Close
Metadata

@MastersThesis{Chaves:2009:DeBaCa,
               author = "Chaves, Carlos Henrique Peixoto Caetano",
                title = "Detec{\c{c}}{\~a}o de backdoors e canais dissimulados",
               school = "Instituto Nacional de Pesquisas Espaciais (INPE)",
                 year = "2009",
              address = "S{\~a}o Jos{\'e} dos Campos",
                month = "2005-12-09",
             keywords = "sistema de detec{\c{c}}{\~a}o de intrus{\~a}o, backdoors, 
                         canais dissimulados, anomalia, abuso, intrusion detection 
                         (computers), backdoors, dissimulative canals, anomalies, abuse.",
             abstract = "Este trabalho apresenta desenvolvimento de uma metodologia de 
                         detec{\c{c}}{\~a}o de backdoors e canais dissimulados. Esta 
                         metodologia {\'e} dividida em tr{\^e}s fases: a 
                         reconstru{\c{c}}{\~a}o das sess{\~o}es TCP/IP, a an{\'a}lise e 
                         classifica{\c{c}}{\~a}o, e a gera{\c{c}}{\~a}o do resultado. A 
                         primeira fase prop{\~o}e a utiliza{\c{c}}{\~a}o do Sistema de 
                         Reconstru{\c{c}}{\~a}o de Sess{\~o}es TCP/IP - Recon para 
                         efetuar a reconstru{\c{c}}{\~a}o das sess{\~o}es. na segunda 
                         fase, uma vez reconstru{\'{\i}}da, a sess{\~a}o {\'e} 
                         analisada em busca de caracter{\'{\i}}sticas que a classifiquem 
                         como pertencente a um backdoor ou canal dissimulado. Primeiramente 
                         {\'e} feita uma an{\'a}lise do comportamento do protocolo 
                         utilizado na sess{\~a}o. Depois, procura-se no conte{\'u}do da 
                         sess{\~a}o por assinaturas conhecidas dos backdoors e das 
                         ferramentas que implementam canais dissimulados, de forma a 
                         identific{\'a}-las. A terceira fase da metodologia gera um 
                         relat{\'o}rio contendo o resultado da an{\'a}lise e 
                         classifica{\c{c}}{\~a}o feita na segunda fase e as 
                         informa{\c{c}}{\~o}es das sess{\~o}es TPC/IP. A metodologia 
                         {\'e}, ent{\~a}o, utilizada como base para o desenvolvimento de 
                         um Sistema de Detec{\c{c}}{\~a}o de Backdoors e Canais 
                         Dissimulados, que pretende ser uma ferramenta de aux{\'{\i}}lio 
                         ao analista de seguran{\c{c}}a na detec{\c{c}}{\~a}o de 
                         intrus{\~a}o. O resultado gerado pelo sistema poder{\'a} ser 
                         correlacionado com as informa{\c{c}}{\~o}es geradas por outras 
                         ferramentas, com o objetivo de ser mais uma camada na defesa em 
                         profundidade de redes de computadores. O sistema foi testado em 
                         uma rede de produ{\c{c}}{\~a}o, com o aux{\'{\i}}lio de um 
                         sensor, posicionado adequadamente para coleta de pacotes do 
                         tr{\'a}fego, que armazena os dados em arquivos periodicamente. 
                         Esses arquivos foram utilizados como entrada para o sistema. 
                         Finalmente, s{\~a}o relatados os resultados obtidos pelo sistema 
                         durante o teste com ferramentas que implementam backdoors ou 
                         canais dissimulados, mostrando as taxas de falso-positivos e 
                         falso-negativos obtidos. ABSTRACT: In this work, the decelopment 
                         of a backdoor and covert channel detection methodology is 
                         presented. The methodololy is divided in three phases: the TPC/IP 
                         session's reconstruction, the analysis and classification and the 
                         result generation. The first phase propose the use of the TPC/IP 
                         Session's Reconstruction System - Recon to perfrm the session's 
                         recosntruction. In the scond phase, each session is analysed and 
                         some backdoor and covert channel characteristics are searched in 
                         order to classify the sessions. This is done by first analysis the 
                         session's protocol behavior. Then, known backdoor and covert 
                         channel's patterns are searched in the session's payload to 
                         indentify the tool used. The third phase generates a report 
                         containing the analysis and classification results, and the TCP/IP 
                         session's information. This methodology supports the development 
                         of the Backdoor and Covert Channel System, a tool designed to be 
                         used by a security analyst for intrusion detection. The results 
                         generated by the system can be security with information generated 
                         by other tools, intending to be one more layer in the defense of a 
                         computer network. The system was tested in a production network, 
                         with a sensor that is appropriatly to capture pakets from network 
                         traffic and regularly store captured data in files, which were 
                         used as input to the system. Finally, the tool has been tested to 
                         detect backdoors and covert channel and the false-positives and 
                         false-negatives rates are presented.",
            committee = "Stephany, Stephan (presidente) and Filho, Antonio Montes 
                         (orientador) and Guedes, Ulisses Thadeu Vieira and Gaspary, 
                         Luciano",
           copyholder = "SID/SCD",
         englishtitle = "Detecting backdoors and covert channels",
             language = "pt",
                pages = "145",
                  ibi = "6qtX3pFwXQZGivnJSY/KaFPp",
                  url = "http://urlib.net/rep/6qtX3pFwXQZGivnJSY/KaFPp",
           targetfile = "publicacao.pdf",
        urlaccessdate = "2019, Nov. 14"
}


Close