Um estudo comparativo da capacidade de detecção e desempenho dos Sistemas de Detecção e Prevenção de Intrusão Snort, Suricata e OSSEC

Jorge, Geyciane Tavares

Use este identificador para citar ou linkar para este item: http://repositorio.ufc.br/handle/riufc/24836

Tipo:	TCC
Título:	Um estudo comparativo da capacidade de detecção e desempenho dos Sistemas de Detecção e Prevenção de Intrusão Snort, Suricata e OSSEC
Autor(es):	Jorge, Geyciane Tavares
Orientador:	Bonfim, Michel Sales
Palavras-chave:	Redes de Computadores - Segurança;Segurança da Informação;Desempenho
Data do documento:	2016
Citação:	JORGE, Geyciane Tavares. Um estudo comparativo da capacidade de detecção e desempenho dos sistemas de detecção e prevenção de intrusão Snort, Suricata e OSSEC. 2016. TCC (Graduação em Redes de Computadores) - Universidade Federal do Ceará, Campus de Quixadá, Quixadá, 2016.
Resumo:	É notável o crescimento exponencial nos últimos anos de dispositivos conectados à Internet e isso consequentemente gera muita insegurança sobre estar ou não protegido contra ataques maliciosos, e ferramentas como essas auxiliam na identificação de possíveis ataques, muitas não são capazes de conter qualquer ataque que a rede ou host sofra, pois atuam em sua maioria em modo passivo, apenas notificando ao administrador sobre atividades que geram alertas no ambiente monitorado. Sistema de Detecção e Prevenção de Intrusão (Intrusion Detection and Prevention System - IDPS) são sistemas já consolidados e presentes na realidade das organizações que possuam uma pequena ou grande rede de computadores interligados. A função principal desse tipo de ferramenta, tem como o propósito realizar a detecção de intrusos que queiram realizar atividades maliciosas como roubo de informações e realizar alguma instrução interromper qualquer ataque. O funcionamento de uma ferramenta IDPS é basicamente verificar e detectar comportamentos maliciosos que ocorram dentro de uma rede ou um simples host que esteja sendo monitorado. Para a implementação de IDPS é preciso conhecer o seu funcionamento e as configurações mínimas, no entanto se essas informações básicas não forem consideradas há o risco utilizar o Sistema de Detecção e Prevenção de Intrusão incorreto gerando detecções incorretas ou fazer excessivo uso dos recursos computacionais. Este trabalho visa compara os IDPS Snort, Suricata e OSSEC para avaliar o desempenho e taxa de detecção de cada um deles, executando diversos testes de intrusão e com inúmeros usuário gerando tráfego ao mesmo tempo. Para tal, utilizamos as ferramentas Pytbull, que geral uma grande quantidade de ataques de intrusão e o iPerf usado para criar todo o tráfego na rede. Após a realização dos identificamos que os IDPSs OSSEC e Suricata apresentaram resultados satisfatórios para a taxa de detecção e desempenho, o OSSEC por sua vez se destacou mais e obteve os melhores resultados nos dois testes realizados.
Abstract:	It is notable the exponential growth of Internet-connected devices in recent years and this consequently generates a great deal of insecurity about whether or not it is protected against malicious attacks, and such tools assist in identifying possible attacks, many are not capable of containing any attack that the network or host suffers because they mostly act in passive mode, only notifying the administrator about activities that generate alerts in the monitored environment. Intrusion Detection and Prevention System (IDPS) are systems already consolidated and present in the reality of organizations that have a small or large network of interconnected computers. The main function of this type of tool is to detect intruders who want to perform malicious activities such as information theft and perform some instruction to stop any attack. The operation of an IDPS tool is basically to check and detect malicious behavior that occurs within a network or a simple host being monitored. For the implementation of IDPS it is necessary to know its operation and the minimum configurations, however, if this basic information is not considered there is a risk to use the incorrect Intrusion Detection and Prevention System, generating incorrect detections or making excessive use of computational resources. This work compares the Snort, Suricata, and OSSEC IDPS to evaluate the performance and detection rate of each of them, performing several intrusion tests and with numerous users generating traffic at the same time. To do this, we use the Pytbull tools, which generally a lot of intrusion attacks and the Iperf used to create all the traffic on the network. With the results, it was possible to identify how the IDPS behaved and which one presented more satisfactory results.
URI:	http://www.repositorio.ufc.br/handle/riufc/24836
Aparece nas coleções:	REDES DE COMPUTADORES - QUIXADÁ - Monografias

Arquivos associados a este item:

Arquivo	Descrição	Tamanho	Formato
2016_tcc_gtjorge.pdf		509,63 kB	Adobe PDF	Visualizar/Abrir

Mostrar registro completo do item Visualizar estatísticas