Este documento apresenta um estudo comparativo de sistemas de detecção de intrusão em publicações científicas recentes. O objetivo é avaliar se as propostas de detecção de intrusos seguem um padrão de avaliação e validação. O autor analisou 90 estudos utilizando métricas como tipo de publicação, conjunto de dados e modelo de detecção. Os resultados mostraram divergências nos métodos de avaliação e falta de detalhes sobre eventos intrusivos.
Semelhante a Trabalho de Conclusão de Curso - Estudo comparativo para avaliação de sistemas de detecção de intrusão em publicações científicas recentes
Semelhante a Trabalho de Conclusão de Curso - Estudo comparativo para avaliação de sistemas de detecção de intrusão em publicações científicas recentes (20)
Teorias da Evolução e slides sobre darwnismo e evoulao
Trabalho de Conclusão de Curso - Estudo comparativo para avaliação de sistemas de detecção de intrusão em publicações científicas recentes
1. Estudo comparativo para avaliação de sistemas de
detecção de intrusão em publicações científicas recentes
Discente: Felipe Cesar Costa Alves
Orientador: Prof. Dr. Ed’ Wilson Tavares Ferreira
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO – IFMT
DEPARTAMENTO DE INFORMÁTICA
CURSO DE TECNOLOGIA EM REDES DE COMPUTADORES
Cuiabá-MT, 9 de Fevereiro de 2015
2. Introdução
2 de 16
Índice crescente de incidentes;
Necessidade de segurança;
Grande variedade de ataques;
Segurança em redes de computadores
Sistemas Criptográficos
VPN, Firewall, IPSec entre outros;
Redes 802.15, Mobile Ad hoc Networks, Wireless Mesh
Network , Sensors Netwoks.
1- Cais RNP, 2014; OUTRO
2- Rosen & Rekhter, 2006; Kent & Seo, 2005;
3- Sandhya et al., 2012; Vasudevan & Sanyal, 2011; Muogilim et al., 2011; Blilat et al., 2012
2
1
3
3. Introdução
3 de 16
Anomalias
Assinaturas
Taxonomia de IDS
Detecção baseado no
local da coleta;
Avaliação de IDS;
Uso de conjunto de dados
públicos ou sintéticos;
1- Tavallaee, 2010;
2- Sommer e Paxson (2010);
1
2
4. Objetivo
4 de 16
Tendo em vista:
Escassez de conjunto de dados públicos para avaliação
de IDS;
Insuficiência de documentação teórica experimental em
estudos recentes;
Divergência nos métodos de avaliação;
Ausência de detalhes sobre eventos intrusivos em uma
proposta de IDS;
Avaliar se as propostas de detecção de intrusos
em publicações cientificas recentes obedecem um
padrão de avaliação e validação destes sistemas
Objetivo
5. Contribuição para área
Esclarecer questionamentos envolvendo as deficiências
na validade de um IDS;
Auxiliar pesquisas futuras quanto a necessidade de
estudo descrição de métricas eficientes em propostas de
IDS;
Análise qualitativa dos padrões que envolvem a pesquisa
em detecção de intrusão;
5 de 16
6. Hipótese
6 de 16
Necessidade de um estudo ou documento que
auxilie e oriente os autores em uma avaliação de
IDS. Este referência deve abranger as diversas
taxonomias existentes na literatura
Grande volume
de estudos
Diversidade
metodológica
Divergências
entre a
comunidade
acadêmica e as
industrias
7. Metodologia
7 de 16
Métricas de seleção dos estudos
Período da publicação;
Indexador e tipos de publicações;
Características de detecção;
Fator de impacto das publicações;
8. Metodologia
8 de 16
Métricas de avaliação dos estudos
Características da publicação;
Modelo de detecção (Descrição taxonômica);
Análise do conjunto de dados;
Análise de documentação e configuração experimental;
Características de detecção;
Descrição de evento anômalo e normal;
9. Resultados e discussões
9 de 16
Publicações
Indexadores Quantidade de
estudos avaliados
FC1 FC2 FC3
ACM Digital Library 30 25 3 2
IEEE Xplore 30 18 8 4
Science Direct 30 18 8 4
Total 90 61 19 10
10. Resultados e discussões
10 de 16
Publicações
Ano da publicação Quantidade de
estudos avaliados
FC1 FC2 FC3
2010 15 10 3 2
2011 15 7 4 4
2012 21 16 2 3
2013 30 23 5 2
2014 9 8 1 0
Total 90 64 15 11
11. Resultados e discussões
11 de 16
Conjunto de dados
Características do
conjunto de dados
utilizado
Quantidade de estudos avaliados
Sintéticos 23
Públicos 42
Não especificados 25
Total 90
12. Resultados e discussões
12 de 16
Conjunto de dados
Conjunto de dados
públicos
Quantidade de estudos avaliados
DARPA 11
KDD 24
Outros 7
Total 42
13. Resultados e discussões
13 de 16
Conjunto de dados
Conjunto de dados FC1 FC2 FC3
Sintético 11 9 5
Públicos 31 5 5
Não especificados 19 5 0
Total 61 19 10
14. Resultados e discussões
14 de 16
Modelo taxonômico
Tipo de detecção
identificada
Quantidade de estudos avaliados
Baseada em Anomalia 18
Baseada em Rede 27
Baseada em Assinatura 10
Baseada em Host 7
Não especificada 5
Outras técnicas 23
Total 90
15. Resultados e discussões
15 de 16
Característica do IDS
Ambiente de implementação;
Técnicas de algoritmos para detecção;
Documentação experimental e descrição das anomalias
Artigos escassos, satisfatórios e regulares;
Baixa representação de eventos normais e anômalos;
16. Conclusões
Baixa eficácia na exposição das características das
propostas. Constatado o baixo rigor científico;
Predominância de trabalhos que não utilizam conjunto
de dados disponíveis publicamente;
Registros expressivo de propostas sobre redes de
sensores e redes ad-hoc;
Utilização de novos conjunto de dados;
Grande quantidade de estudos utilizaram padrões
baseados em aprendizado de máquina e redes neurais;
16 de 16