REFINANDO ANÁLISES DO SNORT ATRAVÉS DE CORRELAÇÃO DE EVENTOS COM O ESTADO ATIVO DA REDE
5305 palavras
22 páginas
REFINANDO ANÁLISES DO SNORT ATRAVÉS DE CORRELAÇÃODE EVENTOS COM O ESTADO ATIVO DA REDE
Cleiton Soares Martins
Centro de Informática - Universidade Federal de Pernambuco
Caixa Postal 7851, CEP 50732-970 - Recife - PE – Brasil csm@cin.ufpe.br RESUMO
O snort é um sistema de detecção de intrusão de redes, baseado em assinaturas amplamente utilizado. A criação e manutenção de bases de assinaturas que capturem os eventos mais intrusivos e ao mesmo tempo evitem falsos positivos e falsos negativos é uma tarefa não trivial que consome muito tempo e altamente dependente da experiência e da paciênia do administrator de segurança. Esse documento propõe uma metodologia para refinar a análise de eventos gerados pelo snort através da correlação desses eventos com uma representação do estado ativo da rede protegida. Agentes distribuídos são utilizados para coletar e manter o estado da rede. Os eventos são processados por um analizador central que usa um sistema de produção para agrupar esses eventos e classificá-los quanto ao risco por eles oferecidos.
Argumentamos que o uso de bases de assinaturas genéricas e a posterior priorização dos eventos usando a metodologia proposta pode aumentar significativamente a qualidade da análise e reduzir consideravlemente o esforço e tempo necessários para implantar o snort na maioria das redes.
ABSTRACT
Snort is a widely used freeware, signature based, network intrusion detection system. The task of creating a signature ruleset that catches most intrusive events avoiding false positives and false negatives is very difficult, can be very timeconsuming and greatly depends on security managers’ expertise and patience.In this paper we propose a methodology to improve the analysis of snort-generated events by correlating them with a live representation of the the state of the protected network. Distributed Agents are used to gather and mantain current network state. Events are processed by a central analyzer that uses a