Integration of agents and components on a distributed security architecture

Abstract

Nos últimos anos, e com um crescimento massivo da indústria, surgiu algo que chamamos de Internet das Coisas. Esse fenómeno estabeleceu o caminho para uma mudança de paradigma no setor industrial, que permitiu uma interconectividade digital dos vários componentes da indústria.No entanto, isso também abriu caminho para diferentes tipos de atividades maliciosas contra a indústria. Desde que os sistemas deixaram de separados isoladamente uns dos outros e passaram a ser conectados remotamente a uma vasta gama de redes e outros sistemas de terceiros, vários exploits foram feitos possíveis para afetar maliciosamente esses componentes do setor. O ATENA, um projeto europeu, visa fornecer uma gama de ferramentas modernas para detectar e impedir essa atividade.O trabalho desta tese faz parte do nível mais baixo da arquitetura ATENA, a detecção de anomalias e eventos que ocorrem em qualquer ponto de um host ou rede, realizado por várias sondas. Esses eventos devem ser enviados para uma plataforma na qual o administrador possa monitorizar e analisá-los. Para transferir esses dados entre vários componentes, um formato (Modelo de Dados IADS) é seguido em toda a plataforma IDS, o IADS. Para ler, codificar e enviar para os outros componentes todos os eventos de todas as sondas existentes e ainda em desenvolvimento, um wrapper ou adaptador teve que ser criado, dando ao administrador as ferramentas necessárias para configurar como a saída da sonda é traduzida num evento no formato IADS Data Model. Esse wrapper, bem como os mecanismos de diferenciação das saídas da sonda, codificação e validação, e envio dos eventos codificados para o restante da plataforma IADS, fazem parte do trabalho desta tese.

Over the past recent years there has been a massive industry growth, and something we call the Internet of Things has emerged. This phenomenon has set the path for a paradigm shift in the Industrial Sector, which has allowed for a wider range of digital interconnectivity when it comes to various industry components.This however has also opened a way for different types of malicious activity agaisnt the industry. Since the systems went from being air gapped to being remotely connected to a vast range of networks and other third-party systems, various exploits have been made possible in order to maliciously affect those industry components. ATENA, an European Project, aims to provide a range of modern tools to detect and prevent such activity.This thesis' work is part of the lowest level in the ATENA architecture, the detection of anomalies and events taking place at any point in a host or network, done by multiple probes. These events should then be taken to a platform where the administrator can monitor and analyze them. In order to transfer such data between multiple components, a format (IADS Data Model) is followed throughout the entirety of the IDS platform, the IADS. In order to read, encode and send to the other components all events from all existing, and yet under development, probes, a wrapper or adapter had to be created, giving the administrator the tools required in order to configure how the probe's output is translated into an IADS Data Model format event. This wrapper, as well as the mechanisms of differentiating probe outputs, encoding and validating them, and sending the encoded events to the rest of the IADS Platform, is part of this thesis' work.