Estudo do Sistema de Detecção de Intrusão.
Felipe Alves de Lima
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, 10 de Dezembro de 2012.
Resumo
Este trabalho tem por objetivo apresentar uma abordagem sobre sistema de detecção
intruso (IDS – Intrusion Detection System), bem como suas principais características,
aplicabilidade, vantagens e desvantagens (quando mau configurado) e os principais tipos de
ataques.
1. Introdução.
A segurança na Internet sempre foi motivo de preocupação para todos os usuários tanto
para usuários domésticos quanto para usuários corporativos. Isso deve se em grande parte, à
enorme desconfiança e a falta de segurança na utilização de uma rede pública para transmitir
dados como transferências de valores, pagamentos, compras, vendas, senhas e outras
transações relacionadas ao comércio eletrônico e de uso cotidiano e também diretamente
relacionado a essas preocupações estão os vírus de computador, worms, spywares, exploits,
entre outras variantes e é claro hackers, que são alguns exemplos de ameaças que se
proliferam na Internet todos os dias. A consequência desse cenário é o consumo cada vez
maior de soluções que prometem alguma segurança. As abordagens de segurança compõe
uma lista, quase sem fim; e variam desde a instalação de firewalls de rede, passando pela
configuração segura de servidores, antivírus, anti-spyares, anti-rootkit, verificadores de
integridade, até o desenvolvimento de aplicações baseadas em rígidas metodologias e testes
de segurança. Apesar de muitas soluções serem adotadas separadamente, o conjunto
de várias dessas medidas pode garantir um nível aceitável de segurança. Os sistemas
de detecção de intrusão ou simplesmente IDS, que faz parte desta gama de soluções,
procuram antecipar possíveis tentativas de invasão através de detecção na rede de padrões de
ataques conhecidos ou pela detecção de ocorrência bem sucedida de invasões através
de mudanças comportamentais sofridas nos sistemas e na rede.
2. Sistema de Detecção de Intruso (IDS)
Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection
system) refere-se a meios técnicos de descobrir em uma rede quando está tendo acessos não
autorizados (ou ataques) que podem indicar a ação de um hacker, anomalia no sistema, má
configuração de software, mau usoetc. São sistemas capazes de analisar um trafego de uma
rede ou uma atividade local de um computador e decidir se o evento constitui em um ataque
ou se é uma operação rotineira. Esta ferramenta roda constantemente em background gerando
log, relatórios, e notificações quando detecta alguma coisa que seja suspeita ou ilegal.
2.1. Principais Características
O IDS faz análises na rede e no Sistema Operacional, verificando as atividades dos
usuários, excesso de conexões, volume de dados, serviços de rede e etc. Esses dados são
guardados em uma base de dados para que posteriormente de acordo com a configuração do
sistema este possa alertar uma intrusão, ameaça ou anomalia.
As ferramentas de IDS detectam diversos tipos de situações tais como algumas delas:
• Scans: verifica se há portas do sistema que se encontram abertas;
• Ataques de comprometimento: O invasor obtém um Shell (terminal) com privilégios
de root (super-usuário ou administrador), que permite fazer qualquer tipo de alteração
no sistema para explorar vulnerabilidades;
• Ataques Denial of Service (DoS): é enviado um grande número de pacotes para
sobrecarregar o desempenho do sistema comprometido.
• Entre outros
De uma forma geral um IDS é composto dos seguintes elementos:
• Um dispositivo de acumulo de informações: Esse dispositivo deve ser capaz de colher
dados. Por exemplo, ele deve ser capaz de detectar mudanças em um disco rígido,
capturar pacotes em uma rede etc.
• Um mecanismo para monitoração de processos: Um IDS deve ser capaz de monitorar
a si mesmo e a rede a qual está protegendo, fazendo verificações constantes, para que
possa enviar informações para o administrador.
• Capacidade de armazenamento de informações: A partir do momento que as
informações foram capturadas pelo dispositivo de acumulo de informações essas
informações devem ser armazenadas em algum lugar seguro;
• Dispositivo de controle e comando: No que se diz respeito a controle e comando o
IDS deve ser fácil de controlar seu comportamento;
• Um dispositivo de análise: Deve-se ter um dispositivo de análise para o administrador
poder analisar seu acervo de dados utilizando um aplicativo.
3. Classificação
Um IDS pode ser classificado segundo várias características operacionais. Na tabela 1
estão indicadas algumas das características mais relevantes.
Característica Operacional
Classificação
Baseada em conhecimento / Assinatura
Método de detecção
Baseada em comportamento / Anomalia
Máquinas
Análise dos eventos (local) Redes
Híbridos
Ativos
Reatividade
Passivos
Tabela 1 – Classificação de IDS segundo características operacionais.
O método de detecção baseado em conhecimento analisa a atividade do sistema em
busca de padrões de ataque ou instrução já conhecidos. Este tipo de detecção é muito eficiente
porque a taxa de alarmes falsos é baixa.
O método baseado em comportamento detecta desvios à normalidade no
comportamento ao sistema computacional. Este tipo de detecção tem como principal
vantagem a possibilidade de detectar novas formas de ataques e instruções.
A análise de eventos em máquinas (Host IDS – HIDS) serve para monitorar o estado
de diversos componentes de cada computador, servidor ou qualquer outra interface conectada
a rede como: hardware, sistema operacional, software instalado, dados armazenados, etc.
A análise de eventos em redes (Network IDS – NIDS) serve para monitorizar as
interações entre os dispositivos. Tipicamente, os sensores deste tipo de IDS capturam os
pacotes em passam na rede.
Um IDS Ativo consegue reagir de forma automática a ataques ou intrusões (defesa ou
contra-ataque). As medidas de defesa são tipicamente de isolamento do recurso atacado,
ativando, por exemplo, um firewall ou antivírus. Em relação às medidas de contra-ataque, o
IDS poderá tentar atacar a máquina que realizou o ataque, tentado saber quais os serviços que
estão a executar na mesma e explorar uma falha de segurança. Em ambos os casos, defesa ou
contra-ataque, é necessário avaliar vários fatores, pois as consequências de uma defesa ou um
contra-ataque poderão ser mais danosas que o próprio ataque sofrido.
Um IDS passivo apenas reage com alertas, fornecendo relatórios com o máximo de
informação possível. A geração destes relatórios permite aos administradores de sistemas
analisarem o que está para acontecer e consequentemente conseguirem reagir ao ataque ou
intrusão a tempo de evitar danos.
4. Vantagens e Desvantagens
4.1. Vantagens
O cenário atual indica que a vasta quantidade de aplicações financeiras disponíveis na
Internet e as vulnerabilidades de sistemas e protocolos possibilitam um cenário a cada dia
mais propenso as tentativas de intrusões.
Logo, sistemas vulneráveis podem ser atacados a qualquer momento, tornando
imperativa a necessidade de reconhecer e denunciar intrusões, a qual deve ocorrer o mais cedo
possível, preferencialmente em tempo real. Neste contexto, destacam-se as seguintes
premissas:
a) Sistemas de detecção de intrusão podem ser úteis como complementos aos
mecanismos preventivos, detectando intrusões, gerando alertas e acionando
contramedidas sempre que as propriedades de segurança dos cada vez mais complexos
sistemas de informação estiverem sob ataque;
b) Um IDS pode fornecer avisos de que o sistema está sob ataque, mesmo não sendo o
sistema vulnerável ao ataque. Esses avisos podem ajudar os usuários a modificarem
sua postura defensiva para aumentar a resistência ao ataque;
c) IDS podem auxiliar na análise complexa de logs, a maneira mais comum para
descobrir indícios de anomalias, tanto em hosts como no tráfego de rede, é através de
análise nos logs como em estações de trabalho e servidores firewall. A inspeção
manual destes registros, que na maioria das vezes ocorre através de linhas de
comando, é considerada uma prática viável, mas com o tempo, torna-se fatigante, pois
estes arquivos de logs comumente apresentam tamanhos consideráveis, os quais
precisam de tempo e paciência para serem analisados.
Atuando como mecanismo de alerta o IDS, por sua vez, funciona como um repositório
automático de eventos de segurança, selecionando apenas ocorrências de interesse estratégico,
organizadas e classificadas segundo o grau de criticidade.
O IDS pode também disponibilizar formas de acesso mais rápidas aos dados através de
interfaces de consulta, o que automatiza a tarefa de gerar os dados para auditoria, diminuindo
assim o trabalho de criação de relatórios. Estes dados são extremamente úteis pois podem ser
usados para estabelecer relação de culpabilidade do atacante, assim como a extensão dos
danos causados.
4.2. Desvantagens
Não obstante as suas inúmeras vantagens, existem situações indesejáveis que podem
ocorrer em mecanismos de detecção de intrusão, cuja probabilidade de ocorrência pode
induzir a erros. Os mais comuns são conhecidos como falsos positivos, falsos negativos e
erros de subversão, descritos a seguir:
a) Falso positivo: termo utilizado para designar uma situação em que um IDS aponta
uma atividade como sendo um ataque quando na verdade não é. Basicamente, um
falso positivo é um alarme falso;
b) Falsos negativos: Em outras palavras, ocorre quando alguém compromete um sistema
monitorado por um IDS e o IDS não gera alertas para atividades que deveriam ser
classificadas como sendo a do comportamento de um ataque. Falsos negativos podem
aparentar uma falsa ideia de segurança. Entre os motivos para ocorrência de falsos
positivos destacam-se:
 As informações contidas nas regras ou configuração podem não ser suficientes
para a confirmação da ocorrência do ataque;
 O IDS pode estar sobrecarregado pelo tráfego intenso na rede. Este motivo
dificulta o reconhecimento de padrões de ataque, que acabam sendo ocultados pelo
grande volume de informações na rede;
 O ataque não identificado pode ser conseqüência de uma evasão (consiste de
técnicas para enganar uma ferramenta IDS fazendo com que o ataque passe
despercebido) bem sucedida.
c) Erros de subversão: este tipo de erro é mais complexo e parecido com falso negativo.
Um intruso pode usar o conhecimento sobre a operação interna do IDS para alterar o
seu estado, possivelmente permitindo comportamento anômalo do sistema.
A ocorrência de falsos negativos é mais perigosa do que a ocorrência de falsos positivos,
uma vez que uma entidade está sendo vítima de um ataque que não é de conhecimento do
administrador da rede. Sem este conhecimento, o administrador não pode aplicar as medidas
de defesa necessárias para combater o ataque.
O erro de subversão, por sua vez, indica a necessidade do IDS estar corretamente
configurado, pois neste caso, apesar de ser uma ferramenta de alerta para redes que estão
sofrendo ataques, o IDS também podem ser o alvo. Logo, se um intruso suspeitar da
existência de um IDS numa rede de seu interesse, a primeira coisa que faria seria atacá-lo, na
tentativa de desabilitá-lo ou tornar sua configuração inútil para que não identifique suas ações.
Existem outros fatores limitantes à atuação das ferramentas de detecção de intrusão,
como:
 Segmentação da rede (Redes Switched): Em redes com Switch ao invés de HUB
dificulta a captura de pacotes em arquiteturas centralizadas;
 Limitação de recursos do sensor: processamento, armazenamento e memória que são
utilizados para se analisar o tráfego;
 Redes com altas taxas de transmissão: além do problema de captura de pacotes em
Redes de Alta-Transmissão, a análise de regras pode exigir um processamento
considerável (ex: redes ATM, GigaBit Ethernet, etc);
 Serviços criptografados (Virtual Private Network): torna-se inviável a um IDS analisar
os pacotes que estão transitando na interface e consequentemente muitos ataques
podem passar despercebidos. O mesmo aplica-se a serviços criptografados como SSL
e SSH.
5. Principais Vulnerabilidades
Com sua crescente popularização, os IDS vêm se tornando alvos frequentes de ataques.
Mediante a isso, segue abaixo a descrição de alguns dos principais tipos de ataque.
5.1. IP Spoofing
É uma técnica de subversão de sistemas baseados no protocolo TCP/IP que consiste em
mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados. Neste caso o
atacante pode se fazer passar por outra máquina e assim enganar o IDS.
5.2. Inserção
Neste tipo de ataque um atacante coloca na rede pacotes especialmente modificados que
são descartados pelo sistema alvo (por erros de CRC, por exemplo) mas tratado pelo IDS.
Com isso, pode-se iludir o detector inserindo pacotes que mascarem um ataque, ganhando a
aparência de uma ação autorizada. O sistema alvo, por sua vez, descarta esses pacotes
forjados e aceita somente aqueles que representam o próprio ataque.
A seguir são enumerados os tipos de ataques de inserção:
5.2.1.
Long URLs: existem várias técnicas que visam melhorar o desempenho dos
IDSs. Uma dessas técnicas limita a quantidade de informações de uma requisição
HTTP a serem analisadas. Dessa forma, é possível a inserção de uma quantidade
suficiente de caracteres para mover o código de ataque para além do escopo da análise
do IDS, o que faz com que o ataque não seja detectado;
5.2.2.
Self Reference: os caracteres “..” quando utilizados para acessar diretórios
conduzem o usuário para um diretório superior (diretório pai) ao diretório atual. Já o
caracter “.” faz referência ao diretório atual. Sendo assim, então “c:\temp\.\.\.\.\.\” é
equivalente a “c:\temp\”. O objetivo da técnica denominada Self Reference é confudir
os mecanismos de análise de assinaturas dos IDSs enviando o seguinte tipo de
requisição “Get /./cgibin/./phf”;
5.2.3.
URL Encoding: conforme a RFC 2616, caracteres binários arbitrários podem
ser passados em uma requisição HTTP desde que estejam na seguinte notação: %xx,
onde xx corresponde ao valor hexadecimal do caracter. Uma vez que a requisição “Get
/cgi-bin/teste.cgi HTTP/1.0” seja codificada torna-se “Get /cg%69-b %69n/t%65st%65.cg%69
HTTP/1.0”.
Portanto, os IDSs, antes de analisarem, qualquer string devem decodificar a
mesma;
5.2.4.
Multiple Slashes: os servidores web aceitam requisições contendo múltiplas
barras, slashes, como em “Get /cgi-bin//scripts///phf.cgi HTTP/1.0”. Contudo, existe a
possibilidade que alguns IDSs ao analisarem esses tipos de requisições falhem devido
ao fato de que a assinatura existente contenha apenas uma barra;
5.2.5.
Parameter Hiding: uma requisição de página web pode conter informações
adicionais, parâmetros, que serão utilizadas para construir o conteúdo de
páginasdinâmicas. Esses parâmetros são determinados após um sinal de interrogação
no identificador uniforme de recursos, Uniform Resource Locator (URL), como em
“Get /index.htm?user=normal HTTP/1.0”. Alguns IDSs, a fim de otimizar o processo de
análise de pacotes ignoram todas as informações após a indicação de parâmetros;
sendo assim, há a possibilidade da inserção de um código malicioso após essa parte da
requisição;
5.2.6.
Reverse Traversal: consiste em uma tentativa de iludir os IDSs através de uma
requisição na qual existam referências a outros diretórios que não estejam
especificados na base de assinaturas dos IDSs. Por exemplo, a requisição “Get /cgibin/phf.cgi HTTP/1.0”, é facilmente detectada. Alguns IDSs, porém, podem desconsiderar
esta mesma requisição quando requerida da seguinte forma: “Get/cgi-bin/scripts/../phf.cgi
HTTP/1.0”.
5.3. Evasão
Ao contrário do ataque de inserção, na evasão o atacante realiza o processo inverso: cria
pacotes que serão descartados pelo IDS e tratados pelo sistema alvo. Assim, um usuário mal
intencionado pode realizar um ataque utilizando pacotes que não serão vistos pelos detectores,
mas sim pelo sistema alvo. A evasão também existe uma classificação específica de ataques.
a) Case Sensitivity: refere-se a capacidade do IDSs de detectar requisições tanto em letras
maiúsculas, quanto em letras minúsculas (não são case sensitivity), caso contrário o
ataque será bem sucedido, pois sistemas operacionais tais como o Windows 98 e
Windows 2000 Server não diferem letras maiúsculas de letras minúsculas (não são
case sensitivity), ou seja, o arquivo phf.cgi pode ser referenciado tanto como PHF.cgi
quanto como PHF.CGI;
b) Method Matching: No intuito de explorar as vulnerabilidades de um script e, ainda,
tentar inviabilizar a detecção de tal ataque, pode-se utilizar métodos alternativos de
solicitações tais como Put, Head e Post. Dessa forma, embora alguns IDSs
identifiquem a requisição “Get /cgi-bin/phf.cgi HTTP/1.0” podem vir a não identificar
uma requisição do tipo “Put /cgi-bin/phf.cgi HTTP/1.0”;
c) Session Splicing: Diferentemente dos ataques de fragmentação, este ataque consiste no
envio de diversos pacotes. Por exemplo, a solicitação “Get /cgibin/ phf.cgi
HTTP/1.0” pode ser dividida em múltiplos pacotes “Ge”, “t”, “/”, “cgi”, “-bin”, “p”,
“hf.c”, “gi”, “H”, “T”, “TP”, “/1”, “.0”. Sendo assim o processo de detecção é ainda
mais difícil e para que seja possível os IDSs devem ser capazes de analisar uma
seqüência de pacotes;
d) HTTP Mis-formating: Conforme a RFC 2616 a estrutura de uma requisição a um
servidor web deve seguir o seguinte formato: método <espaço> URL <espaço>
versão CRFL CRFL; onde CRFL corresponde a uma linha em branco obrigatória. No
entanto muitos servidores web aceitam requisições que não estejam plenamente em
conformidade com essas especificações, por exemplo: método <tabulação> URL
<tabulação> versão CRFL CRFL. Portanto existe a possibilidade de iludir alguns
IDSs, pois ao ser realizada a comparação entre o pacote e a base de assinaturas de
ataques não haverá relação, logo o pacote será considerado uma solicitação normal e
não um ataque;
e) DOS Directory Syntax: em plataformas Windows o separador de diretórios é
representado por „\‟, enquanto que a especificação do protocolo HTTP determina que
o separador de diretórios web seja „/‟. Isso faz com que toda vez que uma requisição
do tipo “Get /cgi-bin/phf.cgi” é enviada a um servidor web da Microsoft, esse tenha
que converter „/‟ para „\‟, de forma que a aplicação em questão interprete a requisição
como “Get \cgi-bin\phf.cgi”. Portanto, este servidor aceita requisições como, “\cgibin\phf.cgi”, o que faz com que o IDS, ao analisar o pacote HTTP, não encontra a
assinatura de um ataque conhecido.
5.4. Negação de Serviço ou Deny of Service (DoS)
Ataque cujo objetivo é esgotar os recursos de um serviço ou rede tornando-o
inacessível ou com tempo de resposta alto. Os ataques de negação de serviços são
normalmente executados usando ferramentas que enviam de forma indiscriminada requisições
a um determinado servidor, sobrecarregando os recursos do mesmo e, por vezes, tornando o
sistema inoperável. Na grande maioria desses ataques o endereço de origem é forjado
(spoofing) e, portanto, dificultam o processo de auditoria. Todos os sistemas conectados à
Internet e que estejam executando serviços de rede baseados no protocolo TCP estão sujeitos
a ataques de negação de serviços.
6. Exemplo e Descrição de Software IDS.
6.1. Suricata;
Suricata é um software Open Source de Detecção de Intrusão da nova geração de
mecanismos de prevenção IDS. Este “motor” não se pretende apenas em substituir ou emular
as ferramentas existentes no setor, mas sim trazer novas idéias e tecnologias. O Motor
Suricata e a Biblioteca HTP estão disponíveis para uso sob a GPLv2.
Suricata utiliza regra baseada em ID / PS e também utiliza regra desenvolvidas
externamente definidas para monitorar o tráfego de rede e fornecer alertas para o
administrador do sistema quando eventos suspeitos são detectados. Projetado para ser
compatível com componentes de segurança de rede existente, Suricata apresenta uma
ferramenta unificada de funcionalidade de saída e opções de bibliotecas conectáveis para
aceitar chamadas de outros aplicativos.
A versão inicial do Suricata executado em uma plataforma Linux 2.6 que suporta
configuração de monitoramento em linha e passiva de tráfego capaz de lidar com os níveis de
tráfego de múltiplos gigabits.
Disponível sob a versão 2 da Licença Pública Geral, Suricata elimina dos DS / PS
preocupações com custos de software adicionais, proporcionando uma opção escalável para as
arquiteturas de segurança mais complexos da rede.
 Multi-threading
Como um mecanismo de multi-threaded, Suricata oferece maior velocidade e
eficiência na análise de tráfego de rede. Além de aceleração de hardware (com hardware e
limitações da placa de rede), o motor é construído para utilizar o poder de processamento
oferecido pelos mais recentes processadores mult-core. Suricata é desenvolvido para facilitar
a implementação e é acompanhado por um guia passo-a-passo de documentação começando
pelo manual do usuário.
 Desenvolvimento e características
O objetivo do Projeto Suricata Fase 1 era ter um ID de distribuição open source e
funcional / motor PS. A versão beta inicial foi disponibilizado para download em 01 de
janeiro de 2010. O motor suporta ou fornece as seguintes funcionalidades: o mais recente
Snort VRT, Snort registro, opções de idioma (regra), multi-threading aceleração de hardware,
(com hardware e placa de rede dependências / limitações), de saída unificada permitindo a
interação com sistemas externos de registro e gestão, IPv6, baseado em regras de reputação de
IP, biblioteca ficha-capacidade de interação com outras aplicações, a disponibilização de
estatísticas de desempenho.
Ao envolver a comunidade de código aberto, líderes de ID / PS e conjuntos de regras
já disponíveis, a OISF construiu o software Suricata para simplificar o processo de manter os
níveis de segurança ideais. Através de parcerias estratégicas, OISF está aproveitando a
experiência de ameaças emergentes (www.emergingthreats.net) e outros recursos de destaque
na indústria para fornecer as regras mais atuais e abrangente.
A Biblioteca HTP é um normalizador HTTP e analisador escrito por Ivan Ristic para a
OISF. Este integra e fornece processamento muito avançado de fluxos de HTTP para o
Suricata. A biblioteca HTP é requerido pelo sistema, mas pode também ser utilizado de forma
independente, em uma variedade de aplicações e ferramentas.
6.2. Prelude Hybrid IDS;
Em 1998, Yoann Vandoorselaere criou o Prelude Open Source (IDS). Desde então, o
Prelude tem recebido muitas contribuições de profissionais de segurança de todo o mundo.
Este amplo apoio ao software tem moldado Prelude em uma escala Universal da "Gestão de
Segurança da Informação". O software coleta, normaliza, classifica agregados, correlata e
relata todos os eventos relacionados à segurança, independentemente da marca do produto ou
licença ("Universal SIM", 2005). Este sistema de agregação independente de log fornece
imensa flexibilidade para as organizações e não requerer qualquer licenciamento ou software
especial, a fim de utilizar toda eficiência e precisão em gerar e gerenciar os logs de seus
dispositivos. Este tipo de flexibilidade permitir que as organizações consigam facilmente
implementar e monitorar dispositivos de vários fornecedores sem custos adicionais.
7. Conclusão
Sistemas de detecção de intrusos possuem uma grande importância na segurança de
redes hoje em dia, porem ainda estão bastante imaturos, pois ainda muito trabalho de pesquisa
ainda deve ser feito que essa.
Não há como fazer um sistema de detecção totalmente seguro, assim como nada em
redes pode ser considerado 100% seguro, pois possivelmente sempre haverá uma maneira de
burlar o sistema, porém cada vez mais deve-se investir em técnicas para tornar os IDS difíceis
de serem percebidos pelos intrusos.
Também ainda há um grande numero de alarmes falsos gerados, e infelizmente,
também há alguns casos em que o ataque acontece e não há alarme. Esses problemas deverão
ser reduzidos, a fim de haver uma maior eficiência nos IDS.
Novas técnicas de invasão e ataques a sistema crescem a cada dia, por isso é sempre
importante uma implementação de uma boa política de IDS, pois este deverá ser atualizado
constantemente a fim de buscar novas assinaturas que surgirem, e também relatórios deverão
ser gerados para prevenções a futuras invasões.
8. Bibliográfica
8.1. http://jeancarloscunha.wordpress.com/2008/11/14/o-que-e-ids-conceito/
(Acessado
11/12/2012).
8.2. http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusiondetection-systems-usando-unicamente-softwares-open-source/
(Acessado
11/12/2012).
8.3. http://pplware.sapo.pt/pessoal/informatica/ids-sistema-de-deteccao-de-intrusoes/
(Acessado 12/12/2012).
8.4. http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/introducao.html
(Acessado
18/12/2012).
8.5. http://www.sans.org/reading_room/whitepapers/awareness/prelude-hybrid-idsframework_33048 (19/01/2013 - Tradução livre)
8.6. https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata
(19/01/2013)
8.7. http://suricata-ids.org/ (22/01/2013)