CENTRO UNIVERSITÁRIO FEEVALE

FABIANO BENDER

CORRELAÇÃO DE EVENTOS EM IDS – UM ESTUDO TEÓRICO E

EXPERIMENTAL UTILIZANDO A FERRAMENTA SEC NO SNORT
(Título Provisório)

Anteprojeto de Trabalho de Conclusão

Novo Hamburgo, setembro de 2007.

 FABIANO BENDER
fabianobender@yahoo.com.br

CORRELAÇÃO DE EVENTOS EM IDS – UM ESTUDO TEÓRICO E

EXPERIMENTAL UTILIZANDO A FERRAMENTA SEC NO SNORT
(Título Provisório)

Centro Universitário Feevale

Instituto de Ciências Exatas e Tecnológicas
Curso de Ciência da Computação
Anteprojeto de Trabalho de Conclusão

Professor orientador: Eduardo Leivas Bastos

Novo Hamburgo, setembro de 2007.

 RESUMO

Este trabalho atua na área de redes de computadores, com o foco especificamente

voltado para a segurança da informação. A expansão da Internet nos últimos anos tornou-a
cada vez mais acessível nos dias de hoje, proporcionando o aumento de riscos de incidentes
de segurança para as empresas. Tecnologias como Firewall, antivírus e Sistemas de Detecção
de Intrusão (IDS – Intrusion Detection Systems) têm a finalidade de proteger as empresas de
ataques e vazamento de dados pela rede. O IDS, componente essencial e cuja utilização cresce
cada vez mais, possui diversos registros de eventos que ocorrem em uma rede, nem sempre
claros e precisos para o administrador, que costuma perder boa parte do seu tempo analisando
log’s. A correlação de eventos minimiza o tempo perdido, resumindo os log’s com
informações mais completas e precisas, mas por ser uma tecnologia existente na maioria dos
IDS comerciais, o custo de sua aquisição nem sempre é possibilitado. Visando resolver o
problema, Risto Vaarandi desenvolveu uma ferramenta denominada SEC (Simple Event
Correlator), possibilitando integrar a correlação de eventos a aplicações de código-aberto
(open source), entre elas o IDS Snort. O presente trabalho tem o propósito de apresentar o
SEC integrado ao IDS Snort, comparando os resultados obtidos e apresentando as melhorias
do uso desta ferramenta.

Palavras-chave: Redes de computadores. Segurança da informação. IDS. Correlação de

eventos. Snort.
 SUMÁRIO

MOTIVAÇÃO ...........................................................................................................................5

OBJETIVOS ..............................................................................................................................8

METODOLOGIA ......................................................................................................................9

CRONOGRAMA ....................................................................................................................10

BIBLIOGRAFIA ....................................................................................................................11
 MOTIVAÇÃO

Em virtude do crescimento exponencial da Internet nos últimos anos, tanto nos países
desenvolvidos como nos países subdesenvolvidos, a proliferação de ataques de hackers e a
disseminação de vírus e spams têm levado a conseqüentes prejuízos, freqüentemente
testemunhados não só por usuários domésticos, mas também pelas empresas de médio e
grande porte. Conforme estatísticas do site da Rede Nacional de Ensino e Pesquisa (RNP), o
número de incidentes com segurança em redes nos últimos anos aumentou consideravelmente.
Em 2006, foram registrados 70815 incidentes contra 61323 ocorridos no ano de 2005. As
estatísticas do site CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil) apontam 197892 incidentes em 2006 contra 68000 em 2005. De acordo
com a 9ª Pesquisa Nacional de Segurança da Informação realizada pela empresa Módulo
Security em outubro de 2003, 60% das empresas indicam a Internet como o principal ponto de
invasão em seus sistemas.

Atualmente, as empresas podem contar com ferramentas para evitar problemas de

segurança em redes locais, como diversos tipos de Firewall, antivírus, criptografia de dados e
sistemas de detecção de intrusão (IDS – Intrusion Detection Systems). A preocupação com os
dados e a segurança da informação levam as empresas a adotarem tais tipos de ferramentas
com uma intensidade cada vez maior. A empresa norte-americana PatchLink apresenta uma
pesquisa em agosto de 2007 sobre a preocupação das empresas com questões de segurança,
realizada com 250 profissionais da área de TI nos Estados Unidos, Europa e Ásia, onde 54%
apontam os ataques do tipo zero-day1, seguidos de 35% de ataques dos hackers e 34% de
malwares e spywares. O IDS pode ser visto como um componente para ser utilizado em
conjunto com um Firewall e outras tecnologias. Conforme Koziol (2003), um IDS não
corresponde a uma solução de segurança completa.

____________________________________________
1
Ataques baseados em falhas desconhecidas ou que ainda não possuem correção por parte dos desenvolvedores
e fabricantes.
 6

Um IDS é definido como “[...] software, hardware ou a combinação das duas coisas
para detectar a atividade de um intruso.” (REHMAN, 2003, p. 8). Trata-se de um sistema que
tem a finalidade de identificar ataques por meio da análise dos pacotes de uma rede, munido
de um conjunto de regras, também conhecidas como assinaturas. Ao detectar determinadas
requisições incomuns nos pacotes de uma rede, o IDS dispara um alarme, alertando o
administrador da rede sobre uma possível ameaça. Os IDS podem ser divididos em IDS
baseados em host (HIDS – Host-based IDS) e IDS baseados em rede (NIDS – Network-based
IDS). Os HIDS monitoram atividades relacionadas ao sistema operacional, memória RAM e
outros componentes de um determinado sistema, enquanto que os NIDS trabalham com
monitoramento de pacotes que trafegam em uma rede, verificando possíveis ataques e
tentativas de intrusão.

Entre os IDS existentes, o Snort, desenvolvido em 1998 por Martin Roesch2,

caracteriza-se por ser uma ferramenta de código-aberto (open source) e multiplataforma. De
acordo com o seu site oficial3, o Snort é capaz de analisar protocolos, conteúdos de
busca/combinação e detecção de uma variedade de ataques em uma rede. Snort é um NIDS
baseado em assinaturas que utiliza uma combinação de regras e pré-processadores para
análise de tráfego. As regras possibilitam a criação de assinaturas para examinar um único
pacote. Os códigos dos pré-processadores permitem o exame e manipulação de dados de uma
maneira que não é possível apenas com utilização de regras. (NORTHCUTT e NOVAK,
2002)

Segundo Rehman (2003, p. 12) os seguintes componentes fazem parte do Snort:

• Decodificador de pacotes (Packet Decoder)

• Pré-processadores (Preprocessors)

• Motor de detecção (Detection Engine)

• Sistema de log’s e alertas (Logging And Alerting System)

• Módulos de saída (Output Modules)

Os eventos registrados por um IDS podem chegar a um número elevado e repetitivo,

exigindo tempo e paciência do administrador de redes para analisá-los, ainda mais quando se
trabalha com outras ferramentas de fabricantes diferentes. Para economizar o tempo de
monitoramento sobre os alertas e demais registros, a tecnologia de correlação de eventos

____________________________________________
2
Fundador da empresa SourceFire e principal desenvolvedor do IDS Snort, é Bacharel em Ciência em
Engenharia Elétrica/Computação na Clarkson University, Estados Unidos
3
SNORT – the de facto standard for intrusion detection/prevention. Site oficial: http://www.snort.org
 7

torna-se necessária para aperfeiçoar a visão desses registros e, consequentemente, a tomada de

decisão. Segundo Ruiz e Nogueira (2001, p. 3):

Correlação de eventos eficiente e precisa é essencial para reduzir custos com

manutenção da rede e melhorar a disponibilidade e o desempenho dos
serviços da rede. Dados brutos são interpretados e analisados, levando em
consideração um conjunto de critérios pré-estabelecidos, ou definidos
dinamicamente em função do processo de gerência.

A correlação de eventos na segurança corresponde à evolução da identificação da

ameaça e o processo da avaliação, onde a verificação é realizada não somente em eventos
individuais, mas também no seu conjunto, a partir de um parâmetro em comum.
(CHUVAKIN, 2004).

Existente em boa parte das ferramentas comerciais de IDS, a tecnologia de correlação

de eventos pode ser incorporada ao Snort a partir de uma ferramenta open source e
multiplataforma desenvolvida por Risto Vaarandi4, denominada SEC (Simple Event
Correlator). Escrita na linguagem Perl, a ferramenta SEC é baseada em regras para eventos
processados, devido à sua naturalidade na representação do conhecimento e na transparência
da correlação de eventos. A configuração do SEC é localizada em arquivos-texto contendo
regras e configurações de regras de outros arquivos diferentes atuando em paralelo. A leitura
dos dados linha por linha é realizada a partir das fontes de entrada, comparando cada linha
com as regras localizadas nos arquivos de configuração. (VAARANDI, 2006).

Este trabalho tem como fundamento testar o poder da tecnologia de correlação de

eventos no IDS Snort através da utilização da ferramenta SEC em diversos cenários
experimentais, observando o registro de eventos do Snort gerados pela sua instalação padrão
(sem a utilização do SEC) e, posteriormente, com a aplicação do SEC na ferramenta. Um
ambiente de testes será preparado com o intuito de simular a ocorrência de eventos que
possam ser correlacionados a fim de testar a eficácia do módulo. A comparação das duas
situações visa apresentar os resultados de melhoria obtidos, diminuindo o tempo do
administrador de redes em analisar o número de log’s registrados e evitando maiores custos
com ferramentas de monitoração e detecção de intrusos em uma rede.

____________________________________________
4
PhD em Engenharia da Computação pela Tallinn University Of Technology, Estônia, em 2005.
Site oficial: http://kodu.neti.ee/~risto/
 OBJETIVOS

Objetivo geral

Este trabalho tem como objetivo geral o estudo teórico e prático da tecnologia de
correlação de eventos com o uso da ferramenta open source SEC integrada ao IDS Snort. Será
realizada uma comparação dos eventos registrados pelo Snort com a posterior integração da
ferramenta SEC e suas regras de correlação de eventos ao IDS. Os resultados serão
apresentados através de alertas gerados pelo Snort.

Objetivos específicos

• Apresentar um estudo geral sobre a segurança na área de Redes de Computadores

• Pesquisar o conceito, as características e o funcionamento de um IDS

• Estudar o conceito de correlação de eventos e a ferramenta SEC

• Desenvolver um ambiente com um servidor Linux em uma pequena rede local

• Instalar e configurar o SEC em conjunto com o Snort

• Analisar os eventos registrados pelo Snort sem a incorporação do SEC

• Verificar a vantagem de se utilizar a ferramenta SEC integrada ao Snort, através dos

resultados obtidos
 METODOLOGIA

A metodologia utilizada neste trabalho terá caráter quantitativo. Após a revisão

bibliográfica dos trabalhos existentes sobre o assunto da pesquisa, um ambiente experimental
será construído com a finalidade de testar a tecnologia de correlação de eventos em dois
cenários: Snort com SEC e Snort sem SEC. O Snort sem SEC estará sendo utilizado como
grupo controle neste caso. O IDS Snort será instalado com as configurações default. Ataques
formados por vários eventos correlacionados serão enviados para os dois cenários com o
intuito de testar o módulo SEC. Os testes serão repetidos a fim de garantir a validade
científica e estatística dos resultados. Ao final, os dados obtidos serão analisados,
apresentados e discutidos.
 CRONOGRAMA

Trabalho de Conclusão I

Meses
Etapa
Ago/07 Set/07 Out/07 Nov/07
Desenvolvimento e conclusão do anteprojeto com o apoio do orientador
Pesquisa geral sobre segurança da informação, IDS e correlação de eventos
Redação - Introdução
Redação – Segurança da Informação em Redes de Computadores
Redação – Sistemas de Detecção de Intrusão (IDS)
Redação – Correlação de eventos e SEC
TC 1 – Conclusão e entrega

Trabalho de Conclusão II

Meses
Etapa
Mar/08 Abr/08 Maio/08 Jun/08
Definição de um ambiente com o IDS Snort para o registro de eventos
Verificação dos eventos registrados pelo Snort sem o módulo SEC
Instalação do módulo SEC
Verificação dos eventos registrados pelo Snort com o módulo SEC
Comparação dos resultados obtidos
TC 2 – Revisão e redação
TC 2 – Conclusão e entrega
 BIBLIOGRAFIA

CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil. Disponível em <http://www.cert.br/stats/incidentes/>. Acesso em: 26 ago. 2007.
CHUVAKIN, Anton. Event Correlation In Security. Disponível em
<http://www.securitydocs.com/library/2270>. Acesso em: 02 set. 2007.
KOZIOL, Jack. Intrusion Detection With Snort. Sams Publishing, 2003. 500 p.
MÓDULO, empresa especializada em tecnologia para gestão de riscos e segurança da
informação – 9ª Pesquisa Nacional de Segurança da Informação. Disponível em
<http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf> . Acesso em: 01 set. 2007.
NORTHCUTT, Stephen; NOVAK, Judy. Network Intrusion Detection. 3rd Edition. New
Riders Publishing, 2002. 512 p.
PATCH Management Software Solution – Press Releases. Disponível em
<http://www.patchlink.com/company/Press_release_details.aspx?id=174 >. Acesso em: 01
set. 2007
PRODANOV, Cleber C. Manual de metodologia científica. 3ª ed., 4ª reimpressão - Novo
Hamburgo: Feevale, 2006. 77 p.
REHMAN, Rafeeq U. Intrusion Detection Systems With Snort: Advanced IDS
Techniques with Snort, Apache, MySQL, PHP and ACID. Prentice Hall PTR, 2003. 288
p.
RNP - Rede Nacional de Ensino e Pesquisa. Disponível em
<http://www.rnp.br/cais/estatisticas/index.php> . Acesso em: 26 ago. 2007.
RUIZ, Linnyer Beatrys; NOGUEIRA, José Marcos Silva. Um Estudo sobre Correlação de
Eventos em Redes de Telecomunicações. In: SPG - Semana de Pós-Graduação em Ciência da
Computação, 2001, Belo Horizonte. Anais da Semana de Pós-Graduação em Ciência da
Computação, 2001.
SNORT – the de facto standard for intrusion detection/prevention. Disponível em
<http://www.snort.org/about_snort/> . Acesso em: 02 set. 2007.
VAARANDI, Risto. Simple Event Correlator for real-time using security log monitoring.
Hakin 9, Warsaw, Polônia, v. 1, n. 1, p. 28 – 39, jan. 2006