Correlação de eventos para detecção de intrusão: um experimento com open source security information management (OSSIM)

Trabalhos recentes tem mostrado que e possivel identificar anormalidades em redes de computadores automaticamente usando tecnicas de aprendizagem ou de mineracao de dados. Para verificar como o uso destas tecnicas ajuda na identificacao de anormalidades foi escolhida a ferramenta Open Source Security Information Management (OSSIM) para analise. Para esta analise foi montado um experimento a fim de permitir a verificacao da instalacao e configuracao da ferramenta e o uso das tecnicas de mineracao para a correlacao dos eventos de uma rede de computadores. Os resultados obtidos mostram a viabilidade da utilizacao dessas tecnicas para a correlacao e analise de eventos de modo automatico em uma rede de computadores. Tambem foi possivel identificar as dificuldades para instalacao e configuracao da ferramenta e do impacto para a correlacao de eventos quando a quantidade de eventos foi elevada.