Uma abordagem de detecção de intrusão baseada no sistema imunológico humano

Abstract

Este trabalho aborda o problema de segurança em sistemas computacionais considerando a geração, coleta e interpretação dos registros de atividades. Como ponto de partida considerou-se as características dos sistemas de detecção de intrusão estudados, ASAX, IDA, STAT. O propósito deste trabalho é uma solução para o problema de detecção de intrusão observando algumas características do sistema imunológico humano baseado na monitoração dos registros de atividades. Esta abordagem incorpora algumas características encontradas nos sistemas de detecção estudados tais como: análise dos registros de atividades de maneira seqüencial, universalidade no ambiente UNIX, reconhecimento de anomalias, bem como emissão de alarmes ao administrador. Para a implementação da abordagem foram necessários alguns assuntos para embasamento do tema, tais como: os conceitos do sistema imunológico humano, segurança de computadores, detecção de intrusão. Também considerou-se uma abordagem comparativa entre segurança de computadores e o sistema imunológico, levando-se em conta os conceitos e as características do sistema operacional UNIX. Os hosts escolhidos para monitoração pertencem ao parque computacional da UFSC, tendo um período de monitoração de cinco meses. Os registros coletados são classificados em dois conjuntos atividades normais (self) e as atividades intrusas (nonself). A interpretação é feita através de gráficos e tabelas, a qual mostra a natureza das intrusões ocorridas no período de monitoração. E também aponta quais os serviço de rede mais utilizados e por conseqüência apresentam maior vulnerabilidade.