Estudo comparativo para avaliação de sistemas de detecção de intrusão em publicações científicas recentes

Discente: Felipe Cesar Costa Alves

Orientador: Prof. Dr. Ed’ Wilson Tavares Ferreira

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO – IFMTDEPARTAMENTO DE INFORMÁTICA

CURSO DE TECNOLOGIA EM REDES DE COMPUTADORES

Cuiabá-MT, 9 de Fevereiro de 2015

Introdução

2 de 16

Índice crescente de incidentes;Necessidade de segurança;Grande variedade de ataques;

Segurança em redes de computadores

Sistemas Criptográficos

VPN, Firewall, IPSec entre outros;

Redes 802.15, Mobile Ad hoc Networks, Wireless Mesh Network , Sensors Netwoks.

1- Cais RNP, 2014; OUTRO 2- Rosen & Rekhter, 2006; Kent & Seo, 2005; 3- Sandhya et al., 2012; Vasudevan & Sanyal, 2011; Muogilim et al., 2011; Blilat et al., 2012

2

1

3

Introdução

3 de 16

Anomalias

AssinaturasTaxonomia de IDS

Detecção baseado no local da coleta;

Avaliação de IDS;

Uso de conjunto de dados públicos ou sintéticos;

1- Tavallaee, 2010; 2- Sommer e Paxson (2010);

1

2

Objetivo

4 de 16

Tendo em vista:

Escassez de conjunto de dados públicos para avaliação de IDS;

Insuficiência de documentação teórica experimental em estudos recentes;

Divergência nos métodos de avaliação; Ausência de detalhes sobre eventos intrusivos em uma

proposta de IDS;

Avaliar se as propostas de detecção de intrusos em publicações cientificas recentes obedecem um padrão de avaliação e validação destes sistemas

Objetivo

Contribuição para áreaEsclarecer questionamentos envolvendo as deficiências

na validade de um IDS;

Auxiliar pesquisas futuras quanto a necessidade de estudo descrição de métricas eficientes em propostas de IDS;

Análise qualitativa dos padrões que envolvem a pesquisa em detecção de intrusão;

5 de 16

Hipótese

6 de 16

Necessidade de um estudo ou documento que auxilie e oriente os autores em uma avaliação de IDS. Este referência deve abranger as diversas

taxonomias existentes na literatura

Grande volume de estudos

Diversidade metodológica

Divergências entre a

comunidade acadêmica e as

industrias

Metodologia

7 de 16

Métricas de seleção dos estudos

Período da publicação; Indexador e tipos de publicações; Características de detecção; Fator de impacto das publicações;

Metodologia

8 de 16

Métricas de avaliação dos estudos

Características da publicação; Modelo de detecção (Descrição taxonômica); Análise do conjunto de dados; Análise de documentação e configuração experimental; Características de detecção; Descrição de evento anômalo e normal;

Resultados e discussões

9 de 16

Publicações

Indexadores Quantidade de estudos avaliados

FC1 FC2 FC3

ACM Digital Library 30 25 3 2

IEEE Xplore 30 18 8 4

Science Direct 30 18 8 4

Total 90 61 19 10

Resultados e discussões

10 de 16

Publicações

Ano da publicação Quantidade de estudos avaliados

FC1 FC2 FC3

2010 15 10 3 2

2011 15 7 4 4

2012 21 16 2 3

2013 30 23 5 2

2014 9 8 1 0

Total 90 64 15 11

Resultados e discussões

11 de 16

Conjunto de dados

Características do conjunto de dados utilizado

Quantidade de estudos avaliados

Sintéticos 23

Públicos 42

Não especificados 25

Total 90

Resultados e discussões

12 de 16

Conjunto de dados

Conjunto de dados públicos

Quantidade de estudos avaliados

DARPA 11

KDD 24

Outros 7

Total 42

Resultados e discussões

13 de 16

Conjunto de dados

Conjunto de dados FC1 FC2 FC3

Sintético 11 9 5

Públicos 31 5 5

Não especificados 19 5 0

Total 61 19 10

Resultados e discussões

14 de 16

Modelo taxonômico

Tipo de detecção identificada

Quantidade de estudos avaliados

Baseada em Anomalia 18

Baseada em Rede 27

Baseada em Assinatura 10

Baseada em Host 7

Não especificada 5

Outras técnicas 23

Total 90

Resultados e discussões

15 de 16

Característica do IDS

Ambiente de implementação; Técnicas de algoritmos para detecção;

Documentação experimental e descrição das anomalias

Artigos escassos, satisfatórios e regulares; Baixa representação de eventos normais e anômalos;

ConclusõesBaixa eficácia na exposição das características das

propostas. Constatado o baixo rigor científico;

Predominância de trabalhos que não utilizam conjunto de dados disponíveis publicamente;

Registros expressivo de propostas sobre redes de sensores e redes ad-hoc;

Utilização de novos conjunto de dados;

Grande quantidade de estudos utilizaram padrões baseados em aprendizado de máquina e redes neurais;

16 de 16

Contatos

felipece.alves@gmail.com

felipe_cesar_costa@hotmail.com

Skype - felipeifmt

Felipe Cesar Costa Alves

Analista de Redes – POP RNP MT