Correlação de alertas em um Internet Early Warning Systems
Fecha
2014-02-28Metadatos
Mostrar el registro completo del ítemResumen
Sistemas de Detecção de Instrução (Intrusion Detection Systems IDS) são projetados
para monitorar possíveis ataques à infraestruturas da rede através da geração de alertas. Com a
crescente quantidade de componentes conectados na rede, os IDS tradicionais não estão sendo
suficientes para a efetiva detecção de ataques maliciosos, tanto pelo volume de dados como
pela crescente complexidade de novos ataques. Nesse sentido, a construção de uma arquitetura
Internet Early Warning Systems (IEWS) possibilita detectar precocemente as ameaças, antes de
causar algum perigo para os recursos da rede. O IEWS funciona como um coletor de diferentes
geradores de alertas, possivelmente IDS, centralizando e correlacionado informações afim
de gerar uma visão holística da rede. Sendo assim, o trabalho tem como objetivo descrever
uma arquitetura IEWS para a correlação de alertas gerados por IDS dispersos geograficamente
utilizando a técnica Case-Based Reasoning (CBR) em conjunto com Georreferenciamento de
endereços IP. Os resultados obtidos nos experimentos, realizados sobre a implementação da técnica
desenvolvida, mostraram a viabilidade da técnica na redução de alertas classificados como
falsos-positivos. Isso demonstra a aplicabilidade da proposta como base para o desenvolvimento
de técnicas mais apuradas de detecção dentro da arquitetura de IEWS estendida.