Trabalho de Conclusão de Curso - Estudo comparativo para avaliação de sistemas de detecção de...
-
Upload
felipe-cesar-costa -
Category
Science
-
view
46 -
download
1
Transcript of Trabalho de Conclusão de Curso - Estudo comparativo para avaliação de sistemas de detecção de...
Estudo comparativo para avaliação de sistemas de detecção de intrusão em publicações científicas recentes
Discente: Felipe Cesar Costa Alves
Orientador: Prof. Dr. Ed’ Wilson Tavares Ferreira
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO – IFMTDEPARTAMENTO DE INFORMÁTICA
CURSO DE TECNOLOGIA EM REDES DE COMPUTADORES
Cuiabá-MT, 9 de Fevereiro de 2015
Introdução
2 de 16
Índice crescente de incidentes;Necessidade de segurança;Grande variedade de ataques;
Segurança em redes de computadores
Sistemas Criptográficos
VPN, Firewall, IPSec entre outros;
Redes 802.15, Mobile Ad hoc Networks, Wireless Mesh Network , Sensors Netwoks.
1- Cais RNP, 2014; OUTRO 2- Rosen & Rekhter, 2006; Kent & Seo, 2005; 3- Sandhya et al., 2012; Vasudevan & Sanyal, 2011; Muogilim et al., 2011; Blilat et al., 2012
2
1
3
Introdução
3 de 16
Anomalias
AssinaturasTaxonomia de IDS
Detecção baseado no local da coleta;
Avaliação de IDS;
Uso de conjunto de dados públicos ou sintéticos;
1- Tavallaee, 2010; 2- Sommer e Paxson (2010);
1
2
Objetivo
4 de 16
Tendo em vista:
Escassez de conjunto de dados públicos para avaliação de IDS;
Insuficiência de documentação teórica experimental em estudos recentes;
Divergência nos métodos de avaliação; Ausência de detalhes sobre eventos intrusivos em uma
proposta de IDS;
Avaliar se as propostas de detecção de intrusos em publicações cientificas recentes obedecem um padrão de avaliação e validação destes sistemas
Objetivo
Contribuição para áreaEsclarecer questionamentos envolvendo as deficiências
na validade de um IDS;
Auxiliar pesquisas futuras quanto a necessidade de estudo descrição de métricas eficientes em propostas de IDS;
Análise qualitativa dos padrões que envolvem a pesquisa em detecção de intrusão;
5 de 16
Hipótese
6 de 16
Necessidade de um estudo ou documento que auxilie e oriente os autores em uma avaliação de IDS. Este referência deve abranger as diversas
taxonomias existentes na literatura
Grande volume de estudos
Diversidade metodológica
Divergências entre a
comunidade acadêmica e as
industrias
Metodologia
7 de 16
Métricas de seleção dos estudos
Período da publicação; Indexador e tipos de publicações; Características de detecção; Fator de impacto das publicações;
Metodologia
8 de 16
Métricas de avaliação dos estudos
Características da publicação; Modelo de detecção (Descrição taxonômica); Análise do conjunto de dados; Análise de documentação e configuração experimental; Características de detecção; Descrição de evento anômalo e normal;
Resultados e discussões
9 de 16
Publicações
Indexadores Quantidade de estudos avaliados
FC1 FC2 FC3
ACM Digital Library 30 25 3 2
IEEE Xplore 30 18 8 4
Science Direct 30 18 8 4
Total 90 61 19 10
Resultados e discussões
10 de 16
Publicações
Ano da publicação Quantidade de estudos avaliados
FC1 FC2 FC3
2010 15 10 3 2
2011 15 7 4 4
2012 21 16 2 3
2013 30 23 5 2
2014 9 8 1 0
Total 90 64 15 11
Resultados e discussões
11 de 16
Conjunto de dados
Características do conjunto de dados utilizado
Quantidade de estudos avaliados
Sintéticos 23
Públicos 42
Não especificados 25
Total 90
Resultados e discussões
12 de 16
Conjunto de dados
Conjunto de dados públicos
Quantidade de estudos avaliados
DARPA 11
KDD 24
Outros 7
Total 42
Resultados e discussões
13 de 16
Conjunto de dados
Conjunto de dados FC1 FC2 FC3
Sintético 11 9 5
Públicos 31 5 5
Não especificados 19 5 0
Total 61 19 10
Resultados e discussões
14 de 16
Modelo taxonômico
Tipo de detecção identificada
Quantidade de estudos avaliados
Baseada em Anomalia 18
Baseada em Rede 27
Baseada em Assinatura 10
Baseada em Host 7
Não especificada 5
Outras técnicas 23
Total 90
Resultados e discussões
15 de 16
Característica do IDS
Ambiente de implementação; Técnicas de algoritmos para detecção;
Documentação experimental e descrição das anomalias
Artigos escassos, satisfatórios e regulares; Baixa representação de eventos normais e anômalos;
ConclusõesBaixa eficácia na exposição das características das
propostas. Constatado o baixo rigor científico;
Predominância de trabalhos que não utilizam conjunto de dados disponíveis publicamente;
Registros expressivo de propostas sobre redes de sensores e redes ad-hoc;
Utilização de novos conjunto de dados;
Grande quantidade de estudos utilizaram padrões baseados em aprendizado de máquina e redes neurais;
16 de 16
Contatos
Skype - felipeifmt
Felipe Cesar Costa Alves
Analista de Redes – POP RNP MT