Ids Aula01

IDS Sistemas de Deteco de Intruso
http://www.las.ic.unicamp.br/edmar
IDS
Mundo real
Em sua residncia / empresa / escola:
Quais so as ameaas de segurana? Que estratgias so utilizadas para proteo? Que mecanismos so utilizados para deteco de intruso?
IDS
Ambientes computacionais
Em sua rede / computador / celular:
IDS
A funo de um sistema computacional prover informao lu!o de dados
"rigem: um #ost$ um ar%uivo$ mem&ria$ etc 'estino: um #ost remoto$ outro ar%uivo$ um usu(rio$ etc )anal de comunicao: um ca*o$ um *arramento$ etc
IDS
)aracterizao dos ata%ues:
Interrupo: A informao enviada pela origem mas no c#ega ao destino
Interceptao: +m indiv,duo no autorizado tem acesso - informao
IDS
)aracterizao dos ata%ues:
Modificao: +m indiv,duo no autorizado no apenas tem acesso informao como capaz de modific(.la
Fabricao: +m indiv,duo no autorizado envia informao ao destino dizendo ser a origem
IDS
"s ata%ues mencionados violam diferentes propriedades de segurana de um sistema:
Confidencialidade: Acesso - informao apenas por indiv,duos autorizados Integridade: /roteo da informao contra modifica0es no autorizadas Disponibilidade: 1arantia de acesso - informao por indiv,duos autorizados %uando for necess(rio Autenticao: 1arantia de identificao dos indiv,duos autorizados o!rep"dio: 1arantias de %ue a0es realizadas no podem ser negadas
IDS
Em sua rede / computador / celular:
IDS
#ist$rico
/rim&rdios da computao Administradores de 2istemas sentados em frente ao console monitorando as atividades dos usu(rios
+su(rio de frias logado no sistema 3mpressora raramente utilizada usualmente ativa
inal dos anos 45 e in,cio dos anos 65 +so de logs de auditoria 7normalmente impressos8
Evidncias de comportamento fora do usual ou malicioso
E!cesso de informao 9 an(lise manual 9 muito tempo gasto 9 uso dos logs como ferramenta forense
'if,cil detectar um ata%ue em andamento
IDS
#ist$rico
'ispositivos de armazenamento mais *aratos
:ogs online 9 desenvolvimento de programas para an(lise dos dados An(lises lentas 9 uso intenso dos recursos computacionais 2istemas de deteco e!ecutados durante a noite 9 intrus0es detectadas ap&s sua ocorrncia
3n,cio dos anos ;5

/rimeiros sistemas de deteco de intruso em tempo real 9 logs analisados en%uanto so gerados
'eteco de ata%ues em andamento <esposta em tempo real 3nterrupo de ata%ues em andamento
IDS
#ist$rico
Esforos mais recentes
/rodutos para detectar intruso em redes de grande porte de maneira eficiente
'ificuldades
Aumento na comple!idade das redes Aumento da preocupao com a segurana 3n=meras novas tcnicas de ata%ue Am*iente computacional em constate mudana
IDS
%iso &eral
"*>etivo de um 3'2 simples: detectar instrus0es ?arefa dif,cil:
'e fato no #( deteco de intruso @( apenas a identificao de evidncias de intruso$ em andamento ou ap&s o fato ter ocorrido
Evidncias 9 manifesta0es de um ata%ue

/ode no #aver manifestao /ode no #aver informao suficiente A informao pode no ser confi(vel 9 deteco pode ser invia*ilizada
E!:
sistema de monitoramento por cAmeras
/ouca luminosidade / :entes su>as / "*>etos impedindo a viso 3magens no contundentes
IDS
Coleta de e'id(ncias
'eteco confi(vel e!ige uma coleta de dados completa e confi(vel do sistema sendo monitorado )oleta de dados 9 informa0es devem se limitar a eventos relevantes para a segurana
:ogs de auditoria gerados pelos 2"s
3nforma0es so*re a atividade de usu(rios e processos )uesto: <egistro apenas das tentativas de login mal sucedidas ou registro completo de todas as c#amadas de sistema 7syscalls8 realizadas por cada processo?
:ogs de roteadores e fireBalls

3nforma0es so*re a atividade na rede )uesto: <egistro apenas das cone!0es iniciadas e finalizadas ou registro completo de todos os pacotes %ue trafegam na rede?
IDS
Coleta de e'id(ncias
)ompromisso entre eficincia e so*recarga E!:
)oletar todo o tr(fego de um enlace Et#ernet 7C55 D*ps8 C55 D*its E CF$G DHItes 9 C s J555 D*its E 4G5 DHItes 9 C min 7J5s8 KJ5555 D*its L MM 1HItes 9 C # 7KJ55s8 6JM5555 D*its L C ?HIte 9 C dia 76JM55s8
)oletar informao caro 9 armazenamento

)oletar a informao necess(ria 'ificuldade:
Que informa0es coletar? /or %uanto tempo? 9 diversos cen(rios com diferentes re%uisitos
IDS
Deteco de Intruso
Intruso 'efinio: NAo 7ou se%uncia de a0es relacionadas8 realizada por um indiv,duo malicioso 7intruso8 *ue 'iola a pol+tica de segurana da organizaoOP /ontos importantes:
2em uma pol,tica de segurana no poss,vel definir o %ue uma atividade maliciosa A intruso resulta no comprometimento de um recurso ou sistema em virtude da violao da pol,tica de segurana
IDS
Deteco de Intruso
Deteco de Intruso 'efinio: N,rocesso de identificar e responder a ati'idades maliciosas direcionadas a recursos computacionais e de redeOP /ontos importantes:
'eteo de 3ntruso um processo 9 envolve tecnologia$ pessoas e ferramentas 'eteco de 3ntruso uma a*ordagem complementar -s demais adordagens de segurana$ como a adoo de mecanismos de controle de acesso e uso de criptografiaO
IDS
Deteco de Intruso
Deteco de Intruso Dotivao:
2istemas computacionais possuem vulnera*ilidades$ independente do fa*ricante ou do prop&sito do sistema A velocidade com %ue as vulnera*ilidades so desco*ertas maior do %ue a velocidade com %ue as corre0es so disponi*ilizadas e aplicadas 9 2istemas computacionais so inseguros por natureza Decanismos de seguranas podem ser desa*ilitados por fal#a$ m( configurao ou por usu(rios mal intencionados +su(rios leg,timos podem a*usar de seus privilgios Desmo %ue um ata%ue no se>a *em sucedido importante estar ciente da tentativa de violao
IDS
Deteco de Intruso
-istemas de Deteco de Intruso .ID-/ 'efinio: N2oftBare dedicado a realizar a deteco de intruso em um am*iente computacionalOP <e%uisitos dese>(veis:
/reciso: um 3'2 no deve detectar uma atividade leg,tima como intruso .falso!positi'o/ 'esempen#o: um 3'2 deve ser capaz de detectar uma intruso a tempo de evitar danos ao recurso atacado )ompletude: um 3'2 no deve identificar uma intruso como uma atividade leg,tima .falso!negati'o/ ?olerAncia a fal#as: um 3'2 deve ser resistente a ata%ues Escala*ilidade: um 3'2 deve ser capaz de processar eventos sem perda de informao
IDS
Ar*uitetura
E!istem diferentes 3'2s *aseados em diferentes frameBorQs conceituais 9 no entanto$ poss,vel identificar uma ar%uitetura comum ?erminologia introduzida pelo grupo de tra*al#o )3' 7)ommon 3ntrusion 'etection rameBorQ8:
0'ent bo1es .0!bo1es/: 1era eventos utilizando dados de auditoria do sistema Anal2sis bo1es .A!bo1es/: Analisa os eventos produzidos pelo E.*o!es ou em alguns casos outros A.*o!es$ gerando alertas 7ou alarmes8 Database bo1es .D!bo1es/: Armazenam eventos e/ou alertas 9 permitindo uma an(lise postmortem 3esponse bo1es .3!bo1es/: 'isparam a reao a um ata%ue detectado
IDS
Ar*uitetura
E!emplo de um 3'2
CO 'ois E.*o!es produzem eventos para dois A.*o!es FO "s dois A.*o!es analisam os eventos rece*idos e geram alertas para um terceiro A.*o! KO " terceiro A.*o! correlaciona os alertas rece*idos e envia os resultados para o '.*o! e o <.*o!$ %ue armazenam os alertas e disparam a resposta apropriada$ respectivamente
IDS
4a1onomia
'iferentes critrios de classificao:
M5todo de deteco: 'efine como um A.*o! realizar( a an(lise dos eventos Comportamento p$s!deteco: 'efine como um <.*o! realizar( a resposta aos alertas Fonte de e'entos: 'efine de onde um E.*o! o*ter( os dados de auditoria Fre*u(ncia de an6lise: 'efine com %ue fre%uncia um A.*o! realizar( a an(lise dos eventos
IDS
M5todos de Deteco
'uas a*ordagens complementares: Deteco por Mau 7so: 'efinir assinaturas de ata%ues previamente con#ecidos e *uscar por essas assinaturasO
Deteco por Anomalia: 'efinir o %ue o comportamento normal do sistema e *uscar por atividades %ue se desviam do comportamento normalO
IDS
M5todos de Deteco
Deteco por Mau 7so +tiliza uma *ase de assinaturas de ata%ues
/rimeiro passo: o*ter/construir assinaturas de ata%ues previamente con#ecidos
Eventos gerados so comparados com a *ase de dados de assinaturas

#( correspondncia 9 alerta gerado no #( correspondncia 9 evento considerado leg,timo
Rantagens:
Denor ta!a de falso.positivos 7dependendo da %ualidade da assinatura8
'esvantagens:
'etecta apenas ata%ues con#ecidos ou varia0es previamente modeladas 7maior ta!a de falso.negativos8
IDS
M5todos de Deteco
Deteco por Mau 7so 'iferentes a*ordagens:
2tateless: cada evento tratado de maneira independente
A*ordagem mais simples So necess(rio manter mem&ria de eventos passados 1an#o em performance 9 velocidade de processamento So poss,vel detectar algumas classes de ata%ues 2uscet,vel a ata%ues de Nalert stormP 9 alertas gerados intencionalmente A*ordagem mais comple!a T poss,vel detectar ata%ues %ue envolvem v(rios passos Denos suscet,vel a ata%ues de Nalert stormP 2uscet,vel a ata%ues Nstate.*asedP 9 grande %uantidade de informao em mem&ria 9 performance comprometida
2tateful: mantm informa0es so*re eventos passados

IDS
M5todos de Deteco
Deteco por Mau 7so Assinaturas:
3nformao necess(ria para caracterizar um ata%ue 'escrio normalmente de *ai!o n,vel 7protocolos$ portas$ flags$ padr0es de *Ites$ etc8 <e%uer con#ecimento de um especialista Assinatura muito espec,fica
?a!a de falso positivos ! falso negativos 'etectar varia0es de um ata%ue 7polimorfismo8
A*ordagens stateless: muito populares 7e!: 2nort8 A*ordagens stateful: *aseadas em transio de estados
'escrio de mais alto n,vel Del#or detal#amento da se%uncia de eventos utilizados no ata%ue 9 permite prevenir o ata%ue Alto consumo de recursos
IDS
M5todos de Deteco
Deteco por Mau 7so 'iferentes tcnicas de an(lise:
2istemas de produo / especialistas
E!: /.HE2? e ):3/2
A*ordagens *aseadas em transio de estados

+tilizam tcnicas avanadas de casamento de padr0es E!: 2?A?$ +2?A? e 3'3"?
'eteco por modelagem

)onstruo de cen(rios modelo %ue representam o comportamento caracter,stico das intrus0es E!: 1ister
IDS
M5todos de Deteco
Deteco por Anomalia Haseado na idia de %ue toda atividade anUmala maliciosa
/rimeiro passo: construir o modelo de comportamento normal do sistema 7perfil8
Eventos gerados so comparados com o perfil

#( pro!imidade 9 evento considerado leg,timo no #( pro!imidade 9 alerta gerado
Rantagens:
)apazes de detectar ata%ues descon#ecidos 7menor ta!a de falso negativos8
'esvantagens:
Daior ta!a de falso.positivos 7dependendo da %ualidade do perfil gerado8
IDS
M5todos de Deteco
Deteco por Anomalia 'iferentes a*ordagens:
Haseado em an(lise estat,stica
/erfil *aseado em dados #ist&ricos /ermite uma adaptao do sistema a mudanas graduais Alguns ata%ues podem ser realizados gradualmente sem serem detectados
Haseado em tcnicas de aprendizado de m(%uina

?empo de treinamento para definio do perfil normal costuma ser longo " comportamento do sistema pode mudar ao longo do tempo$ e!igindo retreinamento " con>unto de treinamento pode conter ata%ues Alguns ata%ues podem estar dentro dos limites da normalidade
IDS
M5todos de Deteco
Deteco por Anomalia 'iferentes tcnicas de an(lise:
Dodelos de 'orot#I 'enning
Dodelo operacional: mtrica 9 limiar Dodelo de mdia e desvio padro: intervalo de confiana Dodelo multivalorado: correlao de duas ou mais vari(veis Dodelo de processo de DarQov: considera pro*a*ilidade na transio de estados em uma matriz de estados
Dedidas estat,sticas
@ist&rico de perfis estat,sticos para cada usu(rio e sistemas monitorados E!: 3'E2 e @aIstacQ
A*ordagens *aseadas em regras

E!: Visdom and 2ense e ?ime.Hased 3nductive Dac#ine 7?3D8
<edes neurais
IDS
M5todos de Deteco
Deteco por Anomalia 'iferentes tcnicas de an(lise:
A*ordagens *aseadas no 2istema 3munol&gico Algoritmos genticos 'eteco *aseada em agentes
E!: EDE<A:'
'ata mining
)lassificao An(lise relacional An(lise de se%uncia
IDS
Comportamento p$s!deteco
A maior parte do 3'2s so passivos
Quando um ata%ue detectado um alerta gerado Especialista deve analisar os alertas gerados e realizar as a0es necess(rias 'emora na resposta ao ata%ue
Alguns 3'2s possuem capacidade de resposta

3/2: 2istema de /roteo - 3ntruso "*>etivo: mitigar o ata%ue detectado 'iferentes a*ordagens:
Dodificar permiss0es de ar%uivos Adicionar regras de fireBall inalizar processos em e!ecuo Encerrar cone!0es de rede
<iscos: ata%ue pode intencionalmente causar danos ao sistema ou causar uma negao de servio
IDS
Fonte de e'entos
+m 3'2 pode ser caracterizado pela forma como o*tm os eventos analisados 'iferentes adordagens:
@ost.*ased 3'2 7@3'28 Application.*ased 3'2 SetBorQ.*ased 3'2 7S3'28 )orrelation 2Istems
IDS
Fonte de e'entos
#ost!based ID- .#ID-/ 'etecta ata%ues contra um #ost espec,fico Analiza eventos produzidos pelo 2" ontes de eventos t,picas:
3nforma0es do sistema:
3nforma0es disponi*ilizadas pelo 2" em espao de usu(rio E!: comandos ps$ vmstat$ top$ netstat
:ogs do sistema:
/rogramas solicitam ao sistema de logs o registro de eventos E!: +ni!/:inu! 2Islog$ VindoBs Event :og
)F Audit ?rails:
2istemas compat,veis com n,vel )F de segurana do padro ?)2E) Donitoramento da e!ecuo de sIscalls
IDS
Fonte de e'entos
Application!based ID 'etecta ata%ues contra uma aplicao espec,fica ontes de eventos t,picas:
:ogs do sistema
)aso a aplicao implemente esta funcionalidade
3nstrumentao da aplicao com mecanismos de auditoria

Dodificando o c&digo fonte da aplicao 3nterceptando dados por meio de interfaces como sIscalls ou c#amadas a *i*liotecas 9 impacto na performance +so de ganc#os 7#ooQs8 disponi*ilizados pela aplicao 9 a maioria das aplica0es no implementa esta funcionalidade
IDS
Fonte de e'entos
etwor8!based ID- . ID-/ 'etecta ata%ues analisando o tr(fego de rede Atuam como sniffers capturando tr(fego em um linQ An(lise em diferentes n,veis de sofisticao
3dentificao de padr0es nos ca*eal#os ou no conte=do de um pacote +tilizando con#ecimento so*re o protocolo utilizado na comunicao
An(lise de alto n,vel

/ermite uma an(lise mais sofisticada dos dados Dais lenta e re%uer mais recursos
Duito utilizados
(ceis de implementar So impactam no desempen#o dos #osts monitorados
IDS
Fonte de e'entos
etwor8!based ID- . ID-/ 'ificuldades:
<edes de alta velocidade 9 tr(fego e!cessivo <edes segmentadas 9 ponto de coleta da informao +so de criptografia 9 impede a an(lise dos dados Ata%ues de 3nsero e Evaso 9 e!ploram as diferenas entre os #osts monitorados e o #ost onde o 3'2 se encontra
IDS

Fonte de e'entos
Correlation -2stems 'etecta ata%ues analisando os alertas de 3'2s Estende a funcionalidade dos 3'2s /ermite identificar correlao entre eventos de diversos 3'2s un0es:
Agregar con>untos de alertas Sormalizar os alertas 9 reduo de alertas )orrelacionar alertas
+tilizando alguma tcnica de aprendizado de m(%uina ou identificao de padr0es
IDS
Fre*u(ncia de an6lise
'uas a*ordagens:
An(lise dinAmica
Analisam em tempo real as atividades do sistema monitorado /ermite disparar uma resposta apropriada %uando um ata%ue detectado /ode introduzir uma so*recarga significativa no sistema monitorado
An(lise est(tica
E!ecutadas offline em per,odos de tempo espec,ficos Analisam um snaps#ot do estado do sistema +tilizados em an(lise postmortem 9 no permitem uma resposta ao ata%ue em tempo #(*il /ermite uma an(lise mais apurada sem impactar no desempen#o do sistema monitorado
IDS
Cooperao e Correlao
?endncia na deteco de intrusos /rocesso com m=ltiplos passos
<ece*e alertas de diferentes 3'2s viso condensada da se%uncia de acontecimentos descrio de alto n,vel dos ata%ues
A*ordagens de cooperao:
)omplementar a co*ertura da deteco
'iferentes fontes de eventos E!: Alertas de dois @3'2s distintos envolvidos em um ata%ue E!: Alertas de um S3'2 complementando alertas de um @3'2
Analisar os eventos e alertas gerados por outros 3'2s

'iferentes mtodos de deteco E!: 3'2 *aseado em mau uso ! 3'2 *aseado em anomalia
<eforar os alertas de outros 3'2s

'iminuir o n=mero de falso.positivos
IDS
Cooperao e Correlao
3'DE 73ntrusion 'etection Dessage E!c#ange ormat8
/adro definido pelo 3E? na < ) M4JG 'efinir formato para representao de alertas e protocolo para compartil#amento de alertas
23ED 72ecuritI 3nformation and Event Danagers8

)entraliza informa0es de eventos e alertas /ermite uma an(lise em tempo real dos alertas de segurana gerados )aracter,sticas:
Agregao$ )orrelao$ 1erao de Alertas$ Risualizao$ )onformidade$ Armazenamento
E!:
Accel"ps$ Arc2ig#t$ )isco 2ecuritI DA<2$ :og:ogic e 2en2age
IDS
3efer(ncias
Artigo: Intrusion Detection: A 9rief #istor2 and :'er'iew <ic#ard AO Wemmerer and 1iovanni Rigna :ivro: Intrusion Detection and Correlation ; Challenges and -olutions )#ristop#er Wruegel$ redriQ Raleur and 1iovanni Rigna

Ids Aula01

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ids Aula01

Uploaded by

Copyright:

Available Formats

IDS Sistemas de Deteco de Intruso

Interceptao: +m indiv,duo no autorizado tem acesso - informao

Fabricao: +m indiv,duo no autorizado envia informao ao destino dizendo ser a origem

3n,cio dos anos ;5

Evidncias 9 manifesta0es de um ata%ue

:ogs de roteadores e fireBalls

)oletar informao caro 9 armazenamento

Eventos gerados so comparados com a *ase de dados de assinaturas

2tateful: mantm informa0es so*re eventos passados

Aordagens aseadas em transio de estados

'eteco por modelagem

Eventos gerados so comparados com o perfil

Haseado em tcnicas de aprendizado de m(%uina

Aordagens aseadas em regras

Alguns 3'2s possuem capacidade de resposta

3nstrumentao da aplicao com mecanismos de auditoria

An(lise de alto n,vel

Analisar os eventos e alertas gerados por outros 3'2s

<eforar os alertas de outros 3'2s

23ED 72ecuritI 3nformation and Event Danagers8

You might also like