Close
Metadata

%0 Thesis
%4 sid.inpe.br/MTC-m13@80/2006/02.14.16.47
%2 sid.inpe.br/MTC-m13@80/2006/02.14.16.47.09
%A Chaves, Carlos Henrique Peixoto Caetano,
%T Detecção de backdoors e canais dissimulados
%D 2009
%E Stephany, Stephan (presidente),
%E Filho, Antonio Montes (orientador),
%E Guedes, Ulisses Thadeu Vieira,
%E Gaspary, Luciano,
%8 2005-12-09
%J Detecting backdoors and covert channels
%I Instituto Nacional de Pesquisas Espaciais (INPE)
%C São José dos Campos
%K sistema de detecção de intrusão, backdoors, canais dissimulados, anomalia, abuso, intrusion detection (computers), backdoors, dissimulative canals, anomalies, abuse.
%X Este trabalho apresenta desenvolvimento de uma metodologia de detecção de backdoors e canais dissimulados. Esta metodologia é dividida em três fases: a reconstrução das sessões TCP/IP, a análise e classificação, e a geração do resultado. A primeira fase propõe a utilização do Sistema de Reconstrução de Sessões TCP/IP - Recon para efetuar a reconstrução das sessões. na segunda fase, uma vez reconstruída, a sessão é analisada em busca de características que a classifiquem como pertencente a um backdoor ou canal dissimulado. Primeiramente é feita uma análise do comportamento do protocolo utilizado na sessão. Depois, procura-se no conteúdo da sessão por assinaturas conhecidas dos backdoors e das ferramentas que implementam canais dissimulados, de forma a identificá-las. A terceira fase da metodologia gera um relatório contendo o resultado da análise e classificação feita na segunda fase e as informações das sessões TPC/IP. A metodologia é, então, utilizada como base para o desenvolvimento de um Sistema de Detecção de Backdoors e Canais Dissimulados, que pretende ser uma ferramenta de auxílio ao analista de segurança na detecção de intrusão. O resultado gerado pelo sistema poderá ser correlacionado com as informações geradas por outras ferramentas, com o objetivo de ser mais uma camada na defesa em profundidade de redes de computadores. O sistema foi testado em uma rede de produção, com o auxílio de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Esses arquivos foram utilizados como entrada para o sistema. Finalmente, são relatados os resultados obtidos pelo sistema durante o teste com ferramentas que implementam backdoors ou canais dissimulados, mostrando as taxas de falso-positivos e falso-negativos obtidos. ABSTRACT: In this work, the decelopment of a backdoor and covert channel detection methodology is presented. The methodololy is divided in three phases: the TPC/IP session's reconstruction, the analysis and classification and the result generation. The first phase propose the use of the TPC/IP Session's Reconstruction System - Recon to perfrm the session's recosntruction. In the scond phase, each session is analysed and some backdoor and covert channel characteristics are searched in order to classify the sessions. This is done by first analysis the session's protocol behavior. Then, known backdoor and covert channel's patterns are searched in the session's payload to indentify the tool used. The third phase generates a report containing the analysis and classification results, and the TCP/IP session's information. This methodology supports the development of the Backdoor and Covert Channel System, a tool designed to be used by a security analyst for intrusion detection. The results generated by the system can be security with information generated by other tools, intending to be one more layer in the defense of a computer network. The system was tested in a production network, with a sensor that is appropriatly to capture pakets from network traffic and regularly store captured data in files, which were used as input to the system. Finally, the tool has been tested to detect backdoors and covert channel and the false-positives and false-negatives rates are presented.
%P 145
%@language pt
%9 Dissertação (Mestrado em Computação Aplicada)
%3 publicacao.pdf


Close