Fechar
Metadados

Tipo da ReferênciaThesis
Identificador6qtX3pFwXQZGivnJSY/KaFPp
Repositóriosid.inpe.br/MTC-m13@80/2006/02.14.16.47   (acesso restrito)
Metadadossid.inpe.br/MTC-m13@80/2006/02.14.16.47.09
Sitemtc-m16c.sid.inpe.br
Chave SecundáriaINPE-14481-TDI/1162
Código do Detentorisadg {BR SPINPE} ibi 8JMKD3MGPCW/3DT298S
Chave de CitaçãoChaves:2009:DeBaCa
AutorChaves, Carlos Henrique Peixoto Caetano
GrupoCAP-SPG-INPE-MCT-BR
TítuloDetecção de backdoors e canais dissimulados
Ano2009
BancaStephany, Stephan (presidente)
Filho, Antonio Montes (orientador)
Guedes, Ulisses Thadeu Vieira
Gaspary, Luciano
Data2005-12-09
Título AlternativoDetecting backdoors and covert channels
UniversidadeInstituto Nacional de Pesquisas Espaciais (INPE)
CidadeSão José dos Campos
Palavras-Chavesistema de detecção de intrusão, backdoors, canais dissimulados, anomalia, abuso, intrusion detection (computers), backdoors, dissimulative canals, anomalies, abuse.
ResumoEste trabalho apresenta desenvolvimento de uma metodologia de detecção de backdoors e canais dissimulados. Esta metodologia é dividida em três fases: a reconstrução das sessões TCP/IP, a análise e classificação, e a geração do resultado. A primeira fase propõe a utilização do Sistema de Reconstrução de Sessões TCP/IP - Recon para efetuar a reconstrução das sessões. na segunda fase, uma vez reconstruída, a sessão é analisada em busca de características que a classifiquem como pertencente a um backdoor ou canal dissimulado. Primeiramente é feita uma análise do comportamento do protocolo utilizado na sessão. Depois, procura-se no conteúdo da sessão por assinaturas conhecidas dos backdoors e das ferramentas que implementam canais dissimulados, de forma a identificá-las. A terceira fase da metodologia gera um relatório contendo o resultado da análise e classificação feita na segunda fase e as informações das sessões TPC/IP. A metodologia é, então, utilizada como base para o desenvolvimento de um Sistema de Detecção de Backdoors e Canais Dissimulados, que pretende ser uma ferramenta de auxílio ao analista de segurança na detecção de intrusão. O resultado gerado pelo sistema poderá ser correlacionado com as informações geradas por outras ferramentas, com o objetivo de ser mais uma camada na defesa em profundidade de redes de computadores. O sistema foi testado em uma rede de produção, com o auxílio de um sensor, posicionado adequadamente para coleta de pacotes do tráfego, que armazena os dados em arquivos periodicamente. Esses arquivos foram utilizados como entrada para o sistema. Finalmente, são relatados os resultados obtidos pelo sistema durante o teste com ferramentas que implementam backdoors ou canais dissimulados, mostrando as taxas de falso-positivos e falso-negativos obtidos. ABSTRACT: In this work, the decelopment of a backdoor and covert channel detection methodology is presented. The methodololy is divided in three phases: the TPC/IP session's reconstruction, the analysis and classification and the result generation. The first phase propose the use of the TPC/IP Session's Reconstruction System - Recon to perfrm the session's recosntruction. In the scond phase, each session is analysed and some backdoor and covert channel characteristics are searched in order to classify the sessions. This is done by first analysis the session's protocol behavior. Then, known backdoor and covert channel's patterns are searched in the session's payload to indentify the tool used. The third phase generates a report containing the analysis and classification results, and the TCP/IP session's information. This methodology supports the development of the Backdoor and Covert Channel System, a tool designed to be used by a security analyst for intrusion detection. The results generated by the system can be security with information generated by other tools, intending to be one more layer in the defense of a computer network. The system was tested in a production network, with a sensor that is appropriatly to capture pakets from network traffic and regularly store captured data in files, which were used as input to the system. Finally, the tool has been tested to detect backdoors and covert channel and the false-positives and false-negatives rates are presented.
Número de Páginas145
Idiomapt
Tipo da TeseDissertação (Mestrado em Computação Aplicada)
Tipo SecundárioTDI
DivulgaçãoNTRSNASA; BNDEPOSITOLEGAL.
AreaCOMP
CursoCAP-SPG-INPE-MCT-BR
Tamanho986 KiB
Número de Arquivos1
Arquivo Alvopublicacao.pdf
Última Atualização2009:10.13.14.14.45 sid.inpe.br/mtc-m18@80/2008/03.17.15.17 simone
Última Atualização dos Metadados2019:11.06.12.00.07 sid.inpe.br/mtc-m18@80/2008/03.17.15.17 simone {D 2009}
Estágio do Documentoconcluido
É a matriz ou uma cópia?é a matriz
e-Mail (login)sergio
Grupo de Usuáriosadministrator camila jefferson sergio supervisor viveca@sid.inpe.br
Grupo de Leitoresadministrator sergio simone
Detentor da CópiaSID/SCD
Visibilidadeshown
Transferível1
Acervo Hospedeirosid.inpe.br/mtc-m18@80/2008/03.17.15.17
Estágio do Documentosergio
Detentor dos Direitosoriginalauthor yes locatedauthor no
Permissão de Leituradeny from all
Unidades Imediatamente Superiores8JMKD3MGPCW/3F2PHGS
Conteúdo da Pasta source
@4primeirasPaginas.pdf 14/09/2009 16:22 152.4 KiB
Banca_CarlosHenrique.pdf 23/09/2009 12:34 17.3 KiB
Dissertacao/bib/dissertacao.bib 11/01/2006 19:22 27.7 KiB
Dissertacao/bibinpeK.bst 23/11/2005 17:41 31.7 KiB
Dissertacao/bibinpeK_README.txt 23/11/2005 17:41 16.6 KiB
Dissertacao/caption2.sty 23/11/2005 17:41 15.6 KiB
Dissertacao/configuracao.tex 23/11/2005 17:41 1.5 KiB
Dissertacao/dissertacao.aux 24/01/2006 19:48 5.3 KiB
Dissertacao/dissertacao.bbl 24/01/2006 19:48 17.8 KiB
Dissertacao/dissertacao.blg 24/01/2006 19:48 2.4 KiB
Dissertacao/dissertacao.brf 24/01/2006 19:48 8.2 KiB
Dissertacao/dissertacao.idx 24/01/2006 19:48 0.3 KiB
Dissertacao/dissertacao.ilg 24/01/2006 19:48 0.3 KiB
Dissertacao/dissertacao.ind 24/01/2006 19:48 0.2 KiB
Dissertacao/dissertacao.lof 24/01/2006 19:48 4.7 KiB
Dissertacao/dissertacao.log 24/01/2006 19:48 72.7 KiB
Dissertacao/dissertacao.lot 24/01/2006 19:48 0.6 KiB
Dissertacao/dissertacao.out 24/01/2006 19:48 6.6 KiB
Dissertacao/dissertacao.pdf 23/09/2009 12:42 1.1 MiB
Dissertacao/dissertacao.tex 11/01/2006 16:31 0.9 KiB
Dissertacao/dissertacao.toc 24/01/2006 19:48 8.7 KiB
Dissertacao/docs/abstract.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/abstract.tex 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/agradecimentos.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/agradecimentos.tex 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/apendice_A/apendice_A.aux 24/01/2006 19:48 1.7 KiB
Dissertacao/docs/apendice_A/apendice_A.tex 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/apendice_A/apendice_B.aux 23/11/2005 17:41 0.6 KiB
Dissertacao/docs/apendice_A/fig/recon.conf 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/apendice_A/fig/recon_help.txt 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/apendice_B/apendice_B.aux 24/01/2006 19:48 2.2 KiB
Dissertacao/docs/apendice_B/apendice_B.tex 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/apendice_B/fig/saida_cctt.txt 23/11/2005 17:41 4.4 KiB
Dissertacao/docs/apendice_B/fig/saida_firepass.txt 23/11/2005 17:41 9.1 KiB
Dissertacao/docs/apendice_B/fig/saida_firepass.txt~ 23/11/2005 17:41 145.7 KiB
Dissertacao/docs/apendice_B/fig/saida_httptunnel.txt 23/11/2005 17:41 5.6 KiB
Dissertacao/docs/apendice_B/fig/saida_nc.txt 23/11/2005 17:41 5.8 KiB
Dissertacao/docs/apendice_B/fig/saida_rwwwshell.txt 23/11/2005 17:41 8.7 KiB
Dissertacao/docs/apendice_B/fig/saida_rwwwshell.txt~ 23/11/2005 17:41 167.9 KiB
Dissertacao/docs/apendice_B/fig/saida_wsh.txt 23/11/2005 17:41 10.1 KiB
Dissertacao/docs/apendice_B/fig/saida_wsh.txt~ 23/11/2005 17:41 3.2 MiB
Dissertacao/docs/citaccao.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/citaccao.tex 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/conclusao/conclusao.aux 24/01/2006 19:48 1.0 KiB
Dissertacao/docs/conclusao/conclusao.tex 23/11/2005 17:41 10.8 KiB
Dissertacao/docs/dedicatoria.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/dedicatoria.tex 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/introducao/introducao.aux 24/01/2006 19:48 1.9 KiB
Dissertacao/docs/introducao/introducao.tex 24/01/2006 19:20 16.4 KiB
Dissertacao/docs/problema/fig/figBloco.pdf 23/11/2005 17:41 15.5 KiB
Dissertacao/docs/problema/problema.tex 23/11/2005 17:41 0.9 KiB
Dissertacao/docs/resultados/fig/Graf_FP_HTTP.pdf 23/11/2005 17:41 14.0 KiB
Dissertacao/docs/resultados/fig/Graf_Ssn_Anon.pdf 23/11/2005 17:41 13.6 KiB
Dissertacao/docs/resultados/fig/Graf_Ssn_HTTP.pdf 23/11/2005 17:41 13.1 KiB
Dissertacao/docs/resultados/fig/log_nc.dmp 23/11/2005 17:41 1.9 KiB
Dissertacao/docs/resultados/fig/log_nc.txt 23/11/2005 17:41 0.8 KiB
Dissertacao/docs/resultados/fig/Rede.dia 23/11/2005 17:41 2.7 KiB
Dissertacao/docs/resultados/fig/Rede.eps 23/11/2005 17:41 33.9 KiB
Dissertacao/docs/resultados/fig/Rede.pdf 23/11/2005 17:41 25.1 KiB
Dissertacao/docs/resultados/fig/Rede.png 23/11/2005 17:41 16.1 KiB
Dissertacao/docs/resultados/fig/saida_cctt.txt 23/11/2005 17:41 126.8 KiB
Dissertacao/docs/resultados/fig/saida_cctt_all.txt 23/11/2005 17:41 1.0 MiB
Dissertacao/docs/resultados/fig/saida_firepass.txt 23/11/2005 17:41 145.7 KiB
Dissertacao/docs/resultados/fig/saida_firepass_all.txt 23/11/2005 17:41 256.2 KiB
Dissertacao/docs/resultados/fig/saida_httptunnel.txt 23/11/2005 17:41 48.4 KiB
Dissertacao/docs/resultados/fig/saida_httptunnel_all.txt 23/11/2005 17:41 217.2 KiB
Dissertacao/docs/resultados/fig/saida_nc.txt 23/11/2005 17:41 135.1 KiB
Dissertacao/docs/resultados/fig/saida_nc_all.txt 23/11/2005 17:41 1014.1 KiB
Dissertacao/docs/resultados/fig/saida_rwwwshell.txt 23/11/2005 17:41 167.9 KiB
Dissertacao/docs/resultados/fig/saida_rwwwshell_all.txt 23/11/2005 17:41 181.7 KiB
Dissertacao/docs/resultados/fig/saida_wsh.txt 23/11/2005 17:41 3.2 MiB
Dissertacao/docs/resultados/fig/saida_wsh_all.txt 23/11/2005 17:41 3.5 MiB
Dissertacao/docs/resultados/resultados.aux 24/01/2006 19:48 2.7 KiB
Dissertacao/docs/resultados/resultados.tex 23/11/2005 17:41 19.1 KiB
Dissertacao/docs/resumo.aux 24/01/2006 19:48 0.6 KiB
Dissertacao/docs/resumo.tex 23/11/2005 17:41 2.0 KiB
Dissertacao/docs/revisao/fig/adore_passos_atacante.txt 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/revisao/fig/cap2_dgrm_IP.eps 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/cap2_dgrm_IP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP.eps 23/11/2005 17:41 7.6 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP.pdf 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_error.eps 23/11/2005 17:41 8.6 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_error.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_info.eps 23/11/2005 17:41 8.7 KiB
Dissertacao/docs/revisao/fig/cap2_msg_ICMP_info.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_msg_TCP.eps 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_TCP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_msg_UDP.eps 23/11/2005 17:41 7.3 KiB
Dissertacao/docs/revisao/fig/cap2_msg_UDP.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/cap2_niveis_conceituas_TCPIP.eps 23/11/2005 17:41 7.8 KiB
Dissertacao/docs/revisao/fig/cap2_niveis_conceituas_TCPIP.pdf 23/11/2005 17:41 1.4 KiB
Dissertacao/docs/revisao/fig/cap2_proto_camada_TCPIP.eps 23/11/2005 17:41 12.3 KiB
Dissertacao/docs/revisao/fig/cap2_proto_camada_TCPIP.pdf 23/11/2005 17:41 2.2 KiB
Dissertacao/docs/revisao/fig/cap2_Threewayhandshake.eps 23/11/2005 17:41 6.8 KiB
Dissertacao/docs/revisao/fig/cap2_Threewayhandshake.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/cap5_estr_sessoes.eps 23/11/2005 17:41 24.9 KiB
Dissertacao/docs/revisao/fig/cap5_estr_sessoes.pdf 23/11/2005 17:41 4.2 KiB
Dissertacao/docs/revisao/fig/cap5_model_view.eps 23/11/2005 17:41 14.5 KiB
Dissertacao/docs/revisao/fig/cap5_model_view.pdf 23/11/2005 17:41 2.5 KiB
Dissertacao/docs/revisao/fig/cctt.gif 23/11/2005 17:41 8.9 KiB
Dissertacao/docs/revisao/fig/cctt.png 23/11/2005 17:41 11.0 KiB
Dissertacao/docs/revisao/fig/chapeu_mexicano.pdf 23/11/2005 17:41 6.4 KiB
Dissertacao/docs/revisao/fig/chapeu_mexicano.png 23/11/2005 17:41 5.1 KiB
Dissertacao/docs/revisao/fig/estr_instancia.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/revisao/fig/estr_sessoes.png 23/11/2005 17:41 8.6 KiB
Dissertacao/docs/revisao/fig/firepass.png 23/11/2005 17:41 19.4 KiB
Dissertacao/docs/revisao/fig/grafo.png 23/11/2005 17:41 4.3 KiB
Dissertacao/docs/revisao/fig/model_view.png 23/11/2005 17:41 15.3 KiB
Dissertacao/docs/revisao/fig/rwwwshell.png 23/11/2005 17:41 5.4 KiB
Dissertacao/docs/revisao/fig/SDI_abuso.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/SDI_anomalia.pdf 23/11/2005 17:41 1.5 KiB
Dissertacao/docs/revisao/fig/traco_adore.txt 23/11/2005 17:41 1.3 KiB
Dissertacao/docs/revisao/fig/traco_cctt_http_post_rev.txt 23/11/2005 17:41 2.7 KiB
Dissertacao/docs/revisao/fig/train_SOM.txt 23/11/2005 17:41 0.3 KiB
Dissertacao/docs/revisao/fig/wsh.png 23/11/2005 17:41 3.6 KiB
Dissertacao/docs/revisao/fig/wu-ftpd 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/revisao/fig/wu-ftpd.orig 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/revisao/revisao.aux 24/01/2006 19:48 19.5 KiB
Dissertacao/docs/revisao/revisao.tex 24/01/2006 19:22 94.4 KiB
Dissertacao/docs/siglaseabreviaturas.aux 24/01/2006 19:48 1.2 KiB
Dissertacao/docs/siglaseabreviaturas.tex 11/01/2006 19:07 1.4 KiB
Dissertacao/docs/sistema/fig/alg_maq_est.txt 23/11/2005 17:41 1.2 KiB
Dissertacao/docs/sistema/fig/avl_data.eps 23/11/2005 17:41 6.8 KiB
Dissertacao/docs/sistema/fig/avl_data.pdf 23/11/2005 17:41 42.8 KiB
Dissertacao/docs/sistema/fig/avl_data.txt 23/11/2005 17:41 0.1 KiB
Dissertacao/docs/sistema/fig/cap5_mod_tcp_structs.pdf 23/11/2005 17:41 2.1 KiB
Dissertacao/docs/sistema/fig/cap5_sensor_pos.eps 23/11/2005 17:41 27.3 KiB
Dissertacao/docs/sistema/fig/cap5_sensor_pos.pdf 23/11/2005 17:41 9.8 KiB
Dissertacao/docs/sistema/fig/cap5_tcp_state_trans.eps 23/11/2005 17:41 26.3 KiB
Dissertacao/docs/sistema/fig/cap5_tcp_state_trans.pdf 23/11/2005 17:41 7.3 KiB
Dissertacao/docs/sistema/fig/Fases.png 23/11/2005 17:41 3.9 KiB
Dissertacao/docs/sistema/fig/instance_struct.eps 23/11/2005 17:41 8.3 KiB
Dissertacao/docs/sistema/fig/instance_struct.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/sistema/fig/recon.rules 23/11/2005 17:41 0.4 KiB
Dissertacao/docs/sistema/fig/rule_structs.pdf 23/11/2005 17:41 1.6 KiB
Dissertacao/docs/sistema/fig/snort_rule 23/11/2005 17:41 0.2 KiB
Dissertacao/docs/sistema/fig/visao_geral.pdf 23/11/2005 17:41 24.3 KiB
Dissertacao/docs/sistema/fig/visao_geral.sxd 23/11/2005 17:41 8.4 KiB
Dissertacao/docs/sistema/sistema.aux 24/01/2006 19:48 11.8 KiB
Dissertacao/docs/sistema/sistema.tex 24/01/2006 19:23 74.0 KiB
Dissertacao/LEIAME 23/11/2005 17:41 0.6 KiB
Dissertacao/logoinpe.pdf 23/11/2005 17:41 9.2 KiB
Dissertacao/Makefile 23/11/2005 17:41 0.7 KiB
Dissertacao/margens.tex 23/11/2005 17:41 0.7 KiB
Dissertacao/q.tex 23/11/2005 17:41 0.6 KiB
Dissertacao/tdiinpe.cls 23/11/2005 17:41 28.4 KiB
publicacao.pdf 23/09/2009 12:46 985.8 KiB
Conteúdo da Pasta agreementnão têm arquivos
Histórico2006-02-14 16:47:09 :: jefferson -> administrator ::
2006-09-27 21:17:35 :: administrator -> jefferson ::
2008-05-02 16:43:28 :: jefferson -> administrator ::
2008-08-21 21:18:07 :: administrator -> jefferson ::
2009-04-30 15:40:47 :: jefferson -> administrator ::
2009-07-07 16:11:49 :: administrator -> jefferson ::
2009-07-08 15:16:33 :: jefferson -> administrator ::
2009-07-08 21:37:55 :: administrator -> camila ::
2009-07-09 15:49:52 :: camila -> supervisor ::
2009-09-15 19:40:06 :: supervisor -> camila ::
2009-10-13 14:14:56 :: camila -> viveca@sid.inpe.br ::
2009-10-16 19:13:27 :: viveca@sid.inpe.br -> administrator ::
2019-03-14 18:40:59 :: administrator -> simone :: 2009
2019-11-06 12:00:07 :: simone -> sergio :: 2009
Campos Vaziosacademicdepartment affiliation archivingpolicy archivist callnumber contenttype copyright creatorhistory descriptionlevel doi e-mailaddress electronicmailaddress format isbn issn label lineage mark mirrorrepository nextedition notes number orcid parameterlist parentrepositories previousedition previouslowerunit progress resumeid secondarydate secondarymark session shorttitle sponsor subject tertiarymark tertiarytype url versiontype
Data de Acesso14 nov. 2019
atualizar 

Fechar