Modelo de dados de uma base de conhecimento para Internet Early Warning Systems
Resumo
A popularização da Internet tem proporcionado um aumento no número de aplicações web
que trabalham com informações críticas. Em paralelo a isso, os ataques que exploram as vulnerabilidades
dessas aplicações também tem crescido. Esse cenário tem estimulado as empresas
a investir em ferramentas para monitorar sua infraestrutura de rede, visando a detecção de atividades
mal-intencionadas. Uma das principais ferramentas utilizadas pelas empresas para o
monitoramento de suas infraestruturas de redes e identificação de ataques são os Sistemas de
Detecção de Intrusão. No entanto, devido a expansão do volume de dados que trafegam nas
redes de computadores, estes sistemas estão tornando-se limitados. Em contrapartida, pesquisadores
têm explorado a construção de Internet Early Warning Systems para o monitoramento
de atividades maliciosas na Internet. Este trabalho propõe a modelagem de dados de uma base
de conhecimento para Internet Early Warning Systems. O modelo representa os dados de diferentes
aspectos da rede com foco em eventos relacionados a detecção de intrusão, tais como:
dados de alertas gerados por sistemas de detecção de intrusão, informações sobre medidas de
respostas, estatísticas do tráfego e assinaturas de ataques já conhecidos. Um estudo de caso
em uma infraestrutura de rede real demonstra a aplicabilidade do modelo de dados da base de
conhecimento e permite identificar as vantagens de sua utilização. Além disso, os dados armazenados
na base de conhecimento potencializam a construção de uma consciência situacional
do ambiente monitorado, direcionando as atividades da equipe de segurança e auxiliando no
processo de decisão de respostas a ataques em potencial.