Avaliação do Emprego de Raciocínio baseado em Casos para Identificar Cenários de Intrusão em Logs de Firewalls

  • Samir Lohmann UNISINOS
  • Luciano Paschoal Gaspary UNISINOS
  • Cristina Melchiors UNISINOS

Resumo


A análise de conteúdo de logs gerados por firewalls mostra-se fundamental para reconhecer seqüências de eventos suspeitas que indiquem estratégias utilizadas por intrusos para tentar obter acesso não autorizado a estações e serviços. Tal análise, em função do grande volume de informações armazenadas, é inviável de ser realizada de forma manual.Este artigo apresenta uma abordagem que explora a técnica de raciocínio baseado em casos, da Inteligência Artificial, para identificar, de forma automática, cenários de intrusão em logs de firewalls. O artigo descreve a avaliação da abordagem, realizada com base em logs reais gerados pelo firewall da universidade, e discute como a sintonia dos parâmetros que compõem um caso influencia na geração de alertas, procurando determinar combinações que propiciem uma relação satisfatória entre detecção de cenários de intrusão x número de alertas gerados.

Referências

Debar, H. and Wespi, A. (2001) "Aggregation and Correlation of Intrusion-Detection Alerts", In: Recent Advances in Intrusion Detection, LNCS, v. 2212, p. 85-103.

Esmaili, M. et al. (1996) "Case-Based Reasoning for Intrusion Detection", In: Computer Security Applications Conference, p.214-223.

Kolodner, J. (1993) Case-Based Reasoning, Morgan Kaufmann.

Locatelli, F. E., Dillenburg, F., Melchiors, C., Gaspary, L. P. (2004) "Identificação de Cenários de Intrusão pela Classificação, Caracterização e Análise de Eventos gerados por Firewalls", In: Simpósio Brasileiro de Redes de Computadores, v. 2, p. 851-864.

Ning, P., Cui, Y. and Reeves, D. (2002) "Analyzing Intensive Intrusion Alerts via Correlation", In: Recent Advances in Intrusion Detection, LNCS, v. 2516, p. 74-94.

Porras, P. A. , Fong, M. W. , and Valdes, A. (2002) "A Mission-Impact-Based Approach to INFOSEC Alarm Correlation", In: Recent Advances in Intrusion Detection, LNCS, v. 2516, p. 95-114.

Schwartz, D., Stoecklin, S. and Yilmaz, E. (2002) "A Case-Based Approach to Network Intrusion Detection", In: International Conference on Information Fusion, p.1084-1089.

Stallings, W. (2000) Network Security Essentials: Applications and Standards, Prentice-Hall.

Symantec Enterprise Firewall, Symantec Enterprise VPN, and VelociRaptor Firewall Appliance Reference Guide. Symantec, 2001.

Taylor, T. (2002) Security Complete, Sybex.

Yegneswaran, V., Barford, P. and Ulrich, J. (2003) "Internet Intrusions: Global Characteristics and Prevalence", In: ACM SIGMETRICS Performance Evaluation Review, v. 31, n. 1, p. 138-147.
Publicado
26/09/2005
LOHMANN, Samir; GASPARY, Luciano Paschoal; MELCHIORS, Cristina. Avaliação do Emprego de Raciocínio baseado em Casos para Identificar Cenários de Intrusão em Logs de Firewalls. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 5. , 2005, Florianópolis. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2005 . p. 299-310. DOI: https://doi.org/10.5753/sbseg.2005.21538.