Redes de Computadores I
A área de detecção de intrusão possui diversos trabalhos em pesquisas, pois apesar dos esforços, ainda não se obteve um sistema eficaz e capaz de prover a segurança desejada. Alguns trabalhos são destacados a seguir.
Mazzariello e Oliviero [3] propõem um sistema de detecção de intrusão autônomo baseado no comportamento padrão dos usuários do sistema e na relação entre os conjuntos de usuários que compartilham recursos ou objetivos, tal conjunto é denominado comunidade. Informações de contexto e perfis de usuários contribuem para a geração do conhecimento comportamental necessário para garantir a automaticidade do sistema.
Stephanie Forrest [4] propõem um sistema de detecção de intrusão baseado no padrão de operação dos processos de um sistema. No ambiente UNIX os processos (ou programas), como sendmail, possuem privilégios do usuário que o executou, porém devido a erros na programação ou configurações incorretas podem permitir ao usuário obter privilégios de superusuário.
A vantagem na avaliação do comportamento de programas em relação ao comportamento de usuários é a de que este último possui uma variedade muito maior de possibilidades, o que dificulta a análise de um padrão.
Quando um programa é executado, este pode invocar mais de um processo. O perfil de comportamento padrão do sistema é gerado com base em árvores de execução dos processos. A partir desse padrão é possível detectar anomalias de comportamento, que podem representar uma tentativa de intrusão ou erros do sistema.
Liang Xu et al. [5] propõem um modelo de SDI baseado em multi agentes móveis. Cada agente possui uma responsabilidade dentro do sistema e um conjunto deles operando em cooperatividade permite um mecanismo eficiente de detecção de intrusão. As vantagens do uso de agentes móveis, em relação aos sistemas SDI tradicionais são:
– Robustez, não há um único ponto de falha.
– Tempo de resposta, que é sensivelmente menor.
– Maior escalabilidade, devido a descentralização do sistema.
– E mobilidade dentro da rede.
A partir de testes verificou-se que além dessas vantagens o sistema baseado em multi-agentes utiliza um baixa quantidade de recursos do sistema sobre qual opera, de foma que não afeta o seu funcionamento normal.
