Storm IDS : um sistema de detecção de intrusão escalável e distribuído

Abstract

O sistema detector de intrusões é um software capaz de identificar, em tempo real, o uso não autorizado ou abuso de um sistema por intrusos tanto locais como externos. Entretanto, no cenário atual, se torna cada vez mais difícil encontrar ameaça em meios que trafegam volumes imensos de dados. Esta monografia apresenta uma arquitetura escalável capaz de coletar dados de rede de várias maquinas diferentes e processá-los em ambiente distribuído. A fim de atingir esse objetivo, foram adaptados dois programas que fazem parte de um framework para monitoramento de sistemas distribuídos em tempo real baseado no Apache Storm [28] [43]: o Resource Monitor, que é responsável por capturar dados da máquina no qual ele está sendo executado, e o Storm Engine, que é encarregado por processar os dados em um ou mais computadores. Neste projeto foram criadas funcionalidades de detecção de intrusão, começando pelo Resource Monitor adicionando a captura de pacotes e no Storm Engine, criou-se um detector de intrusão. Para se encontrar vulnerabilidades, são necessárias assinaturas de ataques que possuem padrões que podem ser combinados com os pacotes capturados. Com isso, foram utilizadas as assinaturas do Snort [37], um sistema detector de intrusão livre tido como referência em detecção de intrusão. Esta arquitetura será apresentada em detalhes, evidenciando suas vantagens e desvantagens. Foram realizados testes em cada módulo do sistema e também na solução completa para demonstrar seu funcionamento e suas limitações. ________________________________________________________________________________ ABSTRACT

A intrusion detection system is a software or hardware able to identify in real time the unauthorized use or abuse of a system by local and external intruders. However, nowadays it is more difficult to find threats in bulk network data. This article presents a architecture able to collect network data from many different machines and process them in a high performance cluster. Therefore, this project adapted two pieces of software that are components of a real time distributed system monitor based on Apache Storm [28] [43]: The Resource Monitor, witch is responsible for capture data from it host machine, and the Storm Engine, witch is responsible for process the data in one or more computers. In the project were created the intrusion detection functionalities, stating by the Resource Monitor adding packet capture and later in the Storm Engine it was created a intrusion detecting engine. To find vulnerabilities, signatures of pattern of attacks are needed so it can be can matched with the captured packets. Therefore were used the Snort’s signatures [37], a open source intrusion detection system which is reference in intrusion detection. This architecture will be presented in details, pointing its advantages and disadvantages. Tests were performed in each module of this system and then in the hole solution to demonstrate its functions and limitations.