Authors:

Autores

Person role Person
6520
2943,2942,1848,135,2698,2676,2672,842
6521
2943,2942,1848,135,2698,2676,2672,842
6522
2943,2942,1848,135,2698,2676,2672,842
6523
2943,2942,1848,135,2698,2676,2672,842
6524
2943,2942,1848,135,2698,2676,2672,842
6525
2943,2942,1848,135,2698,2676,2672,842
6526
2943,2942,1848,135,2698,2676,2672,842
6527
2943,2942,1848,135,2698,2676,2672,842

Informations:

Pesc publication

Title
RadNet-S: Um Mecanismo para Transmissão Segura e Secreta de Registros Syslog
Research area
Computer Architecture and Operating Systems
Publication type
Technical Report
Identification Number
ES-2824/18
Date
4/2018
Resumo

Análises forenses são baseadas nos registros de eventos de segurança fornecidos pelo servidor de logs. Assim, a proteção destes servidores contra invasores interessados em esconder os seus rastros é missão crítica para a gerência de segurança da informação. Este trabalho introduz o RadNet-S, um mecanismo original de proteção para transmissão segura e ofuscada de logs para servidores Syslog através de canais não-seguros, que protege esses registros contra adulterações e os mantêm íntegros para fins de auditoria. Os resultados experimentais indicam que o RadNet-S não compromete a operação da rede, mesmo quando a taxa de logs atinge o patamar de um ataque DDoS moderado de 1000 Eventos/s, enquanto inviabiliza qualquer atacante na mesma rede de localizar o servidor de logs.

Abstract

Forensic analysis is based on security event logs provided by the Syslog servers. Hence to protect these servers from intruders that are interested in hiding their traces is a critical mission for the management of information security. This work introduces the RadNet-S, a novel protection mechanism for secure and obfuscate transmissions of logs to Syslog servers through unsafe channels, to protect logs against tempering and keeping them intact for auditing purposes. Our experimental results indicate that RadNet-S does not compromise the network operation, even if the logs rate is similar to that of a moderate DDoS attack of 1000 EPS, while makes it impossible to any intruder on the same network to localize the Syslog server.

JSN_TPLFW_GOTO_TOP