Um esquema para agregação e priorização de alertas de múltiplas origens

Lins, Bruno Filipe de Oliveira

31 January 2011

Made available in DSpace on 2014-06-12T15:58:23Z (GMT). No. of bitstreams: 2 arquivo4093_1.pdf: 1486697 bytes, checksum: b62751beaa6e40cb6534872688a8a88a (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2011 / Conselho Nacional de Desenvolvimento Científico e Tecnológico / O uso de soluções colaborativas tem se tornado cada vez mais comum e eficiente na detecção de ataques, intrusões e anomalias. Entretanto, devido a sua aplicabilidade, tipicamente em enlaces de alta velocidade, grandes backbones, entre outros, essas soluções se deparam com a obrigatoriedade de processar enormes quantidades de alertas, produzidos pelos mais diferentes tipos de detectores. O objetivo deste trabalho é avaliar o problema da agregação e priorização de alertas em sistemas de detecção colaborativa e propor uma solução capaz de manipular grandes volumes de dados (alertas) gerados no processo de detecção de ataques, intrusões e anomalias, e extrair os mais significantes, de acordo com uma heurística estabelecida, para análise e processamentos, minimizando os custos computacionais, sem que haja perdas relevantes na precisão da detecção. Visando avaliar o desempenho e eficiência da solução proposta, foram executados testes em ambiente controlado com uso da base de dados DARPA 2000 e trafego real e seus resultados discutidos e comparados com soluções semelhantes

Alertas

Agregação

Priorização

Soluções colaborativas

IDMEF