Modelo para Integração de Sistemas
de Detecção de Intrusão através de
Grids Computacionais
Paulo Fernando da Silva
Carlos Becker Westphall
Carla Merkle Westphall
UFSC – PPGCC – LRG
Sumário
•
•
•
•
•
•
Introdução
Modelo Proposto
Desenvolvimento
Testes
Resultados
Conclusão
PPGCC - LRG - UFSC
Introdução – Integração
• Diversidade de IDSs:
– Técnicas e alvos diferentes;
– Pontos fortes e fracos diferentes;
• Justificativas para Integração:
– Ambientes heterogêneos com vários IDSs;
– Ataques envolvem várias redes;
– Facilidade na migração de pesquisas para
produtos;
PPGCC - LRG - UFSC
Introdução – DIDSs x Grids
• DIDSs:
– Relacionam informações de diferentes origens;
– Ataques envolvendo várias redes\hosts;
– Necessitam de um alto grau de coordenação;
• Grids:
– permitem o compartilhamento coordenado de
recursos sobre diferentes redes\hosts;
PPGCC - LRG - UFSC
Introdução – Proposta
• Um modelo para integração de IDSs:
– Cooperação entre IDSs heterogêneos;
– IDSs integrados formam um DIDS;
– Integração através de Grids;
– IDSs integrados são visto como recursos;
• Modelo Proposto:
– DIDSoG: Sistema de Detecção de Intrusão
Distribuído sobre Grids;
PPGCC - LRG - UFSC
Introdução - Justificativa sobre Grids
• Características de Serviços sobre Grids:
– Gerência de dados distribuídos;
– Execução coordenada de múltiplas aplicações;
– Serviços de auditoria (fraudes e intrusões);
– Serviços de monitoramento (sensores e alertas);
[Foster 2002]
• Os DIDSs possuem características
próprias de serviços sobre Grids;
• Grids poderiam prover serviços de
suporte aos DIDSs;
PPGCC - LRG - UFSC
Modelo Proposto
• DIDSoG forma uma hierarquia de
serviços de detecção de intrusão;
• Funcionalidades dos IDSs participantes
são alocadas em algum nível da
hierarquia;
• Organizada sob “Escopo:Complexidade”:
– Ex.: Nível 1:1 (Escopo local e complexidade
baixa);
PPGCC - LRG - UFSC
Modelo Proposto - Cenário
Usuário 1
Domínio 1
Usuário 2
Domínio 1
Sensores
Locais
Sensores
Locais
Domínio 2
Analisadores
Nível 1:1
Agregação
Correlação
Nível 2:1
Agregação
Correlação
Nível 3:1
Analisador
Nível 2:1
Analisador
Nível 3:1
Analisador
Nível 2:N
Analisador
Nível 3:N
Analisadores
Nível 1:N
ContraMedidas
Nível 1
Monitor
Nível 1
ContraMedidas
Nível 2
Monitor
Nível 2
ContraMedidas
Nível 3
Monitor
Nível 3
PPGCC - LRG - UFSC
Modelo Proposto - Arquitetura
• Determinado recurso do DIDSoG:
– Recebe dados de outros recursos;
– Realiza seu processamento;
– Encaminha dados a outros recursos;
• Descritor define:
– As características de um recurso no Grid;
– Os recursos de destino de um determinado
recurso;
PPGCC - LRG - UFSC
Modelo Proposto - Descritor
ResourceDescriptor
1
TargetResources
-ident
-version
-description
1
1
1
Level
1
1
1
-escope
-complex
Feature
1
1
0..*
Resource
-featureType
1
-featureType
-name
-version
DataType
1
Text
1
1
-type
-version
XML
Binary
-DTDFile
PPGCC - LRG - UFSC
Modelo Proposto - Arquitetura
Recursos de Origem na
Grade
Serviço de Informações da Grade
Recurso da Grade
Descritor
Base
IDS
Nativo
Conector
Recursos de Destino na
Grade
PPGCC - LRG - UFSC
Desenvolvimento
• Simulador GridSim Toolkit 3.3;
• Componentes da Arquitetura:
– Base: DIDSoG_BaseResource;
– Descritor: DIDSoG_Descriptor;
– Conector: derivar de DIDSoG_BaseResource;
– IDS Nativo: implementado pelo IDS;
PPGCC - LRG - UFSC
Desenvolvimento - Simulador
GridInformationService
GridResource
GridSim
DIDSoG_GIS
Simulation_User
DIDSoG_BaseResource
1
*
*
1
1
1
1
DIDSoG_Descriptor
Simulation_DIDSoG
1
PPGCC - LRG - UFSC
Testes
• Foram desenvolvidos simuladores de
IDSs:
– coleta, análise, correlação e contra-medidas;
• Foram desenvolvidos componentes
conectores para cada um dos IDSs;
• Foram especificados Descritores para
cada um dos IDSs:
– através documentos XML;
PPGCC - LRG - UFSC
Testes - Descritor
PPGCC - LRG - UFSC
Testes – Simulação
TCPDump
Usuário_1
Usuário_2
Sensor_1
Sensor_2
TCPDump
Analisador_3
Nível 2:2
IDMEF
Analisador_1
Nível 1:1
TCPDump
IDMEF
Agreg_
Corr_1
Nível 2:1
TCPDumpAg
ContraMedidas_2
Nível 2
TCPDumpAg
ContraMedidas_1
Nível 1
Analisador_2
Nível 2:1
IDMEF
PPGCC - LRG - UFSC
Resultados e Discussão
• DIDSoG forma uma grade de serviços
de detecção de intrusão;
• O modelo apresenta flexibilidade:
– Escopo, complexidade e descritores;
• Componente Conector:
– Adaptações e conversões;
– Filtros e logs;
PPGCC - LRG - UFSC
Resultados e Discussão
• Integração de informações de
diferentes origens (escopo);
• Integração de diferentes técnicas de
detecção de intrusão (complexidade);
• Organização hierárquica:
– Processamento em fases;
– Redução da sobrecarga dos sensores;
– Facilita a expansão do DIDSoG;
– Permite a gerência em níveis de escopo;
PPGCC - LRG - UFSC
Conclusão
• GridSim possibilitou a simulação do
DIDSoG;
• Foram desenvolvidos os componentes
da arquitetura DIDSoG;
• IDSs heterogêneos cooperaram entre si
formando um DIDS através de um
simulador de Grids;
PPGCC - LRG - UFSC
Conclusão
• DIDSoG demonstrou ser uma solução:
– para integração de IDSs heterogêneos;
– para detecção de ataques distribuídos;
• Trabalhos Futuros:
– desenvolver em uma plataforma de Grid e IDSs
reais;
– incorporar serviços de segurança;
– permitir análise paralela por um mesmo IDSs
Nativo;
PPGCC - LRG - UFSC
Obrigado!
Perguntas?
Contato:
Paulo Fernando da Silva
[email protected]
PPGCC - LRG - UFSC
Download
  1. No category

Modelo para Integração de Sistemas de Detecção de Intrusão

Metodologia da Pesquisa em Ciência da Computação

Metodologia da Pesquisa em Ciência da Computação

opening

opening

120820094357_Introducaoeestilosdepesquisa

120820094357_Introducaoeestilosdepesquisa

universidade federal de santa catarina centro de ciências da

universidade federal de santa catarina centro de ciências da

abuso de medicamento mente aberta

abuso de medicamento mente aberta

Tarefas aqui!

Tarefas aqui!

MarcosLaffin

MarcosLaffin

Slide 1 - Coordenação do Curso de Nutrição

Slide 1 - Coordenação do Curso de Nutrição

Valter Tani

Valter Tani