Uma abordagem de detecção de intrusão baseada em sistemas imunológicos artificiais e agentes móveis

Abstract

Neste trabalho é apresentada uma abordagem para detecção de intrusão inspirada nos conceitos, princípios e propriedades do sistema imunológico humano. A abstração computacional aplica a técnica de detecção baseada em anomalias e tem por base a monitoração dos registros de auditoria dos sistemas operacionais Unix-like. Sua arquitetura é baseada em host e distribuída. O processo de geração de eventos é realizado pelo Syslog-ng, a análise é responsabilidade da ferramenta Logcheck e a distribuição e persistência dos registros, assim como a incorporação de ações reativas e pró-ativas são implementadas por uma arquitetura baseada em agentes móveis. Os resultados gerados pelo processo de análise são classificados como ataques, violações de segurança e eventos de segurança. Como contribuições, abstraíram-se computacionalmente importantes premissas de sistemas imunológicos artificiais, tais como detecção de anomalias, memorização e reatividade. Uma classe de experimentos permitiu analisar o desempenho e segurança de agentes móveis considerando-se distintos métodos de mobilidade, transações no banco de dados e tecnologias de redes. A aplicação da abordagem foi realizada em dois ambientes computacionais: uma empresa de computação e um provedor de internet. Os resultados indicaram uma redução significativa do número de registros reportados e analisados, como também facilitou a observação e análise eficaz das atividades dos hosts monitorados e possibilitou a implementação de respostas pró-ativas.