Português English
Contato

Defesa – Dissertação de Daniel Arioza Fernandes Almeida

Detalhes do Evento

 

Aluno(a): Daniel Arioza Fernandes Almeida
Orientador(a): Jéferson Campos Nobre

Título: CrossLayerGuardian: Arquitetura eBPF para Correlação Cross-layer em Sistemas de Detecção de Intrusão
Linha de Pesquisa: Segurança Cibernética

Data: 24/02/2026
Hora: 15:00
Local: Esta banca ocorrerá de forma remota. Acesso público disponibilizado pelo link https://mconf.ufrgs.br/webconf/00094248.

Banca Examinadora:
-Muriel Figueredo Franco (UFCSPA)
-Eder John Scheid (UFRGS)
-Weverton Luis da Costa Cordeiro (UFRGS)

Presidente da Banca: Jéferson Campos Nobre

Resumo: A crescente sofisticação de ataques cibernéticos multi-vetor desafia os sistemas de se- gurança computacional atuais, tornando a correlação eficiente entre eventos de rede e sistema em um único host um problema crítico não resolvido pela literatura atual. Este trabalho apresenta o CrossLayerGuardian, um sistema híbrido de detecção de intrusão (IDS) com arquitetura baseada em eBPF para coleta eficiente e correlação cross-layer em host único. Diferentemente de abordagens híbridas que meramente combinam fontes de dados, nossa solução cross-layer implementa correlação ativa e temporalmente consciente entre eventos de rede e sistema operacional para identificar ataques complexos através de sincronização temporal precisa e mapeamento processo-conexão. A arquitetura inte- gra processamento de rede de alto desempenho via XDP e monitoramento granular de syscalls, sincronizados por timestamps de kernel com compensação TSC para garantir ordenação causal entre domínios. Eventos correlacionados são analisados por um ensemble adaptativo de aprendizado de máquina, combinando XGBoost e MLP em classificação de dois estágios, com pré-filtragem no kernel via perfect hashing e estruturas lock-free para reduzir overhead. A implementação incorpora otimizações específicas incluindo ring buffers otimizados, inferência em batch adaptativo e agregação inteligente de syscalls para maximizar performance. A avaliação experimental utilizando datasets CICIDS2018, tráfego corporativo real e cinco cenários de ataques multi-vetor controlados em ambi- ente AWS EC2 demonstrou throughput sustentado de 850 Mbps com overhead de CPU inferior a 8% e latência média de 85 ?s, comparável aos melhores sistemas estado da arte baseados em eBPF. O CrossLayerGuardian alcançou taxas de detecção superiores a 95% para ataques de rede (95,3%), sistema (95,1%) e multi-vetor (95,0%), com falsos positivos consistentemente abaixo de 1,2%, representando melhoria de 43% na detecção de variantes de ataques multi-vetor comparado a soluções NIDS/HIDS isoladas. Os resultados confirmam que a arquitetura proposta oferece a primeira solução unificada eficiente para correlação cross-domain temporal em host único, resolvendo limitações fundamentais de sincronização entre domínios identificadas na literatura e estabelecendo nova direção metodológica para sistemas de detecção de intrusão híbridos.

Palavras-Chave: Palavras-chave: Detecção de Intrusão. Extended Berkeley Packet Filter. Aprendizado de Máquina. Correlação Cross-layer. Sistemas Híbridos. Segurança Cibernética.