Correlação de alertas em um Internet Early Warning System

Authors

  • Tarcisio Ceolin Junior
  • Osmar Marchi dos Santos
  • Simone Regina Ceolin
  • Andrei Piccinini Legg

DOI:

https://doi.org/10.55905/oelv21n8-023

Keywords:

correlação de alertas, detecção de intrusão

Abstract

Sistemas de Detecção de Instrução (Intrusion Detection Systems – IDS) são projetados para monitorar possíveis ataques à infraestruturas da rede através da geração de alertas. Com a crescente quantidade de componentes conectados na rede, os IDS tradicionais não estão sendo suficientes para a efetiva detecção de ataques maliciosos, tanto pelo volume de dados como pela crescente complexidade de novos ataques. Nesse sentido, a construção de uma arquitetura Internet Early Warning Systems (IEWS) possibilita detectar precocemente as ameaças, antes de causar algum perigo para os recursos da rede. O IEWS funciona como um coletor de diferentes geradores de alertas, possivelmente IDS, centralizando e correlacionado informações afim de gerar uma visão holística da rede. Sendo assim, o trabalho tem como objetivo descrever uma arquitetura IEWS para a correlação de alertas gerados por IDS dispersos em conjunto com Georreferenciamento de endereços IP. Os resultados obtidos nos experimentos, realizados sobre a implementação da técnica desenvolvida, mostraram a viabilidade da técnica na redução de alertas classificados como falsos-positivos. Isso demonstra a aplicabilidade da proposta como base para o desenvolvimento de técnicas mais apuradas de detecção dentro da arquitetura de IEWS estendida.

References

APEL, M. et al. Early Warning System on a National Level. 1st European Workshop on Internet Early Warning and Network Intelligence (EWNI), [S.l.], 2010.

BSUFKA, K.; KROLL-PETERS, O.; ALBAYRAK, S. Intelligent network-based early warning systems. Critical Information Infrastructures, [S.l.], 2006.

DEBAR, H.; CURRY, D.; FEINSTEIN, B. The intrusion detection message exchange format (IDMEF). [S.l.: s.n.], 2007.

GOLLING, M.; STELTE, B. Requirements for a future EWS-Cyber Defence in the internet of the future. 2011 3rd International Conference on Cyber Conflict (ICCC), [S.l.], p.1–16, 2011.

KHRAISAT, A. et al. Survey of intrusion detection systems: techniques, datasets and challenges. Cybersecurity, v. 2, n. 1, p. 20, 17 jul. 2019.

ONWUBIKO, C. Functional requirements of situational awareness in computer network secu- rity. Intelligence and Security Informatics, 2009. ISI, [S.l.], p.209–213, 2009.

PORRAS, P.; NEUMANN, P. EMERALD: event monitoring enabling response to anomalous live disturbances. Proceedings of the 20th national information, [S.l.], 1997.

PRELUDE. Prelude SIEM. Acesso em 10/08/2022, Disponível em http://www.prelude- ids.com/index.php/uk/.

RAMADAS, M.; OSTERMANN, S.; TJADEN, B. Detecting anomalous network traffic with self-organizing maps. Recent Advances in Intrusion Detection, [S.l.], p.36–54, 2003.

VALDES, A.; SKINNER, K. Probabilistic alert correlation. Recent Advances in Intrusion Detection, [S.l.], p.54–68, 2001.

Downloads

Published

2023-08-08

How to Cite

Ceolin Junior, T., dos Santos, O. M., Ceolin, S. R., & Legg, A. P. (2023). Correlação de alertas em um Internet Early Warning System. OBSERVATÓRIO DE LA ECONOMÍA LATINOAMERICANA, 21(8), 8196–8216. https://doi.org/10.55905/oelv21n8-023

Issue

Vol. 21 No. 8 (2023)

Section

Articles

License

Copyright (c) 2023 OBSERVATÓRIO DE LA ECONOMÍA LATINOAMERICANA

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

Most read articles by the same author(s)