Ambiente de análise de ameaças para geração de inteligência de ameaças usando fontes abertas

Abstract

A análise de ataques a redes de computadores é complexa dado o volume de dados trafegados e a quantidade elevada de máquinas, mesmo em pequenas redes. O volume de dados é grande e o tempo para processá-los e analisá-los é curto. Todo dia uma nova ameaça ou um novo ataque são criados e dissipados na Internet. O trabalho teve como o objetivo utilizar ferramentas de particionamento não supervisionado para análise e extração de informações, que foram obtidas de fontes abertas. Inicialmente os dados foram obtidos do site da Norse Corporation. Resultados significativos foram obtidos, informações sobre ataques em portas com valores acima de 50.000 que são realizados principalmente por atacantes chineses. Corroborando essa informação várias empresas reportaram a existência de backdoors nessas portas em roteadores de fabricantes chinesas. Devido a limitações processo, que era centralizado e utilizava técnicas tradicionais, o objetivo evoluiu. O foco agora era desenvolver uma arquitetura robusta, elástica e escalável que faz uso de técnicas de processamento com o uso do Hadoop para que assim as informações sejam disponibilizadas em tempo hábil. Dessa forma novas fontes de dados sobre ataques puderam ser incluídas de forma a diversificar as informações presentes na base de dados. Com mais de 20 milhões de ataques no sistema uma análise muito mais profunda pode ser realizada, apresentando uma série de resultados animadores. Além disso, o objetivo foi atingido, a arquitetura proposta foi implementada e possui todas as características desejadas processando os dados em tempo quase real. O sistema provê informação de inteligência sobre ataques em grande escala com agilidade e eficiência. Sua utilização é proveitosa em diversas organizações que baseiam seu funcionamento em sistemas computacionais, e ainda para nações que desejam proteger sua infraestrutura de forma pró-ativa.