Please use this identifier to cite or link to this item:
http://repositorio.ufc.br/handle/riufc/85881| Type: | TCC |
| Title: | Análise comparativa das ferramentas IDS Open Source Snort, Suricata e Zeek para detecção de ataques em redes IOT |
| Authors: | Lima, Lucas Ferreira |
| Advisor: | Bonfim, Michel Sales |
| Keywords in Brazilian Portuguese : | detecção de intrusão;IDS Open Source;segurança IOT |
| Knowledge Areas - CNPq: | CNPQ: CIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃO |
| Issue Date: | 2026 |
| Citation: | LIMA, Lucas Ferreira. Análise comparativa das ferramentas IDS Open Source Snort, Suricata e Zeek para detecção de ataques em redes IOT. 2026. 76 f. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) - Campus de Quixadá, Universidade Federal do Ceará, Quixadá, 2026. |
| Abstract in Brazilian Portuguese: | O crescimento exponencial de dispositivos da Internet das Coisas (IoT) tem ampliado significativamente a superfície de ataque em infraestruturas críticas, tornando os sistemas de detecção de intrusão (IDS) componentes indispensáveis para a segurança de redes modernas. Esta pesquisa apresenta uma análise comparativa das ferramentas open source Snort, Suricata e Zeek, avaliando sua eficácia contra uma grupo abrangente de ameaças, incluindo Ataque de Negação de Serviço Distribuído (DDoS), Port Scanning, Ransomware e injeções Web, provenientes do dataset EdgeIIoTset, com foco exclusivo na análise de tráfego malicioso. Para a condução dos experimentos, utilizou-se o framework Dalton para orquestração de contêineres, garantindo o isolamento e a reprodutibilidade dos testes. Como diferencial metodológico, foram desenvolvidos e executados scripts de parsing customizados, essenciais para a normalização dos logs heterogêneos e a extração precisa de métricas de detecção e consumo de recursos. Os resultados evidenciaram perfis distintos: o Snort obteve a maior precisão (91,5%), ideal para minimização de falsos positivos, mas falhou na detecção de ataques complexos, o Zeek alcançou o maior recall (94,0%) com consumo de CPU inferior a 2%, destacando-se pela eficiência e o Suricata apresentou o melhor equilíbrio (F1-Score de 77,6%) e robustez em ataques volumétricos. Portanto, conclui-se que o Suricata é a solução mais indicada para gateways IoT, devido à sua resiliência e capacidade de detecção profunda, enquanto o Zeek recomenda-se para sensores IoT com severas restrições de hardware, onde a visibilidade leve é prioritária sobre o bloqueio ativo. |
| Abstract: | The exponential growth of Internet of Things (IoT) devices has significantly expanded the attack surface of critical infrastructures, making intrusion detection systems (IDS) indispensable components for the security of modern networks. This research presents a comparative analysis of the open-source tools Snort, Suricata, and Zeek, evaluating their effectiveness against a comprehensive set of threats, including DDoS, Port Scanning, Ransomware, and Web injection attacks, derived from the Edge-IIoTset dataset, with an exclusive focus on malicious traffic analysis. To conduct the experiments, the Dalton framework was employed for container orchestration, ensuring test isolation and reproducibility. As a methodological contribution, custom parsing scripts were developed and executed, which were essential for normalizing heterogeneous logs and accurately extracting detection metrics and resource consumption data. The results revealed distinct operational profiles: Snort achieved the highest precision (91.5%), making it suitable for minimizing false positives but ineffective in detecting complex attacks; Zeek attained the highest recall (94.0%) while maintaining CPU usage below 2%, standing out for its efficiency; and Suricata provided the best overall balance, with an F1-Score of 77.6%, in addition to demonstrating robustness under volumetric attack scenarios. Therefore, it is concluded that Suricata is the most suitable solution for IoT gateways due to its resilience and deep detection capabilities, whereas Zeek is recommended for IoT sensors with severe hardware constraints, where lightweight visibility is prioritized over active blocking. |
| URI: | http://repositorio.ufc.br/handle/riufc/85881 |
| Advisor's ORCID: | https://orcid.org/0000-0001-8665-3675 |
| Advisor's Lattes: | http://lattes.cnpq.br/9486997773441668 |
| Access Rights: | Acesso Aberto |
| Appears in Collections: | CIÊNCIA DA COMPUTAÇÃO-QUIXADÁ - Monografias |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| 2026_tcc_lflima.pdf | 2,16 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.