Deteção de falsos alertas de intrusão em redes de computadores

Abstract

Nos dias que correm, assiste-se a um aumento significativo e constante dos sistemas de informação e, incontornavelmente, ao acréscimo de dados sensíveis no espaço online. Essa informação passa a ser mais facilmente armazenada, acedida e trabalhada pelas entidades fidedignas, mas, por outro lado, passa a estar mais suscetível a ataques, intrusões ou acessos indevidos. Desta forma, a segurança informática é cada vez mais um assunto fulcral e imprescindível e, apesar de existirem já alguns métodos, técnicas e sistemas capazes de identificar e bloquear a proliferação das ditas intrusões, existem ainda lacunas e aspetos a melhorar constantemente nestas soluções. Esta dissertação tem como finalidade estudar e avaliar uma das soluções para o problema mencionado: o sistema de deteção de intrusões (IDS). Estes sistemas têm como objetivo monitorar, identificar e notificar a ocorrência de atividades maliciosas ou suspeitas, que tenham como alvo e coloquem em risco ativos de tecnologia de uma rede de computadores. Pretende-se comparar dois IDS, Snort versus Suricata, numa framework para o efeito, de forma a monitorizar os seus desempenhos, tanto ao nível da eficiência como da exatidão. Esta comparação servirá de alicerce para um melhor estudo dos alertas gerados por cada IDS, dando especial atenção aos falsos positivos.

These days, there is a significant and constant increase in information systems and, inevitably, a growth of sensitive data in the online space. This information becomes more easily stored, accessed and handled by the trusted entities, but, on the other hand, it becomes more susceptible to attacks, intrusions or improper access. In this way, computer security is increasingly a central and indispensable subject and, although there are already some methods, techniques and systems able to identify and block the proliferation of said intrusions, there are still gaps and aspects to constantly improve in these solutions. This dissertation aims to study and evaluate one of the solutions to the mentioned problem: the intrusion detection system (IDS). These systems aim to monitor, identify and report malicious or suspicious activities, that target and threaten the technological assets of a computer network. It is intended to compare two IDSs, Snort versus Suricata, in a framework for this purpose, in order to monitor their performance, both in terms of efficiency and accuracy. This comparison will serve as a foundation for a better study of the alerts generated by each IDS, paying attention to false positives.