Nariz - um sistema de correlacionamento distribuído de alertas

Abstract

Resumo: Com o aumento das taxas transmissão de dados em redes, novos tipos de ataques e suas quantidades têm aumentado. Sistemas de detecção de intrusão são ferramentas essenciais para a segurança de redes de computadores. Esses sistemas, quando implementados em redes com altas taxas de tráfego e ataques, processam muitas informações e podem gerar grandes volumes de evidências de tentativas de ataques através de alertas. Torna-se portanto necessário um sistema que produza, de forma resumida, evidências para análise por um humano. Esse trabalho descreve um sistema de correlacionamento distribuído de alertas, chamado Nariz. O Nariz baseia-se em duas fases de correlacionamento, com préprocessamento local e pós-processamento distribuído. O correlacionamento distribuído de alertas é uma técnica nova de correlacionamento de alertas. O sistema Nariz visa correlacionar alertas de forma distribuída em uma rede de alta velocidade, através de sub-sistemas de correlacionamento que podem ser executados em computadores com custo menor do que em sistemas centralizados. O correlacionamento distribuído utiliza troca de mensagens entre seus correlacionadores, que estão espalhados pela rede. O alerta é encaminhado ao administrador da rede quando o sistema tem vários indícios sobre uma tentativa de ataque. Mostramos em resultados experimentais que com esse mecanismo o Nariz pode reduzir o número de alertas sobre um mesmo evento, bem como o número de falsos positivos.

Abstract: The ever increasing network transmission rates give rise to new forms of attack as well as to an increase in their frequency. Intrusion detection systems (IDS) are essencial to computer network security. When these systems operate in networks with high traffic densities, and therefore under frequent attacks, they must process a big amount of information and thus may produce large number of reports of intrusion attempts. It is important that an IDS generate reports in a volume that are suitable for analysis by a human being. A distributed alert correlation system, named Nariz (nose) is described. This system is composed by several instances of alert correlators, and these correlate intrusion alerts in two steps, first locally and then accross all Narizes. The distibuted correlation of alerts is a new technique that is well suited to high speed networks since it can be implemented on machines with lower computing power than it would be possible with centralized correlation. Lower power machines are normally also lower cost machines. The individual correlators exchange messages to correlate intrusion alerts and a message is sent to a human manager whenever the distributed system collects enough information regarding an intrusion attempt. In this way, we show through experimental results that the Nariz system can reduce the number of messages sent to the human overseers, while eliminating some of the false positives.