Tesis
Aplicação da análise de causa raiz em sistemas de detecção de intrusões
Autor
Bortoluzzi, Fabrício
Institución
Resumen
Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico. Programa de Pós-Graduação em Ciência da Computação. Os Sistemas de Detecção de Intrusões são ferramentas especializadas na análise do comportamento de um computador ou rede, visando a detecção de indícios de intrusão nestes meios. Entre os benefícios de sua utilização estão a possibilidade de receber notificações na forma de alertas a respeito das intrusões, executar contramedidas em tempo real ou armazenar uma cópia dos pacotes para análise futura.
A exposição dos computadores na Internet e a crescente intensidade na freqüência e variedade de ataques vêm causando uma sobrecarga na quantidade de informações manipuladas e exibidas pelos Sistemas de Detecção de Intrusões aos administradores do sistema. Logo, a busca por novos conceitos para análise dos alertas pode ajudar na tarefa de manter computadores, redes e informações livres de ameaças.
A Análise de Causa Raiz é uma metodologia que permite a investigação detalhada e progressiva de incidentes isolados. Muito utilizada em ambientes industriais, no segmento aeroespacial e na medicina, a Análise de Causa Raiz envolve o estudo de dois ou mais acontecimentos correlacionados com o objetivo de identificar como e por que um problema aconteceu, de forma que seja possível evitar sua recorrência.
A proposta deste trabalho é aplicar a Análise de Causa Raiz nos Sistemas de Detecção de Intrusões com o objetivo de melhorar a qualidade das informações apresentadas ao administrador do sistema. Este objetivo é alcançado através da aplicação da Análise nas 10 vulnerabilidades mais críticas para os sistemas UNIX segundo o Instituto SANS e na adição de interpretação de Análise de Causa Raiz para as regras correspondentes presentes no Sistema de Detecção de Intrusões Snort.