Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
mais específico estar ocorrendo – não houve imprecisões na <strong>de</strong>tecção.<br />
Imprecisões <strong>de</strong> inferência não são consi<strong>de</strong>radas como falsos positivos para o<br />
XID na abordagem do segundo cenário (ataque genérico alertado mesmo <strong>de</strong>pois <strong>de</strong><br />
verificadas as subclasses), porque falsos positivos são resultantes <strong>de</strong> classificação<br />
errônea <strong>de</strong> ações normais consi<strong>de</strong>radas como ataques. Na abordagem proposta estas<br />
imprecisões são <strong>de</strong>duzidas em classes mais genéricas e, portanto, são alertadas como<br />
mensagens informativas e não como ataques. Isto é, quando o nível <strong>de</strong> especificida<strong>de</strong> do<br />
ataque sendo <strong>de</strong>duzido não é suficiente para atingir um grau <strong>de</strong> precisão confiável<br />
(<strong>de</strong>pois <strong>de</strong> verificadas suas subclasses na ontologia), o mesmo é alertado como<br />
informativo ao invés <strong>de</strong> ataque.<br />
Neste caso, quando a <strong>de</strong>dução não é conclusiva po<strong>de</strong> haver indícios <strong>de</strong> que o<br />
ataque <strong>de</strong>tectado po<strong>de</strong> não estar completo (alguma ação das estratégias das subclasses<br />
foi perdida na <strong>de</strong>tecção, por exemplo), ou uma nova categoria <strong>de</strong> ataque po<strong>de</strong> ter sido<br />
<strong>de</strong>tectada. Este tipo <strong>de</strong> informação po<strong>de</strong> então ser investigado por um<br />
administrador/especialista para verificar se uma nova subclasse teria que ser criada ou<br />
se a instância se encaixa em alguma subclasse existente.<br />
4.4. Consi<strong>de</strong>rações<br />
Apesar <strong>de</strong> aplicar ontologia, a performance da <strong>de</strong>tecção utilizando SPARQL é similar à<br />
abordagem baseada em assinaturas, levando em conta que instâncias <strong>de</strong> ataques estão<br />
pré-cadastradas na base <strong>de</strong> conhecimento. Além disso, o Pellet trabalha inferindo na<br />
ontologia para <strong>de</strong>rivar novos ataques quando o SPARQL não encontra combinações<br />
exatas dos ataques. A inferência neste caso mantém a taxa <strong>de</strong> falsos positivos na<br />
<strong>de</strong>tecção similar à <strong>de</strong> abordagens baseadas em assinaturas, pois novos ataques só po<strong>de</strong>m<br />
ser <strong>de</strong>rivados <strong>de</strong> classes e axiomas pré-cadastrados na ontologia.<br />
A falha encontrada no primeiro cenário da avaliação qualitativa, que gerou<br />
imprecisão na <strong>de</strong>tecção, foi <strong>de</strong>vida a adoção <strong>de</strong> uma estratégia <strong>de</strong> <strong>de</strong>tecção que buscava<br />
apenas i<strong>de</strong>ntificar condições necessárias e suficientes, nem sempre levando em conta os<br />
axiomas das subclasses mais específicas. No segundo cenário esta falha não ocorreu, já<br />
que os axiomas das subclasses eram sempre verificados. Porém, quando classes <strong>de</strong><br />
ataque mais específicas não eram encontradas, as instâncias <strong>de</strong>duzidas eram alertadas<br />
como mensagens informativas ao invés <strong>de</strong> ataques.<br />
A inferência na ontologia po<strong>de</strong> ser utilizada tanto em tempo <strong>de</strong> execução<br />
(quando necessário) para apren<strong>de</strong>r novos ataques, quanto na fase <strong>de</strong> mo<strong>de</strong>lagem para<br />
sugerir mudanças estruturais e encontrar inconsistências, otimizando a hierarquia <strong>de</strong><br />
classes. Além disso, <strong>de</strong>pen<strong>de</strong>ndo do tamanho da ontologia, redundâncias na <strong>de</strong>finição<br />
da mesma que levariam horas para serem encontradas por um humano po<strong>de</strong>m ser<br />
encontradas por uma máquina <strong>de</strong> inferência em alguns segundos.<br />
5. Trabalhos Relacionados<br />
A gran<strong>de</strong> maioria das propostas encontradas na literatura técnica utiliza abordagens <strong>de</strong><br />
<strong>de</strong>tecção clássicas [Siddavatam e Gadge 2008][Yee, Shin e Rao 2007][Bravenboer,<br />
Dolstra e Visser 2010] e as que utilizam outras abordagens não trabalham com ataques a<br />
web services [Un<strong>de</strong>rcoffer et al. 2004].<br />
Siddavatam e Gadge [Siddavatam e Gadge 2008] propuseram submeter<br />
requisições SOAP a uma série <strong>de</strong> algoritmos <strong>de</strong> teste para <strong>de</strong>terminar se as mesmas<br />
po<strong>de</strong>riam representar algum tipo <strong>de</strong> ataque. Todas as requisições que não passam no<br />
teste são separadas para que ações posteriores possam ser tomadas. Os autores<br />
apresentam testes e resultados para sua proposta, porém não <strong>de</strong>talham suficientemente<br />
54