Avaliação do Emprego de Raciocínio baseado em Casos para Identificar Cenários de Intrusão em Logs de Firewalls
Resumo
A análise de conteúdo de logs gerados por firewalls mostra-se fundamental para reconhecer seqüências de eventos suspeitas que indiquem estratégias utilizadas por intrusos para tentar obter acesso não autorizado a estações e serviços. Tal análise, em função do grande volume de informações armazenadas, é inviável de ser realizada de forma manual.Este artigo apresenta uma abordagem que explora a técnica de raciocínio baseado em casos, da Inteligência Artificial, para identificar, de forma automática, cenários de intrusão em logs de firewalls. O artigo descreve a avaliação da abordagem, realizada com base em logs reais gerados pelo firewall da universidade, e discute como a sintonia dos parâmetros que compõem um caso influencia na geração de alertas, procurando determinar combinações que propiciem uma relação satisfatória entre detecção de cenários de intrusão x número de alertas gerados.
Referências
Esmaili, M. et al. (1996) "Case-Based Reasoning for Intrusion Detection", In: Computer Security Applications Conference, p.214-223.
Kolodner, J. (1993) Case-Based Reasoning, Morgan Kaufmann.
Locatelli, F. E., Dillenburg, F., Melchiors, C., Gaspary, L. P. (2004) "Identificação de Cenários de Intrusão pela Classificação, Caracterização e Análise de Eventos gerados por Firewalls", In: Simpósio Brasileiro de Redes de Computadores, v. 2, p. 851-864.
Ning, P., Cui, Y. and Reeves, D. (2002) "Analyzing Intensive Intrusion Alerts via Correlation", In: Recent Advances in Intrusion Detection, LNCS, v. 2516, p. 74-94.
Porras, P. A. , Fong, M. W. , and Valdes, A. (2002) "A Mission-Impact-Based Approach to INFOSEC Alarm Correlation", In: Recent Advances in Intrusion Detection, LNCS, v. 2516, p. 95-114.
Schwartz, D., Stoecklin, S. and Yilmaz, E. (2002) "A Case-Based Approach to Network Intrusion Detection", In: International Conference on Information Fusion, p.1084-1089.
Stallings, W. (2000) Network Security Essentials: Applications and Standards, Prentice-Hall.
Symantec Enterprise Firewall, Symantec Enterprise VPN, and VelociRaptor Firewall Appliance Reference Guide. Symantec, 2001.
Taylor, T. (2002) Security Complete, Sybex.
Yegneswaran, V., Barford, P. and Ulrich, J. (2003) "Internet Intrusions: Global Characteristics and Prevalence", In: ACM SIGMETRICS Performance Evaluation Review, v. 31, n. 1, p. 138-147.
