Aplicando a Frequência de Episódios na Correlação de Alertas
Resumo
Na atual situação de segurança das redes de computadores, anomalias de tráfego geradas pelos mais diversos motivos têm afetado uma porção cada vez maior da Internet. Este artigo apresenta uma ferramenta de correlação e predição de alertas baseada na técnica de episódios frequentes para detecção de tráfego anômalo. Para validação, serão realizados testes usando a base DARPA 2000 e tráfego real.Referências
CERT. (2003) "CERT Advisory CA-2003-20 W32/Blaster worm," http://www.cert.org/advisories/CA-2003-20.html.
Debar, H., Curry, D., and Feinstein, B. (2007) "The Intrusion Detection Message Exchange Format (IDMEF)", RFC 4765, Março. X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 253
Feitosa, E. L., Souto, E., e Sadok, D. (2008) "Tráfego Internet não Desejado: Conceitos, Caracterização e Soluções", In Livro-texto de mini-cursos do VIII Simpósio Brazileiro de em Segurança da Informação e Sistemas de Computação (SBSeg'08). Porto Alegre, Brasil: SBC, ch. 3.
Hwang, K., Cai, M., Chen, Y., and Qin, M. (2007) "Hybrid Intrusion Detection with Weighted Signature Generation over Anomalous Internet Episodes", IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 1, páginas 41-55.
Lee, W., Stolfo, S. J., and Mok, K. (2000) "Adaptive Intrusion Detection: A Data Mining Approach", Artificial Intelligence Reviews, Vol. 14, No. 6, páginas 533-567, December.
Mannila, H., Toivonen, H., e Verk, A. I. (1997) "Discovery of Frequent Episodes in Event Sequences", Data Mining and Knowledge Discovery, Vol. 1, No. 3, páginas 259-289.
MIT. (2000) "2000 DARPA Intrusion Detection Scenario Specific Data Sets", http://www.ll.mit.edu/IST/ideval/data/2000/2000_data_index.html.
Qin, M. e Hwang, K. (2004) "Frequent Episode Rules for Intrusive Anomaly Detection with Internet Data mining", In USENIX Security Symposium, páginas 1-15.
Snort. (2009) "Snort", http://www.snort.org.
Soleimani, M. e Ghorbani, A. A. (2008) "Critical Episode Mining in Intrusion Detection Alerts", In Proceedings of the Communication Networks and Services Research Conference (CNSR), páginas 157-164.
Symantec. (2007) "Outbreak alert: storm trojan", http://www.symantec.com/outbreak/storm_trojan.html. 2007.
Ye, N., Chen, Q., e Borror, C. M. (2004) "EWMA Forecast of Normal System Activity for Computer Intrusion Detection", IEEE Transactions on Reliability, Vol. 53, páginas. 557-566.
Debar, H., Curry, D., and Feinstein, B. (2007) "The Intrusion Detection Message Exchange Format (IDMEF)", RFC 4765, Março. X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 253
Feitosa, E. L., Souto, E., e Sadok, D. (2008) "Tráfego Internet não Desejado: Conceitos, Caracterização e Soluções", In Livro-texto de mini-cursos do VIII Simpósio Brazileiro de em Segurança da Informação e Sistemas de Computação (SBSeg'08). Porto Alegre, Brasil: SBC, ch. 3.
Hwang, K., Cai, M., Chen, Y., and Qin, M. (2007) "Hybrid Intrusion Detection with Weighted Signature Generation over Anomalous Internet Episodes", IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 1, páginas 41-55.
Lee, W., Stolfo, S. J., and Mok, K. (2000) "Adaptive Intrusion Detection: A Data Mining Approach", Artificial Intelligence Reviews, Vol. 14, No. 6, páginas 533-567, December.
Mannila, H., Toivonen, H., e Verk, A. I. (1997) "Discovery of Frequent Episodes in Event Sequences", Data Mining and Knowledge Discovery, Vol. 1, No. 3, páginas 259-289.
MIT. (2000) "2000 DARPA Intrusion Detection Scenario Specific Data Sets", http://www.ll.mit.edu/IST/ideval/data/2000/2000_data_index.html.
Qin, M. e Hwang, K. (2004) "Frequent Episode Rules for Intrusive Anomaly Detection with Internet Data mining", In USENIX Security Symposium, páginas 1-15.
Snort. (2009) "Snort", http://www.snort.org.
Soleimani, M. e Ghorbani, A. A. (2008) "Critical Episode Mining in Intrusion Detection Alerts", In Proceedings of the Communication Networks and Services Research Conference (CNSR), páginas 157-164.
Symantec. (2007) "Outbreak alert: storm trojan", http://www.symantec.com/outbreak/storm_trojan.html. 2007.
Ye, N., Chen, Q., e Borror, C. M. (2004) "EWMA Forecast of Normal System Activity for Computer Intrusion Detection", IEEE Transactions on Reliability, Vol. 53, páginas. 557-566.
Publicado
11/10/2010
Como Citar
SILVA, Leonardo Vilaça; FEITOSA, Eduardo Luzeiro; SADOK, Djamel; KELNER, Judith.
Aplicando a Frequência de Episódios na Correlação de Alertas. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 10. , 2010, Fortaleza.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2010
.
p. 241-254.
DOI: https://doi.org/10.5753/sbseg.2010.20591.