|
Abstract:
|
Os Sistemas de Detecção de Intrusões são ferramentas especializadas na análise do comportamento de um computador ou rede, visando a detecção de indícios de intrusão nestes meios. Entre os benefícios de sua utilização estão a possibilidade de receber notificações na forma de alertas a respeito das intrusões, executar contramedidas em tempo real ou armazenar uma cópia dos pacotes para análise futura. A exposição dos computadores na Internet e a crescente intensidade na freqüência e variedade de ataques vêm causando uma sobrecarga na quantidade de informações manipuladas e exibidas pelos Sistemas de Detecção de Intrusões aos administradores do sistema. Logo, a busca por novos conceitos para análise dos alertas pode ajudar na tarefa de manter computadores, redes e informações livres de ameaças. A Análise de Causa Raiz é uma metodologia que permite a investigação detalhada e progressiva de incidentes isolados. Muito utilizada em ambientes industriais, no segmento aeroespacial e na medicina, a Análise de Causa Raiz envolve o estudo de dois ou mais acontecimentos correlacionados com o objetivo de identificar como e por que um problema aconteceu, de forma que seja possível evitar sua recorrência. A proposta deste trabalho é aplicar a Análise de Causa Raiz nos Sistemas de Detecção de Intrusões com o objetivo de melhorar a qualidade das informações apresentadas ao administrador do sistema. Este objetivo é alcançado através da aplicação da Análise nas 10 vulnerabilidades mais críticas para os sistemas UNIX segundo o Instituto SANS e na adição de interpretação de Análise de Causa Raiz para as regras correspondentes presentes no Sistema de Detecção de Intrusões Snort. |
