Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

El trabajo recoge el proceso de construcción de un sistema de monitorización que, a partir del tráfico de red, identifica actividades sospechosas que podrían indicar una vulneración de la seguridad de los sistemas informáticos en una red de comunicaciones. La finalidad del trabajo era la de disponer...

Descripción completa

Detalles Bibliográficos
Autor: Farré López, Xavier
Tipo de recurso: tesis de maestría
Fecha de publicación:2019
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/107187
Acceso en línea:http://hdl.handle.net/10609/107187
Access Level:acceso abierto
Palabra clave:Elastic
monitoritzación
IDS
actividades sospechosas
tráfico de red
monitoring
suspicious activities
network traffic
monitoratge
activitats sospitoses
trànsit de xarxa
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:El trabajo recoge el proceso de construcción de un sistema de monitorización que, a partir del tráfico de red, identifica actividades sospechosas que podrían indicar una vulneración de la seguridad de los sistemas informáticos en una red de comunicaciones. La finalidad del trabajo era la de disponer de un sistema completo de monitorización de bajo coste, capaz de detectar tráfico de red sospechoso a partir de listas de reputación. El trabajo se ha basado en el uso de Zeek IDS, como sistema de detección de intrusos, encargado del análisis del tráfico de red; el stack Elastic, para la monitorización activa del tráfico de red; y MineMeld como herramienta de gestión de listas de reputación. Para el desarrollo del trabajo se ha utilizado una metodología de tipo waterfall, dividida en diferentes fases propias de un proyecto de desarrollo de software: definición, análisis, construcción y entrega. Se han realizado además seguimientos periódicos de avance del trabajo. El resultado ha sido un sistema completo de monitorización, en el cual se ha simulado tráfico de red que ha quedado registrado en el dashboard de monitorización, cuyas actividades sospechosas, en base a las listas de reputación, han quedado identificadas para un posterior análisis. Se concluye que, con las herramientas utilizadas, se puede obtener un completo sistema de monitorización, fácilmente adaptable y extensible a las necesidades de cualquier ámbito de aplicación, tanto empresarial como particular, y que el uso de listas de reputación es clave para la identificación de actividades maliciosas en este tipo de sistemas.