| Título: | Análise do uso de entropia para detecção de tráfego criptografado no payload da camada de transporte |
| Autor(es): | Alencastro, João Fiuza de |
| Orientador(es): | Deus, Flávio Elias Gomes de |
| Coorientador(es): | Albuquerque, Robson de Oliveira |
| Assunto: | Computadores - medidas de segurança
Redes de computação - medidas de segurança
Criptografia de dados (Computação) |
| Data de apresentação: | Nov-2021 |
| Data de publicação: | 5-Abr-2023 |
| Referência: | ALENCASTRO, João Fiuza de. Análise do uso de Entropia para detecção de tráfego criptografado no payload da camada de transporte. 2021. 50 f., il. Trabalho de conclusão de curso (Bacharelado em Engenharia de Redes de Comunicação) — Universidade de Brasília, Brasília, 2021. |
| Resumo: | Tendo em vista o contexto em que vivemos hoje, onde vazamentos de dados, ataques de ransomware
e infecção por malwares são cada vez mais frequentes, aplicações estão sendo reestruturadas levando a segurança em consideração. Muitas delas estão sendo padronizadas com a criptografia
ponta-a-ponta, sendo realizada na própria aplicação, como o HTTPS. Ao mesmo tempo, tornasse mais comum appliances empresariais serem capazes de inspecionar o tráfego criptografado por
interceptação, realizando verificações dentro do conteúdo da aplicação. Já as aplicações que não
deveriam ser criptografadas por natureza, podem passar despercebidas ao serem criptografadas
por implementações clandestinas de atacantes. Esses casos almejam criar fluxos encapsulados, a
fim de extrair dados, criar estruturas de comando e controle ou injetar códigos e scripts infectados.
Ferramentas de detecção de intrusão por assinatura falham ao tentar analisar fluxos que são disfarçados por uma aplicação legítima, como o DNS, por exemplo. Ao passo que, sistemas de detecção
por anomalia também podem ser dribladas por estes mesmos tipos de mimetismo. Portanto, vê-se
a necessidade de desenvolver um sistema capaz de verificar se há criptografia a nível de aplicação
sem interceptá-lo. O método proposto por este trabalho utiliza a entropia para analisar a possibilidade de classificar as aplicações a partir do payload da camada de transporte. Atingindo assim,
uma abstração das camadas acima e sendo capaz de obter resultados significativos sobre aplicações
genéricas, independentemente do protocolo de aplicação utilizado. |
| Abstract: | By the context we live in, where loss of data, ransomware attacks and infection by malware seem
to be more and more frequent, applications are being restructured while taking security into con sideration. Many of those are being standardized with end-to-end encryption at the application
layer, as HTTPS. Meanwhile, more and more enterprise appliances are able to intercept traffic and
execute scans inside the payload. On the other hand, applications which were not supposed to
be encrypted can go unnoticed if they are encrypted by attacker’s clandestine implementations.
These cases aim to create encapsulated flows, trying to exfiltrate data, create command and control
structures or inject malicious codes and scripts. Signature based intrusion detection systems lack
when trying to analyse flows that are disguised as a legitimate, such as DNS. Whereas anomaly
based intrustion detection systems also can be dribbled by these same mimicry mecanisms. There fore, there is a need to develop a system capable of verifying encryption at the application layer
without having to decipher and cipher again the content. The proposed method by this work
resorts to entropy in an attempt to analyse the possibility of classification of applications from
the transport payload perspective. Reaching an abstraction of the above layers and being able to
achieve meaningful results about generic applications, regardless of the application protocol. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade de Tecnologia, 2021. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Redes de Comunicação
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
