SPINPE} ibi 8JMKD3MGPCW/3DT298S
Citation KeyChaves:2009:DeBaCa
AuthorChaves, Carlos Henrique Peixoto Caetano
GroupCAP-SPG-INPE-MCT-BR
TitleDetecção de backdoors e canais dissimulados
Year2009
CommitteeStephany, Stephan (presidente)
Filho, Antonio Montes (orientador)
Guedes, Ulisses Thadeu Vieira
Gaspary, Luciano
Date2005-12-09
Alternate TitleDetecting backdoors and covert channels
UniversityInstituto Nacional de Pesquisas Espaciais (INPE)
CitySão José dos Campos
Keywordssistema de detecção de intrusão, backdoors, canais dissimulados, anomalia, abuso, intrusion detection (computers), backdoors, dissimulative canals, anomalies, abuse.
AbstractEste trabalho apresenta desenvolvimento de uma metodologia de detecção de backdoors e canais dissimulados. Esta metodologia é dividida em três fases: a reconstrução das sessões TCP/IP, a análise e classificação, e a geração do resultado. A primeira fase propõe a utilização do Sistema de Reconstrução de Sessões TCP/IP - Recon para efetuar a reconstrução das sessões. na segunda fase, uma vez reconstruída, a sessão é analisada em busca de características que a classifiquem como pertencente a um backdoor ou canal dissimulado. Primeiramente é feita uma análise do comportamento do protocolo utilizado na sessão. Depois, procura-se no conteúdo da sessão por assinaturas conhecidas dos backdoors e das ferramentas que implementam canais dissimulados, de forma a identificá-las. A terceira fase da metodologia gera um relatório contendo o resultado da análise e classificação feita na segunda fase e as informações das sessões TPC/IP. A metodologia é, então, utilizada como base para o desenvolvimento de um Sistema de Detecção de Backdoors e Canais Dissimulados, que pretende ser uma ferramenta de auxílio ao analista de segurança na detecção de intrusão. O resultado gerado pelo sistema poderá ser correlacionado com as informações geradas por outras ferramentas, com o objetivo de ser mais uma camada na defesa em profundidade de redes de computadores. O sistema foi testado em uma rede de produção, com o auxílio de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Esses arquivos foram utilizados como entrada para o sistema. Finalmente, são relatados os resultados obtidos pelo sistema durante o teste com ferramentas que implementam backdoors ou canais dissimulados, mostrando as taxas de falso-positivos e falso-negativos obtidos. ABSTRACT: In this work, the decelopment of a backdoor and covert channel detection methodology is presented. The methodololy is divided in three phases: the TPC/IP session's reconstruction, the analysis and classification and the result generation. The first phase propose the use of the TPC/IP Session's Reconstruction System - Recon to perfrm the session's recosntruction. In the scond phase, each session is analysed and some backdoor and covert channel characteristics are searched in order to classify the sessions. This is done by first analysis the session's protocol behavior. Then, known backdoor and covert channel's patterns are searched in the session's payload to indentify the tool used. The third phase generates a report containing the analysis and classification results, and the TCP/IP session's information. This methodology supports the development of the Backdoor and Covert Channel System, a tool designed to be used by a security analyst for intrusion detection. The results generated by the system can be security with information generated by other tools, intending to be one more layer in the defense of a computer network. The system was tested in a production network, with a sensor that is appropriatly to capture pakets from network traffic and regularly store captured data in files, which were used as input to the system. Finally, the tool has been tested to detect backdoors and covert channel and the false-positives and false-negatives rates are presented.
Number of Pages145
Languagept
Thesis TypeDissertação (Mestrado em Computação Aplicada)
Secondary TypeTDI
DisseminationNTRSNASA; BNDEPOSITOLEGAL.
AreaCOMP
CourseCAP-SPG-INPE-MCT-BR
Size986 KiB
Number of Files1
Target Filepublicacao.pdf
Last Update2009:10.13.14.14.45 sid.inpe.br/mtc-m18@80/2008/03.17.15.17 simone
Metadata Last Update2019:11.06.12.00.07 sid.inpe.br/mtc-m18@80/2008/03.17.15.17 simone {D 2009}
Document Stagecompleted
Is the master or a copy?is the master
e-Mail (login)sergio
User Groupadministrator camila jefferson sergio supervisor viveca@sid.inpe.br
Reader Groupadministrator sergio simone
Copy HolderSID/SCD
Visibilityshown
Transferable1
Host Collectionsid.inpe.br/mtc-m18@80/2008/03.17.15.17
Document Stagesergio
Rightsholderoriginalauthor yes locatedauthor no
Read Permissiondeny from all
Next Higher Units8JMKD3MGPCW/3F2PHGS
source Directory Content
@4primeirasPaginas.pdf 14/09/2009 16:22 152.4 KiB
Banca_CarlosHenrique.pdf 23/09/2009 12:34 17.3 KiB
Dissertacao/bib/dissertacao.bib 11/01/2006 19:22 27.7 KiB
Dissertacao/bibinpeK.bst 23/11/2005 17:41 31.7 KiB
Dissertacao/bibinpeK_README.txt 23/11/2005 17:41 16.6 KiB
Dissertacao/caption2.sty 23/11/2005 17:41 15.6 KiB
Dissertacao/configuracao.tex 23/11/2005 17:41 1.5 KiB
Dissertacao/dissertacao.aux 24/01/2006 19:48 5.3 KiB
Dissertacao/dissertacao.bbl 24/01/2006 19:48 17.8 KiB
Dissertacao/dissertacao.blg 24/01/2006 19:48 2.4 KiB
Dissertacao/dissertacao.brf 24/01/2006 19:48 8.2 KiB
Dissertacao/dissertacao.idx 24/01/2006 19:48 0.3 KiB
Dissertacao/dissertacao.ilg 24/01/2006 19:48 0.3 KiB
Dissertacao/dissertacao.ind 24/01/2006 19:48 0.2 KiB
Dissertacao/dissertacao.lof 24/01/2006 19:48 4.7 KiB
Dissertacao/dissertacao.log 24/01/2006 19:48 72.7 KiB
Dissertacao/dissertacao.lot 24/01/2006 19:48 0.6 KiB
Dissertacao/dissertacao.out 24/01/2006 19:48 6.6 KiB
Dissertacao/dissertacao.pdf 23/09/2009 12:42 1.1 MiB
Dissertacao/dissertacao.tex 11/01/2006 16:31 0.9 KiB
Dissertacao/dissertacao.toc 24/01/2006 19:48 8.7 KiB
Dissertacao/docs/abstract.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/abstract.tex 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/agradecimentos.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/agradecimentos.tex 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/apendice_A/apendice_A.aux 24/01/2006 19:48 1.7 KiB
Dissertacao/docs/apendice_A/apendice_A.tex 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/apendice_A/apendice_B.aux 23/11/2005 17:41 0.6 KiB
Dissertacao/docs/apendice_A/fig/recon.conf 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/apendice_A/fig/recon_help.txt 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/apendice_B/apendice_B.aux 24/01/2006 19:48 2.2 KiB
Dissertacao/docs/apendice_B/apendice_B.tex 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/apendice_B/fig/saida_cctt.txt 23/11/2005 17:41 4.4 KiB
Dissertacao/docs/apendice_B/fig/saida_firepass.txt 23/11/2005 17:41 9.1 KiB
Dissertacao/docs/apendice_B/fig/saida_firepass.txt~ 23/11/2005 17:41 145.7 KiB
Dissertacao/docs/apendice_B/fig/saida_httptunnel.txt 23/11/2005 17:41 5.6 KiB
Dissertacao/docs/apendice_B/fig/saida_nc.txt 23/11/2005 17:41 5.8 KiB
Dissertacao/docs/apendice_B/fig/saida_rwwwshell.txt 23/11/2005 17:41 8.7 KiB
Dissertacao/docs/apendice_B/fig/saida_rwwwshell.txt~ 23/11/2005 17:41 167.9 KiB
Dissertacao/docs/apendice_B/fig/saida_wsh.txt 23/11/2005 17:41 10.1 KiB
Dissertacao/docs/apendice_B/fig/saida_wsh.txt~ 23/11/2005 17:41 3.2 MiB
Dissertacao/docs/citaccao.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/citaccao.tex 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/conclusao/conclusao.aux 24/01/2006 19:48 1.0 KiB
Dissertacao/docs/conclusao/conclusao.tex 23/11/2005 17:41 10.8 KiB
Dissertacao/docs/dedicatoria.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/dedicatoria.tex 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/introducao/introducao.aux 24/01/2006 19:48 1.9 KiB
Dissertacao/docs/introducao/introducao.tex 24/01/2006 19:20 16.4 KiB
Dissertacao/docs/problema/fig/figBloco.pdf 23/11/2005 17:41 15.5 KiB
Dissertacao/docs/problema/problema.tex 23/11/2005 17:41 0.9 KiB
Dissertacao/docs/resultados/fig/Graf_FP_HTTP.pdf 23/11/2005 17:41 14.0 KiB
Dissertacao/docs/resultados/fig/Graf_Ssn_Anon.pdf 23/11/2005 17:41 13.6 KiB
Dissertacao/docs/resultados/fig/Graf_Ssn_HTTP.pdf 23/11/2005 17:41 13.1 KiB
Dissertacao/docs/resultados/fig/log_nc.dmp 23/11/2005 17:41 1.9 KiB
Dissertacao/docs/resultados/fig/log_nc.txt 23/11/2005 17:41 0.8 KiB
Dissertacao/docs/resultados/fig/Rede.dia 23/11/2005 17:41 2.7 KiB
Dissertacao/docs/resultados/fig/Rede.eps 23/11/2005 17:41 33.9 KiB
Dissertacao/docs/resultados/fig/Rede.pdf 23/11/2005 17:41 25.1 KiB
Dissertacao/docs/resultados/fig/Rede.png 23/11/2005 17:41 16.1 KiB
Dissertacao/docs/resultados/fig/saida_cctt.txt 23/11/2005 17:41 126.8 KiB
Dissertacao/docs/resultados/fig/saida_cctt_all.txt 23/11/2005 17:41 1.0 MiB
Dissertacao/docs/resultados/fig/saida_firepass.txt 23/11/2005 17:41 145.7 KiB
Dissertacao/docs/resultados/fig/saida_firepass_all.txt 23/11/2005 17:41 256.2 KiB
Dissertacao/docs/resultados/fig/saida_httptunnel.txt 23/11/2005 17:41 48.4 KiB
Dissertacao/docs/resultados/fig/saida_httptunnel_all.txt 23/11/2005 17:41 217.2 KiB
Dissertacao/docs/resultados/fig/saida_nc.txt 23/11/2005 17:41 135.1 KiB
Dissertacao/docs/resultados/fig/saida_nc_all.txt 23/11/2005 17:41 1014.1 KiB
Dissertacao/docs/resultados/fig/saida_rwwwshell.txt 23/11/2005 17:41 167.9 KiB
Dissertacao/docs/resultados/fig/saida_rwwwshell_all.txt 23/11/2005 17:41 181.7 KiB
Dissertacao/docs/resultados/fig/saida_wsh.txt 23/11/2005 17:41 3.2 MiB
Dissertacao/docs/resultados/fig/saida_wsh_all.txt 23/11/2005 17:41 3.5 MiB
Dissertacao/docs/resultados/resultados.aux 24/01/2006 19:48 2.7 KiB
Dissertacao/docs/resultados/resultados.tex 23/11/2005 17:41 19.1 KiB
Dissertacao/docs/resumo.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/resumo.tex 23/11/2005 17:41 2.0 KiB
Dissertacao/docs/revisao/fig/adore_passos_atacante.txt 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/revisao/fig/cap2_dgrm_IP.eps 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/cap2_dgrm_IP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP.eps 23/11/2005 17:41 7.6 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP.pdf 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_error.eps 23/11/2005 17:41 8.6 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_error.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_info.eps 23/11/2005 17:41 8.7 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_info.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_msg_TCP.eps 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_TCP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_msg_UDP.eps 23/11/2005 17:41 7.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_UDP.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/cap2_niveis_conceituas_TCPIP.eps 23/11/2005 17:41 7.8 KiB
Dissertacao/docs/revisao/fig/cap2_niveis_conceituas_TCPIP.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_proto_camada_TCPIP.eps 23/11/2005 17:41 12.3 KiB
Dissertacao/docs/revisao/fig/cap2_proto_camada_TCPIP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_Threewayhandshake.eps 23/11/2005 17:41 6.8 KiB
Dissertacao/docs/revisao/fig/cap2_Threewayhandshake.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/cap5_estr_sessoes.eps 23/11/2005 17:41 24.9 KiB
Dissertacao/docs/revisao/fig/cap5_estr_sessoes.pdf 23/11/2005 17:41 4.2 KiB
Dissertacao/docs/revisao/fig/cap5_model_view.eps 23/11/2005 17:41 14.5 KiB
Dissertacao/docs/revisao/fig/cap5_model_view.pdf 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/revisao/fig/cctt.gif 23/11/2005 17:41 8.9 KiB
Dissertacao/docs/revisao/fig/cctt.png 23/11/2005 17:41 11.0 KiB
Dissertacao/docs/revisao/fig/chapeu_mexicano.pdf 23/11/2005 17:41 6.4 KiB
Dissertacao/docs/revisao/fig/chapeu_mexicano.png 23/11/2005 17:41 5.1 KiB
Dissertacao/docs/revisao/fig/estr_instancia.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/revisao/fig/estr_sessoes.png 23/11/2005 17:41 8.6 KiB
Dissertacao/docs/revisao/fig/firepass.png 23/11/2005 17:41 19.4 KiB
Dissertacao/docs/revisao/fig/grafo.png 23/11/2005 17:41 4.3 KiB
Dissertacao/docs/revisao/fig/model_view.png 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/rwwwshell.png 23/11/2005 17:41 5.4 KiB
Dissertacao/docs/revisao/fig/SDI_abuso.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/SDI_anomalia.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/traco_adore.txt 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/revisao/fig/traco_cctt_http_post_rev.txt 23/11/2005 17:41 2.7 KiB
Dissertacao/docs/revisao/fig/train_SOM.txt 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/revisao/fig/wsh.png 23/11/2005 17:41 3.6 KiB
Dissertacao/docs/revisao/fig/wu-ftpd 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/revisao/fig/wu-ftpd.orig 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/revisao/revisao.aux 24/01/2006 19:48 19.5 KiB
Dissertacao/docs/revisao/revisao.tex 24/01/2006 19:22 94.4 KiB
Dissertacao/docs/siglaseabreviaturas.aux 24/01/2006 19:48 1.2 KiB
Dissertacao/docs/siglaseabreviaturas.tex 11/01/2006 19:07 1.4 KiB
Dissertacao/docs/sistema/fig/alg_maq_est.txt 23/11/2005 17:41 1.2 KiB
Dissertacao/docs/sistema/fig/avl_data.eps 23/11/2005 17:41 6.8 KiB
Dissertacao/docs/sistema/fig/avl_data.pdf 23/11/2005 17:41 42.8 KiB
Dissertacao/docs/sistema/fig/avl_data.txt 23/11/2005 17:41 0.1 KiB
Dissertacao/docs/sistema/fig/cap5_mod_tcp_structs.pdf 23/11/2005 17:41 2.1 KiB
Dissertacao/docs/sistema/fig/cap5_sensor_pos.eps 23/11/2005 17:41 27.3 KiB
Dissertacao/docs/sistema/fig/cap5_sensor_pos.pdf 23/11/2005 17:41 9.8 KiB
Dissertacao/docs/sistema/fig/cap5_tcp_state_trans.eps 23/11/2005 17:41 26.3 KiB
Dissertacao/docs/sistema/fig/cap5_tcp_state_trans.pdf 23/11/2005 17:41 7.3 KiB
Dissertacao/docs/sistema/fig/Fases.png 23/11/2005 17:41 3.9 KiB
Dissertacao/docs/sistema/fig/instance_struct.eps 23/11/2005 17:41 8.3 KiB
Dissertacao/docs/sistema/fig/instance_struct.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/sistema/fig/recon.rules 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/sistema/fig/rule_structs.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/sistema/fig/snort_rule 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/sistema/fig/visao_geral.pdf 23/11/2005 17:41 24.3 KiB
Dissertacao/docs/sistema/fig/visao_geral.sxd 23/11/2005 17:41 8.4 KiB
Dissertacao/docs/sistema/sistema.aux 24/01/2006 19:48 11.8 KiB
Dissertacao/docs/sistema/sistema.tex 24/01/2006 19:23 74.0 KiB
Dissertacao/LEIAME 23/11/2005 17:41 0.6 KiB
Dissertacao/logoinpe.pdf 23/11/2005 17:41 9.2 KiB
Dissertacao/Makefile 23/11/2005 17:41 0.7 KiB
Dissertacao/margens.tex 23/11/2005 17:41 0.7 KiB
Dissertacao/q.tex 23/11/2005 17:41 0.6 KiB
Dissertacao/tdiinpe.cls 23/11/2005 17:41 28.4 KiB
publicacao.pdf 23/09/2009 12:46 985.8 KiB
agreement Directory Contentthere are no files
History2006-02-14 16:47:09 :: jefferson -> administrator ::
2006-09-27 21:17:35 :: administrator -> jefferson ::
2008-05-02 16:43:28 :: jefferson -> administrator ::
2008-08-21 21:18:07 :: administrator -> jefferson ::
2009-04-30 15:40:47 :: jefferson -> administrator ::
2009-07-07 16:11:49 :: administrator -> jefferson ::
2009-07-08 15:16:33 :: jefferson -> administrator ::
2009-07-08 21:37:55 :: administrator -> camila ::
2009-07-09 15:49:52 :: camila -> supervisor ::
2009-09-15 19:40:06 :: supervisor -> camila ::
2009-10-13 14:14:56 :: camila -> viveca@sid.inpe.br ::
2009-10-16 19:13:27 :: viveca@sid.inpe.br -> administrator ::
2019-03-14 18:40:59 :: administrator -> simone :: 2009
2019-11-06 12:00:07 :: simone -> sergio :: 2009
Empty Fieldsacademicdepartment affiliation archivingpolicy archivist callnumber contenttype copyright creatorhistory descriptionlevel doi e-mailaddress electronicmailaddress format isbn issn label lineage mark mirrorrepository nextedition notes number orcid parameterlist parentrepositories previousedition previouslowerunit progress resumeid secondarydate secondarymark session shorttitle sponsor subject tertiarymark tertiarytype url versiontype
Access Date2019, Nov. 14
update 

Close