Estudo de Mapeamento Sistemtico: Identificao de Trfego de Ataques na Internet

Leandro Cavalcanti de Almeida Iguatemi Eduardo da Fonseca Gustavo Henrique Matos Bezerra Motta Programa de Ps-Graduao em Informtica Universidade Federal da Paraba Resumo Identificar ataques na Internet tornou-se um grande desafio para os analistas de segurana. A cada dia surgem novos tipos de ameaas, que exploram novos servios em rede, colocando em risco informaes de milhares de pessoas e ocasionando perdas incalculveis. Estudos que analisem estes ataques se fazem importantes, pois contribuir para sua deteco. O presente trabalho apresenta um Estudo de Mapeamento Sistemtico, Mapping Study, realizado sob a identificao de trfego de ataques na Internet, cujo principal objetivo apresentar o estado atual das pesquisas realizadas na rea, apontando as reas bem desenvolvidas e as lacunas existentes.

1 Introduo A modernidade trouxe o mundo real para dentro dos computadores, possibilitando que atividades, como por exemplo, comprar um carro, estudar ou realizar cirurgias, sejam executadas com o auxlio de computadores conectados na Internet. O uso em massa dessas atividades permitiu que atacantes explorassem vulnerabilidades em servios computacionais, comprometendo a integridade, confidencialidade e disponibilidade desses servios. A identificao ou deteco desses ataques um tema que inspira relevncia, visto que auxilia a recuperao em tempo hbil do servio comprometido. Um estudo de mapeamento sistemtico, Mapping Study, definido para construir um esquema de classificao e estruturao em um campo de interesse [PETERSEN, 2008]. O presente trabalho tem como principal objetivo realizar um Mapping Study sob o tema de Identificao de Trfego de Ataques na Internet. O trabalho est organizado da seguinte maneira: uma breve apresentao sobre estudo de mapeamento sistemtico; seguindo com a apresentao do protocolo de pesquisa e finalizando com os resultados obtidos aps a realizao do Mapping Study. 2 Mapping Study Muito utilizado em pesquisas na rea de medicina, um estudo de mapeamento sistemtico definido como uma maneira de investigar e reunir de forma sistemtica o conhecimento sobre uma determinada rea [JACINTO, 2010]. Diferentemente de uma reviso da literatura, um estudo de mapeamento sistemtico requer um protocolo de pesquisa bem definido, para que seus resultados sejam consistentes.

Alm disso um protocolo de pesquisa bem definido permite que outros pesquisadores executem o mesmo mapping study e tenham resultados bastantes similares. 3 Protocolo de Pesquisa O protocolo de pesquisa o documento que possui todas as diretrizes serem seguidas em um estudo de mapeamento sistemtico. O protocolo construdo para o mapping study deste artigo est organizado com uma breve introduo e a motivao para a realizao estudo no incio do documento. Seguindo temos o objetivo do trabalho, as questes de pesquisa e as strings de busca. Alm disso temos os critrios de incluso e excluso de trabalhos e a descrio da taxonomia utilizada. Por fim, esto os relatrios estatsticos que devem ser gerados aps a realizao do mapping study. 3.1 Questes de Pesquisa As questes de pesquisa indicam a direo do estudo. a partir dessas questes que o resultado do mapping study deve ser buscado. As questes utilizadas nesse trabalho so: Como esto distribudas as publicaes nos ltimos 5 anos sobre identificao de trfego de ataques na Internet? Podemos distribuir as publicaes seguindo uma taxonomia? Se sim, como est esta distribuio? Como esto distribudas as publicaes em relao aos pases? Qual a porcentagem de publicaes que tratam a identificao ou deteco de ataques do tipo DDoS na Internet? Qual a porcentagem de publicaes que tratam a identificao ou deteco de ataques do tipo DNS Cache Poisoning? Como esto as publicaes em relao aos engenhos de busca? na busca da resposta das questes de pesquisa que encontra-se a qualidade do nosso mapeamento. 3.2 Strings de Busca Para tentar responder as questes de pesquisa atravs do mapping, foi elaborada uma string de busca automtica que ser utilizada nos engenhos para busca de trabalhos. Esta busca dever seguir a mesma semntica para todos os engenhos. A semntica utilizada a seguinte:
(Identification OR Detection) AND (Attack Traffic OR Internet Attack OR Internet Traffic)

Os engenhos de busca utilizados para esta pesquisa foram: IEEE Xplore: http://www.ieeexplore.ieee.org ACM Digital Library: http://portal.acm.org O acesso irrestrito aos trabalhos dos engenhos de busca acima, atravs da rede da Universidade Federal da Paraba, foi o que motivou a escolha pelos mesmos. Sabe-se que cada engenho de busca possui sua prpria sintaxe, no entanto, as strings de busca devem seguir a mesma semntica da string criada acima. Abaixo temos a sintaxe

utilizada por cada engenho de busca . IEEEXplore: (Identification OR Detection) AND (Attack Traffic OR Internet Attack OR
Internet Traffic) - com refinamento para publicaes entre 2008 e 2011;

ACM: (Identification OR Detection) AND (Attack Traffic OR Internet Attack OR Internet Traffic) - com refinamento para publicaes entre 2008 e 2011;

3.3 Critrios de Incluso/Excluso Os critrios utilizados para incluir ou excluir trabalhos da pesquisa foram os seguintes: 1 Trabalhos que sejam repetidos ou duplicados. 2 Trabalhos que estejam relacionados com a identificao/deteco de ataques, mas que no utilizem o trfego de rede para esta identificao/deteco. 3 Trabalhos que estejam relacionados com a identificao/deteco de trfego, mas que no utilizem este relacionamento para identificar/detectar ataques. 4 Trabalhos que foram publicados antes de 2008. 5 Trabalhos que apresentem resultados incompletos. 6 Trabalhos que no estejam relacionados com a identificao/deteco de ataques na Internet. 3.4 Taxonomia Foram definidos no protocolo trabalhos de acordo com a seguinte taxonomia: Algoritmo : sequncias de instrues ou passos bem definidos utilizados no num estudo para uma determinada tarefa. Avaliao: mtodo para se determinar como uma tcnica implementada na prtica. Anlise: estudos que permitem separao em partes, visando explorar melhor de uma maneira eficiente cada parte independentemente das outras. Modelo: referncia proposta a ser seguida no estudo para realizar uma determinada tarefa. Estudo de Caso: simulao de um ambiente real a fim de se tirar concluses acerca deste ambiente. Metodologia: meios utilizados para realizar no estudo para realizar uma determinada tarefa. 3.5 Relatrios Os relatrios propostos no protocolo so basicamente, sob forma de grficos. O grfico mais importante que ser construdo ser o Bubble Plot, onde sero apresentadas relaes entre trs variveis. Duas sero utilizadas para a posio nos eixos X e Y, enquanto a terceira ser utilizada para determinar o tamanho relativo da bolha. Alm destes, informaes como publicaes ao longo dos anos, distribuio entre pases, porcentagem de trabalhos que tratem de DDoS e DNS Cache Poisoning sero apresentadas em formas de grficos.

4 Resultados Aps a realizao do estudo, teve-se um volume total de 372 trabalhos, destes 144 foram includos e 228 excludos.

Em relao as questes de pesquisa, chegamos aos seguintes resultados: Como esto as publicaes nos ltimos 5 anos sobre identificao de trfego de ataques na Internet?

Podemos distribuir as publicaes seguindo uma taxonomia? Se sim, como est esta distribuio?

Como esto distribudas as publicaes em relao aos pases?

80 70 60 50 40 30 20 10 0 EUA India Canada Portugal Italia Frana Paquisto China Japo Suia Alemanha Brasil Outros Quantidade

Qual a porcentagem de publicaes que tratam a identificao ou deteco de ataques do tipo DDoS na Internet? Neste caso tivemos um total de 14,58% dos trabalhos.

Qual a porcentagem de publicaes que tratam a identificao ou deteco de ataques do tipo DNS Cache Poisoning? Neste caso tivemos um total de apenas 1,38% dos trabalhos

Como esto as publicaes em relao aos engenhos de busca? Neste caso, tivemos 20 trabalhos includos proveniente do IEEEXplore e 124 trabalhos includos provenientes do ACM Digital Library. 5 Concluses O trabalho teve como objetivo realizar um Mapping Study sob o tema de Identificao de Trfego de Ataques na Internet. Atravs da execuo do protocolo de pesquisa criado, foi possvel obter resultados concretos acerca do tema. Informaes relevantes nos ltimos 5 anos ligados ao tema de identificao de trfego de ataques na Internet foram apresentadas neste trabalho. Todas as questes de pesquisa foram respondidas com exatido, sendo possvel, identificar os principais subtemas dentro do tema pesquisado atravs do grfico de bubble plot. Para trabalhos futuros, um ponto interessante tentar compreender o porque do baixo ndice de trabalhos que tratem a identificao ou deteco do ataque do tipo DNS Cache Poisoning. Ser que no to relevante assim, ou mais difcil? Referncias PETERSEN, Kai. , FELDT, Robert., MUJTABA, Shahid., MATTSSON, Michael. 2008. Systematic Mapping Studies in Software Engineering.

JACINTO, Shirley., SILVA, Fabio. 2010. Um Mapeamento Sistemtico da Pesquisa sobre a Influncia da Personalidade na Engenharia de Software.