REFINANDO ANÁLISES DO SNORT ATRAVÉS DE CORRELAÇÃO DE EVENTOS COM O ESTADO ATIVO DA REDE

Páginas: 22 (5305 palavras) Publicado: 30 de novembro de 2014
REFINANDO ANÁLISES DO SNORT ATRAVÉS DE CORRELAÇÃO
DE EVENTOS COM O ESTADO ATIVO DA REDE
Cleiton Soares Martins
Centro de Informática - Universidade Federal de Pernambuco
Caixa Postal 7851, CEP 50732-970 - Recife - PE – Brasil
csm@cin.ufpe.br

RESUMO
O snort é um sistema de detecção de intrusão de redes, baseado em assinaturas amplamente utilizado. A criação e
manutenção de bases deassinaturas que capturem os eventos mais intrusivos e ao mesmo tempo evitem falsos positivos e
falsos negativos é uma tarefa não trivial que consome muito tempo e altamente dependente da experiência e da paciênia
do administrator de segurança. Esse documento propõe uma metodologia para refinar a análise de eventos gerados pelo
snort através da correlação desses eventos com uma representação doestado ativo da rede protegida. Agentes
distribuídos são utilizados para coletar e manter o estado da rede. Os eventos são processados por um analizador central
que usa um sistema de produção para agrupar esses eventos e classificá-los quanto ao risco por eles oferecidos.
Argumentamos que o uso de bases de assinaturas genéricas e a posterior priorização dos eventos usando a metodologia
propostapode aumentar significativamente a qualidade da análise e reduzir consideravlemente o esforço e tempo
necessários para implantar o snort na maioria das redes.

ABSTRACT
Snort is a widely used freeware, signature based, network intrusion detection system. The task of creating a signature
ruleset that catches most intrusive events avoiding false positives and false negatives is very difficult, canbe very timeconsuming and greatly depends on security managers’ expertise and patience.In this paper we propose a methodology to
improve the analysis of snort-generated events by correlating them with a live representation of the the state of the
protected network. Distributed Agents are used to gather and mantain current network state. Events are processed by a
central analyzer that uses ajava embedded production system to group these events together and classify them according
to the risk they offer to the protected network. We argue that by using a standard snort ruleset and by classifying events
generated by snort with the proposed methodology we can significantly increase the quality of the analysis and greatly
reduce the effort and time needed to deploy snort on mostnetworks.

101

1.

determinados tipos de ataque. Por exemplo,
algumas poucas tentativas de logon mal-sucedidas
em um único serviço podem ser consideradas
normais e toleradas, porém a repetição dessas
falhas em vários servidores da rede pode indicar
uma tentativa de invasão.
A qualidade das análises realizadas por esses
detectores geralmente depende demasiadamente
na habilidade doadministrador em ajustar (e
manter ajustados) os parâmetros desses sistemas
para refletir as necessidades da rede monitorada.
A tarefa de ajustar esses parâmetros costuma ser
árdua e dificilmente se consegue chegar a um
balanço ideal entre o número de alertas falsos
gerados, também conhecidos como falsos
positivos, e a ausência de alertas em situações de
perigo real, os falsos negativos.
Aausência de correlacionamento com o estado
atual das redes monitoradas é uma grande
deficiência, principalmente nos sensores de rede
baseados em assinaturas. A natureza genérica de
suas regras e a velocidade das mudanças do estado
da rede dificultam o “ajuste fino” desses sistemas.
Não são raras as situações em que o número de
alarmes gerados representando situações com
pouca ou nenhuma relevânciapara a segurança da
rede acaba por mascarar os alertas realmente
perigosos.

INTRODUÇÃO

1.1. Segurança e Detecção de Intrusão
O interesse no desenvolvimento de sistemas
para aumentar o nível de segurança de redes de
computadores tem crescido bastante nos últimos
anos. Abordagens variam desde a instalação de
firewalls de rede, passando pela reconfiguração
segura (hardening) dos...
Ler documento completo

Por favor, assinar para o acesso.

Estes textos também podem ser interessantes

  • Sistema de analise de ativos de rede
  • Monitoramento de redes usando o snort
  • analise da correlação
  • Ativos de Rede
  • Ativos de rede
  • Analise de ativos
  • Analise de ativo
  • Estado em Rede

Seja um membro do Trabalhos Feitos

CADASTRE-SE AGORA!