Correlacionamento Distribuído de Alertas em Sistemas de Detecção de Intrusão

  • Thiago E. Bezerra de Mello UFPR
  • Roberto A. Hexsel UFPR

Resumo


Com o aumento da taxa de transmissão de dados em redes, os sistemas de detecção de intrusão processam muitas informações e podem gerar grandes volumes de evidências de tentativas de ataques, tornado-se necessário um sistema que produza, de forma resumida, evidências para análise por um humano. Nesse artigo descrevemos um sistema de correlacionamento distribuído de alertas, baseado em duas fases de correlacionamento, com pré-processamento local e pós-processamento distribuído. O sistema visa correlacionar alertas de forma paralela em uma rede de alta velocidade, através de sub-sistemas de correlacionamento que executam em computadores de menor custo do que aqueles que executam em sistemas centralizados. São descritos experimentos efetuados para a validação de conceito. 

Palavras-chave: Detecção de Intrusão Distribuída, Correlacionamento de Alertas em Redes de Alta Velocidade, Correlacionamento Paralelo de Alertas

Referências

T Champion and M L Denz. A benchmark evaluation of network intrusion detection systems. Proc Aerospace Conference, IEEE, 6:2705-2712, 2001.

F Cuppens and A Miége. Alert correlation in a cooperative intrusion detection framework. Proc IEEE Symposium on Security and Privacy (S&P'02), 2002.

J B D Cabrera, X Qin, W Lee, R K Prasanth, B Ravichandran, and R K Mehra. Proactive detection of distributed denial of service attacks using MIB traffic variables - a feasibility study. 7th IFIP/IEEE Int Symposium on Integrated Network Management, Maio 2001.

Rafael S Campello and Raul F Weber. Sistemas de detecção de intrusão. In Minicursos do Simp Brasileiro de Redes de Computadores. SBC, 2001.

R S Campello, R F Weber, V S Serafim, and V G Ribeiro. O sistema de detecção de intrusão Asgaard. In Workshop de Segurança de Sistemas Computacionais. SBC, 2001.

Thiago E Bezerra de Mello. Nariz - um sistema de correlacionamento distribuído de alertas. Dissertação de mestrado, Departamento de Informática, UFPR, Junho 2004.

H Debar and A Wespi. Aggregation and correlation of intrusion-detection alerts. In Proc 4th International Symposium on Recent Advances in Intrusion Detection, pages 85-103. Springer-Verlag, Outubro 2001.

S. Gibson. Distributed Reflection Denial of Service. Technical report, Gibson Research Corporation, http://grc.com/dos/drdos.htm, 2002.

J Haines, D K Ryder, L Tinnel, and S Taylor. Validation of sensor alert correlators. IEEE Security & Privacy Magazine, 1(?):46-56, 2003.

ISS. RealSecure Network Protection. Technical report, Internet Security Systems, 1999. [link].

ISS. Gigabit Ethernet intrusion detection solutions. Technical report, Internet Security Systems & Top Layer Performance Testing, 2000.

C Kruegel, F Valeur, G Vigna, and R Kemmerer. Stateful intrusion detection for high-speed networks. Proc IEEE Symposium on Security and Privacy (S&P'02), 2002.

B Laing. Implemeting a network based intrusion detection system. Technical report, Internet Security Systems, 2000.

B Morin, L Mé, H Debar, and M Ducassé. M2D2: A formal data model for IDS alert correlation. In Recent Advances in Intrusion Detection, 5th International Symposium, RAID 2002, Outubro 2002.

P A Porras and P G Neumann. EMERALD: Event monitoring enabling responses to anomalous live disturbances. In Proc 20th National Information Systems Security Conference (NIST-NCSC), pages 353-365, 1997.

M Roesch and C Green. Snort Users Manual, Release: 1.9.1. https://www.snort.org/docs/writing_rules/, 2001.

G E Rhoden, E T L Melo, and C B Westphall. Detecção de intrusões em backbones de redes de computadores através da análise de comportamento com SNMP. In Workshop de Segurança de Sistemas Computacionais. SBC, 2002.

M Roesch. Snort - lightweight intrusion detection for networks. In USENIX LISA Conference, Novembro 1999.

S Staniford, J A Hoagland, and J M McAlerney. Practical automated detection of stealthy portscans. Journal of Computer Security, 10:105-136, 2002.

SQLite. SQLite - an embeddable SQL database engine. Technical report, SQLite.org. https://www.sqlite.org.

R Vaarandi. SEC - a lightweight event correlation tool. IEEE 2002 Workshop on IP Operations and Management, pages 111-115, 2002.

A Valdes and K Skinner. Probabilistic alert correlation. In Recent Advances in Intrusion Detection (RAID 2001), number 2212 in LNCS, Setembro 2001.

V Yegneswaran, P Barford, and S Jha. Intrusion detection in the DOMINO overlay system. In Proc Network and Distributed Systems Security Symp (NDSS), Fevereiro 2004.
Publicado
26/09/2005
MELLO, Thiago E. Bezerra de; HEXSEL, Roberto A.. Correlacionamento Distribuído de Alertas em Sistemas de Detecção de Intrusão. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 5. , 2005, Florianópolis. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2005 . p. 283-298. DOI: https://doi.org/10.5753/sbseg.2005.21537.