Este documento apresenta um estudo comparativo de sistemas de detecção de intrusão em publicações científicas recentes. O objetivo é avaliar se as propostas de detecção de intrusos seguem um padrão de avaliação e validação. O autor analisou 90 estudos utilizando métricas como tipo de publicação, conjunto de dados e modelo de detecção. Os resultados mostraram divergências nos métodos de avaliação e falta de detalhes sobre eventos intrusivos.

1. Estudo comparativo para avaliação de sistemas de
detecção de intrusão em publicações científicas recentes
Discente: Felipe Cesar Costa Alves
Orientador: Prof. Dr. Ed’ Wilson Tavares Ferreira
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO – IFMT
DEPARTAMENTO DE INFORMÁTICA
CURSO DE TECNOLOGIA EM REDES DE COMPUTADORES
Cuiabá-MT, 9 de Fevereiro de 2015

2. Introdução
2 de 16
 Índice crescente de incidentes;
 Necessidade de segurança;
 Grande variedade de ataques;
Segurança em redes de computadores
Sistemas Criptográficos
 VPN, Firewall, IPSec entre outros;
 Redes 802.15, Mobile Ad hoc Networks, Wireless Mesh
Network , Sensors Netwoks.
1- Cais RNP, 2014; OUTRO
2- Rosen & Rekhter, 2006; Kent & Seo, 2005;
3- Sandhya et al., 2012; Vasudevan & Sanyal, 2011; Muogilim et al., 2011; Blilat et al., 2012
2
1
3

3. Introdução
3 de 16
Anomalias
Assinaturas
Taxonomia de IDS
 Detecção baseado no
local da coleta;
 Avaliação de IDS;
 Uso de conjunto de dados
públicos ou sintéticos;
1- Tavallaee, 2010;
2- Sommer e Paxson (2010);
1
2

4. Objetivo
4 de 16
Tendo em vista:
 Escassez de conjunto de dados públicos para avaliação
de IDS;
 Insuficiência de documentação teórica experimental em
estudos recentes;
 Divergência nos métodos de avaliação;
 Ausência de detalhes sobre eventos intrusivos em uma
proposta de IDS;
Avaliar se as propostas de detecção de intrusos
em publicações cientificas recentes obedecem um
padrão de avaliação e validação destes sistemas
Objetivo

5. Contribuição para área
Esclarecer questionamentos envolvendo as deficiências
na validade de um IDS;
Auxiliar pesquisas futuras quanto a necessidade de
estudo descrição de métricas eficientes em propostas de
IDS;
Análise qualitativa dos padrões que envolvem a pesquisa
em detecção de intrusão;
5 de 16

6. Hipótese
6 de 16
Necessidade de um estudo ou documento que
auxilie e oriente os autores em uma avaliação de
IDS. Este referência deve abranger as diversas
taxonomias existentes na literatura
Grande volume
de estudos
Diversidade
metodológica
Divergências
entre a
comunidade
acadêmica e as
industrias

7. Metodologia
7 de 16
Métricas de seleção dos estudos
 Período da publicação;
 Indexador e tipos de publicações;
 Características de detecção;
 Fator de impacto das publicações;

8. Metodologia
8 de 16
Métricas de avaliação dos estudos
 Características da publicação;
 Modelo de detecção (Descrição taxonômica);
 Análise do conjunto de dados;
 Análise de documentação e configuração experimental;
 Características de detecção;
 Descrição de evento anômalo e normal;

9. Resultados e discussões
9 de 16
Publicações
Indexadores Quantidade de
estudos avaliados
FC1 FC2 FC3
ACM Digital Library 30 25 3 2
IEEE Xplore 30 18 8 4
Science Direct 30 18 8 4
Total 90 61 19 10

10. Resultados e discussões
10 de 16
Publicações
Ano da publicação Quantidade de
estudos avaliados
FC1 FC2 FC3
2010 15 10 3 2
2011 15 7 4 4
2012 21 16 2 3
2013 30 23 5 2
2014 9 8 1 0
Total 90 64 15 11

11. Resultados e discussões
11 de 16
Conjunto de dados
Características do
conjunto de dados
utilizado
Quantidade de estudos avaliados
Sintéticos 23
Públicos 42
Não especificados 25
Total 90

12. Resultados e discussões
12 de 16
Conjunto de dados
Conjunto de dados
públicos
Quantidade de estudos avaliados
DARPA 11
KDD 24
Outros 7
Total 42

13. Resultados e discussões
13 de 16
Conjunto de dados
Conjunto de dados FC1 FC2 FC3
Sintético 11 9 5
Públicos 31 5 5
Não especificados 19 5 0
Total 61 19 10

14. Resultados e discussões
14 de 16
Modelo taxonômico
Tipo de detecção
identificada
Quantidade de estudos avaliados
Baseada em Anomalia 18
Baseada em Rede 27
Baseada em Assinatura 10
Baseada em Host 7
Não especificada 5
Outras técnicas 23
Total 90

15. Resultados e discussões
15 de 16
Característica do IDS
 Ambiente de implementação;
 Técnicas de algoritmos para detecção;
Documentação experimental e descrição das anomalias
 Artigos escassos, satisfatórios e regulares;
 Baixa representação de eventos normais e anômalos;

16. Conclusões
Baixa eficácia na exposição das características das
propostas. Constatado o baixo rigor científico;
Predominância de trabalhos que não utilizam conjunto
de dados disponíveis publicamente;
Registros expressivo de propostas sobre redes de
sensores e redes ad-hoc;
Utilização de novos conjunto de dados;
Grande quantidade de estudos utilizaram padrões
baseados em aprendizado de máquina e redes neurais;
16 de 16

17. Contatos
felipece.alves@gmail.com
felipe_cesar_costa@hotmail.com
Skype - felipeifmt
Felipe Cesar Costa Alves
Analista de Redes – POP RNP MT