PEP – Auditoria e Segurança de Redes de Computadores
Sistemas de Detecção de Intrusão – SDI
Jacson Rodrigues Correia da Silva
Sistemas de Detecção de Intrusão
●
●
Monitor de informações que atravessam o firewall
–
Informações de pacotes
–
Informações de sistema
Sistemas automatizados
–
Procuram indícios de intrusão direta ou indireta
●
●
–
●
de invasões que já aconteceram
de invasões que estão atualmente em curso
notificam os administradores para que possam agir
Objetivo: identificar atividades de invasão
Sistemas de Detecção de Intrusão
●
Possuem duas abordagens
–
Preemptiva: agindo assim que observar atividade
suspeita na rede
–
Evolucionária: agir baseando-se em logs. Devido a
isso, com segundos de atraso
Detecção de Invasões
●
A metodologia básica de detectar invasores é
através da auditoria do sistema
Possui dois tipos:
–
a que trabalha com as informações estáticas de
configuração, também chamada de perfis de
segurança; e
–
a que trabalha com os eventos dinâmicos do
sistema.
Sistemas de Detecção de Intrusão
●
Etapas comuns que os SDI possuem
–
avaliação: verifica as necessidades de segurança de
um sistema e produz seu perfil de segurança;
–
detecção: coleta os eventos da utilização do
sistema e analisa-os para detectar atividades de
invasão;
–
alarme: que emite alertas quando um atacante
consegue acesso ao sistema.
Sistemas de Detecção de Intrusão
●
Podem ser divididos pelo momento em que fazem
a detecção das invasões
–
detecções em tempo real: analisam os dados
quando eles chegam;
–
detecções em lote: analisam os dados quando um
conjunto de dados coletados chegou em um
tamanho específico; e
–
detecções periódicas: analisam os dados
periodicamente, em tempos pré-determinados.
Arquitetura dos SDIs
●
Quanto a sua funcionalidade,
podem ser classificados em
–
SDI de rede;
–
SDI baseado em Host;
–
SDI distribuído.
SDI de Rede
SDI baseado em Host
SDI
Distribuído
Técnicas de detecção de Intrusos
●
Por Anomalia
Todas as atividades intrusivas são anormais
– Criação do perfil de um usuário
– Detectar as mudanças de comportamento
Por Abuso
–
●
–
–
Representar o ataque como molde ou assinatura
As variações do ataque também devem se enquadrar no
molde ou assinatura
Anomalia
●
Estatístico
–
Perfis baseados nas atividades dos usuários
–
Quantidade de processamento utilizado, número de arquivos
que costuma abrir, etc.
Desvantagens
●
Alterar perfil até o anômalo ser normal
● Não são sensíveis a ordem de ocorrência dos comandos
● Tempo de execução com modelos complexos
● Limites delicados
●
Anomalia
●
Prognóstico de padrões
–
Eventos não aleatórios
–
Prognóstico das próximas atividades
●
Se A->B->C, o próximo passo pode ser D, em 90%, ou E,
em 10%.
Anomalia
●
Prognóstico de padrões
–
Vantagens
–
Verificar menos eventos significantes
● Variação de comportamento com características
especiais
● Melhor sensibilidade na violação de políticas
Desvantagens
●
Padrões desconhecidos não são detectados
● Só reconhece os padrões previamente identificados
●
Anomalia
●
Bayesiana
–
Não supervisiona os usuários com perfis
–
Busca por classes num conjunto de dados
–
Tenta determinar o processo que as geraram
–
Vantagens
–
Possível determinar as classes mais prováveis
● Não necessita de arranjos sequenciais
Desvantagens
●
●
O atacante pode dissimular o sistema, mudando seu
comportamento gradualmente
Abuso
●
Sistema especialista
–
Comparação feita nos logs do sistema
–
Regras “se-então”
–
Vantagens
–
Regras bem definidas reduz a sobrecarga
● Possível deduzir a invasão baseadas nos dados
recebidos
Desvantagens
●
●
Somente detecta invasões conhecidas
Abuso
●
Modelamento
–
Possui base de dados com sequências de comportamento
de ataques
–
Verifica-se a existência de sequências nos logs
–
Vantagens
–
Emitir conclusões sobre ações ambíguas
Desvantagens
●
Influenciado pela capacidade de definir evidências de
eventos
● Não detectam ações não evidenciadas
●
Abuso
●
Monitoramento de comandos
–
Monitora conjuntos de comandos de ataque
–
Desvantagens
Uso de nomes alternativos (alias)
● Não verifica os programas, somente os comando
●
Híbridos
●
Utilizam as técnicas
–
Anomalia
–
Abuso
●
Minimizar as deficiências mútuas
●
Mais complexos ou limitados para implementação
●
Geralmente apresentam bons resultados
Resultados
●
Intrusivo e anômalo
–
●
Não intrusivo e não anômalo
–
●
Verdadeiros Negativos
Intrusivo, mas não anômalo
–
●
Verdadeiros Positivos
Falsos Negativos
Não intrusivo, mas anômalo
–
Falsos Positivos
Detecção
Probabilidade de Detecção entre Atividades
Normais e Anormais
Ferramentas IDS
●
Chkwtmp
●
●
Snort
●
●
permite checar as entradas excluídas de logs;
filtro de pacotes baseado no libpcap que fornece detecção
de invasão em rede doméstica;
HostSentry
●
observa anomalias de login;
Ferramentas IDS
●
Shadow
●
●
MOM
●
●
ferramenta distribuída para observar redes internas;
HummingBird System
●
●
detecta varredura de portas;
ferramenta para detecção de invasão em redes grandes;
outros...
Sites para pesquisas...
●
http://www.cerias.purdue.edu/about/history/coast_resources/idconte
nt/ids_bib.html
–
●
http://www.cerias.purdue.edu/about/history/coast_resources/idconte
nt/ids.html
–
●
Referências de publicações em SDI
Listas de SDI com descrição
http://www-rnks.informatik.tu-cottbus.de/en/node/209
–
Listas de SDI com referências