Detecção de Intrusão
Disciplina: Auditoria de Sistemas
Prof. Luiz Antonio
Curso: Segurança Patrimonial
Intrusão
 É o processo pelo qual algo tenta
violar uma sistema.
 A intrusão pode ser de fora ou de
elementos do próprio sistema.
 Exemplo: Um invasor que tenta penetrar
em um sistema para danificá-lo.
Intruso
 Alguém que tenta invadir um sistema ou
fazer mau uso do mesmo.
 Podemos classificar em dois tipos:
 Intrusos Externos – pessoas de fora da
instituição (geralmente da Internet ou através
de Engenharia Social) que tentam ataques de
invasão.
 Intrusos Internos – pessoas de dentro da
instituição que tentam ataques de invasão.
 A maior porcentagem de ataques tem
origem dentro da própria instituição
(conhece melhor rede e a empresa)
Detecção de Intrusão
 A Detecção de Intrusão
 Envolve coletar e analisar informações e
identificar e rastrear ataques.
 Sistemas de Detecção de Intrusão
(IDS):
 Ferramentas que executam a detecção
de intrusão.
Sistemas de Detecção de Intrusão
 Monitoração de eventos
 Rede, Terminal ou Aplicação
 Objetiva identificar ataques
 Ataques geram alertas
 Opcionalmente podem ser
enviadas respostas:
 Encerramento de conexões, de
processos, alteração em permissões de
arquivos
Sistemas de Detecção de Intrusão
 Seres Vivos
 Os anticorpos constituem o mais
específico mecanismo de defesa que
nosso organismo possui.
 Identificam e produzem um alerta para
detectar e barrar substâncias estranhas
no corpo.
Sistemas de Detecção de Intrusão
 Seres Vivos
 Quando injetamos em um animal uma
substância estranha, certos glóbulos
brancos do sangue produzem e lançam
na corrente sangüínea um tipo especial
de proteína (anticorpo) capaz de se unir
especificamente à molécula estranha,
inativando-a.
Sistemas de Detecção de Intrusão
Fonte dos
Dados
Analise
Resposta
Alerta
Método Baseado em Comportamento
 Cria um perfil para os usuários
 Classifica o comportamento
como normal ou anômalo
 Procura por anomalias
 Para situações consideradas
anormais são gerados alertas
Método Baseado em Comportamento
 Vantagens:
 Detecção de ataques deconhecidos
 Esforço de manutenção reduzido
 Desvantagens:
 Dificuldade de configuração
 Dificuldade de lidar com mudanças
normais de comportamento
Método Baseado em Comportamento
 Sistemas adaptativos:
 Estabelece um padrão considerado
normal
 horários, tipo de recurso, tipo de
aplicação;
 Alerta para situações fora do padrão
 Acesso às 4hs da manhã
 Usuário do comercial compilando
programas
 Programador utilizando impressora
Método Baseado em Comportamento
 Análise estatística:
 São montados modelos estatísticos do
ambiente
 Eventos fora do modelo são considerados
ataques em potencial
 Tempo de sessão na Internet
 Quantidade de download/upload
Método Baseado em Conhecimento
 Semelhante ao funcionamento de
anti-virus:
 Deve existir uma base de ataques
conhecidos
 A base deve sempre ser atualizada
 Os eventos são comparados com
as informações da base
 Se um evento estiver na base, é
gerado um alerta
Método Baseado em Conhecimento
 Vantagens:
 Baixo número de alertas falsos
 Desvantagens:
 Só detecta ataques conhecidos
 Dificuldade de manutenção
Método Baseado em Conhecimento
 Análise de assinaturas:
 Existe uma base de assinaturas
 Assinaturas são definições de ataques
 Compara os eventos com a base de
assinaturas
 “Comunicação da porta 80 TCP da Web”
 “Acesso ao arquivo de senhas”
 “Acesso à tabela de salários”
Método baseado no Alvo
 Baseado em Host (terminais):
 Monitora as informações do host em que
está instalado
 Trabalha com processos, usuários,
arquivos e diretórios
Método baseado no Alvo
 Baseado em Rede:
 Monitora as informações da rede em que
está instalado
 Trabalha com endereços IP, portas
TCP/UCP
Método baseado no Alvo
 Baseado em Aplicação:
 Monitora as informações de uma
aplicação específica
 Está fortemente relacionado com a
natureza da aplicação;
 Banco de Dados ou Sistema Comercial
 Trabalha com tabelas, telas e funções