Comunicação segura na composição de IDSs e seus custos

Abstract

Os sistemas de detecção de intrusão geralmente são projetados para funcionar solitários em redes locais. Estes sistemas não prevêem a integração com outras ferramentas de detecção de intrusão, nem o uso da infra-estrutura da Internet para correlação de eventos, reduzindo o seu escopo da análise. Este trabalho apresenta um modelo para a comunicação segura entre os componentes de sistemas de detecção de intrusão em ambientes de larga escala utilizando os programas de detecção de intrusão convencionais, com o propósito de formar composições destes sistemas, dispersos geograficamente, e detectar uma quantidade maior de ataques, inclusive ataques distribuídos, através da correlação dos eventos. É introduzido um modelo de segurança fim a fim, utilizando padrões de segurança e a tecnologia de {\it Web Services}. São apresentados os principais esforços presentes na literatura sobre detecção de intrusão distribuída fazendo um comparativo entre as abordagens utilizadas e, então, o modelo de comunicação proposto é descrito. Também são descritos um protótipo desenvolvido, os resultados dos testes efetuados e algumas conclusões sobre o modelo proposto.