Sistemas de Detecção de
Intrusão
Pedro Figueiredo
Agenda
•
•
•
•
•
•
•
Conceito de intrusão
SDIs – Características
Técnicas de detecção
Tipos de SDIs
Honeypots
Conclusão
Perguntas
Intrusão
•
Violação a:
- Integridade
- Disponibilidade
- Confiabilidade
Exemplos de intrusão
• Usuário
mascarado
• Ataques internos
• Scripts/
ferramentas
SDIs
•
•
•
•
Identificar atividades maliciosas
Monitoramento
Análise dos dados
Geração de alertas (visual, e-mail,etc.)
• Passivos vs reativos
Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar
aplicativo externo,etc.
Técnicas de detecção
• Identificar ameaça a partir dos dados
monitorados
• Análise de anomalias
• Análise de assinaturas
Análise de anomalias
• Comportamento anormal : provavelmente
suspeito
• Estabelece um padrão normal
• Observação por um longo período
• Utilização de regras
• IA: Redes Neurais Artificiais
Análise de anomalias (2)
Vantagens e Desvantagens
+ Violações detectadas em tempo quase real
+ Detecta ataques desconhecidos
+ Gera informações para novas assinaturas
- Comportamento imprevisível: alta taxa de
falsos-positivos
- Pode ser difícil determinar um padrão normal
Análise de assinaturas
• Ataques/vulnerabilidades conhecidas
(assinaturas)
• Dependente de base de dados
• Deve ser vasto e atualizado com frequência
• Semelhante a AV
Análise de assinaturas (2)
Vantagens e Desvantagens
+ Mais eficiente: menos alarmes falsos
- Somente identifica ataques conhecidos
- Pode não detectar algumas variantes
- Dependente de atualização
Tipos de SDIs
• Network-based (NIDS)
• Host-based (HIDS)
• Hibridos
Baseados em rede (NIDS)
• Analisa tráfego da rede
• Pacotes de entrada e saída
• Posicionamento dos sensores
• Detecção por assinaturas
NIDS - exemplo
NIDS – Vantagens e Desvantagens
+ Não interferem no funcionamento da rede
+ Monitora redes grandes
- Redes com switch
- Não analisam dados criptografados
- Não indica se o ataque foi bem-sucedido
Baseados em estação (HIDS)
• Instalado em uma estação
• Processos, logs de aplicativos, arquivos de
sistema, etc.
HIDS - Exemplo
HIDS – Vantagens e Desvantagens
+ Bom para detectar ataques internos
+ Podem analisar dados criptografados
- Instalação e configuração para cada instância
- Suscetível a ataques DoS
Híbridos
• Combinação dos
anteriores
• Exemplo: NIDS para a
rede e HIDS para
servidores-chaves
Honeypots
• Recursos dedicados a serem atacados
• Livre de interações
• Honeypots de baixa interatividade
• Honeypots de alta interatividade
Vantagens e desvantagens
+ Simples de implementar
+ Logs pequenos
+ Poucos recursos
+ Identificam novos ataques
- Não faz sentido sozinho
- Adiciona risco: pode ser invadido
Conclusões
• Agrega valor a solução de segurança
• Integração com outras ferramentas , ex.: firewall
Perguntas
1.
2.
3.
4.
5.
Caracterize uma intrusão.
Que vantagens apresenta o método de detecção de invasão
por análise de anomalias? E desvantagens?
De que fatores depende a eficiência de um sistema que
utiliza o método de detecção baseado em análise de
assinaturas?
Como são classificados os SDIs, em relação a forma de
monitoramento? Explique as principais diferenças.
Quais são as vantagens e desvantagens da técnica
honeypot?