DEFINIÇÃO DE NOVAS REGRAS PARA O IDS SNORT UTILIZANDO TÉCNICAS DE DATA MINING EM REDES TRADICIONAIS.

Jader Friderichs Vieira, Charles Varlei Neu

Resumo


Estamos na era digital, onde a maior parte dos dispositivos eletrônicos utilizados pelo homem está conectado, transmitindo e recebendo informações através de uma rede. Essa rede, muitas vezes, possui dados de extrema importância e valor, como no caso das grandes empresas que são alvos constantes de Hackers, causando prejuízos milionários.
Os sistemas de rede atuais são alvos dos mais diversos tipos de ataques, os quais têm crescido extensivamente nos últimos anos. Atualmente, as intrusões de rede não possuem mais as motivações banais do passado. Criou-se um comércio onde se vende ataques a quem esteja interessado em comprar. O ataque a Sony Pictures, em novembro de 2014, onde 100 Terabytes de dados foram roubados, contendo lançamentos de músicas e vídeos inéditos, especulando-se perdas superiores a 100 milhões de dólares, é apenas mais um exemplo dos prejuízos causados pelas intrusões. Dessa forma, a detecção de ataques é de extrema importância para os administradores de rede, já que muitos métodos de proteção (controle de acesso, políticas de firewall, criptografia de dados), não são mais suficientes, deixando a rede vulnerável a ataques. Os IDS – Intrusion Detection System ou sistemas de detecção de intrusão, monitoram dinamicamente as ocorrências em um sistema e arbitram se esses eventos são suscetíveis de um ataque. Foram criados para auxiliar os administradores de rede. Quando alguma atividade suspeita ou maliciosa ocorre, dispara um aviso e registra a ocorrência. Os IDS tornaram-se essenciais como complemento da infraestrutura das redes atuais, assim como novas técnicas de detecção integradas a essas ferramentas. Um dos mais populares IDS é o Snort, que é definido como um sistema de detecção de intrusão de código aberto, capaz de analisar o tráfego em tempo real e analisar registros de pacotes em redes IP. Realiza análises de protocolos, conteúdos de buscas, varredura de portas e outros, em locais que possam ser alvos para iniciar uma intrusão. O Snort é uma ferramenta constantemente atualizada e bastante popular pela flexibilidade em suas regras, de forma que podem ser personalizadas de acordo com a necessidade do administrador, tornando-se muito útil para a detecção de intrusões não conhecidas e não encontradas na base de dados. Conhecendo esses determinados comportamento ou características para a intrusão, podemos criar uma regra para eliminar essa vulnerabilidade. Este trabalho tem como objetivo utilizar os algoritmos de Data Mining (J48, Random Forest e Naive Bayes) e gerar padrões de detecção para ataques DoS (Smurf, Neptune, Back), usando como base para esses classificadores, dados contidos no dataset KDDCup'99. Após analisar esses padrões, serão criadas regras dentro da ferramenta Snort e serão testadas com o dataset. Após, será avaliada a eficiência dessa integração ente os algoritmos de Data Mining e o IDS Snort para os ataques anteriormente mencionados, visando obter mais uma alternativa para a segurança de redes.


Apontamentos

  • Não há apontamentos.