Modelo de armazenamento de fluxos de rede para análises de tráfego e de segurança
Resumo
O padrão IPFIX, cada vez mais utilizado por administradores de rede, permite a análise e monitoramento do tráfego de uma rede de computadores de larga escala. Suas metodologias de análise consomem baixo custo computacional se comparadas à metodologia de análise de pacotes. O IPFIX fornece uma série de especificações para a sumarização de informações da rede, mas não prevê um modelo de armazenamento dessas informações. O objetivo deste artigo é propor um modelo de armazenamento utilizando banco de dados relacionais que seja uma base para aplicações voltadas à análise de fluxos. Essas usufruirão da versatilidade na manipulação de dados que um banco relacional oferece. Além disso, os recursos da linguagem SQL possibilitam análises de tráfego e de segurança de grande precisão.
Referências
BILL, N. (2000) “Combining Cisco NetFlow Exports with Relational Database Technology for Usage Statistics, Intrusion Detection, and Network Forensics”, In Proceedings of the 14th USENIX conference on System administration, p. 285-290, New Orleans, Louisiana.
CANSIAN, A. M.; CORRÊA, J. L. (2007) “Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes”, Em VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, p. 125-141, Rio de Janeiro, RJ.
CERT.BR. (2006) “Cartilha de Segurança para Internet - Parte VIII: Códigos maliciosos (Malware)”, Disponível em: http://cartilha.cert.br/malware/. Acesso em 12 mai. 2008.
CLAISE, B. (2004) “RFC 3954: Cisco Systems NetFlow Services Export Version 9”, Disponível em: http://www.ietf.org/rfc/rfc3954.txt, Acesso em 27 dez. 2007.
DAVE, P. (2000) “FlowScan: A Network Traffic Flow Reporting and Visualization Tool”, In Proceedings of the 14th USENIX conference on System administration, p. 305-318, New Orleans, Louisiana.
ELMASRI, R. E.; NAVATHE, S. (2005) “Sistemas de Banco de Dados”, Addison-Wesley, ISBN 8588639173.
FULLMER, M. (2007) “Tool set for working with NetFlow data”, Disponível em: http://www.splintered.net/sw/flow-tools/docs/flow-tools.html, Acesso em 27 dez. 2007.
FYODOR. (1997) “The Art of Port Scanning”, Disponível em: http://www.insecure.org/nmap/nmap_doc.html, Acesso em 10 mai. 2008.
MYSQL. (2008) “MySQL 5.1 Reference Manual”, Disponível em: http://dev.mysql.com/doc/refman/5.1/en/index.html, Acesso em 10 mai. 2008.
NETWORKS, F. (2008) “NetFlow Tracker”, Disponível em: http://www.flukenetworks.com/fnet/en-us/products/NetFlow+Tracker/, Acesso em 10 mai. 2008.
ORACLE (2008). “Oracle Database Documentation”, Disponível em: http://www.oracle.com/technology/documentation/database.html, Acesso em 10 mai. 2008.
QUITTEK, J., Zseby, T., Claise, B., Zander, S. (2004) “RFC 3917: Requirements for IP Flow Information Export: IPFIX”, Disponível em: http://www.ietf.org/rfc/rfc3917.txt, Acesso em 27 de dez. 2007.
SYSTEMS, C. (2004) “NetFlow Packet version 5 (V5)”, Disponível em: http://netflow.caligare.com/netflow_v5.htm, Acesso em: 10 mai. 2008.
