Extensão do modelo IDWG para detecção de intrusão em ambientes computacionais

Abstract

Este trabalho propõe um modelo de ambiente de detecção de intrusão que permita a interoperabilidade entre sistemas de detecção de intrusão de diferentes tipos e fabricantes. O modelo proposto descreve a arquitetura do ambiente, os protocolos de comunicação a serem utilizados e o formato dos dados trocados pelos componentes do ambiente. O desenvolvimento do modelo proposto tomou por base os trabalhos realizados pelo grupo IDWG relacionados com a interoperabilidade entre os sistemas de detecção de intrusão. No modelo proposto estendeu-se a arquitetura de detecção de intrusão desenvolvida pelo grupo IDWG e utilizou-se os protocolo BEEP e IDXP para a troca de informações, sendo que o protocolo IDXP sofreu pequenas alterações em sua especificação. Na comunicação de alertas utilizou-se o modelo de dados IDMEF. O modelo IDWG foi extendido de forma a suportar o tratamento de respostas aos alertas, para tanto foi necessário criar novos componentes na arquitetura e desenvolver um novo modelo de dados. Para validação do modelo proposto foram implementados componentes responsáveis pelo envio de alertas, gerenciamento de alertas e respostas e, recepção e tratamento de respostas. Com estes componentes, juntamente com o IDS Snort, foi montado um ambiente de validação correspondente ao modelo proposto, onde foram realizados testes. Como resultado deste trabalho temos um ambiente onde é possível gerenciar alertas e respostas de diferentes tipos e fabricantes de IDSs, atuando no auxílio à segurança das redes de computadores.