Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
El trabajo recoge el proceso de construcción de un sistema de monitorización que, a partir del tráfico de red, identifica actividades sospechosas que podrían indicar una vulneración de la seguridad de los sistemas informáticos en una red de comunicaciones. La finalidad del trabajo era la de disponer...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2019 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/107187 |
| Acceso en línea: | http://hdl.handle.net/10609/107187 |
| Access Level: | acceso abierto |
| Palabra clave: | Elastic monitoritzación IDS actividades sospechosas tráfico de red monitoring suspicious activities network traffic monitoratge activitats sospitoses trànsit de xarxa Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | El trabajo recoge el proceso de construcción de un sistema de monitorización que, a partir del tráfico de red, identifica actividades sospechosas que podrían indicar una vulneración de la seguridad de los sistemas informáticos en una red de comunicaciones. La finalidad del trabajo era la de disponer de un sistema completo de monitorización de bajo coste, capaz de detectar tráfico de red sospechoso a partir de listas de reputación. El trabajo se ha basado en el uso de Zeek IDS, como sistema de detección de intrusos, encargado del análisis del tráfico de red; el stack Elastic, para la monitorización activa del tráfico de red; y MineMeld como herramienta de gestión de listas de reputación. Para el desarrollo del trabajo se ha utilizado una metodología de tipo waterfall, dividida en diferentes fases propias de un proyecto de desarrollo de software: definición, análisis, construcción y entrega. Se han realizado además seguimientos periódicos de avance del trabajo. El resultado ha sido un sistema completo de monitorización, en el cual se ha simulado tráfico de red que ha quedado registrado en el dashboard de monitorización, cuyas actividades sospechosas, en base a las listas de reputación, han quedado identificadas para un posterior análisis. Se concluye que, con las herramientas utilizadas, se puede obtener un completo sistema de monitorización, fácilmente adaptable y extensible a las necesidades de cualquier ámbito de aplicación, tanto empresarial como particular, y que el uso de listas de reputación es clave para la identificación de actividades maliciosas en este tipo de sistemas. |
|---|