Use este identificador para citar ou linkar para este item:
http://repositorio.ufc.br/handle/riufc/85881| Tipo: | TCC |
| Título: | Análise comparativa das ferramentas IDS Open Source Snort, Suricata e Zeek para detecção de ataques em redes IOT |
| Autor(es): | Lima, Lucas Ferreira |
| Orientador: | Bonfim, Michel Sales |
| Palavras-chave em português: | detecção de intrusão;IDS Open Source;segurança IOT |
| CNPq: | CNPQ: CIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃO |
| Data do documento: | 2026 |
| Citação: | LIMA, Lucas Ferreira. Análise comparativa das ferramentas IDS Open Source Snort, Suricata e Zeek para detecção de ataques em redes IOT. 2026. 76 f. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) - Campus de Quixadá, Universidade Federal do Ceará, Quixadá, 2026. |
| Resumo: | O crescimento exponencial de dispositivos da Internet das Coisas (IoT) tem ampliado significativamente a superfície de ataque em infraestruturas críticas, tornando os sistemas de detecção de intrusão (IDS) componentes indispensáveis para a segurança de redes modernas. Esta pesquisa apresenta uma análise comparativa das ferramentas open source Snort, Suricata e Zeek, avaliando sua eficácia contra uma grupo abrangente de ameaças, incluindo Ataque de Negação de Serviço Distribuído (DDoS), Port Scanning, Ransomware e injeções Web, provenientes do dataset EdgeIIoTset, com foco exclusivo na análise de tráfego malicioso. Para a condução dos experimentos, utilizou-se o framework Dalton para orquestração de contêineres, garantindo o isolamento e a reprodutibilidade dos testes. Como diferencial metodológico, foram desenvolvidos e executados scripts de parsing customizados, essenciais para a normalização dos logs heterogêneos e a extração precisa de métricas de detecção e consumo de recursos. Os resultados evidenciaram perfis distintos: o Snort obteve a maior precisão (91,5%), ideal para minimização de falsos positivos, mas falhou na detecção de ataques complexos, o Zeek alcançou o maior recall (94,0%) com consumo de CPU inferior a 2%, destacando-se pela eficiência e o Suricata apresentou o melhor equilíbrio (F1-Score de 77,6%) e robustez em ataques volumétricos. Portanto, conclui-se que o Suricata é a solução mais indicada para gateways IoT, devido à sua resiliência e capacidade de detecção profunda, enquanto o Zeek recomenda-se para sensores IoT com severas restrições de hardware, onde a visibilidade leve é prioritária sobre o bloqueio ativo. |
| Abstract: | The exponential growth of Internet of Things (IoT) devices has significantly expanded the attack surface of critical infrastructures, making intrusion detection systems (IDS) indispensable components for the security of modern networks. This research presents a comparative analysis of the open-source tools Snort, Suricata, and Zeek, evaluating their effectiveness against a comprehensive set of threats, including DDoS, Port Scanning, Ransomware, and Web injection attacks, derived from the Edge-IIoTset dataset, with an exclusive focus on malicious traffic analysis. To conduct the experiments, the Dalton framework was employed for container orchestration, ensuring test isolation and reproducibility. As a methodological contribution, custom parsing scripts were developed and executed, which were essential for normalizing heterogeneous logs and accurately extracting detection metrics and resource consumption data. The results revealed distinct operational profiles: Snort achieved the highest precision (91.5%), making it suitable for minimizing false positives but ineffective in detecting complex attacks; Zeek attained the highest recall (94.0%) while maintaining CPU usage below 2%, standing out for its efficiency; and Suricata provided the best overall balance, with an F1-Score of 77.6%, in addition to demonstrating robustness under volumetric attack scenarios. Therefore, it is concluded that Suricata is the most suitable solution for IoT gateways due to its resilience and deep detection capabilities, whereas Zeek is recommended for IoT sensors with severe hardware constraints, where lightweight visibility is prioritized over active blocking. |
| URI: | http://repositorio.ufc.br/handle/riufc/85881 |
| ORCID do Orientador: | https://orcid.org/0000-0001-8665-3675 |
| Currículo Lattes do Orientador: | http://lattes.cnpq.br/9486997773441668 |
| Tipo de Acesso: | Acesso Aberto |
| Aparece nas coleções: | CIÊNCIA DA COMPUTAÇÃO-QUIXADÁ - Monografias |
Arquivos associados a este item:
| Arquivo | Descrição | Tamanho | Formato | |
|---|---|---|---|---|
| 2026_tcc_lflima.pdf | 2,16 MB | Adobe PDF | Visualizar/Abrir |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.