Skip navigation
Please use this identifier to cite or link to this item: http://repositorio.unb.br/handle/10482/46137
Files in This Item:
File Description SizeFormat 
2022_SávioLevyRocha.pdf4,49 MBAdobe PDFView/Open
Title: Proposta de um framework para detecção de intrusão em clusters de orquestração de contêineres utilizando machine learning para identificação de anomalias em system calls
Authors: Rocha, Sávio Levy
Orientador(es):: Amvame-Nze, Georges Daniel
Coorientador(es):: Mendonça, Fábio Lúcio Lopes de
Assunto:: Detecção de intrusão
Contêiner (Computação)
Segurança cibernética
Issue Date: 17-Jul-2023
Citation: ROCHA, Sávio Levy. Proposta de um framework para detecção de intrusão em clusters de orquestração de contêineres utilizando machine learning para identificação de anomalias em system calls. 2022. xiv, 102 f., il. Dissertação (Mestrado em Engenharia Elétrica) — Universidade de Brasília, Brasília, 2022.
Abstract: A computação em nuvem introduziu novas tecnologias que permitiram a construção de um modelo mais ágil de integração e entrega contínua (CI/CD) no pipeline de desenvolvimento de aplicações. Uma dessas tecnologias é a utilização de contêineres em substituição às tradicionais máquinas virtuais. Além dos benefícios trazidos pelo uso dos contêineres, ameaças e riscos de ataques voltados para esses ambientes cresceram em igual proporção à sua adoção. Sistemas de Detecção de Intrusão (IDS) têm sido empregados para garantir a segurança de ambientes de nuvem, contudo, as características inerentes a esses ambientes têm apresentados novos desafios para alcançar bons resultados na detecção de intrusão. Estritamente, no que diz respeito à detecção de intrusão em ambientes de contêineres, poucos estudos foram conduzidos até o momento visando o seu aprimoramento. Neste trabalho, é proposto um framework contendo uma arquitetura composta por cinco camadas e suas ferramentas para implementação de um IDS baseado em Host (HIDS) voltado para plataformas de orquestração de contêineres através da identificação de anomalias em system calls. O framework implementado em uma topologia de rede corporativa funcional emulada no software GNS3 foi testado com um dataset de system calls público demonstrando a viabilidade de seu funcionamento. Através do experimento realizado, foi possível validar a integração entre as camadas do framework e os resultados de detecção obtidos utilizando um modelo de machine learning não supervisionado superaram os do trabalho que originou o dataset público utilizado. Os datasets são carregados, transformados e extraídos de uma plataforma gratuita e aberta com front-end para visualização de alertas de detecção de anomalias que podem ser analisados pela equipe do SOC em um dashboard criado para monitoramento do IDS e auxílio na tomada de decisão.
Abstract: Cloud computing has introduced new technologies that have enabled a more agile continuous integration and continuous delivery (CI/CD) model to be built into the application development pipeline. One such technology is the use of containers in replacement to the traditional virtual machines. In addition to the benefits brought by the use of containers, threats and risks of attacks aimed at these environments have grown in equal proportion to their adoption. Intrusion Detection Systems (IDS) have been employed to secure cloud environments, however, the inherent characteristics of these environments have presented new challenges to achieving good intrusion detection results. Strictly, regarding intrusion detection in container environments, few studies have been conducted so far aiming at its improvement. In this work, a framework containing an architecture composed of five layers and its tools is proposed to implement a Host-based IDS (HIDS) aimed at container orchestration platforms through the identification of anomalies in system calls. The framework implemented in a functional corporate network topology emulated in the GNS3 software was tested with a public dataset of system calls demonstrating the viability of its operation. Through the experiment, it was possible to validate the integration between the layers of the framework and the detection results obtained using an unsupervised machine learning model surpassed those of the work that originated the public dataset used. The datasets are loaded, transformed and extracted from a free and open platform with front-end for visualization of anomaly detection alerts that can be analyzed by the SOC team in a dashboard created for IDS monitoring and decision making support.
metadata.dc.description.unidade: Faculdade de Tecnologia (FT)
Departamento de Engenharia Elétrica (FT ENE)
Description: Dissertação (mestrado) — Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2022.
metadata.dc.description.ppg: Programa de Pós-Graduação em Engenharia Elétrica, Mestrado Profissional
Appears in Collections:Teses, dissertações e produtos pós-doutorado

Show full item record " class="statisticsLink btn btn-primary" href="/jspui/handle/10482/46137/statistics">



Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.