Professional Documents
Culture Documents
CENTRO DE INFORMTICA
RECIFE, OUTUBRO/2002
Resumo
Segurana um problema muitas vezes presente nas redes de computadores. Existem diversos
mecanismos para abord-la, dentre eles, firewalls, anlise de vulnerabilidades, criptografia,
certificados digitais, VPNs (Virtual Private Network), deteco de intruso e, at, uma poltica de
segurana bem planejada e aplicada. Todos so utilizados de forma que haja uma chance elevada
de se evitar maiores comprometimentos.
ii
Abstract
Security is often a problem present in computer networks. Diverse mechanisms exist to approach
it. Amongst them, firewalls, analysis of vulnerabilities, cryptography, digital certificates, VPN
(Virtual Private Network), intrusion detection and a well planned and applied security policy. All
have a high possibility of preventing a greater compromise.
The increasing risks of attacks in computational systems, due to the increase in non authorized
activities, not only by external intruders, but also by insiders (as in the case of users abusing its
privileges), show the importance of Intrusion Detection Systems (IDS) in the improvement of
computational systems security.
The great number of commercial IDS developed and available currently, as well as the many
questions that involve them, brings with its problems and restrictions that they need to be
identified for possible improvements.
The area of intrusion detention is very dynamic, in constant update and, with the development of
new IDS, always in search of improvement. Ahead of this, a taxonomy of the IDS is proposal, in
relation to the more detached features in the 3 (three) main modules of a IDS: data collect,
analysis and response component. Also elaborate a survey of diverse IDS, chosen for the
diversity of its mechanisms. In face of this study it was possible to consider a model of a IDS,
derived from a conceptual model already validated by application in the area of System
Administration.
iii
Sumrio
1 INTRODUO 9
2.1 INTRODUO 20
2.2 DIFERENA ENTRE FERRAMENTA DE SEGURANA E SISTEMA DE DETECO DE INTRUSO 21
2.3 MODUS OPERANDI DA DETECO DE INTRUSO 22
2.3.1 COLETA DE DADOS 23
2.3.2 ANLISE DE DADOS 25
2.3.3 MECANISMO DE RESPOSTA 36
2.4 QUAL A FINALIDADE DA ID 36
2.5 PRINCIPAIS TIPOS DE ATAQUES 37
2.6 VANTAGENS NO EMPREGO DE MECANISMOS DE DETECO DE INTRUSO 38
2.7 LIMITAES NO EMPREGO DE MECANISMOS DE DETECO DE INTRUSO 39
2.8 INFLUNCIA DA ARQUITETURA EM IDS 40
2.9 CONCLUSO 42
3 TAXONOMIAS 43
iv
4.1 MODELO CONCEITUAL 75
4.1.1 DIAGRAMA DE FLUXO DE DADOS 77
4.2 USO DE AGENTES INTELIGENTES EM IDS 81
4.3 ARQUITETURA DO IDS 83
4.4 O QUE SE ESPERA DESTE MODELO 87
4.5 ANLISE DO MODELO PROPOSTO NUMA ORGANIZAO 89
4.6 CONCLUSO 92
5 CONSIDERAES FINAIS 95
REFERNCIAS BIBLIOGRFICAS 99
APNDICE A 108
APNDICE B 165
v
ndice de Figuras
vi
Dedico este trabalho:
a voc, Csar, meu eterno namorado;
a voc Felipe, meu heri;
a voc Patrcia, minha melhor amiga.
Amo vocs mais que tudo nesta vida.
vii
Agradecimentos
Foi uma caminhada que, confesso, no foi fcil... Mas como meu orientador disse, em uma das
muitas reunies, existem coisas na vida que no so to fceis. Talvez por isso eu tenha dado
tanta importncia a esta vitria. E no consegui sozinha. Tambm envolveu pessoas sem as quais
no teria obtido sucesso. A elas minha eterna gratido:
A Deus, que sempre esteve ao meu lado;
minha me, referncia de fortaleza, perseverana, exemplo de honestidade, respeito, dedicao,
fonte de carinho, amparo, afeto, devoo e amor incondicional, obrigada por ter nascido;
Ao meu marido, amante e amigo, que soube esperar e me amar tanto. Obrigada pelas inmeras
correes no meu trabalho, principalmente aquelas dicas em telefonemas interurbanos;
Ao meu lindo filho Felipe, que h quatorze anos me d lies de vida;
minha meiga e carinhosa filha Patrcia, amiga e confidente, obrigada meu Deus, por ela ter
nascido e ser to nica para mim;
Ao meu orientador Fabio, pela compreenso das minhas dificuldades e confiana depositada em
mim;
Ao Evandro, pelas muitas horas que deixou sua famlia e trabalho para esclarecer minhas
dvidas, bem como a toda a equipe da Tempest Security Technologies;
Ao Claudino, por me escutar nos bate-papos dirios e sempre ter uma palavra de conforto;
minha querida irm Bia, por ter me recebido em sua casa e nunca perguntado quando meu
mestrado ia terminar;
Aos meus irmos, Paola e Totonho, e tambm querida tia Niza, que, mesmo distantes,
apoiaram-me tanto e no deixaram que eu desanimasse;
Aos meus sogros, Leonor e Ceclio, por sempre me fazerem acreditar que eu conseguiria;
Aos meus professores, aos meus colegas da turma 98, ao pessoal da Administrao de Sistemas
e ao de Suporte (Tepedino, Ndia e Fernando) e s funcionrias, Neide e Lilia, sempre to
solcitas. Vocs fazem nosso Centro de Excelncia;
Aos meus colegas do Ncleo de Informtica do IBAMA, Maurcio, Wilson, Barbosa e Eduardo,
que souberam compreender minha ausncia ao trabalho e queles que me deram a oportunidade
do meu aperfeioamento.
Ao Gen Mello e Gabriela e, tambm, ao Gen Seixas e Vera por lutarem para que me fosse
possvel concretizar um sonho. queles muitos amigos da 11 Cia E Bld, por me receberem na
minha nova famlia e acreditarem no meu sucesso. Vocs so pessoas muito especiais.
viii
Captulo 1
Introduo
9
1.1 Segurana Computacional
Segundo [Geus, 1999], h uma forte tendncia de que a segurana de um sistema seja
vista como sendo um modelo em camadas, que se inicia pela segurana fsica do
mesmo, pois, em muitos casos, por mais seguro que seja um sistema, um acesso
indevido ao console, ao hardware ou mesmo ao meio fsico pode comprometer todo ele.
Logo aps o nvel citado, vem a segurana do kernel do sistema operacional, pois este
que responde pelas principais funes do sistema. Em seguida, temos os protocolos de
comunicao, onde so muitas as fragilidades conhecidas. No mesmo nvel temos o
sistema de arquivos, que responde pelo acesso e os direitos de acesso que os usurios
tm sobre os arquivos, e, tambm, os sistemas de autenticao, que tm como
finalidade, confirmar se o usurio quem ele diz ser. Em um nvel superior esto os
servios oferecidos por este sistema, como DNS, NIS, NFS, HTTP, SSH, SMTP e outros.
Finalmente, encontram-se as aplicaes do usurio, onde diversos problemas podem
acontecer, como por exemplo, levando a exaurir os recursos do sistema (por exemplo,
espao em disco e memria do sistema) causando uma negao de servio. Cada
componente deste modelo pode apresentar potenciais pontos de vulnerabilidade e, como
tais, devem ser tratados.
Aplicaes do usurio
Servios
Kernel
Fsica
10
do erro de configurao de um sistema.
Uma vulnerabilidade de rede pode ser entendida como aquela que est relacionada ao
trfego de informao. Ataques podem tambm ocorrer atravs de falhas atribudas a
administradores, ou a usurios mal informados ou mal intencionados.
A segurana, embora seja um problema constante nas redes, visa garantir que o sistema
se comporte como esperado [Spafford,1996]. A defesa em profundidade, que ajuda
nesta segurana, uma estratgica bsica, na qual no se deve depender apenas de um
mecanismo de segurana, mas sim, dispor de mltiplos mecanismos de segurana,
alocando um retaguarda do outro.
Existem diversos mecanismos para abordar este problema, dentre eles: firewalls, anlise
de vulnerabilidades, criptografia, certificados digitais, VPNs (Virtual Private Network),
deteco de intruso e, at, uma poltica de segurana bem planejada e aplicada. Todos
so utilizados de forma que haja uma maior chance de se evitar comprometimentos.
Uma metodologia de deteco de intruso tem, como objetivo, detectar atividades que
violem a Poltica de Segurana, ou que comprometam a segurana do sistema. Em
termos mais simples, a deteco de intruso pode ser formada de trs componentes
funcionais [Bace, 2000]:
A informao de origem, que fornece um fluxo de gravao de eventos.
A anlise, que detecta sinais de intruso.
A resposta, que gera reaes baseadas na sada da anlise.
11
seus hosts, supondo-se que o atacante j invadiu a rede. Grosso modo, trata-se de um
alarme [Hora, 1999]. O mesmo pode ser configurado para informar sobre um evento
observado que pode ser um ataque, a suposta origem de um ataque, bem como sugerir
algum tipo de ao reativa.
[Axelsson, 2000], em seu estudo, apresenta uma taxonomia que consiste, em primeiro
lugar, de uma classificao dos princpios de deteco e, em segundo, de uma
classificao de certos aspectos operacionais dos IDS.
12
Segundo [Mukherjee, Heberlein e Levitt, 1994], os mtodos de deteco podem ser
categorizados como:
Deteco de anomalia, que tenta identificar, na rede, o desvio de
comportamento e sintomas que divirjam de uma rede em uso normal;
Deteco de mau uso, que procura identificar padres de comportamento que
coincidam com cenrios conhecidos de ataques.
1
Tcnicas descritas no captulo 3, seo 3.2
2
Tcnicas descritas no captulo 3, seo 3.2.
13
Axelsson tambm classifica os IDS em relao a 08 (oito) caractersticas. So
identificadas como:
Tempo de deteco;
Granularidade do processamento dos dados;
Origem dos dados auditados;
Resposta deteco de intruso;
Localizao da coleta de dados;
Localizao do processamento dos dados;
Segurana;
Grau de interoperabilidade.
Outra taxonomia [Debar, 1999] tambm importante, classifica os IDS com relao a 04
(quatro) caractersticas principais, tanto funcionais quanto no funcionais. So elas:
O mtodo de deteco;
O comportamento da deteco;
A localizao da origem da auditoria;
A freqncia de uso.
O survey de [Lunt, 1988] descreve poucos IDS e suas respectivas tcnicas de anlise do
Audit Trail. As caractersticas dos IDS apresentadas no seu trabalho j esto includas
nas taxonomias de Debar e Axelsson, por isso, no sero citadas separadamente.
14
mtodos de deteco est sendo pesquisada. A deteco de ataque do tipo abuso
de privilgio aquela que necessita de maior ateno [Debar, 1999].
IDS com caractersticas diversas podem utilizar a mesma tecnologia para
diferentes implementaes. Detectores podem trabalhar em camadas ou como
detectores em separado [Axelsson, 2000].
1.3.1 Motivao
O grande nmero de Sistemas de Deteco de Intruso (IDS) desenvolvidos e
disponibilizados atualmente, tanto comercialmente quanto para pesquisa, bem como as
muitas questes que envolvem os mesmos, trazem consigo problemas e restries que
precisam ser identificados para possveis aprimoramentos. Apesar desses esforos,
muitos daqueles problemas ainda persistem nos IDS existentes:
3
2002 Computer Crime and Security Survey Computer Security Institute (Relatrio do ano de
2002 de crimes de computadores e levantamentos de segurana) Disponvel em:
http://www.gocsi.com/forms/fbi/pdf.html.
15
O uso de sistemas especialistas no mecanismo de deteco de intruso a
abordagem mais freqentemente aceita para deteco de ataques [Cannady and
Harrell, 1996]. Tem sido largamente incorporada em muitos IDS, principalmente
nos comerciais. No entanto, por usarem um modelo computacional de raciocnio
de um especialista humano, devem se submeter a uma contnua manuteno.
IDS que tem seu princpio de deteco baseado em regras, geralmente sofre com
a falta de flexibilidade na representao das regras e tambm com a inabilidade
em detectar ataques que ocorrem durante longo perodo de tempo e cenrios de
intruso no qual mltiplos atacantes operam de maneira coordenada.
1.3.2 Objetivo
Esta dissertao tem como objetivo apresentar uma nova taxonomia baseada em [Debar,
1999] e [Axelsson, 2000] com as caractersticas destacadas a seguir:
A elaborao de um survey dos IDS tambm um dos objetivos desta pesquisa. Este
estudo tem como finalidade, a descrio dos sistemas diante de suas caractersticas j
definidas na nova taxonomia. A escolha dos IDS se baseou na diversidade das
tecnologias empregadas em cada um deles.
16
Enfatizou-se, tambm, a importncia de serem pesquisados trabalhos anteriores, para
melhor entender suas limitaes e lacunas, visando colher informaes para o
desenvolvimento de novas tecnologias.
Como objetivo final apresentado um modelo, que contempla uma nova abordagem
para os Sistemas de Deteco de Intruso.
1.4 Metodologia
A metodologia desta dissertao envolve, como ser visto, a apresentao de duas
taxonomias que do subsdios a uma nova taxonomia de IDS, que por sua vez apia-se
numa teoria que pode sofrer modificaes mais tarde, o que provvel, tendo em vista
ser uma rea muito dinmica. Mesmo assim, ser possvel retornar taxonomia e
adicionar-lhe caractersticas.
Como parte prtica desta dissertao, foi escolhido para teste o prottipo AAFID24. As
caractersticas apresentadas por este prottipo se assemelham com as utilizadas no
modelo proposto nesta dissertao, como:
4
Autonomous Agent for Intrusion Detection verso 2, desenvolvido por Eugene H. Spafford, e
Diego Zamboni, no projeto COAST da Purdue University em West Lafayette e disponibilizado
para teste em 07/09/1999.
17
uma arquitetura de coleta e anlise de dados distribuda;
coleta de dados de mltiplas localizaes de origem;
escalabilidade com o uso de agentes de software, independentes e hierrquicos.
Como algumas caractersticas do IDS so derivadas de sua arquitetura, a esta deve ser
atribudo o mesmo grau de importncia que aos componentes do IDS, citados por [Bace,
2000].
O modelo proposto precisa, numa fase posterior que contemple sua implementao, de
atender a 10 (dez) requisitos bsicos desejveis para um IDS, segundo [Barrus, 1997]:
Um IDS deve reconhecer qualquer atividade suspeita ou evento que possa ser
um ataque conhecido;
Deve ser detectado, no nvel mais baixo possvel, o comportamento de escalao
de privilgios por parte do intruso;
Componentes em vrios hosts devem se comunicar a respeito dos nveis de
alerta e de deteco de intruso;
O sistema deve responder apropriadamente a mudanas no nvel de alerta;
O IDS deve ter algum mecanismo de controle manual para permitir que
administradores controlem as vrias funes e nveis de alerta do sistema;
O sistema deve ser capaz de se adaptar a mudanas nos mtodos de ataque;
O sistema deve ser capaz de tratar mltiplos ataques concorrentes;
O sistema deve ser escalvel e expansvel como as mudanas da rede;
O sistema deve ser resistente a comprometimento;
O sistema deve ser eficiente e confivel.
18
1.5 Organizao
Os captulos que se seguem sero apresentados da seguinte forma:
19
Captulo 2
Princpios da Deteco de
Intruso
Este captulo apresenta conceitos bsicos sobre Deteco de Intruso (ID), como seus
princpios, modus operandi, finalidade, preocupaes, vantagens e limitaes.
2.1 Introduo
20
so classificadas as propriedades relacionadas com a segurana da informao em
computadores e redes [Stallings, 1998]:
Confidencialidade dos dados: est relacionada com a proteo dos dados contra
acesso por usurios no autorizados.
Autenticao de origem e destino: relaciona-se com o impedimento de
personificao de usurios e de hosts.
Integridade: est relacionada com a garantia de que a informao no sofra
duplicao, alterao, insero ou reordenao no seu contedo.
No repudiao: est relacionada com o impedimento de usurios negarem
aes executadas ou mensagens enviadas/recebidas.
Controle de acesso: relaciona-se exigncia de que o acesso aos recursos de
computao possa ser controlado pelo sistema alvo.
Disponibilidade: relaciona-se exigncia de que sistemas de computao
devem estar disponveis para partes autorizadas quando necessrio.
Pode-se identificar dois grupos que desempenham a deteco de intruso, dando nfase
ao monitoramento das aes que ocorrem no sistema alvo:
21
sistema para um dado momento. Exemplos incluem, COPS, Tiger, AIDE e a
ferramenta Tripwire, que checam a integridade do sistema de arquivos. Embora
possam detectar intruses, no sero consideradas IDS por somente analisarem
periodicamente o ambiente, procurando por vulnerabilidades, erros de
configurao, etc, em oposio ao monitoramento contnuo feito pelos IDS. So
identificadas como ferramentas de segurana.
Uma metodologia pode, como objetivo, detectar atividades que violem a Poltica de
Segurana ou que comprometam a segurana do sistema. Em termos mais simples, a
deteco de intruso formada por 03 (trs) componentes funcionais [Bace, 2000],
mostrados na figura 3:
22
SDI
23
Fornece rpida notificao e resposta, podendo detectar ataques em tempo de
execuo;
Pode ser empregada sem afetar substancialmente o desempenho da rede;
No precisa ser instalada em todos os hosts;
Opera de forma independente do sistema operacional dos hosts monitorados;
Pode realizar a deteco de inteno maliciosa para recursos atrs do
Firewall, mesmo que este possa rejeitar essas tentativas de ataque, sendo,
portanto, conhecida a freqncia e os tipos de ataque feitos rede.
Pode complementar e verificar componentes implementados pela poltica de
segurana. No caso do Firewall, pode ajudar a verificar se ele realmente
impede certos tipos de trfego e endereos que devam ser rejeitados.
Como permite o emprego estratgico a pontos de acesso crtico, para obter
uma viso do trfego destinado a numerosos sistemas que necessitam ser
protegidos (considerando a abordagem para um segmento de rede ou toda a
rede), no exigem o carregamento e o gerenciamento de um programa em
vrios hosts. Portanto, menos pontos de deteco so requeridos, melhorando
a relao custo-benefcio do gerenciamento em um ambiente empresarial.
Forte anlise. Desde que use registros contendo eventos que tenham
realmente ocorrido, pode informar se um ataque obteve sucesso ou no, com
poucos falsos-positivos;
Monitora atividades especficas. Por exemplo, monitora atividades do
usurio, acessos a arquivos de sistema e executveis, tentativas de acesso a
servios privilegiados e de instalao de trojan horses ou backdoors.
Monitora, tambm, atividades que devam e possam ser executadas somente
por administradores.
Monitoram componentes-chaves. Alerta quando arquivos so executados ou
modificados (.rhosts, /etc/passwd), como tambm, alerta sobre o nvel de uso
do espao em disco.
24
Pode detectar ataques que ocorrem fisicamente no servidor (keystroke
attack).
Adapta-se bem a ambientes com switches e sob criptografia, pois reside em
vrios hosts. Mesmo que os switches permitam que o ambiente seja
gerenciado como muitos segmentos de rede e que exista criptografia em
algum lugar da pilha de protocolos, estes no so fatores limitantes, pois o
fluxo de dados, no trfego de entrada, j chega decifrado.
No requer uma plataforma de hardware dedicada. Pode residir em recursos
de rede existentes, servidores de arquivos, servidores de Web e em outros
recursos compartilhados e crticos. Nestes casos, tem um custo mais efetivo,
no sendo apenas outra caixa instalada na rede, a exigir endereamento,
manuteno e gerenciamento.
Cada tipo apresenta vantagens e desvantagens. Uma boa estratgia utilizar, ao mesmo
tempo, as duas abordagens num IDS, audit trail e packet feed, pois ocorrem ataques que
podem ser detectados por uma abordagem e no por outra.
Este componente deve possuir a funo de correlao para combinar resultados dos
processamentos dos componentes individuais.
25
de um tipo de analisador. No entanto, IDS que utilizam diferentes analisadores em srie
trazem benefcios para o nvel de segurana da rede da organizao.
Este componente pode decidir quando os eventos descritos indicam se intruses esto
em curso ou, se j ocorreram. As abordagens de anlise de dados mais comuns so duas:
a que dirige seu foco s atividades que fogem significativamente dos perfis
estabelecidos de comportamento normal.
a que procura por eventos ou conjunto de eventos, que se encaixam em um
padro pr-definido, que descrevam um ataque conhecido;
a. Vantagens:
Detecta tentativas de serem exploradas vulnerabilidades novas e
imprevistas, podendo mesmo contribuir para serem descobertos,
automaticamente, pelo menos parcialmente, novos ataques;
menos dependente de mecanismos especficos de sistemas
operacionais;
Ajuda a detectar abusos de privilgio, que so tipos de ataque que no
envolvem a explorao de qualquer vulnerabilidade de segurana.
b. Desvantagens:
Alta taxa de alarmes falsos, uma vez que todo o espao do sistema de
informao no pode ser coberto durante a fase de aprendizagem.
Tambm o comportamento pode mudar com o tempo, introduzindo a
necessidade de instrues on-line peridicas de perfil normal de
comportamento, resultando tanto em indisponibilidade do IDS, quanto
em adicionais alarmes falsos;
O sistema pode estar sendo submetido a ataques na mesma hora em que
o IDS estiver aprendendo. Como resultado, o perfil normal de
26
comportamento contm comportamento intrusivo, que no ser detectado
como anmalo;
Dependendo do tamanho do audit trail e da habilidade de processamento
do sistema, a reviso dos dados de auditoria resulta na perda da
capacidade de anlise em tempo real.
a. Vantagens:
Baixa taxa de alarmes falsos em relao abordagem baseada em
comportamento;
A anlise contextual proposta detalhada, facilitando o uso deste sistema
pelo analista de segurana para ao de preveno e correo.
b. Desvantagens:
Necessidade de atualizao freqente da base de conhecimento com as
novas vulnerabilidades descobertas. uma tarefa de manuteno que
exige anlise cuidadosa de cada vulnerabilidade, alm do consumo de
tempo. Esta situao se agrava em razo da exigncia de serem
representadas todas as possveis facetas de um ataque, como assinaturas.
Existe a possibilidade de um ataque ser representado por um nmero de
assinaturas, no mnimo uma para cada tipo de sistema operacional, no
qual o IDS deve ser portado;
Degradao da performance resultante da dependncia na entrada do
audit trails. Esta desvantagem pode ser minimizada aumentando-se a
performance do sistema e reduzindo-se as gravaes de auditoria.
27
exigncia de aumento da memria como mecanismo para comparao das atividades do
usurio com as informaes nas duas bases de conhecimento.
28
As primeiras pesquisas em deteco de intruso reconhecem a ineficincia de qualquer
abordagem que necessite de reviso manual dos sistemas de auditoria. A determinao
de como a informao coletada ser revisada um elemento importante na estrutura
bsica de um IDS. Das muitas tcnicas apresentadas para reviso da informao,
algumas concluses so tiradas da aplicao das mesmas:
29
Quando as regras so modeladas como transio de estado trazem grande
flexibilidade e velocidade. A tcnica tambm conserva estatsticas sobre o
desempenho da rede, utilizando um clculo estatstico para determinar quanto tempo
a informao de estado da conexo deve ser retida antes de descart-la.
30
Outras tcnicas de aprendizagem so empregadas na deteco de intruso para
melhorar a performance de busca e anlise de dados nos sistemas
computacionais, como a reduo de dados e os sistemas classificadores.
Exemplos de sistemas classificadores so a rvore de deciso e a rede neural
[Frank, 1994]. Dentre as vantagens de se empregar uma rede neural na deteco
de intruso est a habilidade de aprender as caractersticas de um ataque de mau
uso do sistema e, identificar instncias que sejam diferentes de qualquer uma que
tenha sido observada antes pela rede. um sistema de defesa com capacidade
flexvel de reconhecimento de padro. Similarmente, a RN possui a habilidade
de conduzir a anlise dos dados de maneira no linear, possibilitando o
processamento dos dados de mltiplas origens.
Uma RN pode ser treinada para reconhecer eventos suspeitos conhecidos com
um alto grau de preciso. Tambm deve ganhar a habilidade de aplicar este
conhecimento para identificar instncias de ataque que no casam com as
caractersticas exatas de intruses prvias. A probabilidade de um ataque contra
um sistema pode ser estimada e uma ameaa em potencial ser sinalizada sempre
que a probabilidade exceder a uma entrada especificada. Desvantagens tambm
aparecem quanto dependncia da RN no treinamento dos dados e nos mtodos
de treinamento que so usados pelo sistema e, tambm, na obteno dos dados
para treinamento. Contudo, a mais significante desvantagem da aplicao da RN
para ID a natureza caixa preta. Enquanto um SE tem regras altamente
codificadas para anlise de eventos, as RNs adaptam sua anlise de dados, em
resposta ao treinamento que conduzido na rede.
31
rpida em um sistema, a RN til na identificao de mudanas graduais no
sistema ou, no comportamento do usurio.
32
do seu comportamento. Embora simplista do ponto de vista biolgico, estes
algoritmos so suficientemente complexos para fornecer mecanismos de
adaptao robustos e poderosos. A vantagem dos algoritmos genticos sobre as
redes neurais que as regras de diagnstico que geram so de mais fcil
entendimento para as pessoas.
Imunologia Computacional:
o Este mtodo exige estar altamente afinado para operar com eficincia
mxima.
o O processo de aprendizado pode ser computacionalmente caro,
particularmente se no pode ser desempenhado de maneira incremental.
Pode, tambm, ser necessrio desaprender velhas experincias. Isto
introduz complexidade no retreinamento.
33
o Uma grande quantidade de dados exigida para treinar estes sistemas. O
problema torna-se mais complicado uma vez que o estado de normal
depende de tempo e espao.
o Exigem pouca comunicao entre os hosts, embora o IDS seja altamente
distribudo [Hofmeyr, 1999].
Minerao de Dados:
5
Lightweight Intrusion Detection for Network, http://www.snort.org.
34
como modelos de busca que possam automatizar o processo, de modo a fornecer
primitivas ou funes que, recebendo como entrada, dados especficos do tipo de
anlise desejada, realizem busca sobre a base de dados, selecionem seqncia de
dados relevantes e, aplicando tcnicas especficas, retornem um conjunto de
dados que caracterizem o tipo de evento desejado. Deve-se levar em
considerao, tambm, se a filtragem de dados pelos sensores no causa uma
falta de dados para o componente anlise.
Clustering:
6
Proposta por Linda Lankewicz e Mark Benard da Universidade de Tulane.
35
2.3.3 Mecanismo de resposta
Uma vez que as informaes sobre os eventos tenham sido obtidas e analisadas para
perceber ataques, podem ser geradas respostas adequadas. As respostas podem ser
constitudas de aes automticas, tomadas quando certos tipos de intruso so
detectados ou, que dependam de uma entidade externa, para a realizao de aes
cabveis subseqentes, como por exemplo, o Administrador de Sistemas (AS).
IDS ativos somente ganharo espao medida que se tornem mais confiveis.
36
O desenvolvimento de sistemas completamente seguros , provavelmente,
impossvel.
Mesmo os sistemas altamente seguros so vulnerveis ao mau uso por usurios
legtimos.
Programa para varreduras, que mapeia uma rede com o objetivo de encontrar
servios nela disponibilizados e eventuais vulnerabilidades nestes servios, os
quais so passveis de serem explorados.
Programa para elevao de privilgios/invaso (exploits), que tenta ganhar
controle local ou remoto, explorando as vulnerabilidades de um sistema.
Negao de servio local/remota, que um programa que tenta parar ou
prejudicar o desempenho de um sistema computacional, consumindo,
excessivamente, recursos nele disponveis.
Programa para quebra de senhas, que tenta descobrir senhas criptografadas por
meio de comparaes com um banco de dados, ou de teste por fora bruta.
Programa para captura de pacotes de rede, que efetua a captura de todo o trfego
da rede qual est conectado, utilizando interfaces de rede em modo promscuo.
Do mesmo modo que os ataques podem ser descritos sob diferentes pontos de vista, o
processo de deteco dos ataques tambm o pode ser. Atualmente, a tecnologia para tal
processo est em constante evoluo devido, principalmente, grande velocidade com
que esta rea de pesquisa sofre mudanas.
37
2.6 Vantagens no emprego de mecanismos de
Deteco de Intruso
7
Center for the Study of Intelligence / Federal Bureau of Investigation Disponvel em:
http://www.gocsi.com/forms/fbi/pdf.html.
8
Disponvel em: www.informationweek.com.br/, em julho de 1999.
9
Disponvel em: http://www.sei.cmu.edu/publications/documents/99.reports/
99tr028/99tr028abstract.html.
38
Resoluo de problemas relacionados com vulnerabilidades de segurana nos
softwares em proliferao, minimizando o estrago e a perda de informaes.
Importncia dos dados produzidos por mecanismos de deteco de intruso em
evidncias legais perante a lei, assunto importante na forense computacional.
39
Nem todo ataque est relacionado ao contedo, entretanto, ataques rede na
forma de pacotes criptografados no sero notados por mecanismos de ID, a
menos que estes estejam programados para detectar o fluxo de pacotes anormais,
como numa inundao repentina de um tipo particular de pacote, mesmo que seu
contedo esteja criptografado.
O IDS deve ser capaz de fazer a distino entre as muitas origens de dados, uma vez que
diferentes cenrios de intruso podem ser encontrados em diferentes sistemas
operacionais. Este o problema com relao ao desempenho da anlise centralizada da
informao coletada a partir de sistemas heterogneos. Abordagens centralizadas
apresentam algumas necessidades em relao a abordagens distribudas [Bace, 2000]:
40
Determinar se um elemento do sistema foi alterado ou desabilitado num dado
tempo. Estes sistemas tm menos componentes, no entanto, so maiores, mais
complexos e mais difceis de serem monitorados.
Disparar e interromper componentes do sistema graciosamente. Se um
componente de anlise para de trabalhar, todo o sistema para. Cada componente
um ponto nico de falha.
Consolidar a informao e a apresentar ao usurio final de uma forma significativa.
Manter um host dedicado para a tarefa de anlise devido sobrecarga imposta.
Configurar o sistema para caractersticas especficas dos sistemas alvos
monitorados.
Escalar o sistema para um nmero maior de hosts monitorados. O componente de
anlise necessita de mais computao e recursos de armazenamento.
Reconfigurar o componente de anlise. Todo o sistema deve ser reiniciado, afetando
o funcionamento do mesmo.
Para uma abordagem distribuda, deve existir alguma maneira de repartir todo o sistema
em diferentes e pequenos domnios para o propsito de comunicao. O domnio um
subconjunto da hierarquia, consistindo em um n, responsvel pela coleta e anlise de
todos os dados de todos os outros ns no domnio. Este n que analisa, representa o
41
domnio para os outros acima dele na hierarquia. Domnios podem ser construdos pela
diviso do sistema baseado em:
geografia/topologia;
controle administrativo;
coleo de plataformas de software similares, ou;
parties baseadas em tipos antecipados de intruso.
Por exemplo, dados coletados de ns rodando o mesmo sistema operacional podem ser
enviados para um ponto de coleta central. Assim, os sistemas homogneos podem ser
analisados em acordo.
2.9 Concluso
No existe nenhuma frmula ou regra de ouro para se conseguir um retorno desejado
do emprego de tecnologia de deteco de intruso. A necessidade do seu uso
crescente, mas implica em vantagens e limitaes como as que foram vistas. Tambm
envolvem questes como finalidade e modus operandi, que precisam ser compreendidos
e aceitos. Um maior conhecimento da rea de ID ser visto com a apresentao de
taxonomias de IDS. No terceiro captulo ser feita uma anlise crtica e comparativa de
duas taxonomias de IDS, [Debar, 1999] e [Axelsson, 2000], mostrando suas limitaes e
propondo uma nova taxonomia de IDS baseada nos trs componentes funcionais
apresentados por [Bace, 2000]: a coleta de dados, a anlise e o componente de resposta.
42
Captulo 3
Taxonomias
a) Mtodo de deteco:
i) Baseado em comportamento, quando a informao usada versa sobre o
comportamento normal do sistema monitorado:
(1) Estatstica
43
(2) Sistemas Especialistas
(3) Rede Neural
(4) Identificao de Inteno do Usurio10
(5) Imunologia Computacional
ii) Baseado em conhecimento, se a informao usada versa sobre ataques:
(1) Sistemas Especialistas
(2) Anlise de Assinaturas de Ataques
(3) Rede de Petri
(4) Anlise de Transio de Estado
2) Caracterstica no funcional:
a) Freqncia de uso:
i) Com monitoramento contnuo
ii) De anlise peridica.
10
uma tcnica desenvolvida durante o projeto SECURENET. Ela modela o comportamento
normal do usurio pelo conjunto de tarefas que desempenha no sistema. Computers & Security,
Volume 15, Issue 5, pp. 395, 1996.
44
mtodo de anlise. A caracterstica no funcional, freqncia de uso, se relaciona a duas
categorias de mecanismos de ID: IDS e ferramentas de segurana respectivamente.
Com isto nota-se, na figura 3, que se trata de uma taxonomia superficial, no entrando
em detalhes quanto s principais caractersticas dos trs componentes de um IDS
(coleta, anlise e resposta). Assim pode ser interessante um maior aprofundamento nas
caractersticas dos componentes de um IDS, levando a pensar em novos critrios para
que os mesmos sejam classificados.
conhecimento
host ativa
sistema especialista
rede assinatura de ataque passiva
rede de Petri
transio de estado
comportamento
estatstica
sistema especialista
rede neural
identificao de inteno do usurio
imunologia computacional
11
www.cs.columbia.edu/~sal/hpapers/USENIX/usenix.html.
12
[Zamboni, 2000] Doing Intrusion Detection Using Embedded Sensors Thesis proposal.
CERIAS technical Report 2000-21, Purdue University, W. Lafayette, IN, october 18, 2000.
45
CRITRIO
IDS Origem da Mtodo da Resposta Freqncia
coleta deteco de uso
IDES Host Comportamento Passiva Contnuo
MIDAS Host Comportamento Passiva Contnuo
Conhecimento
W&S Host Comportamento Passiva Contnuo
NSM Rede Comportamento Passiva Contnuo
Conhecimento
Hiperview Host Comportamento Passiva Contnuo
Conhecimento
DIDS Host/rede Conhecimento Passiva Contnuo
NIDES Host Comportamento Passiva Contnuo
Conhecimento
AID Host Conhecimento Passiva Contnuo
IDIOT Host Conhecimento Passiva Contnuo
GASSATA Host Conhecimento Passiva Contnuo
EMERALD Host/rede Comportamento Ativa Contnuo
Conhecimento
NFR Rede e N/A Comportamento Passiva Contnuo
Conhecimento
SNORT Rede Conhecimento Passiva Contnuo
ACME Rede Comportamento Ativa Contnuo
Conhecimento
RIPPER Host N/A Ativa Contnuo
AAFID2 Host e N/A Comportamento Passiva Contnuo
GBID Host Comportamento Passiva Contnuo
ESP Host N/A Ativa Contnuo
LISYS N/A NA Passiva Contnuo
IDA Host e N/A Comportamento Ativa Contnuo
46
3.2 Taxonomia de Axelsson
47
b) Programado, que supe uma tcnica de representao do conhecimento
especialista, programando-o para detectar certos eventos anmalos:
48
ii) Sistema especialista: mquina de classificao de deteco, que consiste de
uma base de conhecimento, a ferramenta de aquisio, contendo descritores
de comportamento suspeito, baseado em conhecimento sobre intruses
passadas; mquina de inferncia, que organiza o raciocnio e tira concluses
usando regras e fatos e, finalmente, a memria de trabalho.
iii) Casamento de string: que busca por cadeia de caracteres transmitidas ou
armazenadas entre sistemas.
iv) Baseado em regra simples: regras usualmente estruturadas na forma de
procedimentos if-then-else ou construes case.
A taxonomia de [Axelsson, 2000] mostra-se mais completa que a anterior sob o ponto
de vista da anlise de dados. O foco principal do seu trabalho foi este componente. O
mtodo assinatura inspirada aparece como uma nova caracterstica do critrio mtodo
de deteco.
13
Genetic Algorithm toll for Simplified Security Audit Trail Analysis, www.supelec-
rennes.fr/rennes/si/equipe/lme/PUBLI/raid98.pdf.
14
www.netlab.cs.iitm.ernet.in/publications/ refereed-journal.html.
15
Advanced Counter Measures Environment, www.acme-ids.org http://www.acme-ids.org.
16
http://www.cerias.purdue.edu/projects/esp/.
49
CRITRIO
IDS Mtodo MA Aprendizagem Princpio da Deteco
IDES Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
MIDAS Anmala Programada Estatstica descritiva/ estat. simples
Assinatura Programada Sistema especialista
W&S Anmala Auto-aprendizagem Srie no temporal/ modelag. regras
NSM Anmala Programada Estatstica descritiva/ regras simples
Assinatura Programada Casamento de string
Hiperview Anmala Auto-aprendizagem Srie temporal/ rede neural
Assinatura Programada Sistema especialista
DIDS Assinatura Programada Sistema especialista
NIDES Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
Assinatura Programada Sistema especialista
AID Assinatura Programada Modelagem de estado/ transio de
estado
IDIOT Assinatura Programada Modelagem de estado/rede de Petri
GASSATA Assinatura N/A N/A
EMERALD Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
Assinatura Programada Sistema especialista
NFR Anmala Programada Default negar /modelag. srie estado
Assinatura Programada Modelagem de estado /trans. estado
SNORT Assinatura Programada Base de regras simples
ACME Anmala Programada N/A
Assinatura N/A N/A
RIPPER Assinat. Inspirada Auto-aprendizagem Seleo de caracterstica automtica
AAFID2 Anmala Programada Estatstica descritiva/ regras
GBID Anmala Auto-aprendizagem N/A
ESP Assinat.Inspirada Auto-aprendizagem N/A
LISYS Assinat. Inspirada Auto-aprendizagem N/A
IDA Anmala Programada Estatstica descritiva/ regras
50
A outra parte da taxonomia de Axelsson classifica os IDS quanto s suas caractersticas,
que no se relacionam diretamente com a anlise de dados. Ela identifica 08 (oito)
caractersticas:
51
IDS
COLETA ANLISE RESPOSTA
assinatura
anomalia
automtica
srie temporal
srie no temporal
programada
estatstica descritiva
default negar
assinatura inspirada
LOCALIZAO LOCALIZAO
centralizada centralizada
distribuda distribuda
52
CRITRIOS
IDS Tempo de Granula- Origem da Respos- Processa- Coleta Segu- Interope-
deteco ridade Coleta ta mento dados dados rana rabilidade
IDES Real Contnua Host Passiva Centralizada Distribuda Baixa Baixa
MIDAS Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
W&S Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
NSM Real Contnua Rede Passiva Centralizada Centralizada Baixa Baixa
Hiperview Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
DIDS Real Contnua Host/rede Passiva Distribuda Distribuda Baixa Baixa
NIDES Real Contnua Host Passiva Centralizada Distribuda Baixa Alta
AID N/T N/T Host Passiva Centralizada Distribuda N/T N/T
IDIOT Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
GASSATA N/T N/T Host Passiva Centralizada Distribuda N/T N/T
EMERALD Real Contnua Host/rede Ativa Distribuda Distribuda Moderada Alta
NFR N/T N/T Rede/ N/A Passiva Distribuda Distribuda N/T N/T
SNORT N/T N/T Rede Passiva Centralizada Centralizada N/T N/T
ACME N/T N/T Rede Ativa Centralizada Centralizada N/T N/T
RIPPER N/T N/T Host Ativa Distribuda Distribuda N/T N/T
AAFID2 N/T N/T Host/ N/A Passiva N/A N/A N/T N/T
GBID N/T N/T Host Passiva Distribuda Distribuda N/T N/T
ESP N/T N/T Host Ativa N/A N/A N/T N/T
LISYS N/T N/T Host/ N/A Passiva Distribuda Distribuda N/T N/T
IDA N/T N/T Host/ N/A Ativa Centralizada Distribuda N/T N/T
Figura 7: Classificao dos 20 IDS, segundo Axelsson. (N/A=no aplicvel e N/T=no tratados nesta dissertao)
53
3.3 Proposta de uma nova taxonomia
Tendo em vista que as taxonomias conhecidas no abordam certos
critrios/caractersticas, alguns IDS no se enquadram nas mesmas e poderiam ser
melhor classificados, como por exemplo:
O IDS GASSATA utiliza, na sua anlise de dados, o mtodo baseado em
conhecimento, implementando regras e algoritmo gentico que podem
classificar eventos do sistema e procurar por assinaturas de ataques.
O IDS ACME utiliza um modelo com duas camadas de anlise de dados (em
srie), onde a primeira camada de anlise, baseada em comportamento,
implementa um Sistema Especialista, no qual valores limites so passados para a
base de conhecimento, que define o comportamento do sistema (nveis de
segurana de servios, por exemplo: telnet, ftp, finger, etc). Quando este limite
ultrapassado, certos procedimentos so disparados. A segunda camada de anlise
utiliza o mtodo conhecimento, mas implementa uma RN supervisionada,
podendo detectar ataques dissimulados, que tm leve variao na assinatura de
ataque, em que o intruso tenta esconder suas reais intenes, seguindo um
conjunto de aes no correlatas com o ataque.
54
arquitetura altamente distribuda, onde a anlise desempenhada em nmero
proporcional ao dos locais de coleta.
Devido a estes exemplos proposta uma taxonomia que se baseia nos 3 (trs)
componentes tpicos de uma arquitetura clssica (coleta, anlise e resposta) dando,
igualmente, importncia aos componentes. Embora simplista sob o ponto de vista do
grande nmero de caractersticas que poderiam ser referidas a um IDS, classifica os IDS
em relao aos principais critrios de funcionalidade.
17
Lightweigth Intrusion detection System
55
outras caractersticas fossem includas na taxonomia, algumas delas perderiam o
sentido:
Esta nova taxonomia engloba diferentes classificaes de IDS, que sero utilizadas para
compor uma tabela (figura 11) que possibilitar uma anlise comparativa de 20 (vinte)
sistemas tratados anteriormente. Nota-se, na figura 8, que embora os critrios
arquitetura de coleta e anlise de dados apaream respectivamente nos componentes
coleta e anlise, eles sero tratados numa seo separada (3.3.4); para facilitar a
compreenso da arquitetura de um IDS, alm de estarem intrinsecamente ligados.
As classificaes se relacionam:
56
SDI
a. Mtodo de deteco;
b. Aprendizagem da anlise;
ANLISE
c. Tcnica utilizada no mtodo;
d. Arquitetura de anlise dos dados.
57
realizada com a captura e anlise dos cabealhos e contedos dos pacotes, que
so comparados com padres e assinaturas de ataques conhecidos.
IDS hbridos, que assim como os IDS baseados em rede coletam o trfego de
rede, processando os pacotes, detectando e respondendo a ataques. Processam,
ainda, os pacotes endereados ao prprio sistema, como no caso do IDS baseado
em host.
58
o Sensores de host. Monitoram uma varivel especfica, atividade ou condio
de um host. Suas observaes so relatadas como valores numricos,
podendo ser discretos ou contnuos. Tm a funo de monitorar arquivos
especficos, relatando suas permisses por exemplo. Tambm fazem uso de
comandos do S.O., como por exemplo o uso do comando ps para observar o
carregamento da CPU no host UNIX, extraindo, diretamente, dados
carregados da estrutura de dados correspondentes no kernel. Funcionam de
acordo com uma poltica de segurana baseada em host.
59
assinatura de ataque detectada um alarme disparado. Em outras palavras,
qualquer ao que no seja explicitamente reconhecida como um ataque,
considerada aceitvel.
Composto. A combinao dos dois mtodos leva a detectores compostos.
Este mtodo, automaticamente, aprende o que se constitui como
comportamentos intrusivo e normal para um sistema.
Pode-se aprender:
Um conjunto de novos fatos;
Como fazer alguma coisa;
Como melhorar a habilidade de alguma coisa j aprendida;
Como fazer a mesma tarefa mais eficientemente.
Processos de aprendizagem
Indutiva
Supervisionada No Supervisionada
60
Os processos de aprendizagem podem ser agrupados em:
61
automaticamente, pelo sistema, ou ambas. Estas regras so usualmente
estruturadas na forma de procedimento if-then-else ou construes case.
Tcnicas que trabalham com exemplos. Treinam inicialmente o sistema para
corretamente identificar exemplos pr-selecionados do problema, ganhando
experincia. Em adio ao perodo de treinamento inicial, tambm ganham
experincia com o tempo e, na maneira que conduzem a anlise de dados
relacionada ao problema.
62
o As que exercem controle sobre os sistemas atacados, modificando
seu estado ou atenuando o efeito do ataque. Exemplo: terminando
conexes de rede, aumentando a segurana de logging ou matando
processos.
o E as que exercem controle sobre os sistemas atacantes. Estes, por sua
vez, atacam os intrusos, tentando remover sua plataforma de
operao.
A deteco de intruso pode ser vista como sendo realizada por trs componentes
distintos: coleta de dados, anlise e resposta. Nesta seo, so descritas as diferentes
estruturas que um IDS pode ter na coleta e anlise de dados.
63
IDS de anlise altamente distribuda, no qual a anlise de dados desempenhada
em localizaes proporcionais aos componentes monitorados.
64
IDS
COLETA ANLISE RESPOSTA
hbrido composto
MECANISMO APRENDIZAGEM
coletor programada
automtica no supervisionada
TCNICA
regras
exemplos
ARQUITETURA ARQUITETURA
centralizada centralizada
distribuda distribuda
65
CRITRIOS
Coleta Anlise Resposta
IDS Local In- Mecanismo Arquitetura Mtodo de Aprendizagem Tcnica de Deteco Arquitetura Tipo de
formao Coleta Coleta de Deteco Anlise de Resposta
origem Dados Dados
IDES Host Coletor host Distribuda Comportamento Automtica Regras/Estatstica Centralizada Passiva
Supervisionada descritiva
MIDAS Host Coletor host Centralizada Comportamento Programada Regras/Estatstica Centralizada Passiva
descritiva
Conhecimento Programada Regras/Sistema
especialista
W&S Host Coletor host Centralizada Comportamento Automtica Regras induo Centralizada Passiva
NSM Rede Coletor rede Centralizada Comportamento Programada Regras/Estat. descritiva Centralizada Passiva
Conhecimento Programada Regras
Hiperview Host Coletor host Centralizada Comportamento Automtica/Sup. Exemplos / RN Centralizada Passiva
Conhecimento Programada Regras/Sist. especialista
DIDS Host/ Sensor host Distribuda Conhecimento Programada Regras/Sistema Distribuda Passiva
Rede Sensor rede especialista
NIDES Host Coletor host Distribuda Comportamento Automtica/Superv. Regras/Estat. descritiva Centralizada Passiva
Conhecimento Programada Regras/Sist. especialista
AID Host Coletor host Distribuda Conhecimento Programada Regras/Modelag. estado Centralizada Passiva
IDIOT Host Coletor host Centralizada Conhecimento Programada Regras/Modelag. estado Centralizada Ativa
GASSATA Host Coletor host Distribuda Conhecimento Automtica/Sup. Regras/estatstica/ Centralizada Passiva
Algoritmo Gentico
66
CRITRIOS
Coleta Anlise Resposta
IDS Local In- Mecanismo Arquitetura Mtodo de Aprendizagem Tcnica de Deteco Arquitetura Tipo de
formao Coleta Coleta de Deteco Anlise de Resposta
origem Dados Dados
EMERALD Host Sensor host Distribuda Comportamento Automtica/Sup. Regras/Estat. descritiva Distribuda Ativa
Rede Sensor rede Conhecimento Programada Regras/Sist. especialista
NFR Rede/Hbrido Sensor rede/ Distribuda Comportamento Programada Regras/Modelag. estado Distribuda Passiva
Sensor host Conhecimento Programada Regras/Modelag. estado
SNORT Rede Sensor rede Centralizada Conhecimento Programada Regras Centralizada Passiva
ACME Rede Sensor rede Centralizada Comportamento Programada Regras/Sistema Espec. Centralizada Ativa
Conhecimento Automtica/Sup. Exemplos/ RN
RIPPER Host Sensor host Distribuda Composto Automtica/Sup. Reg. induo/minera. Distribuda Ativa
AAFID2 Host Hbrido Sensor host Distribuda Comportamento Automtica/Sup. Regras/Estat. descritiva Distribuda Passiva
GBID Host Sensor host Distribuda Comportamento Automtica/Sup. Regras/estatst./A.Gent. Distribuda Passiva
ESP Host Sensor host Alta. distribuda Composto Automtica/No Sup Regras/clustering Alta. distribuda Ativa
LISYS Host/Hbrido Sensor host Distribuda Composto Automtica/No Sup. Regra/Imunologia comp. Distribuda Passiva
IDA Host Coletor host Distribuda Comportamento Automtica/Sup. Regras induao Centralizada Ativa
Hbrido Sensor host
Figura 11: Classificao dos 20 (vinte) IDS, segundo a nova taxonomia proposta.
67
3.4 Comparao das taxonomias
Tabela comparativa dos critrios usados que compem trs taxonomias de IDS:
Taxonomias
Critrios
Debar Axelsson Taxonomia Proposta
Local.inform. origem Sim Sim Sim
Mecanismo coleta No No Sim
Arquitetura coleta No Sim Sim
Mtodo Sim Sim Sim
Aprendizagem No Sim Sim
Tcnica No Sim Sim
Arquitetura anlise No Sim Sim
Mecanismo resposta Sim Sim Sim
68
Tabela comparativa das caractersticas usadas que compem as trs taxonomias de IDS;
Taxonomia
Critrio Caracterstica
Debar Axelsson Taxonomia Proposta
Se taxonomias de IDS forem vistas com relao aos trs principais componentes de um IDS, que
so a coleta de dados (CO), a anlise (MA) e o mecanismo de resposta (RE), pode-se visualizar
os critrios identificados na taxonomia, tanto funcionais quanto no funcionais, como um grande
conjunto e trs outros subconjuntos representando alguns dos critrios estudados at o presente,
destes trs componentes respectivamente.
69
CO MA RE
Figura 14: Viso global das caractersticas dos trs componentes de um IDS
CO MA RE
70
CO MA RE
CO MA RE
3.5 Concluso
Ao primeiro componente coleta de dados foi includo o critrio mecanismo de coleta, pois
importante que o grande nmero de dados de auditoria sejam reduzidos na fase de coleta, para
tanto, deve ser determinado o mecanismo que ser usado nesta fase, isto direciona a escolha de
71
um IDS, identificando tambm caractersticas implcitas como armazenamento de dados
coletados. Os IDS que utilizam coletores tm a desvantagem de carregar um volume de dados
maior que os IDS que trabalham com sensores, pois estes selecionam e obtm somente a
informao necessria, tendo como resultado, uma menor quantidade de dados gerada, podendo
monitorar os dados e somente produzir resultados quando eventos relevantes so detectados. J os
IDS que utilizam sensores tm a desvantagem de serem de implementao mais complexa, pois
no fazem s coleta de dados e o mecanismo de monitoramento tem que ser projetado de maneira
mais especfica para o componente que vai monitorar e, para o tipo de informao que ir gerar.
Adicionalmente, se forem vistos com relao ao analisador, os sensores no tm inteligncia
semelhante, podendo no coletar dados suficientes para o analisador tomar sua deciso.
O segundo componente anlise, foi aprofundado em mais detalhes quanto tcnica utilizada no
engenho de deteco. Algumas tcnicas permitem agregar conhecimento e utilizam tecnologias
de inteligncia computacional que agora aparecem de forma mais evidente quando o IDS
tratado na taxonomia proposta. Tambm foi levado em considerao o mtodo composto que,
embora mais complexo, talvez detecte, com maior rapidez, uma intruso, porque trabalha com
modelo intrusivo e de comportamento normal.
A arquitetura de um IDS foi vista atravs de outra abordagem. Um exemplo evidente o caso do
IDS ESP, que pelas taxonomias de Debar e de Axelsson no podem ser classificados. No entanto,
na taxonomia proposta aparece classificado como arquitetura altamente distribuda, aquela que a
anlise desempenhada no mesmo nmero de pontos de coleta, ou seja, to prxima no tempo e
no espao quanto possvel.
72
os resultados advindos dos IDS, referentes a ataques ou intruses, para a interao do
componente alarme e o Administrador de Segurana - AS. Tambm ajuda a examinar, atravs do
resultado alcanado, a reao tomada ou interagir com o sistema, com a inteno de decidir por
alternativas. Embora a visualizao dos resultados no parea fazer parte de um IDS, sendo
apenas uma fase posterior resposta, ela no s complementa, de maneira valiosa, o mecanismo
de resposta como tambm traz benefcios, levando-se em considerao que, na resposta reativa,
apesar do AS no interferir nos mecanismos de resposta, pode ser til no caso de uma ao de
recuperao das configuraes do sistema. Na resposta passiva, as notificaes feitas
autoridade, atravs de email ou gravaes nos logs de segurana, precisam ser analisadas para
possveis respostas manuais.
Observa-se que, apesar da tendncia de ter IDS distribudos, a questo da apresentao dos
resultados para visualizao pelo AS continua sendo centralizada. Os alertas referentes a rede e a
host devem ser apresentados ao AS de maneira integrada para que o diagnstico seja feito o mais
acurado possvel. IDS que permitem a visualizao dos resultados consolidados, mantendo o
poder do AS entender, analisar e intervir nos mnimos detalhes so bem vistos.
O ideal seria que um IDS conseguisse reunir eficincia nos mecanismos de coleta de dados, de
anlise e de resposta. Enquanto isto no plenamente encontrado num IDS, uma caracterstica,
tambm relacionada a seus componentes principais como a sua arquitetura pode, de maneira
considervel, ajudar na sua eficincia. A incorporao de novos mtodos de coleta e anlise e a
disponibilidade dos resultados da anlise para interferncia do AS, podem, por exemplo, ser
derivada de sua arquitetura.
73
Captulo 4
O modelo proposto tem como objetivo uma nova abordagem direcionada aos 3 (trs)
componentes funcionais de um IDS, coleta, anlise e resposta. Esta abordagem mostrada por
meio:
do modelo conceitual;
do diagrama de fluxo de dados,
da arquitetura de um IDS, que ser explicada por meio do diagrama de classes 18
da
Unified Modeling Language UML [Furlan, 1998].
18
Apndice B
74
4.1 Modelo Conceitual
Administrador de Sistema
11 1 8 12 12
Visualizao Definio Controle
9 10 4 13
5
Anlise/Diagnstico
Coleta/Atuao
6
3 7
Sistema Alvo
75
Definio: o subsistema que mantm as informaes necessrias para as monitoraes.
Contm dados de configurao (como e onde coletar os dados de auditoria, como
responder as intruses, etc) e dados de referncia (profiles de comportamento esperado do
sistema alvo e de seus usurios, histricos de monitoramento, estatsticas e assinaturas de
ataques conhecidas). O AS fornece estas definies. As informaes contidas na
Definio so usadas pelo Controle para configurar as ferramentas de monitorao. Estas
informaes podem ser, tambm, usadas pelo subsistema Anlise/Diagnstico para
comparar as informaes coletadas do sistema alvo e de seus usurios com o
comportamento esperado e com as assinaturas, ambos armazenados na Definio. As
definies podem ser visualizadas e alteradas pelo AS. Uma outra funcionalidade a
capacidade de adicionar ou remover hosts monitorados, por meio de uma ordem do AS.
76
Os subsistemas so organizados em duas camadas:
77
2
12 11
12 Armazena dados
1 Definio
Ligar Solicitar Administrador comportamento 1
Controle ferramenta visualizao 11 Segurana esperado sistema
dados 8
10
13 8,9,10,11
Identificar ao Transformar dados
Alertar sobre 10 Visualizao
correspondente ao para visualizao
o problema problema 8,9,10
10
6
6,10 4
9 Anlise/
13 Coleta e 3 Diagnstico
Coletar dados
Ativar 5
Atuao comportamento
agente atual do sistema
5 5
7
Compara
comportamento
7 esperado
Ativar agente Agir no sistema para
comportamento
corrigir problema
atual
78
Fluxo de Informao:
(2) Mensagem passada sob demanda do subsistema Controle vinda do subsistema Definio, para
configurar a ferramenta. Este fluxo tambm representa uma mensagem induzida pelo subsistema
Definio, representando alguma mudana realizada pelo AS na base de dados do subsistema
Definio. Exemplo: Inserir uma nova tcnica de deteco para ser utilizada como ferramenta ou
atualizao de assinatura de ataque para ser usada por um agente.
(3) Mensagem sob demanda do subsistema Coleta/Atuao, para coletar dados do comportamento
atual do sistema alvo. Tambm neste mesmo fluxo, representa uma mensagem para armazenar
dados do comportamento atual do sistema alvo. Exemplo: Checagem da permisso (400 ou 200
ou 100) no arquivo rhosts no sistema alvo, trfego da rede, utilizao da CPU, acesso a
discos,etc.
(7) Mensagem induzida pelo subsistema Coleta/Atuao para o sistema alvo. Exemplo: Matar
um processo.
79
(8) Mensagem sob demanda do AS vinda do subsistema Definio. Exemplo: Visualizar hosts
que esto disponveis para monitorao.
(11) Mensagem induzida do subsistema Visualizao para o AS. Exemplo: Alerta sobre o
problema detectado do tipo alterao no arquivo etc/passwd, como um sintoma de um ataque.
(11) Mensagem sob demanda do AS vinda do subsistema Visualizao. Exemplo: AS deseja ver
o resultado da comparao do nmero de logins falhos, de determinado usurio, no host
monitorado, com o nmero de logins falhos esperados/permitidos.
(12) Mensagem sob demanda do AS vinda do subsistema Controle e vice-versa (mensagem sob
demanda do subsistema Controle para o AS). Exemplo: AS ativa agente de verificao de
assinatura de ataque do tipo string para o UNIX, que pode ser cat++``>/.rhosts``, em
determinados hosts. No segundo caso, o AS pode visualizar dados sobre as ferramentas de
monitorao configuradas pelo subsistema Controle.
80
4.2 Uso de agentes inteligentes em IDS
Abordagens baseadas em agentes para deteco de intruso usam entidades de software que
desempenham certas funes de monitoramento de segurana nos hosts, como monitoramento da
coleta, anlise ou resposta. Elas funcionam automaticamente, isto , so controladas somente pelo
sistema operacional e no por outros processos. Tambm rodam continuamente e cuja operao
permite que os agentes aprendam por experincia, to bem como comunicam e cooperam com
outros agentes de construo similar.
Como visto, a abordagem de agentes muito poderosa, devido s capacidades que podem ser
embutidas nele. Seu projeto interno pode ser baseado numa variedade de paradigmas para anlise
de dados, como o casamento de padres, o sistema baseado em regras e aprendizagem usando
programao gentica. Pode ser extremamente simples, contando o nmero de vezes que um
comando particular invocado num intervalo de tempo. Ou pode ser complexo, procurando
evidncias de ataques num ambiente particular. Pode ser utilizado como mecanismo de resposta
ativa, agindo diretamente no sistema alvo, bem como, ser utilizado nas respostas passivas,
medida que o AS recebe os alertas, executando uma monitorao no host, por exemplo,
interrompendo a sesso do usurio.
A utilizao de agentes autnomos tem sido proposta por alguns autores como forma de construir
sistemas de deteco de intruso no-monolticos. Foram identificadas algumas vantagens nos
sistemas baseados em agentes autnomos em comparao com sistemas monolticos (Crosbie &
Spafford 1995a; 1995b):
fcil configurao, uma vez que possvel se ter uma srie de pequenos agentes
especializados em tarefas especficas de deteco, o sistema de deteco pode ser
configurado da forma mais adequada para cada caso;
eficincia, pois agentes podem ser treinados previamente e otimizados para realizar suas
tarefas da maneira a gerar a menor sobrecarga possvel no sistema;
capacidade de extenso, porque um sistema de agentes pode ser facilmente modificado
para operar em rede e permitir migrao para rastrear comportamentos anmalos atravs
da rede, ou, mover-se para mquinas onde eles podem ser mais teis;
escalabilidade, para atuar em sistemas maiores, bastando adicionar mais agentes e
aumentar sua diversidade;
81
flexibilidade e robustez fornecida aos IDS. flexvel na maneira em que agentes podem
ser inseridos, removidos e atualizados sem provocar um impacto significante na operao
do sistema em tempo real. robusto, de modo que, se isolado, ou se grupos de agentes
so comprometidos, ou falham de alguma maneira, a operao do sistema maior no
necessariamente arriscada.
82
4.3 Arquitetura do IDS
b) Transceptores. Residem nos hosts. So responsveis por receber os dados dos agentes,
que rodam no mesmo host e controlar suas atividades, como iniciao ou terminao. Eles
no precisam de capacidade de comunicao remota downstream, mas, de se comunicar
com um grande nmero de entidades locais. Agentes podem fornecer dados e comandos,
por exemplo, para o pedido de um mdulo adicional necessrio para execuo.
83
Transceptores podem necessitar enviar um comando para um agente, por exemplo,
configurar um valor de parmetro. Tambm precisam ser capazes de responder a
comandos vindos de monitores e fornecer, aos mesmos, dados. Se um transceptor recebe
uma mensagem de um agente, a qual no capaz de interpretar, a mesma deve ser enviada
para uma entidade pai do transceptor para processamento adicional. Portanto, consolidam
relatos e os remetem para os sistemas monitores. Cada transceptor controla todas as
entidades em um host, mas no exercem influncia sobre outros agentes em outros hosts.
Existem tcnicas para fazer isto, mas o sistema no as implementa.
c) Agentes. Agentes estticos de softwares, que com a ajuda dos filtros (implementados
como threads nos agentes), coletam informaes do sistema onde esto rodando.
Monitoram aspectos especficos de atividades nos hosts e relatam, para os seus
transceptores, um comportamento anormal, que pode indicar problema de segurana.
Algumas tarefas dos agentes so fornecidas pela infra-estrutura para criao de agentes
para permitir novas entidades no menor tempo possvel. Outras como inicializao,
checagem e cleanup so especficas para cada agente. Eles so escritos off-line e realizam
tarefas especficas, por exemplo, procurando por assinaturas de ataques especficas
escritas tambm off-line e acrescentadas no SGBD. Exemplos de agentes que poderiam
rodar no sistema utilizando diversos recursos de administrao de sistemas e segurana
comuns em ambiente Unix:
84
xiii) Conexes para mesmo host de um mesmo servio;
xiv) Carregamento CPU;
xv) Configurao FTP;
xvi) Conexes TCP.
3) Caixa de Ferramentas: A ferramenta pode ser qualquer cdigo ou tcnica que ajuda as
Entidades a executarem suas atividades. Esta Caixa atua como repositrio para todas as
informaes que as entidades possam precisar. Isto inclui, principalmente, cdigo e mdulos
de suporte. Por exemplo, um Transceptor pode ter sido iniciado com poucos recursos locais e,
quando ele precisar de um mdulo cujo cdigo no est presente no local, ser solicitado ao
seu Monitor. Este deve ser capaz de definir o cdigo necessrio e solicit-lo a Caixa de
Ferramentas. O mesmo acontece se um Agente necessitar de um cdigo adicional. Deve ser
possvel acoplar outras ferramentas a este mdulo.
85
Interface Usurio/Sistema
Caixa de Monitor
Sociedade de Entidades SGBD
Ferramenta
Transceptores
Transceptores
Transceptor ...
Agente Agente 3 Agente
Agente Agente Agente
Agente Agente Agente ...
Sistema Alvo Sistema Alvo Sistema Alvo ...
86
4.4 O que se espera deste modelo
Na ausncia de uma tecnologia nica que detecte ou resolva os problemas encontrados, a idia a
existncia de uma arquitetura com caractersticas de flexibilidade e extensibilidade, visando
permitir a alterao ou a incluso de novos mtodos de deteco.
O mdulo Interface, como um programa que interage com a Sociedade de Entidades, tambm
pode ser considerado entidade superior na hierarquia.
O mdulo Caixa de Ferramentas pode implementar tcnicas mais aprimoradas, tais como:
Programao gentica, no reconhecimento da dinamicidade do comportamento do usurio.
Tcnica para reter o estado entre sesses. Estados isolados podem no representar um ataque,
no entanto, quando vistos em seqncia, podem permitir que sejam detectados ataques a
longo prazo ou, mudanas no comportamento do usurio/sistema;
Tcnica de reduo de dados, para lidar com volume de dados menor por questes de
segurana.
Rede Neural Artificial, para reconhecer leves variaes nas assinaturas de ataques.
Imunologia Computacional.
Monitores podem detectar eventos no notificados por transceptores, podendo tambm controlar
outros Monitores, localizados em outros hosts. No entanto, se implementados de maneira
hierrquica, podem sofrer com o problema de consistncia da informao. Mesmo esta
distribuio de controle do IDS, ainda mantm-se o ponto de falha do sistema num nvel mais
elevado.
87
Filtros podem ser implementados como threads nos agentes para ajudar na coleta de dados.
Agentes diferentes podem necessitar que sejam coletados dados, de uma mesma origem,
simultaneamente. Neste caso, os filtros ajudam na passagem dos dados para os agentes.
O arranjo hierrquico observado na arquitetura, onde entidades num nvel mais baixo
desempenham parte do trabalho e transmitem seus resultados para entidades mais altas na
hierarquia, talvez seja a nica maneira de manter os sistemas escalveis.
O modelo proposto contempla 3 (trs) abordagens que podem ser encontradas na taxonomia
proposta:
Coletas no podem ser feitas de uma nica origem. Deve-se dar o suporte para que o IDS atue
em origens diferentes;
No existe um mtodo nico de deteco que analise todos os problemas. Deve-se dar o
suporte ao IDS para que o mesmo permita a incluso de novos mtodos de anlise de dados
para deteco de intruso;
A existncia de um outro meio de resposta intruso que no utiliza somente respostas
automticas. Um mecanismo que permita que AS programe suas respostas para atuarem
atravs de ferramentas.
Um IDS no deve somente se preocupar em como a intruso ser detectada, nas tcnicas
utilizadas na anlise, como objetivo principal de um IDS. A tarefa de deteco baseada tambm
em decises como [Zamboni, 2000]:
O que ser detectado?
Como os dados sero coletados?
O que ser feito com o resultado da anlise?
A maioria dos modelos de IDS estudados, que compe o survey, apresenta coleta de uma nica
origem, no emprega agentes na coleta de dados nem apresentam visualizao dos resultados da
anlise. A arquitetura proposta se preocupou igualmente com a coleta de diversas origens, com a
diversidade de tcnicas de anlise e a visualizao dos resultados da anlise.
88
poltica de segurana implantada. Um projeto de um IDS pode ser dirigido aos dados disponveis
para coleta, isto vai influenciar ou determinar as tcnicas de anlise e as capacidades de deteco.
Ou pode ser dirigido a uma tcnica de anlise especfica, neste caso os dados necessrios para
coleta sero determinados e suas respectivas origens indicadas.
O modelo proposto poderia ser analisado levando-se em considerao a localizao dos IDS
numa organizao. A base conceitual para anlise a taxonomia, os critrios nela definidos e
suas respectivas caractersticas compem uma slida estrutura para escolha de um IDS a ser
aplicado numa organizao. Foi tomada como base uma rede com seus recursos pblicos,
privados e internos bem como os mecanismos de segurana implementados como na figura 21
[Geus, 2002]. Diante do posicionamento dos 5 (cinco) IDS nos cinco segmentos de rede da
organizao, eles seriam vistos segundo:
Os 5 IDS baseados em rede especificados como: IDS1, IDS2, IDS3, IDS4 e IDS5, aparecem na
figura 21 respectivamente como: 1, 2, 3, 4 e 5. Os 6 IDS baseados em host especificados como:
IDSA, IDSB, IDSC, IDSD, IDSE e IDSF aparecem tambm na figura 21, ao lado do servidor no
qual sero instalados como: A, B, C, D, E e F respectivamente.
89
VPN
1 4
Internet Rede F
Firewall Interna
DMZ1 5
DMZ2
22
3
3
C
D
E-mail
Banco de
B Dados
Web E
FTP
A Autoridade
Certificadora
Web
IDS1 com o objetivo de detectar todas as tentativas de ataque contra a rede da organizao, at
mesmo as tentativas que no teriam efeito algum, como ataques a servidores web inexistentes.
Localizado no segmento de rede antes do firewall, seria implementado como:
com origem da informao na rede; com sensores de rede que possam filtrar por strings,
ou protocolos especficos, baseado em conhecimento que utilizam a modelagem de regras
procura de assinaturas de ataques, com aprendizagem programada.
IDS2: com o objetivo de detectar tentativas de ataque contra recursos pblicos localizados na
zona desmilitarizada (DMZ1), como servidores de e-mail, ftp, web; que passam pelo firewall,
19
Foi utilizado um nico componente de firewall, com 5 (cinco) interfaces de rede e utilizao da VPN em uma
interface dedicada do firewall.
90
mas, no entanto no implica no comprometimento da rede da organizao; seria implementado
nos padres do IDS1.
IDS3: com o objetivo de detectar tentativas de ataque contra recursos privados localizados numa
segunda zona desmilitarizada (DMZ2), por exemplo servidor de banco de dados, que passam pelo
firewall, pela VPN e por algum servio da primeira zona desmilitarizada, como por exemplo
servidor web. Localizado no segmento de rede atrs do firewall e seria implementado como:
com origem da informao na rede; com sensores de rede, baseado em comportamento
(por ser um acesso mais privado nesta DMZ2, pode-se trabalhar em cima do
comportamento do sistema/usurio) que utiliza a modelagem de estado, com
aprendizagem programada.
IDS4 com o objetivo de detectar tentativas de ataque contra recursos internos da organizao, que
passam pelo firewall e que podem vir pela VPN, seria implementado nos padres do IDS3.
IDS5: com o objetivo de detectar tentativas de ataque contra recursos internos da organizao
seria implementado como:
com origem da informao na rede, com sensores de rede, baseado em comportamento
que utilizam tcnicas de inteligncia artificial, aprendizagem automtica.
A. Servidor web;
B. Servidor FTP;
C. Servidor e-mail;
D. Servidor de banco de dados;
E. Servidor autoridade certificadora;
F. Servidor de aplicativos.
91
Estes IDS descritos nos cinco segmentos de rede e localizados na organizao seriam
implementados no modelo como entidades de IDS, da seguinte forma:
Uso de uma mquina no segmento 5 de rede como a Interface do Usurio do Sistema. O monitor
ativado nesta mquina e este ativa os transceptores para os segmentos de rede 1, 2, 3 e 4 e para
o prprio segmento. O transceptor, por sua vez, ativa os agentes especficos para detectar os
ataques nos respectivos segmentos. Estas entidades podem ser implementadas nos mesmos
padres dos IDS1, IDS2, IDS3, IDS4 e IDS5. O monitor controla o transceptor da prpria
mquina bem como aqueles ativados remotamente. Os transceptores apenas controlam os agentes
que foram ativados por ele, ou seja, no local.
O monitor tambm ativa transceptores para trabalharem nos servidores localizados nas duas DMZ
e em hosts instalados na rede interna, que queiram detectar intruses. Os transceptores ativam
agentes especficos para detectar intruses nos hosts no qual esto instalados. Estas entidades
podem ser implementadas, tambm, nos mesmos padres dos IDS descritos como IDSA, IDSB,
IDSC, IDSD, IDSE e IDSF.
O mecanismo de resposta do modelo pode ser ativo nas implementaes que utilizam a origem de
dados baseada em rede e passivo quando utilizam o host como origem de dados.
4.6 Concluso
92
Agentes esto nas folhas da rvore, portanto, somente enviam mensagens para cima. A
entidade localizada na raiz da rvore sempre um monitor. Mas este pode aparecer
tambm, em nveis intermedirios. A nica entidade que pode estar acima do monitor
localizado na raiz a interface do usurio, ou algum outro programa que controle todo o
IDS.
As ferramentas da Caixa de Ferramentas podem ser inseridas, removidas ou alteradas,
dando modularidade arquitetura.
Construir sistemas com processamento distribudo talvez seja a nica maneira de torn-los
escalveis. Esta descentralizao de processamento permite que mais de uma ferramenta ou mais
de um analisador seja usado de maneira distribuda.
93
Os mdulos, Sociedade de Entidades e Interface, apresentam-se de maneira hierrquica. Assim,
concede, naturalmente, hierarquia a um modelo de comunicao. Os nveis que esto mais
prximos da raiz da hierarquia so identificados como upstream e, os que esto mais prximos
das folhas da rvore, como downstream. Uma entidade est acima da outra se pode ser alcanada
pelos caminhos de comunicao upstream e, abaixo, se pode ser alcanada pelos caminhos de
comunicao downstream. Uma entidade somente pode ter comunicao direta com entidades
que estejam imediatamente acima e abaixo dela prpria.
Uma entidade pode precisar de uma ferramenta, que esteja faltando, para poder desempenhar suas
funes. Neste caso a entidade envia uma mensagem para cima especificando a ferramenta que
falta. O mdulo Caixa de ferramentas disponibilizar a ferramenta necessria para o trabalho da
entidade. Este mecanismo traz flexibilidade arquitetura e leveza das entidades. Tambm permite
o mdulo Sociedade de entidades ser limitado a ferramentas essenciais e, ento, ter todas as
outras, desdobradas quando necessrias.
94
Captulo 5
Consideraes Finais
Esta dissertao apresentou uma proposta de uma nova taxonomia dos IDS, quanto s mquinas
de coleta, anlise e resposta. Tambm apresentado um survey de vinte (20) IDS, escolhidos pela
diversidade de mecanismos neles implementados. A comparao dos sistemas foi feita baseando-
se nas taxonomias apresentadas. Por ltimo e no menos importante, a partir do estudo
taxonmico, foi mostrada uma nova abordagem para um modelo de um IDS, que utiliza um
modelo conceitual j validado por aplicao na rea de Administrao de Sistemas.
95
A noo de que deteco de intruso pode tornar-se completamente automtica
controvertida. Certamente os IDS exigem extensivo suporte humano, particularmente em
termos de correlao, interpretao de informao e tratamento de alarmes, mesmo que os
sistemas ganhem funcionalidade.
5.2 Contribuies
Resumidamente, este trabalho teve como contribuies:
Apresentao dos conceitos bsicos sobre deteco de intruso, sua finalidade, as formas
de ataques s redes computacionais, as vantagens e limitaes no emprego de mecanismos
de deteco de intruso e identificao de seus principais componentes funcionais;
Apresentao de uma taxonomia dos IDS diante das principais caractersticas encontradas
nos 3 (trs) mdulos principais de um IDS: coleta de dados, anlise e componente de
resposta.
Apresentao do Estado da Arte em termos de Sistemas de Deteco de Intruso,
abordando uma grande variedade de mecanismos conhecidos at a presente data;
Apresentao de um Survey dos IDS levando-se em considerao a nova taxonomia
proposta. Uma tabela comparativa dos IDS, mostrando caractersticas ainda no
analisadas em outros surveys de IDS e tambm importantes como, mtodo de coleta,
aprendizagem e arquitetura;
Identificao das vantagens e limitaes dos mecanismos empregados na deteco. Tanto
mecanismos de coleta como mecanismos de anlise e resposta.
Definio de uma arquitetura extensvel, hierrquica e escalvel, facilitada pela
capacidade de fcil insero de novos agentes e de novas assinaturas de ataque, medida
que novas vulnerabilidades so conhecidas.
Os testes com o prottipo AAFID2 demonstraram que um ambiente com agentes autnomos
possvel, desempenhando o nvel mais baixo da hierarquia. Tambm demonstrou que podem
trabalhar independente do sistema operacional do sistema alvo e de suas interfaces com os
dispositivos de rede. Uma contribuio desta dissertao, ao projeto COAST do Departamento de
Cincia da Computao da Universidade de Purdue, foi o retorno dos resultados obtidos nas
mquinas com sistema operacional AIX, onde nunca tinham sido testadas.
96
A observao de testes com o SNORT mostraram que, na prtica, um IDS que implementa
regras, que filtram assinaturas de ataques, melhor em termos de:
97
o com tecnologia de redes neurais como um sistema de respostas com tratamento de
alarmes;
o utilizando tecnologia de Imunologia computacional para cuidar da segurana do
prprio IDS;
o agentes com caractersticas de mobilidade, como forma de construir arquiteturas
distribudas.
98
Referncias Bibliogrficas
[Allen et al., 1998] John Kochmar, Julia Allen, Christopher Alberts, Cory Cohen, Gary Ford,
Barbara Fraser, Suresh Konda, Klaus-Peter Kossakowski and Derek Simmel. Preparing to
Detecting Signs of Intrusion. CMU/SEI, Pittsburgh, PA: Software Engineering Institute,
Carnegie Mellon University, 1998. http://www.cert.org/security-improvement/modules/m05.html.
[Allen et al., 1999a] Julia Allen, Alan Christie, William Fithen, John McHugh, Jed Pickel, Ed
Stoner. State of the Practice of Intrusion Detection Technologies, CMU/SEI 1999, TR 028.
www.sei.cmu.edu/publications/documents/99.reports/ 99tr028/99tr028abstract.html
[Allen et al., 1999b] Klaus-Peter Kossakowski, Julia Allen, Christopher Alberts, Cory Cohen,
Gary Ford, Barbara Fraser, Eric Hayes, John Kochmar, Suresh Konda, and William Wilson.
Responding to Intrusion. CMU/SEI, Pittsburgh, PA: Software Engineering Institute,
Carnegie Mellon University, 1999. http://www.cert.org/security-improvement/modules/m06.html.
[Anderson, 1980] James P. Anderson. Computer Security Threat Monitoring and Surveillance.
Fort Washington, PA, April 1980.
[Asaka, 1999] Asaka, M., Taguchi, A., and Goto, S. The Implementation of IDA: An Intrusion
Detection Agent System. In Proceedings of the 11th Annual FIRST Conference on
Computer Security Incident Handling and Response (FIRST'99).
www.ipa.go.jp/STC/IDA/paper/ida-install-e.pdf .
[Axelsson, 1999] Stefan Axelsson. Research in Intrusion Detection Systems: A Survey. 1999.
[Axelsson, 2000] Stefan Axelsson. Intrusion detection systems: A Survey and Taxonomy. 2000.
99
[Babbie, 1999] Babbie, Earl, Mtodos de pesquisa de survey, Editora UFMG, 1999.
[Bace, 2000] Rebecca Gurley Bace. Intrusion Detection. Macmillan Technical Publishing, 2000.
[Barber, 2001] Richard Barber. The Evolution of Intrusion Detection Systems The next Step.
Computers & Security 20, 132-145, 2001.
[Barrus, 1997] Joseph D. Barrus. Intrusion Detection in Real Time in a Multi-Node Multi-Host
Environment. Masters Thesis, Naval Postgraduate School, Monterey, CA, september 1997.
[Barrus, 1998] Joseph D. Barrus and Neil C. Rowe. A Distributed Autonomous-Agent Network-
Intrusion Detection and Response System. Command and Control Research and Technology
Symposium, Monterey CA, June-July 1998.
[Bernardes, 1999] Mauro Cesar Bernardes. Avaliao do Uso de Agentes Mveis em Segurana
Computacional. Dissertao de Mestrado. Instituto de Cincias Matemtica e de
Computao - ICMC/USP, novembro 1999.
[Cannady and Harrell, 1996] James Cannady, Jay Harrell. A comparative analysis of current
intrusion detection technologies, 1996.
[Cannady, 1997] James Cannady. Artificial neural networks for misuse detection. 1997.
100
[Cansian, 1997b] ACME! Advanced Counter Measures Environment, Um mecanismo de Captura
e Anlise de Pacotes para Aplicao em Deteco de Assinaturas de Ataque.
http://www.acme-ids.org/.
[Carnut e outros, 2001] Cristiano Lincoln Mattos, Evandro Curvelo Hora e Marco Antonio
Carnut. Desvendando Vulnerabilidades de Rede. Cesar/Tempest Security Technologies,
Cin/UFPE, 2001.
[Cheswick and Bellovin 94] William Cheswick and Steven Bellovin. Firewalls and Internet
Security. Addison-Wesley, 1994.
[Cunningham and Lippmann, 2000] Richard P. Lippmann and Robert K. Cunningham. Improving
Intrusion Detection Performance Using Keyword Selection and Neural Networks.
Computer Networks 34, 597-603, 2000.
[Debar et al, 1992] Debar, Herv, Beckerand Monique, Siboni, Didier. Hiperview: An Intelligent
security supervisor. In Proceedings of the 2nd International Conference on Intelligence in
Networks. Bordeaux. Frana, march 1992.
[Debar et al., 1999] Herv Debar, Marc Dacier, Andreas Wesp. Towards a Taxonomy of Intrusion
Detection Systems. Computer Networks 31, pginas 805-822, 1999.
[Denning, 1999] Dorothy Elizabeth Denning. Information Warfare and Security. Addison-
Wesley Longman, Inc., 1999.
101
[Endler, 1998] Markus Endler. Novos Paradigmas de Interao Usando Agentes Mveis.
Departamento de Cincia da Computao, IME USP. SBRC, 1998.
[Filho, 1997] Elson Felix Mendes Filho. Algoritmos Genticos. LABIC-ICMC, USP So Carlos
http://www.icmsc.sc.usp.br/~prico/gene1.html.
[Firth et al., 1997] Robert Firth, Gary Ford, Barbara Fraser, John Kochmar, Suresh Konda, John
Richael, Derek Simmel. Detecting Signs of Intrusion. Secutity Improvement Module, CERT
Coordination Center. http://www.cert.org/security-improvement/modules/m01.html.
[Flood and Carson, 1993] Robert Flood and Ewart Carson. Dealing with complexity An
introduction to the theory and application of system science, chapter 8, pages 151-158.
Plenum Press, New York, second edition, 1993.
[Forrest, 1997] Anil Somayaji, Steven A. Hofmeyr, Stephanie Forrest. Computer Immunology,
Communications of the ACM 40 (10) 88-96, 1997.
[Forrest, 1999] Steven A. Hofmeyr, Stephanie Forrest. Architecture for an Artificial Immune
System, Department of Computer Science, UNM, Albuquerque, NM, Santa fe Institute.
http://www.cs.unm.edu/~judd/lisys/.
[Frincke and Huang, 2000] Deborah A. Frincke and Ming-Yuh Huang. Recent Advances in
Intrusion Detection Systems. Computer Networks 34, 541-545, 2000.
[Frisch, 1995] Aeleen Frisch. Essential System Administration. OReilly & Associates, Inc, 1995.
[Furlan, 1998] Jos Davi Furlan. Modelagem de Objetos atravs da UML, 1998.
102
[Geus, 1999b] Paulo Lcio de Geus. Comparao entre Filtros de Pacotes com Estados e
Tecnologias Tradicionais de Firewall, 1999 SSI1999.
[Geus, 2002] Emlio Tissato Nakamura e Paulo Lcio de Geus. Segurana de redes em ambientes
cooperativos Editora Berkeley, 2002.
[Hora, 1999] Evandro Curvelo Hora. Sobre a Percepo Remota de Sniffers para Detectores de
Intruso em Redes TCP/IP, Dissertao de Mestrado CIn/UFPE, 1999.
[Huang et al., 1999] Ming-Yuh Huang, Robert J. Jasper, Thomas M. Wicks. A Large Scale
Distributed Intrusion Detection Framework based on Attack Strategy Analysis. Computer
Networks 31, 2465-2475, 1999.
[Ingram, 1999] Dennis J. Ingram. Autonomous agents for distributed intrusion detection in a
multi-host environment. Dissertao de mestrado da Naval Postgraduate School, 1999.
[Javitz, 1991] H. S. Javits and Valdes. The SRI IDES Statistical Anomaly Detector, 1991.
http://www.sdl.sri.com/projects/nides/index5.html.
[Javitz, 1993] Javitz, H. S., and A. Valdes. The NIDES Statistical Components Description and
Justification, 1993. http://www.sdl.sri.com/projects/nides/index5.html.
[Jeremy, 1994] Frank Jeremy. Artificial Intelligence and Intrusion Detection: Current and Future
Directions. University of California at Davis, 1994.
[Jonsson and Lundin, 2000] Emile Lundin, Erland Jonsson. Anomaly-based Intrusion Detection:
Privacy Concerns and other Problems. Computer Network 34, 623-640, 2000.
103
[Lee and Stolfo, 1998] Wenke Lee and Salvatore Stolfo. Data Mining Approaches for Intrusion
Detection. Columbia University, New York, 1998.
www.cs.columbia.edu/~sal/hpapers/USENIX/usenix.html.
[Lunt, 1988] Teresa F. Lunt. Automated Audit Trail Analysis and Intrusion Detection: A Survey.
11th National Computer Security Conference, 1988.
[Macedo, 2001] Hendrik Teixeira Macedo. Mobilidade autonomia e distribuio de agentes para
o gerenciamento corporativo de sistemas. Dissertao de Mestrado CIn/UFPE, 2001.
[M, 1998] GASSATA A Genetic Algorithm as an Alternative Tool for Security Audit Trail
Analysis. First International Workshop on the Recent Advances in Intrusion Detection,
Belgium, 1998. www.supelec-rennes.fr/rennes/si/ equipe/lme/PUBLI/raid98.pdf.
[Mukherjee et al, 1990] Biswanath Muwherjee, L. Todd Heberlein, Karl N. Levitt, Gihan V.
Diaz, Jeff Wood and David Wolber. A Network Security Monitor. IEEE Network, pp. 296
304, 1990. http://seclab.cs.ucdavis.edu/papers/pdfs/th-gd-90.pdf.
[Mukherjee et al., 1994] Biswanath Muwherjee, L. Todd Heberlein and Karl N. Levitt. Network
Intrusion Detection. IEEE Network, vol. 8-3, pp. 26-41, 1994.
[Neumann, 1985] Neumann, P. G., Audit Trail Analysis and Usage Collection and Processing.
Technical Report Project 5910, SRI International.
[Northcutt, 1999] Stephen Northcutt. Network Intrusion Detection: An Analysts Handbook. New
Riders Press, 1999.
104
[Northcutt, 2001] Stephen Northcutt, Judy Novak, Donald McLachlan. Segurana e preveno
em redes Editora Berkeley, 2001.
[Porras and Neumann, 1997] P.G. Neumann and Phillip A. Porras. EMERALD: Event
Monitoring Enabling Responses to Anomalous Live Disturbances. In Proceedings of the
First USENIX Workshop on Intrusion Detection and Network Monitoring, pages 73-80,
Berkeley, CA, 1997. www.csl.sri.com/emerald/index.html
http://www.nfr.com/products/NID/docs/NID_Technical_Overview.pdf.
[Richards, 1999] Kevin Richards. Network based Intrusion Detection: A Review of Technologies.
Computers & Security 18, 671-682, 1999.
[Roesh, 1997] M Roesh. Snort Ligtweight Intrusion Detection for Networks, 1997.
http://www.snort.org
[Schneier, 2000] Bruce Schneier. Secrets & Lies - Digital Security in Networked World. Wiley
Computer Publishing, 2000.
[Schonlau and Theus, 2000] Matthias Schonlau, Martin Theus. Detection Masquerades in
Intrusion Detection based on Unpopular Commands. Information Processing Letters 76,
33-38, 2000.
[Silva e outros, 1997] Fabio Silva, Danielle Franklin, Luciana Varejo, Fabiana Marins, Andr
Santos. I-DREAM: An Intranet-baseD REsource and Application Monitoring System.
Revista de Informtica Terica e Aplicada, vol. 4, n 2, pp. 49-60, 12/1997.
[Sodirey et al., 1996] M. Sobirey, B. Richter and H. Konig. The Intrusion Detection System
AID: Architecture and Experiences in Automated Audit Analysis. Proceeding of
105
Internacional Conference on Comunications and Multimedia Security, Germany, 1996.
http://www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html.
[Sommer, 1999] Peter Sommer. Intrusion Detection Systems as Evidence. Computer Networks
31, 2477-2487, 1999.
[Spafford, 1993] Gene H. Kim and Eugene H. Spafford. The design and implementation of
Tripware: A file system integrity checker, Purdue Technical Report CSD TR 93-071,
November 1993.
[Spafford, 1994] Farmer, D., and E. Spafford The COPS Security Checker Systems, Purdue
Technical Reports CSD-TR-999, January, 1994.
[Spafford and Kumar, 1995] Sandeep Kumar, Eugene H. Spafford. A Software Architecture to
Support Misuse Intrusion Detection. COAST technical report 95/009, Purdue University,
West Lafayette, IN, March 1995.
[Spafford and Crosbie, 1995] Eugene H. Spafford and Mark Crosbie. Active Defense of a
Computer System Using Autonomous Agents. Technical report 95/008, Purdue University,
West Lafayette, IN, 1995.
[Spafford, 1996] Garfinkel, S., Spafford, G., Pratical UNIX and Internet Security, Second
Edition. Sebastopol, CA: O`Reilly & Associates, Inc., 1996.
[Spafford et al., 1996] Mark Crosbie, B Dole, T Ellis, Ivan Krsul and Eugene H. Spafford. IDIOT
Users Guide. Technical report 96/050, Purdue University, COAST Laboratory, West
Lafayette, IN, 1996. http://citeseer.nj.nec.com/crosbie96idiot.html
[Spafford et al, 1998a] Jai Sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David
Isacoff, Eugene Spafford and Diego Zamboni. An Architecture for Intrusion Detection
Using Autonomous Agents. COAST technical report 98/05, Purdue University, W.
Lafayette, IN, june 1998. [20] ftp://coast.cs.purdue.edu/pub/COAST/tools/AAFID/
106
[Spafford et al, 1998b] Ivan Krsul, Eugene Spafford and Mahesh Tripunitara. Computer
Vulnerability Analysis. COAST Laboratory, Purdue University, West Lafayette, IN, May
1998.
[Spafford and Zamboni, 2000] Eugene H. Spafford, Diego Zamboni. Intrusion Detection Using
Autonomous Agents. Computer Network 34, 547-570, 2000.
[Stallings, 1998] William Stallings. Cryptografhy and Network Security: Principles and Practice.
Prentice Hall, Inc. New Jersey, EUA,1998.
[Valdes et al, 1995] D. Anderson, Frivold, Tamaru, Valdes. Next Generation Intrusion Detection
Expert System (NIDES). Software Design, Product Specification, and Version Description
document, Project 3131, July 1994. http://www.sdl.sri.com/projects/nides/index5.html.
[Zamboni, 2000] Diego Zamboni, Doing Intrusion Detection Using Embedded Sensors Thesis
proposal. CERIAS technical Report 2000-21, Purdue University, W. Lafayette, IN, october
18, 2000. http://www.cerias.purdue.edu/projects/esp/.
107
Apndice A
Legenda
Interface do
usurio
Monitores
Transceptores
Agentes
Upstream Downstream
Mesmo sendo um sistema baseado em host, suporta algumas funes de rede. Foi implementado
utilizando-se a linguagem de scripts Perl e diversos recursos de administrao de sistemas e
segurana comuns em ambiente Unix. A arquitetura, construda de maneira hierrquica,
composta de entidades que se referem a qualquer dos componentes definidos na mesma. Inclui
108
agentes, transceptores, monitores e outros programas que interagem com a arquitetura, tais como
interface com o usurio. Cada entidade um objeto separado, que conserva seu prprio estado
interno e comportamento de acordo com sua funo no sistema. So programas que rodam de
forma independente.
Agentes20 de software que, com a ajuda dos filtros21, coletam informaes do sistema onde esto
rodando. Monitoram aspectos especficos de atividades nos hosts e relatam, para os hosts
transceptores, um comportamento anormal, que pode indicar problema de segurana.
As tarefas inicializao, checagem e cleanup so especficas para cada agente. Todas as outras
funes so fornecidas pela infra-estrutura, para permitir a criao de novas entidades no menor
tempo possvel.
Tranceptores
Residem nos hosts. So responsveis por receber os dados dos agentes, que rodam no mesmo
host e controlar suas atividades, como iniciao ou terminao. Eles no precisam de capacidade
de comunicao remota downstream, mas, de se comunicar com um grande nmero de entidades
locais. Agentes podem fornecer dados, na forma de status_updates e comandos, por exemplo,
para o pedido de um mdulo adicional necessrio para execuo. Transceptores podem necessitar
enviar um comando para um agente, por exemplo, configurar um valor de parmetro. Tambm
precisam ser capazes de responder a comandos vindos de monitores e fornecer, aos mesmos,
dados como status_updates. Se um transceptor recebe uma mensagem de um agente, a qual no
capaz de interpretar, a mesma deve ser enviada para uma entidade pai do transceptor para
processamento adicional. Portanto, consolidam relatos e os remetem para os sistemas monitores.
Cada transceptor controla todas as entidades em um host, mas no exercem influncia sobre
outros agentes em outros hosts. Existem tcnicas para fazer isto, mas o sistema no as
implementa.
20
Tipos de agentes implementados no sistema e sua descrio no apndice B.
21
Tipos de filtros utilizados no sistema e sua descrio no apndice B.
109
Monitores
Representao da entidade
No AAFID2, cada entidade-objeto representada por uma hash annima, que contm os
parmetros para esta entidade especfica. Os parmetros so armazenados indexados por seus
nomes. Uma hash simples em Perl pode armazenar diferentes tipos de elementos
simultaneamente. Cada parmetro pode ser de um tipo diferente sem causar qualquer problema.
110
checagem, status corrente de 0 a 10. Tambm se faz necessrio para que a entidade seja capaz de
manter seu estado interno, por exemplo, quantas tentativas de login invlido foram observadas.
O uso de parmetros nomeados, nos quais os parmetros so armazenados indexados por seus
nomes, devido ao prprio mecanismo orientado a objetos da linguagem Perl conceder
naturalmente este esquema. uma maneira conveniente de comunicao da informao entre
entidades e armazenamento de seu estado interno.
O valor do status deve ser um nmero entre 0 e 10 inclusive, onde 0 significa tudo normal e 10
significa extremo alarme. Valores intermedirios representam diferentes graus de importncia do
problema detectado. Nenhuma definio formal dada para os valores do indicador status, cada
entidade tem o poder de designar.
Mensagens
Subtipo de mensagem: Este campo pode ser usado para fornecer informao adicional sobre o
contedo da mensagem, to bem como indicar a interpretao semntica especfica que deve
ser dada ao campo Dado.
111
Identificador de origem e Identificador de destino: Estes campos devem conter informaes
que, unicamente, identificam as entidades de origem e destino. O campo destino pode estar
vazio se a mensagem enviada num canal de comunicao one-to-one, onde no h incerteza
sobre qual o destino.
Time stamp: Este campo uma representao nica do momento quando a mensagem foi
gerada.
Dado: A estrutura deste campo depende do campo Tipo de mensagem e pode conter sub-
campos para a organizao adicional da informao.
As mensagens so representadas por objetos da classe Message. O objetivo principal desta classe
armazenar os campos como definidos, mas, tambm, para permitir a converso para ou, de um
formato apropriado de string para enviar sobre a rede. Dentro de uma entidade, a mensagem ser
armazenada como um objeto, mas, antes de envi-la para outra entidade, ser convertida numa
linha simples de texto com o seguinte formato:
Modelo de comunicao
Uma entidade somente pode ter comunicao direta com entidades que estejam imediatamente
acima e abaixo dela prpria.
Agentes esto nas folhas da rvore, portanto, somente enviam mensagens para cima. A entidade
localizada na raiz da rvore sempre um monitor. Mas este pode aparecer tambm, em nveis
intermedirios. A nica entidade que pode estar acima do monitor localizado na raiz a interface
do usurio, ou algum outro programa que controle todo o IDS.
112
Mecanismo de comunicao
Para se conseguir isto, usou-se o mais comum mecanismo de comunicao disponvel no UNIX,
bem como em outros sistemas operacionais; os arquivos descritores standart output e standart
input. Para cada entidade, as mensagens vindas de suas entidades controladoras partem da entrada
padro e, qualquer escrita, para a sada padro, ir para a entidade controladora. No UNIX, os
arquivos descritores podem ser redirecionados para, ou, de qualquer lugar diferente. Assim, a
sada e a entrada padro de um processo podem ser redirecionadas para acessar um arquivo, um
pipe, uma conexo de rede ou um terminal.
Se um usurio executa uma entidade diretamente, suas sada e entrada padro so redirecionadas
para tela e teclado respectivamente, como com qualquer outro programa. Isto e o fato de que as
mensagens so representadas por strings de leitura humana, permite ao usurio interagir
diretamente com a entidade, digitando mensagens e, ser capaz de ler a resposta na tela.
A comunicao intra-host feita usando pipes UNIX. Para o processo-filho, o pipe que vem do
pai conectado entrada padro e, a sada padro, ao pipe que vai para o pai. A comunicao
entre hosts feita usando-se canais TCP.
Processamento de entrada
113
No UNIX, todos estes canais de comunicao podem ser vistos como arquivos manuseveis.
Uma vez que o canal esteja aberto, pode ser lido e escrito como se fosse um arquivo normal no
disco local. Assim, fcil monitorar, automaticamente, todos os canais de entrada para
mensagem.
A habilidade de invocar e controlar uma nova entidade local herdada por monitores e
transceptores. A classe Monitor estende esta capacidade, permitindo a invocao de entidades
remotas. Cada entidade deve ser capaz de rodar como um programa stand-alone.
As entidades devem ser capazes de trocar mensagens com suas entidades controladoras e, todas
as mensagens e comandos recebidos devem ser processados logo que possvel. A entidade
controladora pode estar no mesmo host, por exemplo, o transceptor a entidade controladora dos
agentes, ou pode estar em hosts diferentes, por exemplo, o monitor a entidade controladora do
transceptor.
possvel para o usurio iniciar uma entidade a partir da linha de comando e interagir com ela
dando comandos e mensagens do teclado. A entidade tambm pode se inicializada pela sua
entidade controladora.Todas devem reagir adequadamente aos seguintes sinais UNIX:
TERM - Para uma terminao sem problemas. Mesmo comportamento de uma mensagem ou
comando STOP.
HUP - Para inicializar.
USR1 - Para, temporariamente, pausar suspendendo todas as atividades. Se a entidade j
estiver pausada, no faz nada.
114
USR2 - Para reinicializar. Se no estiver pausada, no faz nada.
Execuo de entidade
Toda entidade deve ter um mtodo chamado run, que ser chamado quando do ponto de entrada
da execuo da entidade. Quando o mtodo run retorna, a execuo da entidade considerada
finalizada e o solicitante estar livre para proceder com outras atividades.
Para inicializao, toda entidade tem um mtodo chamado init, que ser chamado quando o
objeto criado. Inicializao adicional pode ser feita no mtodo run. Para run e init, to bem
como o cdigo para fazer automaticamente atividades de configurao essenciais, tais como gerar
um identificador de identidade, enviando uma mensagem CONNECT para comear e uma
mensagem DISCONNECT para terminar. Estas atividades so feitas no mtodo new (construtor),
definido pela classe Entity, devendo ser herdado por todas as outras entidades.
Para permitir que uma entidade seja carregada como um programa stand-alone, existe um
mecanismo que, automaticamente, cria uma instncia da classe e invoca seu mtodo run quando
a entidade executada. Contudo, este cdigo no deve ser executado quando a entidade
carregada a partir de outra.
115
da entidade, chama-se o mtodo run e se sai quando a execuo termina. No segundo caso, nada
feito e o valor de 1 retornado, que a maneira normal em Perl de se sinalizar que um arquivo
mdulo foi carregado corretamente.
Quando uma entidade precisa ser executada a partir de outro programa, por exemplo, um
transceptor carregando um agente, os seguintes passos so desempenhados:
Carregamento da classe Entity usando o procedimento use.
Criao de uma nova instncia da entidade usando seu mtodo new.
Criao de um novo processo, onde a nova entidade ser executada.
Criao de dois pipes entre os processos pai e filho, um para envio de mensagem do pai para
filho e o outro, vice versa. No processo filho, a leitura final de um pipe associada com a
entrada-padro e a escrita final do outro associada com a sada padro, portanto,
estabelecendo o canal up da entidade. No processo pai, os finais correspondentes dos pipes
so armazenados em um parmetro interno para uso futuro e ser capaz de receber mensagens
da nova entidade.
O processo filho executa a nova entidade invocando o mtodo run. Quando retorna, o
processo termina.
A classe Monitor fornece facilidades para ser capaz de pedir a ativao de uma entidade em um
host remoto. O mecanismo usado o seguinte:
Checa se o canal de comunicao para o transceptor ou monitor no host requisitado j
existe. Em caso positivo, envia uma mensagem para carregar a entidade solicitada. Caso
contrrio, continua com os passos seguintes.
Executa o programa Starter, no host remoto, com os parmetros apropriados e informa a
partir de qual host foi executado. AAFID2 usa ssh (Secure Shell) para executar Starter no
host remoto.
116
O monitor configura os flags apropriados para indicar que est esperando por uma
conexo a partir do host onde o Starter foi executado e continua sua execuo normal.
No host remoto, o Starter instancia um transceptor (classe PlainTransceptor), contata a
porta do servidor no monitor, estabelece uma conexo TCP e redireciona sua sada e
entrada-padro para ele.
O Starter roda o transceptor, que se comunicar com o monitor, atravs de seus padres
de entrada e sada, como redirecionado no passo anterior, para registrar com ele.
Quando o monitor recebe a mensagem CONNECT a partir do transceptor criado
recentemente, identifica-o como uma entidade que tem que ser iniciada e envia o
comando apropriado para ele.
Quando uma entidade controladora recebe um pedido para iniciar uma nova entidade, pode ser
que parte de todo o cdigo necessrio para carregar esta entidade, por exemplo, sua classe
arquivo-origem ou um mdulo necessrio, no esteja presente no host local. Neste caso, a
entidade controladora envia uma mensagem para cima, NEEDMODULE, especificando o nome
da classe que falta. A entidade que est acima deve achar o cdigo apropriado, provavelmente
enviando uma mensagem NEEDMODULE. Ento, envia a mensagem para cima numa
mensagem NEWMODULE.
Uma vez que a entidade controladora recebe a mensagem NEWMODULE contendo o cdigo de
que necessita, o mesmo salvo num arquivo local e tenta carreg-lo. Se continuar faltando
117
cdigo, por exemplo, se o cdigo recebido precisa de outro mdulo que no esteja presente, ento
o processo repetido at que a entidade da classe apropriada possa ser instanciada.
Este mecanismo permite a instalao inicial do AAFID2 no sistema monitorado, ser limitado a
classes essenciais e, ento, ter todas as outras, tais como agentes, desdobradas quando
necessrias.
118
ACME ADVANCED COUNTER MEASURES ENVIRONMENT
Lista de Monitorao
Vetor de Monitorao 2
Vetor de Monitorao 3
119
O modelo de deteco de intruso formado por um sistema de captura e tratamento de pacotes,
um sistema de rede neural e um gerenciador de comunicaes e interface com o usurio. O
sistema de captura e o sistema de rede neural podem ou no, residir na mesma mquina. Se o
sistema de rede neural for implantado na mquina central, gerenciadora de segurana, devem
haver agentes e gerentes de comunicao utilizando protocolos que coordenem a troca de
informaes entre as mquinas. O sistema de captura e tratamento de pacotes organizado em
mdulos, que tratam o fluxo de pacotes e que terminam fornecendo o vetor de estmulo para a
rede neural. O nvel mais baixo apenas captura um fluxo de dados na rede e passa os pacotes
ordenados para o mdulo de conexo sob controle do mdulo de pr-seleo.
O ACME utiliza algo semelhante a uma ferramenta para captura de pacotes e usa a biblioteca
denominada libpcap, que implementa o BSD Packet Filter ou, simplesmente, BPF. Este filtro
seleciona pacotes do barramento segundo o protocolo22, alm de oferecer uma gama de opes
quanto filtragem de hosts, redes, etc. Para isso, basta passar, para o filtro, instrues sobre o
tipo de pacote com sintaxe similar ao Tcpdump23.
O mdulo de captura de pacotes (CAP) tem toda a informao na estrutura dos pacotes
capturados, necessrios auditoria. Os cabealhos e os campos de dados so enviados
integralmente para o mdulo conexo (CON) e apenas os cabealhos para o mdulo de pr-
seleo e sistema especialista (PSSE).
O mdulo PSSE decide a partir de que momento uma conexo considerada suspeita.
responsvel por mais um nvel de filtragem, pois o mdulo de conexo s registra as atividades
de mquinas ou domnios considerados suspeitos que sejam indicados pelo PSSE. Isto feito por
meio do seguinte mecanismo:
Uma Tabela de Nveis de Segurana (TNS), contendo o nvel de segurana dos servios (por
exemplo, telnet, ftp, finger) que consultada de acordo com o servio usado pela conexo em
questo.
22
IP, TCP, UDP, ICMP entre outros.
23
TCPDUMP Network Research Group of the Lawrence Berkeley National Laboratory
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
120
Uma Tabela de Controle de Conexo (TCC), onde cada entrada contm dados sobre hosts
origem/destino, um marcador horrio (time stamp) de conexo, nvel de segurana de servio,
porta origem/destino e tempo inicial /final.
Uma Tabela de Domnios Suspeitos (TDS) mantida quando um host atinge um determinado
nvel de segurana e o mdulo de conexo disparado. freqentemente atualizada.
O mdulo CON responsvel pela criao e manuteno de vetores de conexo. Este mdulo
ignora todos os pacotes at que o mdulo PSSE avise qual conexo considerada suspeita, para
que se inicie ento o monitoramento. O vetor de conexo consiste na juno de dois vetores de
fluxo, que representam a conexo de forma unidirecional. Com a utilizao de um par de vetores
de fluxo podemos representar uma conexo em particular e os dados que nela transitam. Na
prtica, o vetor de conexo nada mais que um arquivo com um nome padronizado
representando a conexo. Dentro deste arquivo esto todos os dados que trafegam naquela
conexo a partir do momento em que ela foi considerada suspeita.
O ponto principal do Mdulo de Rede Neural (MRN) a interface com a rede neural, que
obtida a partir do arquivo de definies da rede, treinada com um aplicativo24 simulador de redes
24
Software aplicativo simulador de redes neurais Stuttgart Neural Network Simulator.
121
neurais. Para o treinamento, a rede exposta a um conjunto grande e variado de vetores de
estmulo, os quais representam sesses suspeitas, intrusivas e legtimas. feita uma rgida
monitorao durante tal processo, verificando se o aprendizado satisfaz os requisitos impostos
pelo sistema e, principalmente, se existe uma melhora na capacidade de generalizao de rede
frente a novos tipos de conjunto de dados. O MRN pode ser retreinado com o mesmo aplicativo e
exposto a novos padres, escolhidos juntamente com padres j conhecidos. Amplia-se assim, o
nvel de conhecimento do MRN e, tambm, a base de dados utilizada pelo ASPP, o que acarretar
uma melhoria significativa no resultado geral do sistema.
A interface recebe todo o conjunto de bits que compe o vetor de estmulo e, de acordo com o
tipo de treinamento ao qual a rede foi submetida, retorna uma porcentagem, a qual indica o grau
de suspeita da sesso. A facilidade proporcionada pela utilizao desta interface torna altamente
factvel a criao de sub-mdulos de preveno e contra-medidas, que podem ser desenvolvidos
de tal modo a executar tanto aes automticas quanto interativas em um ambiente standalone ou
distribudo. Como por exemplo, emisso de vrios nveis de alerta ao administrador, disparo de
processos de auditoria, ativao de contramedidas para isolar o host ou o domnio originador do
ataque atravs do ajuste de, por exemplo, um firewall.
122
AID - Adaptive Intrusion Detection System
Gerao
Base de Sistema
conhecimento Especialista
Buffer Relatrios
Gerente
secure RPC
Agente Agente
Auditoria Auditoria
A arquitetura cliente servidor consiste de agentes residindo nos hosts e de uma estao de
monitoramento central. As informaes so coletadas por agentes nos hosts monitorados e
convertidos para um formato de dados independentes do sistema operacional. Desta forma, o
monitoramento de um ambiente heterogneo UNIX suportado. Estes dados auditados so
transferidos para uma estao de monitoramento central para anlise e processamento. So
colocados em cache e analisados, em tempo real, por um sistema especialista baseado num
RTWorks25.
Na estao central, o gerente fornece funes para administrao segura dos hosts monitorados,
controla as funes auditadas, os pedidos de novos dados auditados e controla o recebimento e
encaminha as decises vindas dos agentes para o sistema especialista. O sistema especialista usa
uma base de conhecimento de assinaturas de ataque, que so modeladas por mquinas de estado
finito determinsticas e implementadas como seqncia de regras. Tem implementado 100 (cem)
25
http://www.talarian.com/rtworks.html
123
regras na sua base de conhecimento e capaz de detectar 10 (dez) cenrios de ataque. O
prottipo26 pode manusear com oito agentes.
26
AID foi testado em dezembro de 1995, num ambiente de rede local, consistindo de estaes SPARC
rodando Solaris 2.x e TCP/IP.
124
Ripper - Sistema Baseado em Minerao de Dados
Agente
Registros
remoto de de auditoria
aprendizado
Motor de Pr-processador
Aprendizagem
Registrosdeauditoria
Indutiva
(meta)
dados sobre Agente de
atividade deteco
(bsico)
modelos Motor de
Bases de Deteco Evidncias de
Regras (bsico) outros agentes de
(classificadores) deteco bsicos
evidncia
julgamento final
Tabela de
Deciso aes/relatrios
Motor de Deciso
Lee e Stolfo apresentam uma abordagem baseada em tcnicas de data mining para descobrir
padres teis e consistentes das caractersticas do sistema, que descrevem os comportamento de
usurios e programas. A partir da, o conjunto de caractersticas relevantes do sistema usado
para computar classificadores (aprendidos por induo) que podem reconhecer anomalias e
intruses.
O agente de aprendizado pode residir em uma mquina servidora, pelo seu poder de computao.
responsvel pela computao e manuteno do conjunto de regras de programas e usurios. Ele
produz os modelos de deteco bsicos e os modelos de deteco meta.
O agente de deteco genrico e extensvel. equipado com um conjunto de regras, oriundo do
agente de aprendizado remoto. As regras so aprendidas e periodicamente atualizadas. O motor
de deteco executa a classificao nos dados de auditoria e emite evidncias de intruses. A
125
principal diferena entre agente de deteco bsico e agente de deteco meta que este usa
dados auditados pr-processados como entrada, enquanto aquele usa evidncias de todos os
agentes bsicos de deteco. Estes agentes no precisam rodar no mesmo host.
Para construir um classificador necessrio colher uma quantidade suficiente de dados para
treinamento e identificar um conjunto de caractersticas significantes. Dois algoritmos foram
usados para guiar o processo de auditoria: association rules e frequence episodes.
126
DIDS - DISTRIBUTED INTRUSION DETECTION SYSTEM
DIDS Diretor
Sistema
Especialista Interface Usurio
AS
Gerente Comunicao
DIDS ilustra a abordagem centralizada para deteco de intruso em rede. basicamente uma
coleo de mltiplos sistemas de deteco de intruso rodando em sistemas individuais, que
cooperam para detectar intruses em toda a rede. Os componentes de deteco de intruso em
sistemas individuais so responsveis pela coleta da informao do sistema e converso para uma
forma homognea para ser passada para o analisador central.
Sua arquitetura combina coleta distribuda e reduo de dados com anlise de dados centralizada.
DIDS tenta correlacionar informaes sobre monitoramento individual de usurios, com o uso de
um User Network Identifier (NID), onde seguida a pista dos movimentos de cada usurio
atravs da rede, assumindo diferentes identidades. Tambm segue a pista das aes
desempenhadas pelos hosts via o LAN monitor.
127
Seu projeto modular e seus componentes so 3 (trs).
Responsvel pela coleta de evidncia de atividade no autorizada ou suspeita. O host monitor usa
a auditoria de dados nativa, fornecida pelo sistema operacional, para coleta de dados, Depois
pr processado para uma sintaxe comum chamada Host Audit Record (HAR). Esta converso da
informao para uma forma homognea, para ser passada para o analisador central, torna o DIDS
capaz de manusear sistemas individuais heterogneos com um sistema de deteco de intruso
centralizado. Este primeiro nvel de abstrao melhora a portabilidade e heterogeneidade das
pores restantes do host monitor. Gravaes redundantes so eliminadas neste ponto, que
fornece uma significante reduo no numero de gravaes que o alto nvel do host monitor
precisa para processar (mais do que uma reduo de 4:1)
A comunicao do host monitor com o DIDS director feita pelo host agent.
128
DIDS pode manusear os hosts sem os monitores de host, desde que o LAN monitor possa relatar
as atividades de rede de tais hosts.
DIDS diretor
27
Sistema CLIPS, de domnio pblico, desenvolvido pela National Aeronautics and Space Administration
NASA.
129
EMERALD EVENT MONITORING ENABLING RESPONSES TO ANOMALOUS
LIVE DISTURBANCES
Mquina
Monitor API
Profile
(Processamento
Estatstico)
Sistema Sistema Alvo Resolver Outros
Alvo Objeto Monitores
Mquina
Assinatura Recurso
(Inferncia
Assinatura)
Monitor API
Monitor Monitor
API API
Emerald inclui numerosos monitores locais em um framework que suporta distribuio local.
Resultando em um array global de detectores que, consolidam alarmes e alertas, sem um
controlador central.
130
Monitores de domnio. Desempenham o monitoramento dentro de um domnio de servio.
So responsveis em correlacionar informaes disponveis do monitor de servio, vrias
configuraes e aes relatadas. a camada intermediria na hierarquia.
Monitores de rede. Coleo de monitores que correlacionam atividades relatadas atravs de
domnios monitorados. Permite a deteco de ameaas de rede, tais como worms e ataques
coordenados entre mltiplos domnios. a camada mais alta na hierarquia.
Para que as trs camadas de monitoramento funcionem empregada uma arquitetura para um
componente genrico de monitoramento mostrado na figura acima.
A alimentao da informao segue via audit trail, pacotes de rede, trfego SNMP e outros
meios. A arquitetura tenta se abstrair do meio no qual a informao alimentada obtida para
produzir um esquema mais geral.
No centro da arquitetura se encontra o objeto de recurso especfico do sistema alvo, que fornece
um ambiente de processamento independente. feito atravs de uma biblioteca de configurao
de dados especficos e de mtodos. Objetos de recurso so importantes, porque representam os
nicos componentes no genricos da arquitetura.
Objeto de recurso inclui os seguintes componentes:
Estrutura de eventos configurveis. Especifica os fluxos de eventos para o sistema alvo. Isto
torna o Emerald portvel para muitos fluxos diferentes, via esta especificao de entrada.
Evento coleo de mtodos. Processa a filtragem, por meio de rotinas de baixo nvel, que
manuseiam os fluxos obtidos do sistema alvo.
Configuraes de mquinas. Muitas mquinas de anlise podem ser includas no objeto
recurso. As operaes de configurao da estrutura de dados e variveis nestas mquinas so
definidas, quando necessrias, para os fluxos-alvo.
Configuraes de unidade de anlises. Os tipos de mtodos de processamento de intruso so
especificados nas mquinas de objeto recurso.
Listas de subscrio. Suporta a infra-estrutura de comunicao do Emerald. Informaes
sobre subscries incluindo endereos e chaves pblicas so encontradas nesta lista.
Mtodos de resposta. Respostas programadas para o objeto-recurso so includas para eventos
identificados.
131
A informao alimentada no sistema alvo enviada para as mquinas de anlise para
processamento. A mquina de profile desempenha deteco anmala baseada em profile
estatstico e a mquina de assinatura, que desempenha o casamento de seqncias de assinaturas
especficas as quais corresponde a ataques com atividades de sistema alvo.
O monitor API tem a habilidade de interoperar com a anlise do alvo e com outras ferramentas de
deteco de intruso. Fornece uma interface para o monitor administrador, que inicia
contramedidas de ataques, tais como terminando processos.
132
ESP Embedded Sensors Project
A idia em torno deste IDS desempenhar deteco de intruso usando pequenos sensores
embutidos em um sistema computacional, que procuram sinais de intruses especficas. Estes
sensores desempenham monitoramento do alvo por observao do comportamento do sistema
diretamente e no atravs do audit trail ou pacotes da rede. Sendo construdos dentro do cdigo
do sistema operacional e de seus programas e somente necessitando usar recursos adicionais do
sistema quando fossem executados ou disparados. Sendo assim no impondo um carregamento
extra considervel no host monitorado.
Um sensor definido como uma parte de software que monitora uma varivel especfica,
atividade ou condio de um host e suas observaes so relatadas como valores numricos e
podem ser discretas ou contnuas.
O problema de anlise de dados que vem de muitas origens diferentes no novo. assunto de
estudo no campo chamado Fuso de Dados Multisensor. A aplicao de FDM na deteco de
intruso promete criar IDS que no somente seguem certas tcnicas de anlise nos dados
coletados, mas que podem inferir conhecimento sobre seu ambiente e as ameaas que encontram.
A tcnica utilizada para anlise clustering, o pacote de software Cluster foi utilizado, ele estima
parmetros de um modelo Gaussiano, usando algoritmo EM. Ele tambm estima o nmero de
clusters, usando a estratgia baseada em Princpio de Comprimento de Descrio Mnima
Rissanen
133
Um grupo de sensores projetado para detectar intruses conhecidas pode tambm ser
usado para detectar novas intruses. Supe-se que um nmero suficientemente grande de
sensores exista e que tenham sido propriamente projetados.
Se estas hipteses so vlidas suas verificaes devem contribuir para o projeto de um mais leve,
mais distribudo e mais resistente IDS e para determinar os tipos de dados que necessitam ser
coletados para detectar certos tipos de intruses.
Uma possvel fonte de informao sobre ataques o CVE (Common Vulnerability and Exposure
Enumeration) do MITRE. Uma vez que um nmero suficiente de sensores implementado e
testado, novos ataques so feitos contra o sistema para determinar se e como os sensores
existentes reagiro a novos ataques. Uma origem de informao de novos ataques pode ser,
CERT Advisories www.cert.org/advisories/, Bugtraq e SecurityFocus database
www.securityfocus.com/.
Interpretao e anlise dos dados produzidos pelos sensores sero feitas para ajudar a mostrar a
validade da hiptese proposta, de que novos ataques podem ser detectados usando-se sensores
existentes. Espera-se detectar uma percentagem significativa de novas tentativas de ataques
contra o sistema. Mesmo que a hiptese no puder ser validada, o resultado ser til para fornecer
uma evidncia de que no existe tipo geral de dados que possam ser coletados para detectar novos
ataques e que para cada novo ataque ser necessrio o desenvolvimento de sensores
especializados para sua deteco.
Todos os sensores sero implementados na mesma plataforma, para reduzir os diferentes sensores
que tem que ser testados. Sensores sero projetados para detectar tentativas de ataque e no se os
ataques foram bem sucedidos, o ataque no precisa existir numa plataforma de implementao
atualmente, e de fato pode ser um ataque para uma plataforma completamente diferente. Neste
sentido os sistemas trabalharo como honeypots universais, porque eles sero capazes de aceitar e
monitorar ataques para diferentes plataformas.
A maioria dos IDS baseados em host que existem hoje tem sido projetada em torno de dados que
o sistema operacional torna disponvel na forma de audit trail, logs de processos de
contabilidade, etc. A idia decidir que dados coletar e os mecanismos que devem ser
implementados para colet-los. Embutir sensores apropriados dentro do SO e dentro dos
134
programas afetados, de maneira que possam monitorar qualquer atividade no sistema e obter
qualquer informao que possa contribuir para a deteco de um ataque. Embutindo os sensores
dentro do cdigo afetado fazer monitoramento do alvo. diretamente estudar as atividades do
objeto, ao invs de indiretamente atravs do audit trail, com a vantagem de reduzir o risco de um
intruso modificar a informao antes de chegar no sensor.
A arquitetura AAFID suficientemente geral para fornecer uma infra-estrutura necessria para
implementar diferentes tipos de IDS. O prottipo AAFID ser usado como plataforma de suporte
para coleta de dados necessrios para o trabalho.
O sistema operacional escolhido foi Open BSD por ter origem aberta o que facilita a
incorporao de sensores no kernel e nos programas do sistema. Sua rvore de origem
gerencivel e distribuda como uma rvore de diretrio simples, imita de perto o layout do
prprio sistema, facilitando a localizao do cdigo para diferentes programas e subsistemas. A
maioria dos problemas de segurana para os quais os sensores sero implementados j foram
fixados no Open BSD. Procurando nos patches de segurana e no log modificado de cada arquivo
pode ser mais fcil localizar as pores do cdigo onde os problemas existem. Isto ajuda a
determinar onde os sensores para cada intruso tm que ser colocados.
Os dados coletados pelos agentes do AAFID foram analisados centralmente usando-se tcnicas
de clustering e os resultados mostraram que atribuies de clustering nos dados apontaram
mudana durante o perodo que os ataques foram desempenhados contra as mquinas da rede.
135
GASSATA GENETIC ALGORITHM TOLL FOR SIMPLIFIED SECURITY
AUDIT TRAIL ANALYSIS
Host 1 Analisar
Sintaxe Eventos AG
T
r
Gerador a
d
De u
t
Log o
r
Rede
T Ataques
r
Gerador a Interface
d
De u de Rede Regras
t
Log o
r
Host 2
T
r
Gerador a
De
d Configurao
u Hosts Mdulo de Configurao
t
Log o
r
GASSATA pode detectar mais do que 200 ataques, mas exige acima de 10 minutos para fazer
isto. Seu sistema de resposta limitado a relatrios mostrados na interfase do usurio.
136
interesse, de n dimenses, onde n o nmero de ataques conhecidos. Hi definido como 1 se
representa um ataque e como 0 se no.
A funo tem duas partes. Na primeira, o risco que um ataque particular representa para o sistema
multiplicado pelo valor do vetor hiptese. O produto ento ajustado para uma funo de
penalidade quadrtica para eliminar hipteses no realsticas. Este passo melhora a discriminao
entre ataques possveis. O objetivo do processo otimizar os resultados desta anlise, assim a
probabilidade de um ataque detectado ser real, sinaliza 1 e a probabilidade de um ataque
detectado ser falso, sinaliza 0.
137
GBID Genetic Based Intrusion Detection
Mdulo Aprendizagem
Algoritmo gentico
One behavior-gene
Delay Gerador do
Prximo Comando Switch
Probabili-
Mdulo dade de
Detector intruso
comandos Mdulo
Comparador Intruso
usurio
Figura : Modelo de deteco de intruso baseado em algoritmo gentico.
IDS baseado em comportamento, observa anomalia no uso de comandos por usurios individuais.
O comportamento do usurio aprendido continuamente para capturar desvio que resulte em um
nmero menor de alarmes falsos na deteco de intruso. Todo mundo exibe regularidades em
suas vidas dirias. Usurios de sistemas computacionais respondem a uma situao de uma
maneira similar, quando a mesma situao ocorre, mostrando regularidades, que podem ser
usadas para classificao de usurios no ambiente interativo. Algoritmos genticos so usados
para aprendizagem do comportamento do usurio num sistema computacional, por sua robustez e
adaptabilidade a mudanas no ambiente. So algoritmos de busca baseados em mecanismos de
seleo natural e gentica natural. Os genes so a unidade atmica que representa propriedades
no ambiente, sofrem um processo de evoluo que pode ser usado com uma tcnica heurstica
para resolver vrios problemas em diferentes ambientes. No processo de aprendizagem do
comportamento, o primeiro passo a codificao, vrios comandos do usurio so mapeados na
forma de gene, num processo de evoluo natural. Alfabetos (smbolos nicos) so atribudos
para cada comando usado na sesso do usurio. Comandos da sesso do usurio so divididos
dentro de string de alfabetos de tamanho n, chamado behavior-gene. Usou-se 4353 alfabetos para
138
representar todos os possveis comandos no desenvolvimento de behavior-gene. A populao
aleatria de behavior-genes gerada a partir de alfabetos vistos assim distantes.
A funo fitness calculada por uma coleo de behavior-genes. Behavior-genes com a mais alta
aptido na gerao corrente so propagados para a prxima gerao para obter o behavior-gene
mais apto, sua determinao apropriada importante para melhorar a exatido na predio. O
processo de evoluo mostrado na figura 1(inserir figura). Um parmetro que interfere na
funo fitness o ndice de entropia no comportamento do usurio. Quando o usurio exibe
mudana freqente no comportamento resulta em grande valor de entropia e indica que o
prximo comportamento do usurio no pode ser predito com exatido e vice-versa.
POPULAO RANDMICA DE
BEHAVIOR-GENES
Prxima
gerao
REPRODUO
CROSSOVER
MUTATION
Behavior-gene
ajustado
FUNO
FITNESS
No ajustado
139
Crossover: Duas diferentes partes de behavior-gene na gerao corrente so concatenadas
para formar novos behavior-genes. Baseados no nmero de pontos da concatenao, a
operao chamada single-point crossover ou mult-point crossover;
Mutation: Alguns dos smbolos no behavior-genes so trocados aleatoriamente para que
evolua um novo behavior-gene. Este processo aplicado quando operaes de crossover
no esto gerando suficientes behavior-genes novos.
140
Gerador do prximo comando gera os prximos comandos do usurio que ocorrem a partir do
behavior-gene predito.
O mdulo comparador calcula o valor do 3-tuple a partir dos comandos ocorridos realmente e
comandos preditos. O valor do 3-tuple do comportamento normal esperado comparado com o
valor do 3-tuple calculado para calcular o desvio no comportamento do usurio. Um switch
usado para controlar o feed back para o mdulo de aprendizagem. Quando o nmero de alarmes
falsos alto, o switch fechado para adaptar a mudana no comportamento do usurio.
O tamanho do perodo inicial de observao determina o perodo durante o qual o GBID aprende
o comportamento do usurio, antes de comear a deteco de intruso. A predio dos prximos
141
comandos do usurio ocorrerem baseada nos comandos prximos passados do usurio. Se mais
nmeros de novos comandos no vistos ocorrem ento a exatido da predio do modelo de
aprendizagem decresce. A predio pode ser comeada quando o nmero de novos comandos, no
conjunto de comandos do usurio, torna-se constante para alcanar grande exatido na deteco
de intruso. Por observao, no modelo, a deteco de intruso pode ser comeada depois dos
iniciais 500 comandos ocorridos, para se obter a mxima exatido na predio.
142
Hyperview
143
IDA Intrusion Detection Agent system
O mtodo trabalha usando marcas deixadas por intrusos suspeitos (MLSIs Marks Left by
Suspected Intruders). Recuperao da informao e pistas das rotas de intruso so feitas pelo
uso de agentes mveis. Como intrusos podem atacar fora de seu host base, a proposta seguir a
pista de origem de uma intruso.
A prxima funo detectar ataques remotos, seguir a pista de intruses na internet, e estender a
aplicabilidade do sistema para redes de grande escala.
IDA trabalha observando eventos que possam relacionar com intruses, ao invs de analisar todas
as atividades dos usurios. Se uma marca suspeita achada, a informao colhida, analisada e
decide se ocorreu a intruso ou no. Por exemplo, ele monitora se arquivos crticos relacionados
com a segurana do sistema foram modificados. No entanto, usurios legtimos tambm podem
fazer alteraes nos arquivos e o sistema no pode somente se basear na modificao de arquivos,
para uma intruso ter ocorrido. Assim IDA colhe mais informaes relacionadas a modificaes
no arquivo, antes de decidir se a intruso ocorreu.
144
8. O agente que segue a pista move para o prximo sistema alvo, na rota traada e ativa um
novo agente de coleta de informao;
9. Se o agente que segue a pista chega na origem da rota ou no pode mover para lugar
nenhum. Ou se outros agentes que seguem a pista perseguiram a rota, ele retorna para o
gerente.
Existe um MB em cada sistema alvo, usado por agentes que segue a pista para troca de
informaes. Qualquer agente que segue a pista pode conhecer se uma pista sob sua investigao
j tem sido traada por outro agente e pode usar esta informao e decidir aonde ir. O BB est na
145
mquina gerente e usado para gravar informaes colhidas dos sistemas alvo pelos agentes de
coleta, tambm para integrar a informao colhida sobre toda rota traada.
Gerente Alvo C
Sensor MB
BB
IA
IA
Log
LAN
Alvo A Alvo B
TA
Sensor TA Sensor
IA
Log MB Log MB
TA
146
IDES - INTRUSION DETECTION EXPERT SYSTEM
Anomalias IDES
Processamento
Alarme
Gravadas
Inicialmente foi projetado como simples sistema baseado em regras, usando cenrios de intruso
descritos por um conjunto de regras. O componente baseado em regras foi baseado no mesmo
Production-Based Expert System Toolset (P-BEST) que MIDAS28 usou. Embora este sistema
baseado em regras seja til, apresenta obstculos como a falta de suporte para o desenvolvimento
de cenrios de intruso. difcil se determinar a relao entre as regras.
Para superar esta dificuldade, o conceito de deteco de intruso baseado em modelo foi
desenvolvido conjuntamente. Cada cenrio de intruso foi separadamente modelado. Assim, o
nmero de regras necessrias para mudanas de um tamanho mais manejvel. Esta abordagem
organiza as regras para o cenrio de intruso, sendo que somente as regras usadas para checar os
passos iniciais da intruso so disparadas, enquanto as outras continuam dormentes. Quando o
cenrio de intruso se inicia, regras adicionais para deteco de passos subseqentes de intruso
podem ser acrescentadas ao conjunto de regras que devem ser avaliadas. Na abordagem baseada
em regras, nenhuma das regras permanece dormente. Todas so constantemente avaliadas.
Abordagem baseada em modelo ganha em eficincia e manuteno.
28
Multics Intrusion Detection and Alerting System, desenvolvido pela National Computer Security Center
(NCSC), disponibilizado em 1989 [Bace, 2000].
147
Informaes do audit trail so coletadas para um log protegido, sendo possvel estatsticas
baseadas em profile. Outros tipos de anlise tambm o so usando-se tcnicas e ferramentas off-
line.
No caso do usurio ser novo, ainda no conhecido pelo sistema, IDES usa um profile default para
dar incio ao monitoramento daquele usurio.
Gravaes de auditoria so includas para modelar as estruturas de dados usadas para capturar o
comportamento observado no sistema. A segurana do sistema operacional envolve o uso de
audit trail, que so compostos de seqncia de audit records. Cada gravao pretende contribuir
para a viso temporal do sistema ou atividade do usurio no ambiente alvo.
As gravaes de anomalia so includas para modelar as estruturas de dados usadas para capturar
decises de programas baseadas na anlise de intruses.
29
30 dias
148
IDIOT
Mquina
de estado
padro
... Mquina
de estado
padro
Mquina
de estado
Mquina e padro
de estado e
e
padro
C2_Server e
Eventos auditados na
forma cannica - e
showaudit.pl
Eventos auditados
Audit trail
um sistema que o princpio bsico empregar redes de Petri coloridas -RPC, para deteco de
intruso baseada em conhecimento. A abordagem em camadas sugerida quando tcnicas
baseadas em assinaturas so aplicadas ao problema de DI. uma tcnica que permite o
casamento condicional de padres e se prestam a uma representao grfica. Os padres
desempenham um papel principal e so escritos em uma linguagem textual simples e ento
analisados, resultando em uma nova mquina de casamento de padro. Esta nova mquina pode
ser dinamicamente acrescentada a uma instncia j rodando do IDIOT, via a interface do usurio.
Alm disso, o usurio pode estender o IDIOT a reconhecer novos eventos auditados.
149
Showaudit.pl um script perl que converte o audit trail, por exemplo Sun BSM para o
formato cannico necessrio ao IDIOT. Se o IDIOT for utilizado em outra plataforma,
este componente deve ser reescrito, para o novo formato do audit trail.
C2_Server. o centro do sistema, consiste de uma classe C++ com muitos mtodos
associados a ela.
Padres descritivos. So escritos numa linguagem que descreve um mtodo conhecido de
ataque como um conjunto de estados e transies entre eles. Devem ser traduzidos para
C++, compilados e ligados ao objeto C2_Server.
150
LISYS Lightweight intrusion detection System
Datapath triple
(20.20.20.5, 31.14.21.37, smtp) = 1110111...11
N detector
Computador IP: 31.14.21.37
interno Port: 1700
Nvel Con-
sensibi- junto
Brodcast lidade detec-
LAN tor
Parme-
tros
repre-
sentao
0001010010011100011101110......................................01110
state Flag ativado ltima ativao N casamentos
151
padres de uso. Depois de construda, a base de dados utilizada para monitorar o
comportamento do programa relacionado. As seqncias de chamadas ao sistema da base de
dados formam o conjunto de padres normais do processo, e as seqncias no encontradas na
base de dados indicam anomalias no comportamento do processo. O mtodo proposto apresenta
dois estgios. No primeiro estgio, so extrados traos de comportamento normal dos processos
e construdas as bases de dados. No segundo estgio, as seqncias de chamadas ao sistema
executadas pelos processos so comparadas com os padres armazenados em suas bases de
dados. Se uma seqncia no encontrada na base de dados do processo, reportado um
mismatch, representando uma possvel invaso. Testes foram feitos com programas como,
sendmail e lpr.
Eles tambm apresentam um sistema imunolgico artificial, que detecta conexes TCP no
usuais com a rede protegida pelo sistema. A definio de self feita em termos de conexes TCP,
determinadas pelos endereos IP de origem e destino, e pela porta TCP de servio. Cada conexo
representada por uma string de 49 bits, sendo que o self o conjunto das conexes que
normalmente so observadas na rede. O sistema apresenta um nico tipo de detector, que
combina propriedades de vrias clulas do sistema imunolgico, podendo assumir diferentes
estados. Cada detector representado por uma string de 49 bits e um conjunto de estados.
A tcnica descrita tenta descobrir novas intruses, mas o sucesso somente tem sido em escala
experimental. O uso de uma analogia imunolgica , em princpio, muita poderosa.
152
MIDAS
construdo ao redor da idia de heursticas de DI, onde o AS analisa seus logs de auditoria
manualmente a procura de evidncia de comportamento intrusivo. MIDAS aplica um conjunto de
ferramentas de SE baseado em produo para DI. Este conjunto de ferramentas, P-BESTs
escrito em Lisp e produz um cdigo que pode ser compilado e rodar em uma mquina Lisp
simblica dedicada. A compilao do cdigo do SE dentro do cdigo do objeto fornece uma
execuo eficiente do Shell do SE.
A base de regas feita em trs categorias distintas e sua estrutura de duas camadas enfileiradas.
A primeira camada mais baixa deduz imediatamente certos tipos de eventos como nmero de
logins ruins e afirma se uma entrada particular suspeita foi alcanada, quando os eventos
dispararam. Estas suspeitas so ento processadas pelas regras da segunda camada, que decide se
dispara um alarme baseado nos fatos suspeitos afirmados pelas regras da camada mais abaixo.
Por exemplo: este usurio um intruso porque digitou 40 comandos errados nesta sesso, tentou
comando invlido suid e login em horrio no usual. Considerados em conjunto, uma forte
indicao de que alguma coisa foi confirmada pelas regas do segundo nvel.
153
NFR NETWORK FLIGHT RECORDER
Mquina Backend
Deciso
Sistema Sugador
Backend
Alvo Pacotes Filtro 1 Queries
G
U
Filtro 2 Backend I
...
Gerente Alerta
No uma ferramenta de deteco de intruso baseada em rede [Bace, 2000], mas um monitor de
rede genrico com APIs para suportar o acrscimo de analisadores de intruso. , essencialmente,
um kit de ferramentas para construo de analisadores de trfego, com abordagem de deteco
baseada em conhecimento que usa assinaturas. E gravao de eventos estatsticos, com
abordagem de deteco baseada em comportamento que usa profile de comportamento normal.
A configurao geral do sistema NFR em alto nvel esquematizada na figura acima. Alguns
aspectos arquiteturais e de segurana incluem:
Os sugadores de pacotes, que operam para capturar30 o trfego de rede e encaminhar
cpias dos pacotes para mquinas de deciso. A questo como armazenar grandes
volumes de dados usando dispositivos de drivers. A idia proporcionar facilidades de
captura de pacotes baseadas em dispositivos de hardware. O casamento de um software
flexvel NFR e uma rpida captura de pacotes baseados em hardware algo benfico para
a rea de deteco de intruso.
30
NFR usa uma verso modificada do libpcap para promiscuamente e passivamente extrair parte principal
de pacotes da rede.
154
A mquina de deciso baseada numa coleo de filtros escritos numa linguagem de
programao especial chamada N31, onde so compilados e interpretados. Casamento de
padro desempenhado para permitir que os pacotes sejam reagrupados. Todos os filtros
so aplicados nos pacotes.
A extrao de dados dos filtros, depois da operao de filtragem, feita atravs de uma
primitiva alert, que passa os alarmes para um sistema designado para gerenciamento de
alarmes e, de uma primitiva Record, que passa a estrutura do dado para o backend 32para
desempenhar o processamento de intruso. Esta modularidade til, pois permite o uso de
rotinas terceirizadas para desempenhar o gerenciamento de alarmes ou a gravao.
31
Marcus Ranum alega ter evoludo de uma linguagem chamada UberMUD
32
Um grupo de assinaturas que juntas podem detectar mltiplos ataques.
155
A natureza on-the-fly do NFR para deteco baseada em comportamento complementada pelo
seu backend, que pode ser mais bem entendido como um mtodo de processamento de audit trail
off-line.
NFR mais flexvel e completo que o Snort33. Foi o primeiro produto que preocupou em vencer
os ataques contra o prprio IDS em redes.
Tanto o NFR quanto o Snort operam com uma poltica de assinaturas fonte aberta.
33
Descrito neste captulo.
156
NIDES - NEXT GENERATION INTRUSION DETECTION EXPERT SYSTEM
Formato Dados
Auditados Nides Formato Dados
Auditados Nides
Arpool
Formato Dados Formato Dados
Auditados Nides Auditados Nides
Anlise Anlise
Baseada em
Estatsti Regra
ca
Resolver
Resultado Anlise Resultado Anlise
Estatstica Baseada Regras
Anlise Resultados
Resolver
Interface Usurio
O desenvolvimento do NIDES se deu graas ao bem documentado IDES, pois foi importante para
dar continuidade pesquisa sobre sistemas de deteco de intruso. A mesma funcionalidade foi
34
Utilizado no SDI MIDAS, como no IDES.
157
mantida do IDES, mas a arquitetura foi alterada. NIDES modular, com interfaces bem definidas
entre os componentes. E construdo numa arquitetura cliente-servidor.
Tem anlise centralizada num host especfico, chamado NIDES host, que coleta dados de vrios
hosts na rede. Estes hosts-alvo coletam os dados auditados, de vrios logs baseados em host35,
logs de trfego de rede baseado em host. O componente Agen converte os dados auditados. O
processo Agend responsvel por parar e iniciar o agen quando instrudo pela interface do
usurio36.
O processo Arpool, no NIDES host, coleta os dados auditados que vieram do agend e os fornece
para os componentes de anlise estatstica e de anlise baseada em regra37 sob demanda.
So, na verdade, quatro sistemas diferentes. Cada um construdo no topo do seu antecessor:
O componente Resolver responsvel por avaliar e agir sobre os dados recebidos dos
mdulos de anlise agreg-los e fazer uma deciso composta.
O componente Archiver responsvel em armazenar gravaes de auditoria e resultados
de anlise e alertas.
O componente de anlise Batch permite ao SSO experimentar novas configuraes a
partir de dados auditados conhecidos, em paralelo, rodando o NIDES em produo.
A interface do usurio, no NIDES host, responsvel por comunicar violaes de
segurana suspeitas para o SSO, bem como o status geral de processamento. Somente
uma instncia da interface pode ser ativada de cada vez.
35
Existe uma previso de utilizar TCP WRAPPER.
36
implementado usando RPC.
37
Baseada em assinatura.
158
O componente de anlise estatstica armazena informaes sobre arquivos e diretrios
acessados numa lista. Como esta lista cresce muito e para aliviar este problema, o
algoritmo de anlise foi alterado. O processamento de gravao de auditoria foi movido
para um estgio de gerao de profile.
Uma caracterstica foi acrescentada para dar, ao usurio, a chance de ter os profiles
atualizados em tempo real.
Um cache para profile de configurao de usurio foi adicionado, para aumentar a
velocidade de processamento, no mdulo baseado em comportamento.
38
De 21 para 39 regras.
39
Anteriormente escrito em C, limitado e difcil de portar.
159
NSM Network Security Monitor
Foi o primeiro sistema a usar trfego de rede diretamente como origem de dados de auditoria. Ele
escuta passivamente todo o trfego de rede que passa atravs de uma LAN broadcast a procura de
comportamento intrusivo a partir desta entrada. O NSM pode monitorar uma rede de hosts
heterogneos sem ter de converter os formatos de audit trail para uma forma cannica.
Ele segue uma abordagem em camadas. A camada de conexo responsvel por estudar os dados
da rede e tentar formar pares de canais de comunicao bi-direcional entre conjunto de hosts.
Estas conexes so condensadas em um vetor conexo, podando para fora alguns dos dados
vindos das camadas mais baixas. No sistema descrito, somente os vetores host e os vetores
conexo so usados como entrada para um SE simples, que analisa os dados a procura de
comportamento intrusivo. Estes profiles consistem de caminhos de dados esperados que
descrevem que sistema esperado comunicar com qual, usando quais protocolos. Outro tipo de
profile construdo para cada tipo de protocolo de alto nvel, por exemplo, o que uma sesso
telnet normal parece. Outras entradas so conhecidas pelas vrias capacidades dos protocolos e de
como eles autenticam seus pedidos. Por exemplo, telnet um protocolo poderoso que permite o
usurio desempenhar uma variedade de tarefas e autentica seus pedidos. Enquanto o sendmail
pede identificao, mas no autentica esta identificao. O dado destas origens combinado para
tomar uma deciso sobre a probabilidade que uma conexo particular representa comportamento
intrusivo, baseado em reaes anmalas. Isto combinado dentro de um conceito de estado de
segurana da conexo.
160
SNORT LIGHTWEIGHT INTRUSION DETECTION FOR NETWORK
Snort um IDS baseado em rede, com abordagem em deteco baseada em conhecimento. leve
e pode monitorar pequenas redes TCP/IP. Detecta uma grande variedade de trfego de rede
suspeito e ataques. Snort direciona sua arquitetura na simplicidade, no desempenho e na
flexibilidade.
Snort, comparado ao tcpdump, est mais voltado para a inspeo dos dados do pacote e tem a
vantagem de mostrar a sada de uma maneira mais amigvel.
Snort pode utilizar um conjunto de regras flexveis para desempenhar funes adicionais, tal
como procurar e gravar somente aqueles pacotes que tenham seus flags TCP sinalizados num
modo particular, ou contendo pedidos da web com provas de vulnerabilidades CGI.
161
na definio da regra disparada, assim que a primeira regra atenda o casamento de
padro na mquina de deteco e retorna.
logging and alerting subsystem. selecionado na linha de comando, quando em
funcionamento. Existem trs (3) opes de logging e cinco (5) de alerta. As opes de
logging podem ser colocadas nos pacotes de log no seu decode, formato de leitura
humana para uma estrutura de diretrio baseado em IP, ou em formato binrio tcpdump
num arquivo de log simples. O formato decodificado de logging permite anlise rpida
dos dados coletados pelo sistema. O formato tcpdump mais rpido para gravar no disco
e deve ser usado em instncias onde alto desempenho exigido. Logging pode ser
desligado completamente, deixando as alertas habilitadas para maior desempenho. Alertas
podem ser enviadas para syslog, colocadas num arquivo texto de alerta em dois formatos
diferentes. As alertas do syslog so enviadas como mensagens segura/autorizao que so
facilmente monitoradas com ferramentas tais como Swatch40. Existem duas opes para
enviar as alertas para um arquivo texto plano, alerta completa e rpida. A primeira escreve
a mensagem alerta e a informao do cabealho do pacote atravs da camada de
transporte. A segunda opo escreve um subconjunto condensado da informao do
cabealho para o arquivo alerta, permitindo maior desempenho do que no modo completo.
Existe uma quinta opo para desabilitar completamente as alertas, que til quando as
alertas so desnecessrias ou inapropriadas, tais quando testes de penetrao na rede esto
sendo desempenhados.
Estes subsistemas ficam no topo da biblioteca libpcap de sniffing de pacotes em modo promscuo,
que fornece um sniffing de pacotes portvel e capacidade de filtragem. Configurao do
programa, anlise de regras e gerao de estrutura de dados tomam lugar antes da seo de
sniffing ser inicializada, conservando a quantidade de processamento por pacote a um mnimo
requerido para alcanar a funcionalidade do programa base.
Snort bem empregado na segurana da rede, quando um novo ataque aparece e a ferramenta
instalada no liberou a nova assinatura de reconhecimento de ataque.
40
Esta ferramenta est disponvel em ftp://coast.cs.purdue.edu/tools/unix/chrootuid.
162
trfego de rede suspeito. Existem trs aes bsicas diretivas que o Snort pode usar quando um
pacote casa com uma regra de padro especfico:
passar as regras, simplesmente pulando os pacotes.
colocar as regras em log, escrevendo todo o pacote para uma rotina de logs que tenha sido
selecionada pelo usurio no run-time.
regras de alertas que geram uma notificao de evento usando um mtodo especificado pelo
usurio na linha de comando e ento colocar em log o pacote todo, usando mecanismo de log
para permitir anlise futura.
O mtodo geral para desenvolvimento consiste de obter o exploit de interesse, tal como um novo
buffer overflow, rodar o exploit em uma rede teste com o Snort gravando todos o trfego entre o
alvo e o host atacado e ento analisar os dados para uma assinatura nica e condensar esta
assinatura em uma regra.
Snort tem capacidade de alerta em tempo real, sendo enviada para o syslog. Pode prover
administradores com dados suficientes para tomar deciso das aes em face das atividades
suspeitas.
163
W&S Wisdom & Sense
o nico na sua abordagem para deteco de intruso baseada em comportamento, ele estuda o
histrico de dados auditados para produzir vrias regras que descrevem o comportamento normal,
formando o Wisdom. Estas regras so ento alimentadas para um Sistema Especialista que
avalia dados auditados recentes, por violaes das regras e alerta o administrador de sistemas,
quando as regras indicam desvio de comportamento, formando o sense. W&S l as gravaes
de auditoria histricas a partir de um arquivo. O elemento sense l gravaes de auditoria,
avalia contra uma base de regras e dispara um alarme se o nmero suficientemente de regras
relatam uma discrepncia bastante alta com o profile. Ele relata uma anomalia se a contagem
excede um operador entrada pr-definido. O elemento sense ento l a base de regra, dicionrio e
novas gravaes de auditoria, tanto em batch ou na medida que se tornam disponveis. A mquina
de inferncia processa cada gravao de auditoria, achando as regras que aplicam e computa suas
transaes. Fazendo isto a mquina de inferncia basicamente computa todas as contribuies a
partir das diferentes regras falhas, tendo em mente que se procura por anomalias, e as regras que
descrevem comportamento normal fazem parte das gravaes de auditoria.
164
Apndice B
IU S
M o s t ra r()
A t i va r M o n i t o r ( )
D e s a t i va r M o n i t o r ( )
M o n it o r
C a ix a d e N om e SGBD
H ost
In s e r ir () In s e r i r D a d o ( )
B u s c a r()
D e l e t a r( ) M o d i fic a r D a d o ( )
A t i va r ( )
E n v ia r () A p a g a rD a d o ( )
D e s a t i va r ( )
M o d i fi c a r () V i s u a l i z a rD a d o ( )
In i c i a r ( )
V i s u a l iz a r( ) E n vi a r D a d o ( )
F in a liz a r()
In fe r i r ( )
C o rre la c io n a r()
E x e c u t a r()
F e rra m e n t a T ra n s c e p t o r
No m e Nom e
N o m eA g en t e Host
r e a A tu a o F e rra m e n t a
S t a tu s = o n o u o ff P l a t a fo r m a
L e r()
A va l i a r ( )
F o rn e c e r()
M a n d a rE x e c u t a r()
A t i va r A g e n t e ( ) A g e n te
D e s a t i va r A g e n t e ( ) N o m e A g e n te
F e rra m e n t a
H ost
P l a t a fo r m a
C o le t a r()
A rm a z e r()
R e a liz a r()
S is t e m a
165