Logo PUCPR

SISTEMA DE DETECÇÃO DE INTRUSÃO PARA INFRAESTRUTURA COMO CÓDIGO

MORAES, Vinicius Koblinski de ¹; VIEGAS, Edurado Kugler ³; SANTIN, Altair Olivo ²
Curso do(a) Estudante: Bacharelado em Cibersegurança – Escola Politécnica – Câmpus Curitiba
Curso do(a) Orientador(a): Ciência da Computação – Escola Politécnica – Câmpus Curitiba

INTRODUÇÃO: As infraestruturas contemporâneas e a forma como usuários legítimos e maliciosos interagem com sistemas através das redes de computadores estão em permanente evolução, interpondo um desafio significativo aos Sistemas de Detecção de Intrusão baseados em rede (NIDS). De forma particular, aqueles que se amparam em comportamentos anômalos para classificar ataques dependem de atualizações nos datasets usados para treinar modelos baseados em Aprendizado de Máquina. Dessa dificuldade emerge a necessidade de criar ambientes dinâmicos que reflitam tanto as mudanças na infraestrutura, como as diferentes formas de ataque praticadas por hackers e as próprias mudanças no comportamento dos usuários. Ferramentas de definição e gerenciamento de infraestruturas por código (IaC), neste contexto, oferecem a possibilidade de criar ambientes simulados e modificá-los, de maneira a obter uma variedade de cenários para geração e coleta de tráfego atualizado. OBJETIVOS: Este trabalho procura desenvolver localmente uma infraestrutura de rede e de serviços realista provisionada e modificada por código, bem como gerar fluxos normais e ataques que são capturados e usados no treinamento de modelos de detecção de intrusão usando técnicas de Aprendizado de Máquina. O modelo deve ser testado em um ambiente sob maior fluxo de ataques. MATERIAIS E MÉTODO: É criado um ambiente de contêineres Docker provisionados usando Terraform, contando com um servidor web, banco de dados e um servidor LDAP. Cria-se, também, um contêiner roteador, contêineres clientes e um atacante. Através do Ansible, a infraestrutura sofre constantes alterações, passando por doze cenários diferentes. As interações dos clientes com o servidor também são calibradas de forma a simular comportamentos diversos. Enquanto isso, os fluxos de rede são coletados no roteador e, posteriormente, utilizados no desenvolvimento dos NIDS. RESULTADOS: Os NIDS desenvolvidos obtiveram altas taxas de precisão na classificação dos fluxos maliciosos e benignos, sendo que dois dos modelos testados alcaçaram mais de 98% de taxa de acerto para os acessos normais e mais de 92% para os ataques. CONSIDERAÇÕES FINAIS: Os resultados obtidos demonstraram a eficácia do uso de IaC para simular infraestruturas e fluxos de rede com a finalidade de desenvolver modelos de detecção que são, ao mesmo tempo, personalizados para o ambiente corporativo e preparados para lidar com circunstâncias inéditas.

PALAVRAS-CHAVE: Infraestrutura como Código; Sistemas de Detecção de Intrusão; Aprendizado de Máquina.

APRESENTAÇÃO EM VÍDEO

Legendas:
  1. Estudante
  2. Orientador
  3. Colaborador
Esta pesquisa foi desenvolvida com bolsa CNPq no programa PIBIC.

QUERO VOTAR NESTE TRABALHO

Para validarmos seu voto, por favor, preencha os campos abaixo. Alertamos que votos duplicados ou com CPF inválido não serão considerados. 

PROMOÇÃO E REALIZAÇÃO