Uma arquitetura distribuída aplicada ao tratamento de registros de segurança de rede

Abstract

A Internet tem se tornado um ambiente cada vez mais hostil, visto o crescimento dos ataques bem como a gravidade dos danos causados por eles. Sistemas de segurança como IDS e honeypot são componentes essenciais em um ambiente de rede seguro, permitindo proativamente a detecção de atividades maliciosas e ataques. Através das informações fornecidas por esses sistemas é possível aplicar contramedidas e mitigar os ataques que, por outro lado, poderiam comprometer seriamente a segurança da rede. No entanto, o atual crescimento do volume de tráfego de rede compromete a maioria das técnicas de IDS e Honeypot. Por isso, tais medidas de proteção requerem novas abordagens capazes de lidar com grandes quantidades de tráfego durante a análise, mantendo o desempenho e a escalabilidade. O presente trabalho propõe uma arquitetura de computação distribuída executada em nuvem para tratamento dos logs de segurança. A coleta descentralizada de dados realizada por vários sensores reúne informações abrangentes em vários níveis, dando um panorama completo do sistema monitorado. Toda a informação coletada de várias fontes é armazenada, processada e correlacionada de forma distribuída, em conformidade com o paradigma de computação MapReduce. A arquitetura proposta é capaz de lidar eficientemente com grandes volumes de dados coletados e altas cargas de processamento, sendo facilmente escalável, além de apresentar capacidade de detecção de ataques complexos através da correlação das informações obtidas a partir de diferentes fontes, identificando padrões que não seriam aparentes através da captura de tráfego centralizado ou da análise de logs de um único host. A pesquisa resultou ainda no desenvolvimento de um sistema totalmente distribuído de coleta, armazenamento e processamento de logs de segurança, sistema esse que se encontra operacional para tratamento e combate a intrusões e atividades maliciosas. ______________________________________________________________________________ ABSTRACT

The Internet is becoming an increasingly hostile environment as a consequence of both the growing attack volume and the resulting damage. Network security systems such as Intrusion Detection Systems (IDS) and honeypots are essential components of a secure network environment, allowing for early detection of attacks and malicious activities. Analyzing the data provided by these systems it is possible to react quickly to malicious activities by applying the necessary countermeasures and mitigating attacks that could seriously compromise network service integrity. However, the current growing volume of network traffic overwhelms most of current IDS and Honeypot systems, raising the need for new data analysis approaches capable of handling massive network traffic data with the required performance and scalability. In this work we propose a distributed architecture based on the cloud computing paradigm for analyzing security related data and logs. Building on a decentralized data collection mechanism based on network sensors distributed among different network nodes, our architecture analyses each network environment as a whole, providing a thorough view of network activity and potentially harmful actions. All the acquired data is stored, processed and analyzed in a distributed environment through the MapReduce framework. The proposed architecture can be efficiently scaled to handle high data storage and processing requirements. Furthermore, taking into consideration data collected from different portions and levels of the network, our architecture is capable of detecting complex distributed attacks that wouldn't be perceived by centralized network data collection approaches. This work resulted into a totally distributed and efficient data acquisition, storage and processing system for network security related data and logs, representing a milestone in network security monitoring and countermeasures against network intrusions and malicious activities.