Resumo: | O sistema detector de intrusões é um software capaz de identificar, em tempo real, o
uso não autorizado ou abuso de um sistema por intrusos tanto locais como externos.
Entretanto, no cenário atual, se torna cada vez mais difícil encontrar ameaça em meios
que trafegam volumes imensos de dados. Esta monografia apresenta uma arquitetura
escalável capaz de coletar dados de rede de várias maquinas diferentes e processá-los em
ambiente distribuído. A fim de atingir esse objetivo, foram adaptados dois programas que
fazem parte de um framework para monitoramento de sistemas distribuídos em tempo real
baseado no Apache Storm [28] [43]: o Resource Monitor, que é responsável por capturar
dados da máquina no qual ele está sendo executado, e o Storm Engine, que é encarregado
por processar os dados em um ou mais computadores. Neste projeto foram criadas funcionalidades
de detecção de intrusão, começando pelo Resource Monitor adicionando a
captura de pacotes e no Storm Engine, criou-se um detector de intrusão. Para se encontrar
vulnerabilidades, são necessárias assinaturas de ataques que possuem padrões que podem
ser combinados com os pacotes capturados. Com isso, foram utilizadas as assinaturas
do Snort [37], um sistema detector de intrusão livre tido como referência em detecção de
intrusão. Esta arquitetura será apresentada em detalhes, evidenciando suas vantagens e
desvantagens. Foram realizados testes em cada módulo do sistema e também na solução
completa para demonstrar seu funcionamento e suas limitações. ________________________________________________________________________________ ABSTRACT A intrusion detection system is a software or hardware able to identify in real time the
unauthorized use or abuse of a system by local and external intruders. However, nowadays
it is more difficult to find threats in bulk network data. This article presents a architecture
able to collect network data from many different machines and process them in a high
performance cluster. Therefore, this project adapted two pieces of software that are
components of a real time distributed system monitor based on Apache Storm [28] [43]:
The Resource Monitor, witch is responsible for capture data from it host machine, and
the Storm Engine, witch is responsible for process the data in one or more computers. In
the project were created the intrusion detection functionalities, stating by the Resource
Monitor adding packet capture and later in the Storm Engine it was created a intrusion
detecting engine. To find vulnerabilities, signatures of pattern of attacks are needed so it
can be can matched with the captured packets. Therefore were used the Snort’s signatures
[37], a open source intrusion detection system which is reference in intrusion detection.
This architecture will be presented in details, pointing its advantages and disadvantages.
Tests were performed in each module of this system and then in the hole solution to
demonstrate its functions and limitations. |