Notícia

Jornal da Unicamp online

Sistema computacional dispara alarme sobre anomalias na rede

Publicado em 26 outubro 2010

Por Jeverson Barbieri

Com mais de 60 milhões de usuários, a internet brasileira é considerada atualmente a quinta maior do mundo em número de conexões. Isso pressupõe um tráfego intenso de dados que, em determinados momentos, são responsáveis por causar desvios súbitos e acentuados no comportamento das redes, conhecidos como anomalias. Exemplos comuns disso são os bugs em softwares, o uso abusivo dos recursos computacionais, as falhas nos equipamentos, as configurações erradas e, ainda, os ataques feitos por hackers. Esses acontecimentos fizeram surgir a expressão "caiu a rede".

A visualização de todo esse conjunto permitiu ao analista de sistemas Bruno Bogaz Zarpelão o desenvolvimento de um sistema computacional de detecção de anomalias. Além de identificar de maneira mais simplificada a ocorrência, o software oferece ao administrador de rede um cenário completo do problema, facilitando a busca pela origem da anomalia e sua consequente solução no menor espaço de tempo possível.

A pesquisa culminou com a tese de doutorado do pesquisador, orientada pelo professor Leonardo de Souza Mendes, da Faculdade de Engenharia Elétrica e de Computação (Feec). Zarpelão explicou que nas redes de computadores atuais, que assumiram uma posição de grande importância no cotidiano de ambientes acadêmicos, governamentais e corporativos, detectar e tratar essas ocorrências de maneira eficiente se tornou uma tarefa fundamental. Uma das chaves do trabalho foi considerar o que é ou não uma anomalia. Esse limite, de acordo com o analista, foi deixado em aberto sob a justificativa de que cada administrador sabe o que quer para sua rede.

Dessa maneira, através da observação do número de bytes e pacotes que trafegam diariamente, é possível fazer uma análise estatística determinando o padrão de comportamento daquela rede. A partir daí, a percepção de um comportamento anormal pode gerar um alarme para o responsável tomar as devidas providências. Em grandes ambientes, explicou Zarpelão, é humanamente impossível tomar conta de todo o parque computacional, uma vez que o número de máquinas é bastante elevado. Após o acionamento do alarme, as ações previstas no plano de contingência são tomadas, como a ativação de um servidor de backup ou mesmo a troca de um equipamento queimado.

Em cada equipamento são monitora dos diferentes indicadores, conhecidos como objetos de gerência. Um problema na rede afeta, em geral, o comportamento de vários objetos de gerência em vários equipamentos. Entregar ao administrador de redes os alarmes gerados para cada um destes objetos acabaria por sobrecarregá-lo. No trabalho de Zarpelão, foram levantados os relacionamentos entre estes indicadores, de forma que os alarmes gerados para cada um deles possam ser analisados em conjunto, levando à geração de um único alarme que traz informações sobre o comportamento de toda a rede. "Uma situação na qual o sistema gerou, inicialmente, 170 alarmes ao monitorar os objetos de gerência pode, a partir da análise destes alarmes iniciais, ter uma redução para apenas 15, os quais trazem o panorama de toda a rede, sem que se perca qualquer informação", assegurou.

Ainda com relação ao alarme, o pesquisador explicou que ele pode ser confgurado para tocar em determinados dias quando a quantidade de tráfego da rede está pouco acima do padrão ou mesmo somente quando a situação já se encontre em um nível de gravidade bastante adiantado. "O software dá a liberdade ao administrador de escolher quando quer ser alertado sobre as mudanças de comportamento de sua rede", afirmou Zarpelão. Isso significa que o produto da pesquisa é permissível a alterações de sensibilidade, que na literatura é chamada de "níveis de sensibilidade de detecção". Assim, o administrador pode configurá-lo para que ele se adapte à sua política de gerenciamento.

Ele citou um caso exemplar, ocorrido em 11 de setembro de 2001, durante o ataque terrorista às torres gêmeas, em Nova York (EUA). O portal de notícias da rede CNN foi repentinamente acessado por muitas pessoas em busca de informações. O resultado foi que o portal caiu e ninguém mais conseguia acessá-lo por causa de uma sobrecarga. Nesse caso, o software desenvolvido por Zarpelão poderia emitir um alarme quando o número de acessos estivesse acima do padrão. O administrador teria condições de distribuir a carga para outras máquinas ociosas, ajudando a liberar o tráfego. "É uma coisa de momento, que pode gerar uma decisão capaz de ajeitar o cenário", disse.

Protocolo

Pela natureza das redes municipais existentes - locais onde o software deve ter sua utilização mais acentuada - o analista de sistemas contou que o desenvolvimento do produto se deu muito em função do padrão de gerência de redes, que é um protocolo chamado SNMP (Simple Network Management Protocol). Não há, segundo Zarpelão, uma solução no âmbito da literatura que trate o problema do começo ao fim, como o que foi feito por ele utilizando apenas o SNMP. "Tentamos explorar ao máximo esse padrão", ressaltou.

Esse direcionamento deu uma tranquilidade ao pesquisador, uma vez que o SNMP está disponível na maioria dos equipamentos comercializados, portanto, isso reduz um possível problema de implantação do software nas redes. Ele disse também que existem outros trabalhos publicados que usam como base para coleta de informações da rede métodos mais sofisticados como o NetFlow. "São métodos realmente melhores, no entanto, não são padrão e, dessa forma, não estão em todos os equipamentos. Isso difculta a adoção de outras propostas", ressaltou Zarpelão.

Os testes do sistema computacional foram feitos com dados reais da rede da Universidade Estadual de Londrina (UEL), onde o coorientador de Zarpelão é docente. Como eles já possuem um projeto de pesquisa relacionado a esse tema, o pesquisador pode utilizar os dados daquela rede. "Está composta por cerca de seis mil estações de trabalho, unindo todos os departamentos, com bastante tráfego agregado, tornando-se assim, um ambiente bom de trabalhar", resumiu.

Ele contou que, também na UEL, já houve sobrecarga do servidor por conta da divulgação do resultado do vestibular. Todo mundo quer acessar ao mesmo tempo e, segundo o analista, ficou perceptível que a utilização do software poderia ter contribuído para que esse problema não ocorresse. O sistema identificou ainda situações como download de arquivos feitos por determinadas máquinas, o que pode ou não ser permitido pela gerência de rede.

Zarpelão tem como objetivo agora evoluir esse estudo um pouco mais, não só na questão da interface gráfica como na aplicação prática do software. Ele informou que outros alunos do Laboratório de Redes de Comunicações (LaRCom) da Feec já estão trabalhando no sentido de fornecer uma ferramenta ao administrador que contenha gráficos, que mostre o diagrama da rede e os respectivos alarmes.

Com relação a parte prática, Zarpelão informou que assim que a tecnologia desenvolvida por ele estiver mais madura deverá ser implantada no projeto Infovias Municipais, desenvolvido pelo LaRCom - Unicamp sob a coordenação do professor Leonardo de Souza Mendes. Neste projeto, todos os prédios públicos são interconectados por uma rede de fibra óptica e rádio-frequência. Para o analista, esse será um excelente teste. "Quando o projeto da Infovia saiu, minha pesquisa de doutorado já estava em estado bastante adiantado. Como tínhamos todos os dados da UEL resolvemos não abrir mão. Vimos que o software se comportou muito bem", concluiu.

Artigos

¦ Zarpelão, Bruno Bogaz; MENDES, Leonardo de Souza ;Proença Jr., Mario Lemes. Anomaly Detection Aiming Pro-Active Management of Computer Network Based on Digital Signature of Network Segment. Journal of Network and Systems Management, v. 15, p. 267-283,

2007

¦ ZARPELÃO, Bruno Bogaz; MENDES, Leonardo de Souza; PROENCA JR., Mario Lemes; RODRIGUES, Joel J. P. Coelho.Three Levels Network Analysis for Anomaly Detection. In: 17th International Conference

on Software, Telecommunications and Computer Networks (SoftCOM 2009), 2009, Split-Hvar-Korcula, Croatia. Proceedings of 17th International Conference on Software, Telecommunications and Computer Networks (SoftCOM 2009), 2009.

¦ ZARPELÃO, Bruno Bogaz; MENDES, Leonardo de Souza; ABRAÃO, Taufk; SAMPAIO, Lucas D. H.; LIMA, Moisés Fernando ;PROENCA JR., Mario Lemes. Detecção de Anomalias em Redes de Computadores. In:

XXVII Simpósio Brasileiro de Telecomunicações - SBrT 2009, 2009, Blumenau, SC. Anais do XXVII Simpósio Brasileiro de Telecomunicações,2009.

¦ ZARPELÃO, Bruno Bogaz;MENDES, Leonardo de Souza; PROENCA JR., Mario Lemes; RODRIGUES, Joel J. P. Coelho. Parameterized Anomaly Detection System with Automatic Confguration. In: IEEE Global

Telecommunications Conference (GLOBECOM), 2009, Honolulu. Proceedings of IEEE Global Telecommunications Conference 2009, 2009.

Publicação

Tese: "Detecção de anomalias em redes de computadores"

Autor: Bruno Bogaz Zarpelão

Orientador: Leonardo de Souza Mendes

Unidade: Faculdade de Engenharia Elétrica e de Computação (Feec)

Fonte de fnanciamento: Fapesp