Última alteração: 23-08-2016
Resumo
Esse Trabalho de Conclusão de Curso pretende realizar o cruzamento e a análise de registros de dois tipos de serviços que geram muitos dados. O primeiro é o serviço Honeypot (serviço de internet que captura tentativas de acessos aleatórios) do CERT-RS (CERT, 2003). O segundo é um Firewall de uma universidade. O objetivo é identificar possíveis padrões que ainda estão ocultos e possibilitar a criação de um modelo de dados para auxiliar no aprimoramento das regras de acessos ao Firewall da universidade, visando a otimização da mesma. Para tanto, serão utilizadas ferramentas de Big Data que, segundo ALECRIM (2013), pode ser definido como o estudo de grandes volumes de dados para que se possa fazer estudos e chegar a resultados que seriam improváveis com volumes menores. Uma das ferramentas escolhidas é o RapidMiner. Porém, para utilizar os dados neste programa foi necessário primeiro a conversão dos logs (do Honeypot e do Firewall) para um padrão único, que continham as informações relevantes para a pesquisa, são elas: data e a hora, o IP de origem, a porta de origem, IP de destino e a porta de destino. A análise dos dados partiu da necessidade de entender como os invasores do Honeypot se comportam e de onde estes partem, isto é, qual o país de origem, para posteriormente saber quais tentaram invadir também o Firewall. O Estudo não pretende focar no número de ataques, como os de força bruta, mas tentar entender como agem os invasores que fazem tentativas mais eficientes com poucos ataques. Neste momento sabe-se que a China (59% aproximadamente) e os Estados Unidos (17% aproximadamente) lideram os ataques ao Honeypot, cerca de 90% das tentativas foram de um IP de Origem para um mesmo IP de destino (no Honeypot) fazendo uma varredura por diversas portas do mesmo. Estão sendo analisados ainda quais os serviços estão sendo mais explorados, além disso, dentro desta minoria que fazem tentativas mais eficazes, o que se está tentando fazer (qual tentativa de acesso e como) e principalmente quais são os IPs que acessaram o Honeypot e tentaram invadir o Firewall. Espera-se que este estudo possa viabilizar um documento modelo com sugestões de regras para otimização de Firewalls.