UNIVERSIDADE FEDERAL DE PERNAMBUCO

CENTRO DE INFORMTICA

PS-GRADUAO EM CINCIA DA COMPUTAO

Ana Maria Gomes do Valle

ANLISE CRTICA E COMPARATIVA DE TAXONOMIAS DE

SISTEMAS DE DETECO DE INTRUSO

ESTE TRABALHO FOI APRESENTADO A PS-GRADUAO EM

CINCIA DA COMPUTAO DO CENTRO DE INFORMTICA DA
UNIVERSIDADE FEDERAL DE PERNAMBUCO COMO REQUISITO
PARCIAL PARA OBTENO DO GRAU DE MESTRE EM CINCIA DA
COMPUTAO.

ORIENTADOR: FABIO QUEDA BUENO DA SILVA, PhD.

RECIFE, OUTUBRO/2002
Resumo

Segurana um problema muitas vezes presente nas redes de computadores. Existem diversos
mecanismos para abord-la, dentre eles, firewalls, anlise de vulnerabilidades, criptografia,
certificados digitais, VPNs (Virtual Private Network), deteco de intruso e, at, uma poltica de
segurana bem planejada e aplicada. Todos so utilizados de forma que haja uma chance elevada
de se evitar maiores comprometimentos.

Os riscos crescentes de ataques a sistemas computacionais advindos do aumento das atividades

no autorizadas, no somente de atacantes externos, mas tambm de internos (como no caso de
empregados descontentes e usurios abusando de seus privilgios), mostra a importncia dos
Sistemas de Deteco de Intruso (IDS) no aumento da segurana dos sistemas computacionais.

O grande nmero de IDS desenvolvidos e disponibilizados atualmente, tanto comercialmente,

quanto para pesquisa, bem como as muitas questes que envolvem os mesmos, trazem consigo
problemas e restries que precisam ser identificados para possveis melhoramentos.

A rea de deteco de intruso muito dinmica, em constante atualizao e, com o surgimento

de novos IDS, sempre em busca do aprimoramento. Diante disto, proposta uma taxonomia dos
IDS em relao s caractersticas mais destacadas encontradas nos 3 (trs) mdulos principais de
um IDS: coleta de dados, anlise e componente de resposta. Tambm elaborado um survey de
diversos IDS, escolhidos pela diversidade de seus mecanismos. Em face deste estudo foi possvel
propor um modelo de um IDS, derivado de um modelo conceitual j validado por aplicao na
rea de Administrao de Sistemas.

ii
Abstract

Security is often a problem present in computer networks. Diverse mechanisms exist to approach
it. Amongst them, firewalls, analysis of vulnerabilities, cryptography, digital certificates, VPN
(Virtual Private Network), intrusion detection and a well planned and applied security policy. All
have a high possibility of preventing a greater compromise.

The increasing risks of attacks in computational systems, due to the increase in non authorized
activities, not only by external intruders, but also by insiders (as in the case of users abusing its
privileges), show the importance of Intrusion Detection Systems (IDS) in the improvement of
computational systems security.

The great number of commercial IDS developed and available currently, as well as the many
questions that involve them, brings with its problems and restrictions that they need to be
identified for possible improvements.

The area of intrusion detention is very dynamic, in constant update and, with the development of
new IDS, always in search of improvement. Ahead of this, a taxonomy of the IDS is proposal, in
relation to the more detached features in the 3 (three) main modules of a IDS: data collect,
analysis and response component. Also elaborate a survey of diverse IDS, chosen for the
diversity of its mechanisms. In face of this study it was possible to consider a model of a IDS,
derived from a conceptual model already validated by application in the area of System
Administration.

iii
Sumrio

1 INTRODUO 9

1.1 SEGURANA COMPUTACIONAL 10

1.2 ESTADO DA ARTE 12
1.3 MOTIVAO E OBJETIVO 15
1.3.1 MOTIVAO 15
1.3.2 OBJETIVO 16
1.4 METODOLOGIA 17
1.5 ORGANIZAO 19

2 PRINCPIOS DA DETECO DE INTRUSO 20

2.1 INTRODUO 20
2.2 DIFERENA ENTRE FERRAMENTA DE SEGURANA E SISTEMA DE DETECO DE INTRUSO 21
2.3 MODUS OPERANDI DA DETECO DE INTRUSO 22
2.3.1 COLETA DE DADOS 23
2.3.2 ANLISE DE DADOS 25
2.3.3 MECANISMO DE RESPOSTA 36
2.4 QUAL A FINALIDADE DA ID 36
2.5 PRINCIPAIS TIPOS DE ATAQUES 37
2.6 VANTAGENS NO EMPREGO DE MECANISMOS DE DETECO DE INTRUSO 38
2.7 LIMITAES NO EMPREGO DE MECANISMOS DE DETECO DE INTRUSO 39
2.8 INFLUNCIA DA ARQUITETURA EM IDS 40
2.9 CONCLUSO 42

3 TAXONOMIAS 43

3.1 TAXONOMIA DE DEBAR 43

3.2 TAXONOMIA DE AXELSSON 47
3.3 PROPOSTA DE UMA NOVA TAXONOMIA 54
3.3.1 COLETA DE DADOS 57
3.3.2 ANLISE DE DADOS 59
3.3.3 MECANISMO DE RESPOSTA 62
3.3.4 ARQUITETURA DE UM IDS 63
3.4 COMPARAO DAS TAXONOMIAS 68
3.5 CONCLUSO 71

4 UMA PROPOSTA DE UM MODELO DE IDS 74

iv
4.1 MODELO CONCEITUAL 75
4.1.1 DIAGRAMA DE FLUXO DE DADOS 77
4.2 USO DE AGENTES INTELIGENTES EM IDS 81
4.3 ARQUITETURA DO IDS 83
4.4 O QUE SE ESPERA DESTE MODELO 87
4.5 ANLISE DO MODELO PROPOSTO NUMA ORGANIZAO 89
4.6 CONCLUSO 92

5 CONSIDERAES FINAIS 95

5.1 A DETECO DE INTRUSO 95

5.2 CONTRIBUIES 96
5.3 TRABALHOS FUTUROS 97

REFERNCIAS BIBLIOGRFICAS 99

APNDICE A 108

APNDICE B 165

v
ndice de Figuras

Figura 1 Modelo em camadas de segurana ___________________________________ 9

Figura 2 Componentes funcionais clssicos de um IDS __________________________22
Figura 3 Representao dos critrios e das caractersticas da taxonomia de Debar______44
Figura 4 Classificao dos 20 IDS, segundo Debar _____________________________45
Figura 5 - Classificao da anlise, dos 20 IDS, segundo Axelsson __________________49
Figura 6 Representao dos critrios e caractersticas da taxonomia de Axelsson_______51
Figura 7 Classificao em relao a outros critrios, dos 20 IDS, segundo Axelsson ___52
Figura 8 - Critrios da nova taxonomia proposta _________________________________56
Figura 9 - rvore representativa dos processos de aprendizagem usados na taxonomia____59
Figura 10- Tabela representativa dos critrios e caractersticas da taxonomia proposta____64
Figura 11Classificao dos 20 IDS, segundo a nova taxonomia proposta _____________65
Figura 12- Comparao dos critrios da taxonomia proposta com as usuais _____________67
Figura 13 - Comparao das caractersticas das 3 (trs) taxonomias ___________________68
Figura 14 Viso global das caractersticas dos trs componentes de um IDS ___________69
Figura 15 - Abrangncia das caractersticas na nova taxonomia de Debar ______________69
Figura 16 - Abrangncia das caractersticas na nova taxonomia de Axelsson ___________70
Figura 17 - Abrangncia das caractersticas na nova taxonomia proposta ______________70
Figura 18 Modelo de um IDS_______________________________________________74
Figura 19 Diagrama de Fluxo de Dados_______________________________________77
Figura 20 Arquitetura do IDS _______________________________________________85
Figura 21 Localizao de mecanismos de segurana numa organizao ______________89

vi
Dedico este trabalho:
a voc, Csar, meu eterno namorado;
a voc Felipe, meu heri;
a voc Patrcia, minha melhor amiga.
Amo vocs mais que tudo nesta vida.

vii
 Agradecimentos
Foi uma caminhada que, confesso, no foi fcil... Mas como meu orientador disse, em uma das
muitas reunies, existem coisas na vida que no so to fceis. Talvez por isso eu tenha dado
tanta importncia a esta vitria. E no consegui sozinha. Tambm envolveu pessoas sem as quais
no teria obtido sucesso. A elas minha eterna gratido:
A Deus, que sempre esteve ao meu lado;
minha me, referncia de fortaleza, perseverana, exemplo de honestidade, respeito, dedicao,
fonte de carinho, amparo, afeto, devoo e amor incondicional, obrigada por ter nascido;
Ao meu marido, amante e amigo, que soube esperar e me amar tanto. Obrigada pelas inmeras
correes no meu trabalho, principalmente aquelas dicas em telefonemas interurbanos;
Ao meu lindo filho Felipe, que h quatorze anos me d lies de vida;
minha meiga e carinhosa filha Patrcia, amiga e confidente, obrigada meu Deus, por ela ter
nascido e ser to nica para mim;
Ao meu orientador Fabio, pela compreenso das minhas dificuldades e confiana depositada em
mim;
Ao Evandro, pelas muitas horas que deixou sua famlia e trabalho para esclarecer minhas
dvidas, bem como a toda a equipe da Tempest Security Technologies;
Ao Claudino, por me escutar nos bate-papos dirios e sempre ter uma palavra de conforto;
minha querida irm Bia, por ter me recebido em sua casa e nunca perguntado quando meu
mestrado ia terminar;
Aos meus irmos, Paola e Totonho, e tambm querida tia Niza, que, mesmo distantes,
apoiaram-me tanto e no deixaram que eu desanimasse;
Aos meus sogros, Leonor e Ceclio, por sempre me fazerem acreditar que eu conseguiria;
Aos meus professores, aos meus colegas da turma 98, ao pessoal da Administrao de Sistemas
e ao de Suporte (Tepedino, Ndia e Fernando) e s funcionrias, Neide e Lilia, sempre to
solcitas. Vocs fazem nosso Centro de Excelncia;
Aos meus colegas do Ncleo de Informtica do IBAMA, Maurcio, Wilson, Barbosa e Eduardo,
que souberam compreender minha ausncia ao trabalho e queles que me deram a oportunidade
do meu aperfeioamento.
Ao Gen Mello e Gabriela e, tambm, ao Gen Seixas e Vera por lutarem para que me fosse
possvel concretizar um sonho. queles muitos amigos da 11 Cia E Bld, por me receberem na
minha nova famlia e acreditarem no meu sucesso. Vocs so pessoas muito especiais.

viii
Captulo 1

Introduo

Esta dissertao de mestrado trata de uma nova taxonomia de Sistemas de Deteco de

Intruso (IDS). A construo desta taxonomia se baseou, como ser visto, nas
taxonomias de [Debar, 1999] e [Axelsson, 2000] e envolveu, tambm, a construo de
um survey de IDS, que pode ser visto como um mtodo de pesquisa com a finalidade de
descrio dos sistemas diante de suas caractersticas principais, definidas nesta nova
taxonomia apresentada. Este estudo nos leva a uma comparao crtica das taxonomias
de IDS, identificando problemas e restries. Diante deste trabalho foi possvel, ainda,
propor um modelo de um IDS que contempla uma nova abordagem.

Este captulo ir descrever os conceitos de segurana computacional, apresentar o

estado da arte em taxonomias e survey de IDS, a motivao, os objetivos e a
metodologia utilizada nesta dissertao.

9
1.1 Segurana Computacional

Segundo [Geus, 1999], h uma forte tendncia de que a segurana de um sistema seja
vista como sendo um modelo em camadas, que se inicia pela segurana fsica do
mesmo, pois, em muitos casos, por mais seguro que seja um sistema, um acesso
indevido ao console, ao hardware ou mesmo ao meio fsico pode comprometer todo ele.
Logo aps o nvel citado, vem a segurana do kernel do sistema operacional, pois este
que responde pelas principais funes do sistema. Em seguida, temos os protocolos de
comunicao, onde so muitas as fragilidades conhecidas. No mesmo nvel temos o
sistema de arquivos, que responde pelo acesso e os direitos de acesso que os usurios
tm sobre os arquivos, e, tambm, os sistemas de autenticao, que tm como
finalidade, confirmar se o usurio quem ele diz ser. Em um nvel superior esto os
servios oferecidos por este sistema, como DNS, NIS, NFS, HTTP, SSH, SMTP e outros.
Finalmente, encontram-se as aplicaes do usurio, onde diversos problemas podem
acontecer, como por exemplo, levando a exaurir os recursos do sistema (por exemplo,
espao em disco e memria do sistema) causando uma negao de servio. Cada
componente deste modelo pode apresentar potenciais pontos de vulnerabilidade e, como
tais, devem ser tratados.

Aplicaes do usurio

Servios

Protocolos Sistema de Autenticao

de rede Arquivos

Kernel

Fsica

Figura 1: O modelo em camadas de segurana

Os ataques acontecem onde existem vulnerabilidades. As mesmas podem ser

classificadas como de host ou de rede. So comuns as de host provenientes:
do projeto de um sistema;
da implementao do projeto em software ou hardware;

10
 do erro de configurao de um sistema.

Uma vulnerabilidade de rede pode ser entendida como aquela que est relacionada ao
trfego de informao. Ataques podem tambm ocorrer atravs de falhas atribudas a
administradores, ou a usurios mal informados ou mal intencionados.

A segurana, embora seja um problema constante nas redes, visa garantir que o sistema
se comporte como esperado [Spafford,1996]. A defesa em profundidade, que ajuda
nesta segurana, uma estratgica bsica, na qual no se deve depender apenas de um
mecanismo de segurana, mas sim, dispor de mltiplos mecanismos de segurana,
alocando um retaguarda do outro.

Existem diversos mecanismos para abordar este problema, dentre eles: firewalls, anlise
de vulnerabilidades, criptografia, certificados digitais, VPNs (Virtual Private Network),
deteco de intruso e, at, uma poltica de segurana bem planejada e aplicada. Todos
so utilizados de forma que haja uma maior chance de se evitar comprometimentos.

A Deteco de Intruso, como um destes mecanismos, pode ser definida como o

problema da identificao de tentativas ou o uso do sistema de computao sem
autorizao e, quando com legtimo acesso ao sistema, o abuso de privilgios,
[Spafford, 1998a]. tambm definida como sendo qualquer cenrio com aes que
tentem comprometer a integridade, a confidencialidade e a disponibilidade dos recursos
[Heady, 1990], neglicenciando o sucesso ou a falha destas aes [Zamboni, 2000].

Uma metodologia de deteco de intruso tem, como objetivo, detectar atividades que
violem a Poltica de Segurana, ou que comprometam a segurana do sistema. Em
termos mais simples, a deteco de intruso pode ser formada de trs componentes
funcionais [Bace, 2000]:
A informao de origem, que fornece um fluxo de gravao de eventos.
A anlise, que detecta sinais de intruso.
A resposta, que gera reaes baseadas na sada da anlise.

Um sistema de deteco de intruso (IDS), como um sistema de segunda linha de defesa

no , per se, uma defesa no sentido usual, mas visa monitorar o estado da rede e de

11
seus hosts, supondo-se que o atacante j invadiu a rede. Grosso modo, trata-se de um
alarme [Hora, 1999]. O mesmo pode ser configurado para informar sobre um evento
observado que pode ser um ataque, a suposta origem de um ataque, bem como sugerir
algum tipo de ao reativa.

1.2 Estado da Arte

A rea de deteco de intruso muito dinmica, em constante atualizao e, com o
surgimento de novos IDS, sempre em busca do aprimoramento. Diante disto grande a
importncia das taxonomias e survey nesta rea.
Uma taxonomia serve para muitas finalidades [Flood e Carson, 93] como por exemplo:
Descrio: ajuda a descrever os sistemas para melhor compreend-los;
Predio: onde a classificao aponta numa direo para futuros
empreendimentos pesquisados;
Explanao: fornece indcios de como explicar fenmenos observados.

Um survey pode se basear numa taxonomia para descrever os sistemas e oferece

condio de:
Incluir novos IDS na comparao;
Melhor entender os IDS comparados;
A partir deles, levantar definies, requisitos ou caractersticas.

[Axelsson, 2000], em seu estudo, apresenta uma taxonomia que consiste, em primeiro
lugar, de uma classificao dos princpios de deteco e, em segundo, de uma
classificao de certos aspectos operacionais dos IDS.

A literatura mostra muitas sugestes e implementaes de detectores de intruso,

entretanto, atravs da documentao disponibilizada difcil classificar o princpio de
operao usado no detector, porque no est freqentemente explcito nesta
documentao. A motivao do trabalho de Axelsson, em se aprofundar na abordagem
dos diferentes princpios de operao dos detectores empregados, torna-se lgica se
admitido que diferentes princpios de deteco se comportam diferentemente sob a
mesma circunstncia.

12
Segundo [Mukherjee, Heberlein e Levitt, 1994], os mtodos de deteco podem ser
categorizados como:
Deteco de anomalia, que tenta identificar, na rede, o desvio de
comportamento e sintomas que divirjam de uma rede em uso normal;
Deteco de mau uso, que procura identificar padres de comportamento que
coincidam com cenrios conhecidos de ataques.

Na taxonomia de Axelsson, a deteco de anomalia categorizada em:

Sistema auto-aprendizagem, que aprende, atravs de exemplos, o que se
constitui como normal:
o Srie no temporal, que modela o comportamento normal do sistema
pelo uso de um modelo estocstico, que no leva em conta o
comportamento temporal;
o Srie temporal, que leva em conta o comportamento de sries de tempo.
Sistema programado, baseado em tcnicas1 de representao do conhecimento
na expectativa de detectar eventos anmalos:
o Estatstica descritiva;
o Default negar.

Uma abordagem, na taxonomia de Axelsson, a deteco de mau uso, que apresenta

somente a categoria programada. classificada nas seguintes tcnicas2:
Modelagem de estado;
Sistema especialista;
Casamento de string;
Baseado em regra simples.

Assinatura inspirada, definida como auto-aprendizagem, so detectores compostos, que

aparecem na taxonomia. Aprendem, automaticamente, o que constitui comportamento
intrusivo e normal para um sistema. A tcnica descrita como seleo de caracterstica
automtica.

1
Tcnicas descritas no captulo 3, seo 3.2
2
Tcnicas descritas no captulo 3, seo 3.2.

13
Axelsson tambm classifica os IDS em relao a 08 (oito) caractersticas. So
identificadas como:
Tempo de deteco;
Granularidade do processamento dos dados;
Origem dos dados auditados;
Resposta deteco de intruso;
Localizao da coleta de dados;
Localizao do processamento dos dados;
Segurana;
Grau de interoperabilidade.

Outra taxonomia [Debar, 1999] tambm importante, classifica os IDS com relao a 04
(quatro) caractersticas principais, tanto funcionais quanto no funcionais. So elas:
O mtodo de deteco;
O comportamento da deteco;
A localizao da origem da auditoria;
A freqncia de uso.

O survey de [Lunt, 1988] descreve poucos IDS e suas respectivas tcnicas de anlise do
Audit Trail. As caractersticas dos IDS apresentadas no seu trabalho j esto includas
nas taxonomias de Debar e Axelsson, por isso, no sero citadas separadamente.

Algumas concluses foram identificadas nas taxonomias e surveys estudados, so elas:

nenhuma das abordagens de deteco de intruso sozinha suficiente, cada uma

trata de ameaas diferentes [Lunt, 1988].
o foco corrente de prottipos pesquisados, bem como de produtos dirigido para
a proteo da infraestrutura, mais do que da estao do usurio final. Este
paradigma introduziu o uso de sniffers para a anlise de pacotes. A anlise de
assinaturas predominante nos sistemas comerciais, entretanto insuficiente
para detectar todos os tipos de ataque. Uma abordagem que trabalhe com os dois

14
 mtodos de deteco est sendo pesquisada. A deteco de ataque do tipo abuso
de privilgio aquela que necessita de maior ateno [Debar, 1999].
IDS com caractersticas diversas podem utilizar a mesma tecnologia para
diferentes implementaes. Detectores podem trabalhar em camadas ou como
detectores em separado [Axelsson, 2000].

1.3 Motivao e Objetivo

Os riscos crescentes de ataques a sistemas computacionais advindos do aumento das
atividades no autorizadas, no somente de atacantes externos mas, tambm, de internos
(como no caso de empregados descontentes e usurios abusando de seus privilgios)
mostra a importncia dos IDS no aumento da segurana dos sistemas computacionais.
As organizaes so alvos freqentes de numerosos tipos de ataque de diversas origens.
De acordo com pesquisa da CSI/FBI/20023, 42% das companhias levantadas (321
respondentes) disseram que tiveram de um a cinco incidentes de segurana.
Adicionalmente, 5% delas relataram a ocorrncia de 60 ou mais incidentes.

1.3.1 Motivao
O grande nmero de Sistemas de Deteco de Intruso (IDS) desenvolvidos e
disponibilizados atualmente, tanto comercialmente quanto para pesquisa, bem como as
muitas questes que envolvem os mesmos, trazem consigo problemas e restries que
precisam ser identificados para possveis aprimoramentos. Apesar desses esforos,
muitos daqueles problemas ainda persistem nos IDS existentes:

IDS baseados em conhecimento so inadequados para detectar todos os tipos de

ataque. O aparecimento de novos ataques e vulnerabilidades no sistema leva
necessidade do emprego de IDS baseados em outros mtodos de deteco.
O emprego de IDS baseados em comportamento leva alta taxa de alarmes
falsos na deteco como resultado de eventuais mudanas no comportamento
normal do usurio.

3
2002 Computer Crime and Security Survey Computer Security Institute (Relatrio do ano de
2002 de crimes de computadores e levantamentos de segurana) Disponvel em:
http://www.gocsi.com/forms/fbi/pdf.html.

15
 O uso de sistemas especialistas no mecanismo de deteco de intruso a
abordagem mais freqentemente aceita para deteco de ataques [Cannady and
Harrell, 1996]. Tem sido largamente incorporada em muitos IDS, principalmente
nos comerciais. No entanto, por usarem um modelo computacional de raciocnio
de um especialista humano, devem se submeter a uma contnua manuteno.
IDS que tem seu princpio de deteco baseado em regras, geralmente sofre com
a falta de flexibilidade na representao das regras e tambm com a inabilidade
em detectar ataques que ocorrem durante longo perodo de tempo e cenrios de
intruso no qual mltiplos atacantes operam de maneira coordenada.

1.3.2 Objetivo

Esta dissertao tem como objetivo apresentar uma nova taxonomia baseada em [Debar,
1999] e [Axelsson, 2000] com as caractersticas destacadas a seguir:

Em relao coleta de dados:

Localizao da informao de origem;
Mecanismo de coleta;
Arquitetura de coleta dos dados.

Em relao anlise de dados:

Mtodo de deteco;
Aprendizagem da anlise;
Tcnica utilizada no mtodo;
Arquitetura de anlise dos dados.

Em relao ao componente de resposta:

Tipo de resposta.

A elaborao de um survey dos IDS tambm um dos objetivos desta pesquisa. Este
estudo tem como finalidade, a descrio dos sistemas diante de suas caractersticas j
definidas na nova taxonomia. A escolha dos IDS se baseou na diversidade das
tecnologias empregadas em cada um deles.

16
Enfatizou-se, tambm, a importncia de serem pesquisados trabalhos anteriores, para
melhor entender suas limitaes e lacunas, visando colher informaes para o
desenvolvimento de novas tecnologias.

Como objetivo final apresentado um modelo, que contempla uma nova abordagem
para os Sistemas de Deteco de Intruso.

1.4 Metodologia
A metodologia desta dissertao envolve, como ser visto, a apresentao de duas
taxonomias que do subsdios a uma nova taxonomia de IDS, que por sua vez apia-se
numa teoria que pode sofrer modificaes mais tarde, o que provvel, tendo em vista
ser uma rea muito dinmica. Mesmo assim, ser possvel retornar taxonomia e
adicionar-lhe caractersticas.

Diante das caractersticas apresentadas na nova taxonomia proposta, a comparao das

taxonomias conhecidas e a apresentao de uma nova proposta envolvem, tambm, a
construo de um survey de IDS. Este mtodo de pesquisa possibilita, caso haja
alterao nas caractersticas da taxonomia, retornar ao conjunto descrito e reanalis-lo
sob a nova perspectiva terica. Esta nova anlise no poderia ser realizada to
facilmente no caso de se usar outro mtodo de pesquisa, como por exemplo, o estudo de
caso.

A definio de critrios e a identificao das caractersticas de um IDS na nova

taxonomia permitem que seja proposto um modelo de IDS. Prevendo-se possveis
alteraes, este modelo construdo com caractersticas de flexibilidade, escalabilidade
e extensibilidade para aceitar, facilmente, o acrscimo de funcionalidades arquitetura.

Como parte prtica desta dissertao, foi escolhido para teste o prottipo AAFID24. As
caractersticas apresentadas por este prottipo se assemelham com as utilizadas no
modelo proposto nesta dissertao, como:

4
Autonomous Agent for Intrusion Detection verso 2, desenvolvido por Eugene H. Spafford, e
Diego Zamboni, no projeto COAST da Purdue University em West Lafayette e disponibilizado
para teste em 07/09/1999.

17
 uma arquitetura de coleta e anlise de dados distribuda;
coleta de dados de mltiplas localizaes de origem;
escalabilidade com o uso de agentes de software, independentes e hierrquicos.

Como algumas caractersticas do IDS so derivadas de sua arquitetura, a esta deve ser
atribudo o mesmo grau de importncia que aos componentes do IDS, citados por [Bace,
2000].

O modelo proposto precisa, numa fase posterior que contemple sua implementao, de
atender a 10 (dez) requisitos bsicos desejveis para um IDS, segundo [Barrus, 1997]:

Um IDS deve reconhecer qualquer atividade suspeita ou evento que possa ser
um ataque conhecido;
Deve ser detectado, no nvel mais baixo possvel, o comportamento de escalao
de privilgios por parte do intruso;
Componentes em vrios hosts devem se comunicar a respeito dos nveis de
alerta e de deteco de intruso;
O sistema deve responder apropriadamente a mudanas no nvel de alerta;
O IDS deve ter algum mecanismo de controle manual para permitir que
administradores controlem as vrias funes e nveis de alerta do sistema;
O sistema deve ser capaz de se adaptar a mudanas nos mtodos de ataque;
O sistema deve ser capaz de tratar mltiplos ataques concorrentes;
O sistema deve ser escalvel e expansvel como as mudanas da rede;
O sistema deve ser resistente a comprometimento;
O sistema deve ser eficiente e confivel.

18
1.5 Organizao
Os captulos que se seguem sero apresentados da seguinte forma:

O Captulo 2 descreve conceitos, mtodos e componentes funcionais de um sistema

tpico de deteco de intruso, suas caractersticas e limitaes atuais, com o objetivo de
apresentar um contexto da deteco de intruso no problema de segurana
computacional.

O Captulo 3 discute as taxonomias conhecidas com uma viso crtica e comparativa,

objetivando identificar vantagens e deficincias. Apresenta uma proposta de uma nova
taxonomia a partir das taxonomias estudadas e, tambm, 3 (trs) tabelas classificatrias
de 20 IDS, segundo as taxonomias de Debar, Axelsson e a taxonomia proposta.

O Captulo 4 prope um modelo de IDS que contempla uma nova abordagem,

considerando-se as caractersticas apresentadas na nova taxonomia proposta e o survey
de IDS.

O Captulo 5 apresenta as concluses, as principais contribuies desta dissertao e as

propostas de trabalhos futuros.

O Apndice A apresenta o survey de 20 (vinte) Sistemas de Deteco de Intruso.

O Apndice B apresenta o diagrama de classes da arquitetura de um IDS mostrada no

Captulo 4.

19
Captulo 2

Princpios da Deteco de
Intruso

Este captulo apresenta conceitos bsicos sobre Deteco de Intruso (ID), como seus
princpios, modus operandi, finalidade, preocupaes, vantagens e limitaes.

2.1 Introduo

A Deteco de Intruso, como um mecanismo de segurana, pode ser definida como o

problema da identificao de tentativas ou o uso do sistema de computao sem
autorizao e, quando com legtimo acesso ao sistema, o abuso de privilgios existentes,
[Spafford, 1998a]. tambm definida como sendo qualquer cenrio com aes que
tentem comprometer a integridade, a confidencialidade e a disponibilidade dos recursos
[Heady, 1990], negligenciando o sucesso ou a falha destas aes [Zamboni, 2000].

Respeitando-se os aspectos de segurana da informao, a obteno, manuteno e

disseminao da informao so necessrias. Para tanto, seu armazenamento e
distribuio devem ser protegidos. Neste contexto, e dependendo dos servios mantidos,

20
so classificadas as propriedades relacionadas com a segurana da informao em
computadores e redes [Stallings, 1998]:

Confidencialidade dos dados: est relacionada com a proteo dos dados contra
acesso por usurios no autorizados.
Autenticao de origem e destino: relaciona-se com o impedimento de
personificao de usurios e de hosts.
Integridade: est relacionada com a garantia de que a informao no sofra
duplicao, alterao, insero ou reordenao no seu contedo.
No repudiao: est relacionada com o impedimento de usurios negarem
aes executadas ou mensagens enviadas/recebidas.
Controle de acesso: relaciona-se exigncia de que o acesso aos recursos de
computao possa ser controlado pelo sistema alvo.
Disponibilidade: relaciona-se exigncia de que sistemas de computao
devem estar disponveis para partes autorizadas quando necessrio.

2.2 Diferena entre Ferramenta de Segurana e

Sistema de Deteco de Intruso

Pode-se identificar dois grupos que desempenham a deteco de intruso, dando nfase
ao monitoramento das aes que ocorrem no sistema alvo:

O primeiro engloba aqueles que tentam de modo contnuo desempenhar sua

anlise. Pode ser feita dinamicamente, onde a informao de origem
transportada para a anlise medida que os eventos acontecem, sendo
processada imediatamente. Ou em lotes, revisando arquivos de auditoria ou
pacotes de rede, acumulados num perodo de tempo particular. So identificados
como Sistemas de Deteco de Intruso IDS.

E o segundo grupo, aqueles que periodicamente fazem uma captura instantnea

do ambiente e analisam as informaes, procurando por vulnerabilidades de
software, erros de configurao, etc. Estas ferramentas avaliam o estado do

21
 sistema para um dado momento. Exemplos incluem, COPS, Tiger, AIDE e a
ferramenta Tripwire, que checam a integridade do sistema de arquivos. Embora
possam detectar intruses, no sero consideradas IDS por somente analisarem
periodicamente o ambiente, procurando por vulnerabilidades, erros de
configurao, etc, em oposio ao monitoramento contnuo feito pelos IDS. So
identificadas como ferramentas de segurana.

O uso do termo tempo real no contexto de controle do processo se refere a um

processo que suficientemente rpido para permitir que o resultado do IDS afete o
progresso ou a conseqncia de um ataque em andamento.

2.3 Modus operandi da deteco de intruso

A ID desempenhada por meio de atividades de monitorao (coleta e anlise de

dados/eventos) que esto ocorrendo em um sistema alvo em busca de sinais de intruso.
Um sistema alvo pode ser um computador ou rede, onde atividades e comportamentos
esto sendo examinados a partir de uma perspectiva de deteco de intruso. O sistema
alvo deve apresentar vantagens dignas que levem ao monitoramento antes que qualquer
IDS possa ser considerado. Neste contexto, a ID pode utilizar mecanismos que tornem
automtico o processo de monitorao de eventos.

Uma metodologia pode, como objetivo, detectar atividades que violem a Poltica de
Segurana ou que comprometam a segurana do sistema. Em termos mais simples, a
deteco de intruso formada por 03 (trs) componentes funcionais [Bace, 2000],
mostrados na figura 3:

A informao de origem, que fornece um fluxo de gravao de eventos. Este

componente identificado como coleta de dados;
A anlise de dados, que detecta sinais de intruso;
E um componente de resposta que gera reaes baseadas na sada da anlise de
dados, identificado como resposta.

22
 SDI

COLETA ANLISE RESPOSTA

Figura 2: Componentes funcionais clssicos de um IDS.

2.3.1 Coleta de Dados

A coleta de dados representa a interface de entrada primria entre o sistema-alvo e o

IDS, pois sem um meio de extrair a informao do sistema alvo, a ID no pode ser
desempenhada. As duas abordagens comumente aceitas para produzir a informao
coletada do sistema alvo so:

1. Packet feed. Esta abordagem utiliza pacotes do trfego de informao para um

host ou para um segmento de rede ou toda a rede;
2. Audit trail. Esta abordagem utiliza dados de auditoria localizados no host, como
logs de atividade de login, do kernel, de aplicaes, etc.

O local da coleta da informao de origem apresenta vantagens quanto abordagem

adotada.

1. Vantagens da abordagem packet feed que tornam clara a necessidade de IDS

deste tipo em qualquer poltica e sistema de segurana:

Pode detectar ataques que a abordagem audit trail no consegue, pois

examina o cabealho de pacotes a procura de sinais maliciosos e atividades
suspeitas; investiga o contedo do payload em busca de comandos usados
em ataques especficos. Exemplos de ataque: IP spoofing, a falsificao de
contedo de pacotes, a fragmentao de pacotes (TearDrop).
Pode detectar e monitorar atividades suspeitas em portas conhecidas, como a
porta TCP 80, que utilizada pelo HTTP.
Pode dificultar a remoo de evidncias porque utiliza a deteco em tempo
de execuo;

23
 Fornece rpida notificao e resposta, podendo detectar ataques em tempo de
execuo;
Pode ser empregada sem afetar substancialmente o desempenho da rede;
No precisa ser instalada em todos os hosts;
Opera de forma independente do sistema operacional dos hosts monitorados;
Pode realizar a deteco de inteno maliciosa para recursos atrs do
Firewall, mesmo que este possa rejeitar essas tentativas de ataque, sendo,
portanto, conhecida a freqncia e os tipos de ataque feitos rede.
Pode complementar e verificar componentes implementados pela poltica de
segurana. No caso do Firewall, pode ajudar a verificar se ele realmente
impede certos tipos de trfego e endereos que devam ser rejeitados.
Como permite o emprego estratgico a pontos de acesso crtico, para obter
uma viso do trfego destinado a numerosos sistemas que necessitam ser
protegidos (considerando a abordagem para um segmento de rede ou toda a
rede), no exigem o carregamento e o gerenciamento de um programa em
vrios hosts. Portanto, menos pontos de deteco so requeridos, melhorando
a relao custo-benefcio do gerenciamento em um ambiente empresarial.

2. Algumas vantagens da abordagem audit trail que no so encontradas na

abordagem anterior:

Forte anlise. Desde que use registros contendo eventos que tenham
realmente ocorrido, pode informar se um ataque obteve sucesso ou no, com
poucos falsos-positivos;
Monitora atividades especficas. Por exemplo, monitora atividades do
usurio, acessos a arquivos de sistema e executveis, tentativas de acesso a
servios privilegiados e de instalao de trojan horses ou backdoors.
Monitora, tambm, atividades que devam e possam ser executadas somente
por administradores.
Monitoram componentes-chaves. Alerta quando arquivos so executados ou
modificados (.rhosts, /etc/passwd), como tambm, alerta sobre o nvel de uso
do espao em disco.

24
 Pode detectar ataques que ocorrem fisicamente no servidor (keystroke
attack).
Adapta-se bem a ambientes com switches e sob criptografia, pois reside em
vrios hosts. Mesmo que os switches permitam que o ambiente seja
gerenciado como muitos segmentos de rede e que exista criptografia em
algum lugar da pilha de protocolos, estes no so fatores limitantes, pois o
fluxo de dados, no trfego de entrada, j chega decifrado.
No requer uma plataforma de hardware dedicada. Pode residir em recursos
de rede existentes, servidores de arquivos, servidores de Web e em outros
recursos compartilhados e crticos. Nestes casos, tem um custo mais efetivo,
no sendo apenas outra caixa instalada na rede, a exigir endereamento,
manuteno e gerenciamento.

Cada tipo apresenta vantagens e desvantagens. Uma boa estratgia utilizar, ao mesmo
tempo, as duas abordagens num IDS, audit trail e packet feed, pois ocorrem ataques que
podem ser detectados por uma abordagem e no por outra.

2.3.2 Anlise de dados

um componente complexo e pode incluir mais de um componente de anlise de
dados. Eles podem ser autnomos ou dependentes e so referidos como filtros em
alguns sistemas. A disposio dos componentes uma caracterstica relevante e pode
ser:
um modelo em multicamadas de deteco, onde os nveis mais baixos alimentam
os nveis mais altos.
componentes distintos que processam os dados recebidos. O resultado enviado
para outros componentes, que coordenam os relatrios e iniciam atividades de
resposta especfica.

Este componente deve possuir a funo de correlao para combinar resultados dos
processamentos dos componentes individuais.

IDS que utilizam mais de um analisador paralelamente, no representam aumento no

nvel de segurana. Apenas trazem maior flexibilidade ao permitir a utilizao de mais

25
de um tipo de analisador. No entanto, IDS que utilizam diferentes analisadores em srie
trazem benefcios para o nvel de segurana da rede da organizao.

Este componente pode decidir quando os eventos descritos indicam se intruses esto
em curso ou, se j ocorreram. As abordagens de anlise de dados mais comuns so duas:

a que dirige seu foco s atividades que fogem significativamente dos perfis
estabelecidos de comportamento normal.
a que procura por eventos ou conjunto de eventos, que se encaixam em um
padro pr-definido, que descrevam um ataque conhecido;

As duas abordagens de anlise apresentam vantagens e desvantagens.

1. Quanto primeira abordagem:

a. Vantagens:
Detecta tentativas de serem exploradas vulnerabilidades novas e
imprevistas, podendo mesmo contribuir para serem descobertos,
automaticamente, pelo menos parcialmente, novos ataques;
menos dependente de mecanismos especficos de sistemas
operacionais;
Ajuda a detectar abusos de privilgio, que so tipos de ataque que no
envolvem a explorao de qualquer vulnerabilidade de segurana.

b. Desvantagens:
Alta taxa de alarmes falsos, uma vez que todo o espao do sistema de
informao no pode ser coberto durante a fase de aprendizagem.
Tambm o comportamento pode mudar com o tempo, introduzindo a
necessidade de instrues on-line peridicas de perfil normal de
comportamento, resultando tanto em indisponibilidade do IDS, quanto
em adicionais alarmes falsos;
O sistema pode estar sendo submetido a ataques na mesma hora em que
o IDS estiver aprendendo. Como resultado, o perfil normal de

26
 comportamento contm comportamento intrusivo, que no ser detectado
como anmalo;
Dependendo do tamanho do audit trail e da habilidade de processamento
do sistema, a reviso dos dados de auditoria resulta na perda da
capacidade de anlise em tempo real.

2. Quanto segunda abordagem:

a. Vantagens:
Baixa taxa de alarmes falsos em relao abordagem baseada em
comportamento;
A anlise contextual proposta detalhada, facilitando o uso deste sistema
pelo analista de segurana para ao de preveno e correo.

b. Desvantagens:
Necessidade de atualizao freqente da base de conhecimento com as
novas vulnerabilidades descobertas. uma tarefa de manuteno que
exige anlise cuidadosa de cada vulnerabilidade, alm do consumo de
tempo. Esta situao se agrava em razo da exigncia de serem
representadas todas as possveis facetas de um ataque, como assinaturas.
Existe a possibilidade de um ataque ser representado por um nmero de
assinaturas, no mnimo uma para cada tipo de sistema operacional, no
qual o IDS deve ser portado;
Degradao da performance resultante da dependncia na entrada do
audit trails. Esta desvantagem pode ser minimizada aumentando-se a
performance do sistema e reduzindo-se as gravaes de auditoria.

A combinao das duas abordagens permite a monitorao por indicaes de ataques

que podem ser detectados por uma abordagem e no por outra. A desvantagem seria o
uso de duas bases de conhecimento no IDS, o que leva ao crescimento da quantidade de
recursos do sistema que deve ser dedicado ao IDS. Tambm espao adicional em disco
ser necessrio para armazenamento de perfil normal do usurio/sistema, bem como, a

27
exigncia de aumento da memria como mecanismo para comparao das atividades do
usurio com as informaes nas duas bases de conhecimento.

O objetivo de um IDS detectar cenrios ou sintomas de intruso. No parece ser

possvel, para um sistema, ter conhecimento de todos os ataques possveis, nem do
comportamento normal dos usurios e do sistema todo o tempo. Isto representa
situaes ideais. No entanto, desejvel que os IDS tenham condio de adquirir
conhecimento.

A aquisio do conhecimento aparece na anlise de dados modificando as abordagens

da seguinte forma:

IDS baseado na primeira abordagem pode adquirir o conhecimento da seguinte

maneira:
o Automtica, que aprende, atravs de exemplos, o que se constitui como
normal. Estes IDS podem ter sua base de dados atualizada com o novo
comportamento do usurio/sistema de maneira peridica e automtica
por natureza.
o Programada, que necessita da adio na sua base de conhecimento, a
partir de uma origem externa, de perfil normal de comportamento do
usurio/sistema.

IDS baseado na segunda abordagem pode adquirir o conhecimento da seguinte

maneira:
o Automtica, que um mtodo de deteco de grande utilidade para
descobrir leves variaes nas assinaturas de ataques, permitindo a
descoberta de ataques no detectados por mecanismo de aprendizagem
programada.
o Programada, onde, para que novas regras e assinaturas sejam
acrescentadas na base de dados do IDS, primeiramente as mesmas so
construdas off-line, manualmente e quando se tornam conhecidos novos
tipos de vulnerabilidades e intruses.

28
As primeiras pesquisas em deteco de intruso reconhecem a ineficincia de qualquer
abordagem que necessite de reviso manual dos sistemas de auditoria. A determinao
de como a informao coletada ser revisada um elemento importante na estrutura
bsica de um IDS. Das muitas tcnicas apresentadas para reviso da informao,
algumas concluses so tiradas da aplicao das mesmas:

Quanto anlise baseada em regras:

uma abordagem de defesa estruturada e demonstra ser relativamente eficiente se

as caractersticas exatas de um ataque so conhecidas. A desvantagem reside na falta
de flexibilidade na representao das regras. Leves variaes na seqncia de um
ataque podem ocasionar alteraes que no sero detectadas por este mecanismo.
Ainda que cresa o nvel de abstrao na regra, somente fornece uma soluo parcial
para o problema. Por outro lado, reduz a granularidade do detector.

Quando esta tcnica associada estatstica tem a habilidade de detectar padres de

intruso no antecipados, tendo em vista que os padres especficos no tm que ser
pr-definidos. A tcnica procura elementos individuais, que podem ser parte de uma
intruso sem que se confie na concluso de uma seqncia inteira de atividade
especfica. A desvantagem sua incapacidade de, rapidamente, adaptar-se a
mudanas legtimas no comportamento do usurio.

Anlises estatsticas e baseadas em regras sofrem com a inabilidade de detectar

ataques que podem ocorrer durante um longo perodo de tempo. Enquanto instncias
individuais de atividades suspeitas podem ser detectadas pelo sistema, as mesmas
no podem ser relatadas se ocorrerem de forma isolada. Cenrios de intruso, nos
quais mltiplos atacantes operam de maneira coordenada, so tambm difceis para
a deteco, porque no visam a transio de estado de um ataque. Em vez disto,
concentram-se na ocorrncia de elementos individuais. Qualquer distribuio de um
ataque, tanto temporal quanto entre atacantes, aparentemente sem um
relacionamento, apresenta dificuldade para deteco por estas tcnicas. No entanto,
tcnicas de deteco mais correntes no processo de deteco de intruso usam
alguma forma de anlise estatstica ou baseada em regras.

29
Quando as regras so modeladas como transio de estado trazem grande
flexibilidade e velocidade. A tcnica tambm conserva estatsticas sobre o
desempenho da rede, utilizando um clculo estatstico para determinar quanto tempo
a informao de estado da conexo deve ser retida antes de descart-la.

Sistema especialista (SE) um princpio de deteco de considervel poder e

flexibilidade em relao aos sistemas baseados em regras simples, permitindo
mecanismos como a unificao. O uso de tcnica de sistema especialista no
mecanismo de deteco de intruso foi um marco significativo no desenvolvimento
de sistemas de segurana da informao para deteco. Este princpio de deteco,
explorado como anlise de assinaturas de ataque, tem sido largamente incorporado
em muitos IDS, principalmente nos comerciais. No entanto, por usarem um modelo
computacional de raciocnio de um especialista humano, devem se submeter a uma
contnua manuteno para um bom desempenho. Esta tcnica de deteco usa um
conjunto de regras conhecidas (programadas) e pode incorporar um componente
estatstico ou probabilstico. Contudo, pode ser menos eficiente em velocidade de
execuo que a abordagem estatstica para processamento de grande quantidade de
informaes de auditoria.

J a induo baseada em regras, em contraste com o SE, automaticamente

desenvolve regras para explicar, historicamente, os dados que coletam. Abordagens
que usam linguagens baseadas em regras tm algumas limitaes:

o Engenharia do conhecimento. difcil extrair conhecimento sobre ataques e

ainda mais difcil traduzir este conhecimento para regras.
o Velocidade do processamento. A tcnica exige que toda a informao seja
importada como fatos para, somente ento, poder raciocinar. Mesmo que a
ferramenta permita compilao de regras, a performance geral baixa, sendo
mais utilizada em prottipos.
o A falta de manuteno na freqncia de atualizaes exigidas leva a um
sistema com capacidades reduzidas e, pior, com um falso senso de
segurana.

Quanto anlise baseada em exemplos - Rede Neural (RN):

30
Outras tcnicas de aprendizagem so empregadas na deteco de intruso para
melhorar a performance de busca e anlise de dados nos sistemas
computacionais, como a reduo de dados e os sistemas classificadores.
Exemplos de sistemas classificadores so a rvore de deciso e a rede neural
[Frank, 1994]. Dentre as vantagens de se empregar uma rede neural na deteco
de intruso est a habilidade de aprender as caractersticas de um ataque de mau
uso do sistema e, identificar instncias que sejam diferentes de qualquer uma que
tenha sido observada antes pela rede. um sistema de defesa com capacidade
flexvel de reconhecimento de padro. Similarmente, a RN possui a habilidade
de conduzir a anlise dos dados de maneira no linear, possibilitando o
processamento dos dados de mltiplas origens.

Uma RN pode ser treinada para reconhecer eventos suspeitos conhecidos com
um alto grau de preciso. Tambm deve ganhar a habilidade de aplicar este
conhecimento para identificar instncias de ataque que no casam com as
caractersticas exatas de intruses prvias. A probabilidade de um ataque contra
um sistema pode ser estimada e uma ameaa em potencial ser sinalizada sempre
que a probabilidade exceder a uma entrada especificada. Desvantagens tambm
aparecem quanto dependncia da RN no treinamento dos dados e nos mtodos
de treinamento que so usados pelo sistema e, tambm, na obteno dos dados
para treinamento. Contudo, a mais significante desvantagem da aplicao da RN
para ID a natureza caixa preta. Enquanto um SE tem regras altamente
codificadas para anlise de eventos, as RNs adaptam sua anlise de dados, em
resposta ao treinamento que conduzido na rede.

Diferentemente de SE, que podem fornecer ao usurio uma resposta definitiva,

se as caractersticas que so revisadas casam exatamente com aquelas que foram
codificadas na base de regra, a RN conduz a uma anlise da informao e
fornece uma estimativa da probabilidade do dado casar com as caractersticas
que a RN foi treinada para reconhecer. Enquanto a probabilidade de um
casamento determinado pela RN pode atingir 100 %, a preciso das decises
confia totalmente na experincia que o sistema ganha analisando exemplos do
problema indicado. Enquanto que SE so capazes de reconhecer uma mudana

31
rpida em um sistema, a RN til na identificao de mudanas graduais no
sistema ou, no comportamento do usurio.

A RN ganha experincia, inicialmente, pelo treinamento do sistema para

corretamente identificar exemplos pr-selecionados do problema. A resposta da
RN revisada e a configurao do sistema refinada, at a anlise da RN do
treinamento dos dados alcanar um nvel satisfatrio. Em adio ao perodo de
treinamento inicial, a RN tambm ganha experincia com o tempo e da forma
como conduz a anlise de dados relacionada ao problema.

A soluo de problemas atravs de RN bastante atrativa, j que a forma como

estes so representados internamente pela rede e o paralelismo natural, inerente
arquitetura das RNs, criam a possibilidade de um desempenho superior aos dos
modelos convencionais.

RN tem sido proposta como alternativa do componente de anlise estatstica.

Anlise estatstica envolve comparao estatstica de eventos correntes para um
predeterminado conjunto de critrios. A tcnica mais freqentemente
empregada em deteco de desvios de comportamento tpico e determinao de
similaridade de eventos com aqueles que so indicativos de um ataque. RN so
especificamente propostas para identificar caractersticas tpicas de usurios do
sistema e identificar, estatisticamente, variaes significativas do
comportamento estabelecido do usurio.

Outras tcnicas podem ser associadas anlise de dados:

Algoritmo Gentico (AG):

As altas taxas de alarmes falsos na deteco, como resultado de mudana no

comportamento normal do usurio, levam necessidade de uma abordagem
utilizando-se tcnicas de aprendizagem, para aprender o comportamento do
usurio por observao contnua das interaes com o sistema computacional
[Balajinath, 2000]. O comportamento corrente do usurio pode ser
prognosticado pelo uso de algoritmos genticos, baseados na observao passada

32
do seu comportamento. Embora simplista do ponto de vista biolgico, estes
algoritmos so suficientemente complexos para fornecer mecanismos de
adaptao robustos e poderosos. A vantagem dos algoritmos genticos sobre as
redes neurais que as regras de diagnstico que geram so de mais fcil
entendimento para as pessoas.

Imunologia Computacional:

Esta tcnica constri um modelo de comportamento normal de servios de rede

UNIX, ao invs de modelo de usurio. Este modelo consiste de curtas
seqncias de chamadas ao sistema feitas pelos processos. Em primeiro lugar, a
ferramenta coleta um conjunto de auditoria de referncia, que representa o
comportamento normal do servio e extrai uma tabela de referncia contendo
todas as boas seqncias de chamadas ao sistema conhecidas. Esses padres so,
ento, usados para checar se as seqncias geradas so listadas na tabela. Se no,
o IDS gera um alarme. Esta tcnica tem uma baixa taxa de alarmes falsos se a
tabela de referncia suficientemente exaustiva. Uma limitao que esta
tcnica no protege contra erros de configurao no servio, como, por exemplo,
quando ataques usam aes legtimas do servio para ganhar acesso no
autorizado.

uma abordagem de aprendizagem atravs de exemplos de classificao. Seu

diagnstico baseado em dados empricos. Deste modo, mais sensvel o
significado dos dados em si do que a interpretao humana sobre eles. Outras
questes:

o Este mtodo exige estar altamente afinado para operar com eficincia
mxima.
o O processo de aprendizado pode ser computacionalmente caro,
particularmente se no pode ser desempenhado de maneira incremental.
Pode, tambm, ser necessrio desaprender velhas experincias. Isto
introduz complexidade no retreinamento.

33
 o Uma grande quantidade de dados exigida para treinar estes sistemas. O
problema torna-se mais complicado uma vez que o estado de normal
depende de tempo e espao.
o Exigem pouca comunicao entre os hosts, embora o IDS seja altamente
distribudo [Hofmeyr, 1999].

Sistemas que utilizam algoritmos de aprendizagem, como por exemplo,

imunologia computacional, RN, AG so:

o De pesquisa interessante, pois se acredita que possam suportar

reconhecimento de intruses que no tenham sido vistas previamente e,
que no tenham prvios padres descritos;
o A clareza das regras para serem entendidas por humanos no uma
caracterstica forte;
o So computacionalmente eficientes;
o Exigem pouco armazenamento pois, se comparados a tcnicas que no
utilizam esta tecnologia de compresso, fornecem meios para realiz-la;
o Podem adaptar-se a novos dados;
o No so largamente empregados em IDS.

Minerao de Dados:

O maior desafio para a utilizao da tcnica de minerao de dados na deteco

de intruso a imensa quantidade de dados de auditoria necessrios para
computar os perfis de uso do sistema. Como o processo de aprendizado
(minerao) caro em termos de tempo e de armazenamento e, como o processo
de deteco em tempo real precisa ser leve e rpido para ser utilizvel, seria
impossvel haver um sistema de deteco de intruso monoltico. A tcnica foi
descrita como detectores compostos, mas existe proposta de ser feita baseada em
comportamento e em conhecimento. Usando mdulos sensores de sistemas
como o SNORT5, instalado estrategicamente em uma rede e tcnicas especficas,

5
Lightweight Intrusion Detection for Network, http://www.snort.org.

34
 como modelos de busca que possam automatizar o processo, de modo a fornecer
primitivas ou funes que, recebendo como entrada, dados especficos do tipo de
anlise desejada, realizem busca sobre a base de dados, selecionem seqncia de
dados relevantes e, aplicando tcnicas especficas, retornem um conjunto de
dados que caracterizem o tipo de evento desejado. Deve-se levar em
considerao, tambm, se a filtragem de dados pelos sensores no causa uma
falta de dados para o componente anlise.

Clustering:

uma tcnica de aprendizagem que, atravs da reduo de dados, ajuda na

performance e anlise de dados na deteco de intruso, com mnimo
treinamento individual. A filtragem de dados pode ser feita, tambm, utilizando-
se heursticas ou mtodos ad hoc, que podem ser vistas como regras de
especialistas. Ou ainda, filtrando-se dados de uma maneira mais adaptativa e
dinmica, como o caso de uma RN. Clustering o agrupamento de dados, de
acordo com algum critrio, para revelar padres escondidos nos dados e
caractersticas significativas, classificando os dados e utilizando tcnicas no
paramtricas6 para desempenhar anlise estatstica. Diferentemente das
primeiras anlises estatsticas, que usavam abordagens parametrizadas para
caracterizar o comportamento padro de usurios e de outras entidades do
sistema, estas se referem a abordagens analticas, nas quais suposies so feitas
sobre a distribuio dos dados analisados. Alm do clustering estatstico, que se
baseia somente em medidas numricas de similaridade do objeto, tem-se o
clustering conceitual, definido como o processo de construo de rede de
conceitos caracterizando a coleo de objetos como ns marcados por conceitos,
descrevendo classes de objetos e links marcados pelo relacionamento entre as
classes. Atributos so usados para caracterizar estes objetos, produzindo uma
classificao hierrquica de classes de objetos, onde cada n deve formar um
conceito coerente, compacto e de fcil representao em termos de definio ou
regras que tenham uma interpretao natural pelo homem.

6
Proposta por Linda Lankewicz e Mark Benard da Universidade de Tulane.

35
2.3.3 Mecanismo de resposta
Uma vez que as informaes sobre os eventos tenham sido obtidas e analisadas para
perceber ataques, podem ser geradas respostas adequadas. As respostas podem ser
constitudas de aes automticas, tomadas quando certos tipos de intruso so
detectados ou, que dependam de uma entidade externa, para a realizao de aes
cabveis subseqentes, como por exemplo, o Administrador de Sistemas (AS).

O mecanismo de resposta apresenta restries em relao s abordagens. A existncia

de muitos tipos de intruso pode levar a uma baixa probabilidade de um diagnstico
correto. Isto dificulta o IDS com aes automticas, podendo mesmo comprometer a
disponibilidade do sistema computacional. Para contornar este problema, possivelmente
o IDS, que dependa de uma entidade externa, possa ser melhor empregado se for
implementado adequadamente com mecanismos de visualizao das respostas, para que
as mesmas sejam disponibilizadas ao AS, visando a tomada de decises por parte deste.

IDS ativos somente ganharo espao medida que se tornem mais confiveis.

2.4 Qual a finalidade da ID

A ID empregada na tentativa de aumentar a confiana e a credibilidade dos sistemas e
redes, juntamente com outras estratgias de segurana computacional.

A deteco de intruso um foco significativo de pesquisa em segurana de sistemas

computacionais e de redes. [Denning, 1987] e [Neumann, 1985] identificaram 04
(quatro) razes para se utilizar um mecanismo efetivo de deteco de intruso como
parte de um framework de segurana de sistemas computacionais:

Muitos sistemas existentes tm falhas de segurana que os tornam vulnerveis,

falhas estas difceis de serem identificadas e eliminadas devido a razes
econmicas e tcnicas.
Existem sistemas com falhas de segurana que no so facilmente substitudos
por outros, mais seguros, devido a aplicaes e consideraes econmicas.

36
 O desenvolvimento de sistemas completamente seguros , provavelmente,
impossvel.
Mesmo os sistemas altamente seguros so vulnerveis ao mau uso por usurios
legtimos.

2.5 Principais tipos de ataques

A preocupao primordial no estudo da deteco de intruso a percepo do ataque,
ou sintoma do mesmo, em um sistema computacional. Um ataque pode obter sucesso
pela presena de alguma vulnerabilidade no sistema computacional da vtima, a qual
explorada pelo atacante com um objetivo definido. Tal cenrio, atualmente, possui uma
enorme variedade de formas, mas, em geral, inclui-se nas seguintes categorias:

Programa para varreduras, que mapeia uma rede com o objetivo de encontrar
servios nela disponibilizados e eventuais vulnerabilidades nestes servios, os
quais so passveis de serem explorados.
Programa para elevao de privilgios/invaso (exploits), que tenta ganhar
controle local ou remoto, explorando as vulnerabilidades de um sistema.
Negao de servio local/remota, que um programa que tenta parar ou
prejudicar o desempenho de um sistema computacional, consumindo,
excessivamente, recursos nele disponveis.
Programa para quebra de senhas, que tenta descobrir senhas criptografadas por
meio de comparaes com um banco de dados, ou de teste por fora bruta.
Programa para captura de pacotes de rede, que efetua a captura de todo o trfego
da rede qual est conectado, utilizando interfaces de rede em modo promscuo.

Do mesmo modo que os ataques podem ser descritos sob diferentes pontos de vista, o
processo de deteco dos ataques tambm o pode ser. Atualmente, a tecnologia para tal
processo est em constante evoluo devido, principalmente, grande velocidade com
que esta rea de pesquisa sofre mudanas.

37
2.6 Vantagens no emprego de mecanismos de
Deteco de Intruso

As vantagens de se empregar mecanismos de deteco de intruso - ID so atestadas

pela crescente popularidade no emprego dos mesmos. Segundo pesquisa7 da CSI/FBI
Computer Crime and Security Survey, em 2002, num universo de 500 corporaes,
entre governamentais, instituies financeiras, universidades, etc, o uso de mecanismos
de ID chega a 60%. Outra pesquisa8, realizada pela Information Week, num universo de
2.700 profissionais de segurana de 49 pases, 37% deles relatou o uso de produtos de
ID, contra 29% no ano anterior. Acredita-se na tendncia de aumento deste percentual,
uma vez que, segundo dados extrados do State of the Practice in Intrusion Detection
Technologies 9, CMU/SEI, 1999, todos os usurios de mecanismos de ID so capazes de
encontrar algum intruso. Sendo assim, est comprovado que os sistemas realmente
funcionam.

Foram identificadas, a seguir, algumas das principais vantagens de se empregar tal

mecanismo [Schultz, E., 1999]:

Reduo da quantidade de recursos empregados, especialmente quanto

necessidade de recurso em pessoal para monitorar eventos que ocorrem em
sistemas e rede. Em vez de aumentar as tarefas relacionadas com segurana, a
tecnologia de deteco de intruso reduz a necessidade de interveno humana
para o monitoramento de sistemas e rede.
Capacidade de descobrir um ataque que o ser humano no consegue detectar.
Capacidade de descobrir ataque que no pode ser detectado atravs de sistema
de logging normal, principalmente por meio daqueles sistemas que
correlacionam as informaes recebidas de mltiplas mquinas na rede.

7
Center for the Study of Intelligence / Federal Bureau of Investigation Disponvel em:
http://www.gocsi.com/forms/fbi/pdf.html.
8
Disponvel em: www.informationweek.com.br/, em julho de 1999.
9
Disponvel em: http://www.sei.cmu.edu/publications/documents/99.reports/
99tr028/99tr028abstract.html.

38
 Resoluo de problemas relacionados com vulnerabilidades de segurana nos
softwares em proliferao, minimizando o estrago e a perda de informaes.
Importncia dos dados produzidos por mecanismos de deteco de intruso em
evidncias legais perante a lei, assunto importante na forense computacional.

2.7 Limitaes no emprego de mecanismos de

Deteco de Intruso
Limitaes existem e impedem que mecanismos de ID sejam largamente empregados.
As principais esto identificadas abaixo:

A maioria dos mecanismos de ID, hoje existente, ainda relativamente

rudimentar em suas capacidades. Os disponibilizados atualmente, descobrem
apenas um subconjunto do total do nmero de intruses que ocorrem e ainda,
perdem muitas outras, por utilizarem mtodos que no so capazes de detectar
ataques novos. importante entender que, s vezes, a aquisio e emprego de
um ou mais mecanismos de ID no apresenta toda a capacidade anunciada.
Para algumas empresas, continuidade operacional a necessidade mais
importante no emprego de mecanismos de ID, deixando para um segundo plano
a confidencialidade dos sistemas e dados. Neste caso, um ataque de negao de
servio pode ser mais danoso e destrutivo do que outros tipos de ataques. E pode
ser de difcil deteco pelo mecanismo.
Alguns mecanismos de ID so superiores a outros. Enquanto uns utilizam, em
seu projeto, requisitos de engenharia de software que trazem resultados na
qualidade do mtodo de deteco, outros j negligenciam a qualidade do projeto
e da implementao.
Mecanismos de ID no so invencveis, pois esto sujeitos a ataques,
principalmente aqueles de negao de servio direcionado ao mesmo, ou
plataforma computacional que o abriga. Portanto, ter um grupo independente ou
organizao para conduzir testes nestes sistemas, constitui uma maneira de se
determinar quo resistentes a ataques so estes mecanismos de ID. Conduzindo,
significativamente, em direo seleo e uso da tecnologia de ID, bem como a
plataforma que o suporta.

39
 Nem todo ataque est relacionado ao contedo, entretanto, ataques rede na
forma de pacotes criptografados no sero notados por mecanismos de ID, a
menos que estes estejam programados para detectar o fluxo de pacotes anormais,
como numa inundao repentina de um tipo particular de pacote, mesmo que seu
contedo esteja criptografado.

Alm do custo financeiro de aquisio e emprego de mecanismos de ID, estes tambm

envolvem o custo de manuteno. Manter um sistema em execuo e atualizado
extremamente importante para sua funcionalidade e segurana. Certas tarefas precisam
ser executadas, como por exemplo, bugs nos mecanismos de ID que precisam ter seus
patches instalados, tratamento do volume de dados produzidos e manuteno da
plataforma de funcionamento do sistema. So tarefas que, se no executadas, podem
debilitar o desempenho da rede.

2.8 Influncia da Arquitetura em IDS

A arquitetura de um IDS apresenta vantagens e desvantagens em relao s suas
abordagens. Sistemas de deteco de intruso centralizados podem ser caracterizados
pela coleta de dados centralizada ou distribuda. Na maioria dos casos, os dados so
coletados em sistemas individuais e, ento, destinados a uma localizao centralizada,
onde a anlise da deteco de intruso pode ser desempenhada. Esta abordagem trabalha
bem em situao de pequenas redes, mas inadequada para redes maiores, devido ao
grande volume de dados que deve ser analisado pelo componente de anlise central.

O IDS deve ser capaz de fazer a distino entre as muitas origens de dados, uma vez que
diferentes cenrios de intruso podem ser encontrados em diferentes sistemas
operacionais. Este o problema com relao ao desempenho da anlise centralizada da
informao coletada a partir de sistemas heterogneos. Abordagens centralizadas
apresentam algumas necessidades em relao a abordagens distribudas [Bace, 2000]:

Tornar seguro o trfego de mensagens entre os componentes do sistema, pois todos

os dados devem ser transportados para o componente de anlise de forma segura.

40
 Determinar se um elemento do sistema foi alterado ou desabilitado num dado
tempo. Estes sistemas tm menos componentes, no entanto, so maiores, mais
complexos e mais difceis de serem monitorados.
Disparar e interromper componentes do sistema graciosamente. Se um
componente de anlise para de trabalhar, todo o sistema para. Cada componente
um ponto nico de falha.
Consolidar a informao e a apresentar ao usurio final de uma forma significativa.
Manter um host dedicado para a tarefa de anlise devido sobrecarga imposta.
Configurar o sistema para caractersticas especficas dos sistemas alvos
monitorados.
Escalar o sistema para um nmero maior de hosts monitorados. O componente de
anlise necessita de mais computao e recursos de armazenamento.
Reconfigurar o componente de anlise. Todo o sistema deve ser reiniciado, afetando
o funcionamento do mesmo.

Sistema de deteco de intruso distribudo caracterizado pela coleta distribuda de

dados, seguido pela anlise distribuda da deteco de intruso. Estes sistemas podem
ser modelados como hierarquias. Diferentemente dos sistemas de deteco
centralizados, apresentam maior capacidade de escalar para grandes redes, porque os
componentes de anlise so distribudos, fazendo com que menos informaes devam
ser compartilhadas entre os diversos componentes. IDS distribudos tambm apresentam
requisitos:
Manter o sistema rodando continuamente. Um grande nmero de componentes
precisa manter-se rodando;
Ser tolerante a falhas. difcil armazenar de maneira recupervel e consistente;
Controlar a sobrecarga nos hosts monitorados;
Detectar mudanas no comportamento global do sistema;
Disponibilizar a informao para o mecanismo de resposta.

Para uma abordagem distribuda, deve existir alguma maneira de repartir todo o sistema
em diferentes e pequenos domnios para o propsito de comunicao. O domnio um
subconjunto da hierarquia, consistindo em um n, responsvel pela coleta e anlise de
todos os dados de todos os outros ns no domnio. Este n que analisa, representa o

41
domnio para os outros acima dele na hierarquia. Domnios podem ser construdos pela
diviso do sistema baseado em:
geografia/topologia;
controle administrativo;
coleo de plataformas de software similares, ou;
parties baseadas em tipos antecipados de intruso.

Por exemplo, dados coletados de ns rodando o mesmo sistema operacional podem ser
enviados para um ponto de coleta central. Assim, os sistemas homogneos podem ser
analisados em acordo.

2.9 Concluso
No existe nenhuma frmula ou regra de ouro para se conseguir um retorno desejado
do emprego de tecnologia de deteco de intruso. A necessidade do seu uso
crescente, mas implica em vantagens e limitaes como as que foram vistas. Tambm
envolvem questes como finalidade e modus operandi, que precisam ser compreendidos
e aceitos. Um maior conhecimento da rea de ID ser visto com a apresentao de
taxonomias de IDS. No terceiro captulo ser feita uma anlise crtica e comparativa de
duas taxonomias de IDS, [Debar, 1999] e [Axelsson, 2000], mostrando suas limitaes e
propondo uma nova taxonomia de IDS baseada nos trs componentes funcionais
apresentados por [Bace, 2000]: a coleta de dados, a anlise e o componente de resposta.

42
Captulo 3

Taxonomias

Este captulo trata da apresentao de duas taxonomias, [Debar, 1999] e [Axelsson,

2000], analisando-as e identificando suas limitaes. Elas foram escolhidas por
representarem o estado da arte em taxonomias de Sistemas de Deteco de Intruso.

Tambm prope uma nova taxonomia, com um novo critrio de classificao do

componente coleta de dados e novas caractersticas da anlise de dados. A contribuio
da nova taxonomia mostrada com uma comparao, entre as trs taxonomias, da
abrangncia de critrios/caractersticas obtida para a classificao dos componentes de
um IDS.

3.1 Taxonomia de Debar

A taxonomia de [Debar, 1999] apresenta os IDS tomando por base 04 (quatro)

caractersticas principais, divididas em:
1) Caractersticas funcionais. So elas:

a) Mtodo de deteco:
i) Baseado em comportamento, quando a informao usada versa sobre o
comportamento normal do sistema monitorado:
(1) Estatstica

43
 (2) Sistemas Especialistas
(3) Rede Neural
(4) Identificao de Inteno do Usurio10
(5) Imunologia Computacional
ii) Baseado em conhecimento, se a informao usada versa sobre ataques:
(1) Sistemas Especialistas
(2) Anlise de Assinaturas de Ataques
(3) Rede de Petri
(4) Anlise de Transio de Estado

b) Comportamento da deteco, quando descreve a ao do componente de

resposta ao ataque, podendo ser:
i) Ativa
ii) Passiva

c) Localizao da origem da auditoria, que pode ser baseada em:

i) rede
ii) host

2) Caracterstica no funcional:

a) Freqncia de uso:
i) Com monitoramento contnuo
ii) De anlise peridica.

Pode-se observar que os mtodos de deteco se referem a somente duas categorias:

comportamento e conhecimento. As tcnicas de anlise apresentadas para cada mtodo,
correspondem somente a um subconjunto do estado da arte. A classificao da anlise
no menciona o conceito de aprendizagem, que pode ser embutido na mesma, nem a
hiptese dela ter sido construda com mais de um detector, empregando mais de um

10
uma tcnica desenvolvida durante o projeto SECURENET. Ela modela o comportamento
normal do usurio pelo conjunto de tarefas que desempenha no sistema. Computers & Security,
Volume 15, Issue 5, pp. 395, 1996.

44
mtodo de anlise. A caracterstica no funcional, freqncia de uso, se relaciona a duas
categorias de mecanismos de ID: IDS e ferramentas de segurana respectivamente.
Com isto nota-se, na figura 3, que se trata de uma taxonomia superficial, no entrando
em detalhes quanto s principais caractersticas dos trs componentes de um IDS
(coleta, anlise e resposta). Assim pode ser interessante um maior aprofundamento nas
caractersticas dos componentes de um IDS, levando a pensar em novos critrios para
que os mesmos sejam classificados.

COLETA ANLISE RESPOSTA

ORIGEM MTODO TIPO

conhecimento
host ativa
sistema especialista
rede assinatura de ataque passiva
rede de Petri
transio de estado

comportamento

estatstica
sistema especialista
rede neural
identificao de inteno do usurio
imunologia computacional

Figura 3: Representao dos critrios e das caractersticas da taxononia de Debar.

A Figura 4 mostra a classificao de 20 IDS, segundo a taxonomia de Debar, realizada

como parte desta dissertao. Note-se que algumas caractersticas no identificam, por
completo, um critrio na classificao. Por exemplo, para os IDS RIPPER11 e ESP12,
que trabalham tanto com modelo intrusivo, quanto com modelo normal, no existe uma
caracterstica na taxonomia que represente seu mtodo de deteco da anlise. Outro
exemplo seria o IDS AAFID2, que trabalha com coleta pacotes de rede dirigido ao
prprio host, no existe uma caracterstica que represente sua origem de coleta.

11
www.cs.columbia.edu/~sal/hpapers/USENIX/usenix.html.
12
[Zamboni, 2000] Doing Intrusion Detection Using Embedded Sensors Thesis proposal.
CERIAS technical Report 2000-21, Purdue University, W. Lafayette, IN, october 18, 2000.

45
 CRITRIO
IDS Origem da Mtodo da Resposta Freqncia
coleta deteco de uso
IDES Host Comportamento Passiva Contnuo
MIDAS Host Comportamento Passiva Contnuo
Conhecimento
W&S Host Comportamento Passiva Contnuo
NSM Rede Comportamento Passiva Contnuo
Conhecimento
Hiperview Host Comportamento Passiva Contnuo
Conhecimento
DIDS Host/rede Conhecimento Passiva Contnuo
NIDES Host Comportamento Passiva Contnuo
Conhecimento
AID Host Conhecimento Passiva Contnuo
IDIOT Host Conhecimento Passiva Contnuo
GASSATA Host Conhecimento Passiva Contnuo
EMERALD Host/rede Comportamento Ativa Contnuo
Conhecimento
NFR Rede e N/A Comportamento Passiva Contnuo
Conhecimento
SNORT Rede Conhecimento Passiva Contnuo
ACME Rede Comportamento Ativa Contnuo
Conhecimento
RIPPER Host N/A Ativa Contnuo
AAFID2 Host e N/A Comportamento Passiva Contnuo
GBID Host Comportamento Passiva Contnuo
ESP Host N/A Ativa Contnuo
LISYS N/A NA Passiva Contnuo
IDA Host e N/A Comportamento Ativa Contnuo

Figura 4: Classificao dos 20 IDS, segundo Debar. (N/A = No aplicvel)

46
3.2 Taxonomia de Axelsson

Nessa taxonomia, a anlise de dados classificada em trs mtodos (e no em dois,

como na anterior). A necessidade de identificar IDS que trabalham tanto com modelo
intrusivo, quanto com modelo normal, aparece na classificao como um novo mtodo.
Tambm aparecem melhor discriminados os conceitos de aprendizagem que um IDS
pode ter, como por exemplo o self-learning e o programmed.

A taxonomia estruturada da seguinte forma:

1) A deteco anmala separada nas seguintes categorias:

a) Sistema de auto-aprendizagem, que aprende, por meio de exemplos, o que se

constitui como normal:

i) Srie no temporal, que modela o comportamento normal do sistema pelo

uso de um modelo estocstico, que no leva em conta o comportamento
temporal:
(1) Modelagem de regra. O sistema estuda o trfego e formula um nmero
de regras que descrevem a operao normal do sistema. No estgio de
deteco o sistema aplica as regras e aciona um alarme se o trfego
observado no se relacionar adequadamente com a base de regras.
(2) Estatstica descritiva. O sistema coleta estatsticas simples de certos
parmetros do sistema em um perfil normal e constri um vetor de
distncias entre o trfego observado e o perfil normal. As discrepncias
podem justificar um alarme.

ii) Srie temporal, que leva em conta o comportamento de sries de tempo:

(1) Rede Neural Artificial. O trfego normal do sistema alimentado para
uma RNA, que subseqentemente aprende o padro de trfego normal. A
sada da RNA ento aplicada a um novo trfego e usada para tomar a
deciso da deteco de intruso.

47
 b) Programado, que supe uma tcnica de representao do conhecimento
especialista, programando-o para detectar certos eventos anmalos:

i) Estatstica descritiva, que constri um perfil de comportamento estatstico

normal:
(1) Estatstica simples. As estatsticas coletadas so usadas para tomar a
deciso da deteco de intruso mais abstrata.
(2) Baseada em regra simples. As regras so usadas para serem aplicadas
nas estatsticas coletadas.
(3) Baseada em entradas. Entradas definidas podem ser programadas para
serem usadas com as estatsticas coletadas.

ii) Default negar, a idia desta tcnica fixar (declarar) explicitamente as

condies de normalidade sob as quais o sistema monitorado (observado)
opera e classificar todos os desvios de operao como intrusivo:
(1) Modelagem de srie de estados: que codifica o comportamento normal
do usurio/sistema como um nmero de diferentes estados que compem
um modelo. Cada um destes estados tem que estar presente no espao de
observao para ser considerado como ocorrido. Se as aes monitoradas
so permitidas o sistema continua, se leva a um estado que no
mencionado explicitamente o sistema emite um alarme.

2) A deteco de mau uso, definida como assinatura, somente apresenta a categoria

programada e dividida em:

i) Modelagem de estado: que codifica um comportamento intrusivo como um

nmero de diferentes estados. Cada um destes estados tem que estar presente
no espao de observao da intruso para ser considerado como ocorrido:
(1) Transio de estado. Os estados que formam uma intruso tm que
atravessar uma cadeia simples do comeo ao fim.
(2) Rede de Petri. Os estados formam uma estrutura de rvore mais geral, no
qual muitos estados preparatrios podem ser preenchidos em qualquer
ordem, independente de onde ocorrem no modelo.

48
 ii) Sistema especialista: mquina de classificao de deteco, que consiste de
uma base de conhecimento, a ferramenta de aquisio, contendo descritores
de comportamento suspeito, baseado em conhecimento sobre intruses
passadas; mquina de inferncia, que organiza o raciocnio e tira concluses
usando regras e fatos e, finalmente, a memria de trabalho.
iii) Casamento de string: que busca por cadeia de caracteres transmitidas ou
armazenadas entre sistemas.
iv) Baseado em regra simples: regras usualmente estruturadas na forma de
procedimentos if-then-else ou construes case.

3) A assinatura inspirada aparece na taxonomia definida como seleo de

caracterstica automtica, que aprende automaticamente aquilo que constitui
comportamentos intrusivo e normal.

A taxonomia de [Axelsson, 2000] mostra-se mais completa que a anterior sob o ponto
de vista da anlise de dados. O foco principal do seu trabalho foi este componente. O
mtodo assinatura inspirada aparece como uma nova caracterstica do critrio mtodo
de deteco.

A Figura 5 mostra os mesmos 20 IDS anteriores classificados segundo a taxonomia da

anlise de dados de Axelsson. Nota-se, na tabela desta figura, que algumas
caractersticas no identificam, por completo, um critrio na classificao, assim como
na taxonomia de Debar. Por exemplo, para os IDS GASSATA13 e Genetic Based
Intrusion Detection14 (GBID), que trabalham com algoritmo gentico, no existe
caracterstica na taxonomia que represente a aprendizagem e a tcnica da sua anlise. O
mesmo ocorre com os IDS ACME15 e Embedded Sensors Project 16
(ESP), que
trabalham respectivamente com o processo de aprendizagem supervisionada (rede
neural) e no supervisionada (clustering), no se enquadrando nas caractersticas de
aprendizagem e tcnica da taxonomia de Axelsson.

13
Genetic Algorithm toll for Simplified Security Audit Trail Analysis, www.supelec-
rennes.fr/rennes/si/equipe/lme/PUBLI/raid98.pdf.
14
www.netlab.cs.iitm.ernet.in/publications/ refereed-journal.html.
15
Advanced Counter Measures Environment, www.acme-ids.org http://www.acme-ids.org.
16
http://www.cerias.purdue.edu/projects/esp/.

49
 CRITRIO
IDS Mtodo MA Aprendizagem Princpio da Deteco
IDES Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
MIDAS Anmala Programada Estatstica descritiva/ estat. simples
Assinatura Programada Sistema especialista
W&S Anmala Auto-aprendizagem Srie no temporal/ modelag. regras
NSM Anmala Programada Estatstica descritiva/ regras simples
Assinatura Programada Casamento de string
Hiperview Anmala Auto-aprendizagem Srie temporal/ rede neural
Assinatura Programada Sistema especialista
DIDS Assinatura Programada Sistema especialista
NIDES Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
Assinatura Programada Sistema especialista
AID Assinatura Programada Modelagem de estado/ transio de
estado
IDIOT Assinatura Programada Modelagem de estado/rede de Petri
GASSATA Assinatura N/A N/A
EMERALD Anmala Auto-aprendizagem Srie no temporal/ estat. descritiva
Assinatura Programada Sistema especialista
NFR Anmala Programada Default negar /modelag. srie estado
Assinatura Programada Modelagem de estado /trans. estado
SNORT Assinatura Programada Base de regras simples
ACME Anmala Programada N/A
Assinatura N/A N/A
RIPPER Assinat. Inspirada Auto-aprendizagem Seleo de caracterstica automtica
AAFID2 Anmala Programada Estatstica descritiva/ regras
GBID Anmala Auto-aprendizagem N/A
ESP Assinat.Inspirada Auto-aprendizagem N/A
LISYS Assinat. Inspirada Auto-aprendizagem N/A
IDA Anmala Programada Estatstica descritiva/ regras

Figura 5: Classificao da anlise de dados, dos 20 IDS, segundo Axelsson. (N/A = No

aplicvel).

50
A outra parte da taxonomia de Axelsson classifica os IDS quanto s suas caractersticas,
que no se relacionam diretamente com a anlise de dados. Ela identifica 08 (oito)
caractersticas:

Tempo de deteco (tempo real ou no);

Granularidade do processamento dos dados (contnuo ou em lotes);
Origem dos dados auditados (baseados em host ou em rede);
Resposta deteco de intruso (ativos ou passivos);
Localizao da coleta de dados pode ser:
o Coleta de dados centralizada, onde os dados usados pelo IDS so
coletados em localizaes fixas e independe dos componentes
monitorados.
o Coleta de dados distribuda, onde os dados usados pelo IDS so
coletados em localizaes proporcionais aos componentes monitorados.

Localizao do processamento dos dados:

o Processamento dos dados centralizado, onde a anlise dos dados feita
em localizaes fixas e independe dos componentes monitorados.
o Processamento dos dados distribudo, no qual a anlise de dados feita
em localizaes proporcionais aos componentes monitorados.

O que classifica um IDS como centralizado ou distribudo seu modo de anlise

dos dados.

Segurana (alta, moderada ou baixa);

Grau de interoperabilidade (alto ou baixo).

A figura 6 mostra a tabela representativa dos critrios e das caractersticas da taxonomia

de Axelsson.

51
 IDS
COLETA ANLISE RESPOSTA

ORIGEM MTODO TIPO

assinatura

host programada ativa

rede modelagem estado passiva

sistema especialista
casamento string
regras simples

anomalia

automtica

srie temporal
srie no temporal

programada

estatstica descritiva
default negar

assinatura inspirada

seleo caracterstica automtica

LOCALIZAO LOCALIZAO

centralizada centralizada

distribuda distribuda

Figura 6: Representao dos critrios e das caractersticas da taxonomia de Axelsson.

A tabela da Figura 7 aparece incompleta tendo em vista o enfoque desta dissertao no

tratar de identificar determinados critrios como tempo de deteco, granularidade,
segurana e grau de interoperabilidade.

52
 CRITRIOS
IDS Tempo de Granula- Origem da Respos- Processa- Coleta Segu- Interope-
deteco ridade Coleta ta mento dados dados rana rabilidade
IDES Real Contnua Host Passiva Centralizada Distribuda Baixa Baixa
MIDAS Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
W&S Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
NSM Real Contnua Rede Passiva Centralizada Centralizada Baixa Baixa
Hiperview Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
DIDS Real Contnua Host/rede Passiva Distribuda Distribuda Baixa Baixa
NIDES Real Contnua Host Passiva Centralizada Distribuda Baixa Alta
AID N/T N/T Host Passiva Centralizada Distribuda N/T N/T
IDIOT Real Contnua Host Passiva Centralizada Centralizada Baixa Baixa
GASSATA N/T N/T Host Passiva Centralizada Distribuda N/T N/T
EMERALD Real Contnua Host/rede Ativa Distribuda Distribuda Moderada Alta
NFR N/T N/T Rede/ N/A Passiva Distribuda Distribuda N/T N/T
SNORT N/T N/T Rede Passiva Centralizada Centralizada N/T N/T
ACME N/T N/T Rede Ativa Centralizada Centralizada N/T N/T
RIPPER N/T N/T Host Ativa Distribuda Distribuda N/T N/T
AAFID2 N/T N/T Host/ N/A Passiva N/A N/A N/T N/T
GBID N/T N/T Host Passiva Distribuda Distribuda N/T N/T
ESP N/T N/T Host Ativa N/A N/A N/T N/T
LISYS N/T N/T Host/ N/A Passiva Distribuda Distribuda N/T N/T
IDA N/T N/T Host/ N/A Ativa Centralizada Distribuda N/T N/T
Figura 7: Classificao dos 20 IDS, segundo Axelsson. (N/A=no aplicvel e N/T=no tratados nesta dissertao)

53
3.3 Proposta de uma nova taxonomia
Tendo em vista que as taxonomias conhecidas no abordam certos
critrios/caractersticas, alguns IDS no se enquadram nas mesmas e poderiam ser
melhor classificados, como por exemplo:
O IDS GASSATA utiliza, na sua anlise de dados, o mtodo baseado em
conhecimento, implementando regras e algoritmo gentico que podem
classificar eventos do sistema e procurar por assinaturas de ataques.

O IDS ACME utiliza um modelo com duas camadas de anlise de dados (em
srie), onde a primeira camada de anlise, baseada em comportamento,
implementa um Sistema Especialista, no qual valores limites so passados para a
base de conhecimento, que define o comportamento do sistema (nveis de
segurana de servios, por exemplo: telnet, ftp, finger, etc). Quando este limite
ultrapassado, certos procedimentos so disparados. A segunda camada de anlise
utiliza o mtodo conhecimento, mas implementa uma RN supervisionada,
podendo detectar ataques dissimulados, que tm leve variao na assinatura de
ataque, em que o intruso tenta esconder suas reais intenes, seguindo um
conjunto de aes no correlatas com o ataque.

O IDS AAFID2 utiliza, na sua coleta de dados, pacotes de rede direcionados ao

prprio host para serem analisados pelos agentes estticos que implementa.

O IDS GBID utiliza o mtodo baseado em comportamento e implementa regras

e algoritmo gentico para observar anomalia no uso de comandos por usurios
individuais. O comportamento do usurio aprendido continuamente para
capturar desvio que resulte em um nmero menor de alarmes falsos na deteco
de intruso.

O IDS ESP utiliza o mtodo composto e implementa uma tcnica de

aprendizagem no supervisionada, o clustering. Tambm apresenta uma

54
 arquitetura altamente distribuda, onde a anlise desempenhada em nmero
proporcional ao dos locais de coleta.

O IDS LISYS17 utiliza o mtodo composto com aprendizagem no

supervisionada e implementa tecnologia de imunologia computacional, observa
conexes TCP direcionadas ao prprio host e tambm o comportamento normal
de cada programa de interesse, por meio de seqncias de chamada ao sistema.

Devido a estes exemplos proposta uma taxonomia que se baseia nos 3 (trs)
componentes tpicos de uma arquitetura clssica (coleta, anlise e resposta) dando,
igualmente, importncia aos componentes. Embora simplista sob o ponto de vista do
grande nmero de caractersticas que poderiam ser referidas a um IDS, classifica os IDS
em relao aos principais critrios de funcionalidade.

No componente coleta de dados interessante a incluso do critrio mecanismo de

coleta. Os dados de auditoria so muitos e devem ser reduzidos na coleta. Para tanto,
importante ser determinado o mecanismo que ser usado na coleta dos dados.

Um componente de anlise do IDS tambm pode ser aprofundado em detalhes quanto

tcnica utilizada. Algumas tcnicas permitem agregar conhecimento e utilizam
tecnologias de inteligncia artificial.

Uma arquitetura clssica de um IDS envolve a arquitetura de coleta e tambm de

anlise. medida que as tecnologias de coleta e anlise vo se desenvolvendo, torna-se
vivel desempenhar a coleta e a deteco to prximas quanto possvel (no tempo e no
espao), levando a uma nova abordagem para a arquitetura de um IDS.

No foram levadas em considerao, na proposta da nova taxonomia, caractersticas que

no estivessem diretamente ligadas aos trs principais componentes de um IDS, uma
vez que o foco principal do trabalho voltado para as caractersticas que se referem ao
trabalho interno dos componentes, identificando sua informao de entrada, seus
mecanismos de anlise e sua interao com o mecanismo de resposta. Note que se

17
Lightweigth Intrusion detection System

55
outras caractersticas fossem includas na taxonomia, algumas delas perderiam o
sentido:

Tempo de deteco, real ou no. Um sistema de tempo real deve responder

dentro de restries de tempo estritas (tipicamente varia de um milisegundo a 1
minuto) (Pressman, 1995). Pode ser difcil classificar se forem vistos
completando as fases de coleta, anlise e resposta.

Granularidade do processamento dos dados discriminados em contnuo ou em

lotes. Como uma caracterstica ligada a caracterstica tempo de deteco
tambm fica difcil de ser analisada.

Segurana discriminada em alta e baixa. A segurana do prprio IDS uma

caracterstica difcil de ser determinada.

Grau de interoperabilidade alto e baixo. Interoperar com outros IDS envolve

questes ortogonais ao prprio IDS.

Freqncia de uso, contnuo e peridico. Pode no depender da arquitetura.

Esta nova taxonomia engloba diferentes classificaes de IDS, que sero utilizadas para
compor uma tabela (figura 11) que possibilitar uma anlise comparativa de 20 (vinte)
sistemas tratados anteriormente. Nota-se, na figura 8, que embora os critrios
arquitetura de coleta e anlise de dados apaream respectivamente nos componentes
coleta e anlise, eles sero tratados numa seo separada (3.3.4); para facilitar a
compreenso da arquitetura de um IDS, alm de estarem intrinsecamente ligados.

As classificaes se relacionam:

56
 SDI

COLETA ANLISE RESPOSTA

a. Localizao da informao de origem;

COLETA b. Mecanismo de coleta;

c. Arquitetura de coleta dos dados.

a. Mtodo de deteco;
b. Aprendizagem da anlise;
ANLISE
c. Tcnica utilizada no mtodo;
d. Arquitetura de anlise dos dados.

RESPOSTA a. Tipo de resposta.

Figura 8: Critrios da nova taxonomia proposta

3.3.1 Coleta de Dados

Os IDS podem ser classificados segundo o critrio localizao da informao de

origem. So trs [Geus, 2002]:

IDS baseados em host, que fazem o monitoramento do sistema com base em

informaes de arquivos de logs ou de agentes de auditoria. Podem ser capazes
de monitorar acessos e alteraes em arquivos do sistema, modificaes nos
privilgios dos usurios, nos processos do sistema que esto sendo executados,
no uso da CPU, entre outros aspectos.

IDS baseados em rede, que monitoram o trfego da rede, ou de um segmento da

rede, geralmente com a interface de rede em modo promscuo. A deteco

57
 realizada com a captura e anlise dos cabealhos e contedos dos pacotes, que
so comparados com padres e assinaturas de ataques conhecidos.

IDS hbridos, que assim como os IDS baseados em rede coletam o trfego de
rede, processando os pacotes, detectando e respondendo a ataques. Processam,
ainda, os pacotes endereados ao prprio sistema, como no caso do IDS baseado
em host.

Os IDS podem ser classificados segundo o critrio mecanismo de coleta de dados,

Utilizando componentes responsveis pela captura dos dados, sendo especificados
conforme, a seguir:

Coletores. A funo do coletor coletar informaes de origem e envi-las para

um gerente central to logo as entradas ocorram. O gerente central faz toda a
anlise e deciso de acordo com a poltica. Coletores podem ser:

o Coletores de host. Que so aplicaes leves que residem no host. A funo

do coletor coletar informaes de arquivos e logs do host e, envi-las para
um gerente central.

o Coletores de rede. Com a funo de coletar pacotes da rede e envi-los para

um gerente central.

Sensores. Que so dispositivos de software que monitoram a origem de dados

por ao especfica ou, por um evento suspeito, relatando suas decises para
o componente de anlise. Podem ser:

o Sensores de rede. Permitem monitorar o trfego da rede. So colocados em

locais especficos, no permetro da rede ou dentro desta. So dispositivos de
processamento intensivo e, geralmente, exigem uma mquina dedicada. O
sensor analisa todo o trfego da rede, procurando por uma evidncia de
intruso e, ento, relata a informao para um componente de anlise,
seguindo os parmetros da poltica do IDS em rede.

58
 o Sensores de host. Monitoram uma varivel especfica, atividade ou condio
de um host. Suas observaes so relatadas como valores numricos,
podendo ser discretos ou contnuos. Tm a funo de monitorar arquivos
especficos, relatando suas permisses por exemplo. Tambm fazem uso de
comandos do S.O., como por exemplo o uso do comando ps para observar o
carregamento da CPU no host UNIX, extraindo, diretamente, dados
carregados da estrutura de dados correspondentes no kernel. Funcionam de
acordo com uma poltica de segurana baseada em host.

3.3.2 Anlise de Dados

Para compreend-la deve-se atentar para trs conceitos: mtodo de deteco,

aprendizagem da anlise de dados e tcnica utilizada pelo mtodo de deteco, tambm
referenciada por mecanismo, tecnologia e princpio de deteco.

a) Mtodo de deteco. Este conceito descreve as caractersticas do analisador,

dando nfase ao tratamento dos dados. Podem ser:
Baseado em comportamento, tambm conhecido como baseado em
anomalia, que ocorre quando o IDS usa uma informao sobre o
comportamento normal do sistema que monitora, ou de seus usurios,
observando desvios que sinalizem sintomas ou cenrios de ataque. O modelo
normal ou de comportamento vlido extrado de informao de referncia
coletada por vrios meios. Mais tarde, o IDS compara este modelo com a
atividade corrente. Se um desvio observado, um alarme gerado. Em
outras palavras, qualquer comportamento que no corresponda a um
comportamento previamente aprendido considerado intrusivo.
Baseado em conhecimento, tambm referido como mau uso, baseado em
aparncia ou assinatura, assim definido quando o IDS usa informaes de
conhecimento acumulado sobre ataques especficos, ou vulnerabilidades
conhecidas no sistema. Estas informaes podem ser descritas por um padro
especfico, ou seqncia de eventos ou dados. A mquina de classificao de
dados construda em cima de descrio em termos de regras e outros
padres descritores. Estas regras ou descritores so assinaturas. Quando uma

59
 assinatura de ataque detectada um alarme disparado. Em outras palavras,
qualquer ao que no seja explicitamente reconhecida como um ataque,
considerada aceitvel.
Composto. A combinao dos dois mtodos leva a detectores compostos.
Este mtodo, automaticamente, aprende o que se constitui como
comportamentos intrusivo e normal para um sistema.

b) Aprendizagem. Independentemente do mtodo utilizado, preciso que o

conhecimento, tanto das assinaturas de ataque quanto do comportamento normal
do usurio, ou sistema, seja passado para o IDS. O novo conceito apresentado
definido como o estudo de mtodos computacionais para adquirir novos
conhecimentos, novas habilidades e novas maneiras de organizar o
conhecimento existente.

Pode-se aprender:
Um conjunto de novos fatos;
Como fazer alguma coisa;
Como melhorar a habilidade de alguma coisa j aprendida;
Como fazer a mesma tarefa mais eficientemente.

Os processos de aprendizagem podem ser definidos segundo a rvore da figura

9:

Processos de aprendizagem

Indutiva

Supervisionada No Supervisionada

rvore Aprendi- Aprendi-

Algoritmo
Deciso/ zagem zagem
Gentico
Clustering RN
Regra Bayesia- RN baseada em
Induo na Instncia

Figura 9: rvore representativa dos processos de aprendizagem utilizados na taxonomia

60
Os processos de aprendizagem podem ser agrupados em:

Automtica. Atravs de casos e exemplos, leva induo automtica e

gera as regras. Aprender denota mudanas no sistema, que so
adaptativas, no sentido que elas permitem que o sistema faa a mesma
tarefa de maneira mais eficiente. Os processos de aprendizagem podem
ser ainda:

o Supervisionados, quando usa dados fornecidos por um supervisor,

como um conjunto de exemplos pr-classificados para aprender a
descrio geral, que encapsula a informao nestes exemplos,
podendo ser usada para previso ou prognstico, como rvore de
deciso, regra de induo, rede bayesiana, rede neural,
aprendizagem baseada em instncia e algoritmos genticos
(otimizao da tcnica de busca).
o No supervisionados, quando fornecida uma coleo de dados
no classificados para buscar por regularidades, como clustering
e rede neural.

Programada. Este mecanismo de aquisio de conhecimento seria manual

a partir de origem externa. Como por exemplo, adio de filtros para
assinaturas de ataques ou perfil normal de comportamento do
usurio/sistema, numa base de conhecimento, ou mesmo adio de regras
em sistemas especialistas.

c) Tcnicas utilizadas pelo mtodo de deteco. So tcnicas de reconhecimento de

padro implementadas nos IDS. s vezes, a mesma tcnica aparece
implementada em diferentes mtodos de deteco e, tambm, com diferentes
mecanismos de aprendizagem. Basicamente elas podem ser vistas como:

Tcnicas que trabalham com regras. Modela o comportamento do

sistema/usurio pelo uso de um modelo estocstico, que no leva em conta o
comportamento temporal. A anlise baseada em regra conta com conjunto de
regras pr-definidas, que so fornecidas por um administrador, ou criadas,

61
 automaticamente, pelo sistema, ou ambas. Estas regras so usualmente
estruturadas na forma de procedimento if-then-else ou construes case.
Tcnicas que trabalham com exemplos. Treinam inicialmente o sistema para
corretamente identificar exemplos pr-selecionados do problema, ganhando
experincia. Em adio ao perodo de treinamento inicial, tambm ganham
experincia com o tempo e, na maneira que conduzem a anlise de dados
relacionada ao problema.

Elas podem ser associadas a:

Estatstica. A anlise estatstica envolve comparao de eventos especficos

baseados num conjunto de critrios pr-definidos, que no leva em conta o
comportamento temporal. Esta tcnica mantm uma base de conhecimentos
estatsticos constituda de profiles, que so definidos como um conjunto de
mtricas. Estas so medidas de aspectos particulares do comportamento do
usurio no sistema. Cada mtrica associada a uma entrada ou intervalo de
valores. Estes profiles so periodicamente atualizados para refletir mudanas
no comportamento do usurio todo o tempo.

Ou levar em considerao o comportamento de sries de tempo:

Modelagem de srie de estados, que codifica o comportamento do

usurio/sistema como um nmero de diferentes estados. Cada um destes
estados tem que estar presente no espao de observao da intruso para ser
considerado como ocorrido.

3.3.3 Mecanismo de Resposta

Uma classificao em relao ao componente de resposta pode ser:

Passiva, notificando a autoridade por meio do envio de email, entradas para
um log de segurana, etc, que conta com o AS para tomada de deciso.
Ativa (ou reativa) que se divide em:

62
 o As que exercem controle sobre os sistemas atacados, modificando
seu estado ou atenuando o efeito do ataque. Exemplo: terminando
conexes de rede, aumentando a segurana de logging ou matando
processos.
o E as que exercem controle sobre os sistemas atacantes. Estes, por sua
vez, atacam os intrusos, tentando remover sua plataforma de
operao.

3.3.4 Arquitetura de um IDS

A deteco de intruso pode ser vista como sendo realizada por trs componentes
distintos: coleta de dados, anlise e resposta. Nesta seo, so descritas as diferentes
estruturas que um IDS pode ter na coleta e anlise de dados.

Arquitetura de Coleta de Dados

A arquitetura de coleta de dados para ID refere-se classificao em relao ao local da

coleta de dados, podendo ser:
Coleta de dados centralizada, onde os dados usados pelo IDS so coletados
numa nica localizao.
Coleta de dados distribuda, onde os dados usados pelo IDS so coletados em
localizaes fixas e independe dos componentes monitorados.
Coleta de dados altamente distribuda, onde os dados usados pelo IDS so
coletados em localizaes proporcionais aos componentes monitorados.

Arquitetura de Anlise de Dados

Os IDS so classificados, segundo seu mecanismo de anlise, em centralizados,

distribudos e altamente distribudos. Suas definies so:
IDS de anlise centralizada, onde a anlise dos dados desempenhada numa
nica localizao.
IDS de anlise distribuda, no qual a anlise de dados desempenhada em
localizaes fixas e independe dos componentes monitorados.

63
 IDS de anlise altamente distribuda, no qual a anlise de dados desempenhada
em localizaes proporcionais aos componentes monitorados.

Localizao definida como uma instncia de cdigo em execuo. Assim por

exemplo, uma anlise de dados dita anlise altamente distribuda se implementada
como uma biblioteca compartilhada ligada a muitos programas, onde cada programa
executa o mecanismo separadamente. Se a biblioteca ligada a mais de um programa e
no a todos, a anlise dita distribuda. Quando ligada a um nico programa e analisa
toda a informao necessria pelo IDS, dita anlise centralizada.

A figura 10 mostra a tabela representativa dos critrios e das caractersticas da

taxonomia proposta.

64
 IDS
COLETA ANLISE RESPOSTA

LOCALIZAO MTODO TIPO

host conhecimento ativa

rede comportamento passiva

hbrido composto

MECANISMO APRENDIZAGEM

coletor programada

sensor automtica supervisionada

automtica no supervisionada

TCNICA

regras

exemplos

ARQUITETURA ARQUITETURA

centralizada centralizada

distribuda distribuda

altamente distribuda altamente distribuda

Figura 10: Tabela representativa dos critrios e caractersticas da taxonomia proposta.

A seguir mostrada uma tabela comparativa de 20 (vinte) IDS, tratados anteriormente.

65
 CRITRIOS
Coleta Anlise Resposta

IDS Local In- Mecanismo Arquitetura Mtodo de Aprendizagem Tcnica de Deteco Arquitetura Tipo de
formao Coleta Coleta de Deteco Anlise de Resposta
origem Dados Dados
IDES Host Coletor host Distribuda Comportamento Automtica Regras/Estatstica Centralizada Passiva
Supervisionada descritiva
MIDAS Host Coletor host Centralizada Comportamento Programada Regras/Estatstica Centralizada Passiva
descritiva
Conhecimento Programada Regras/Sistema
especialista
W&S Host Coletor host Centralizada Comportamento Automtica Regras induo Centralizada Passiva

NSM Rede Coletor rede Centralizada Comportamento Programada Regras/Estat. descritiva Centralizada Passiva
Conhecimento Programada Regras
Hiperview Host Coletor host Centralizada Comportamento Automtica/Sup. Exemplos / RN Centralizada Passiva
Conhecimento Programada Regras/Sist. especialista
DIDS Host/ Sensor host Distribuda Conhecimento Programada Regras/Sistema Distribuda Passiva
Rede Sensor rede especialista
NIDES Host Coletor host Distribuda Comportamento Automtica/Superv. Regras/Estat. descritiva Centralizada Passiva
Conhecimento Programada Regras/Sist. especialista
AID Host Coletor host Distribuda Conhecimento Programada Regras/Modelag. estado Centralizada Passiva

IDIOT Host Coletor host Centralizada Conhecimento Programada Regras/Modelag. estado Centralizada Ativa

GASSATA Host Coletor host Distribuda Conhecimento Automtica/Sup. Regras/estatstica/ Centralizada Passiva
Algoritmo Gentico

66
 CRITRIOS
Coleta Anlise Resposta

IDS Local In- Mecanismo Arquitetura Mtodo de Aprendizagem Tcnica de Deteco Arquitetura Tipo de
formao Coleta Coleta de Deteco Anlise de Resposta
origem Dados Dados
EMERALD Host Sensor host Distribuda Comportamento Automtica/Sup. Regras/Estat. descritiva Distribuda Ativa
Rede Sensor rede Conhecimento Programada Regras/Sist. especialista
NFR Rede/Hbrido Sensor rede/ Distribuda Comportamento Programada Regras/Modelag. estado Distribuda Passiva
Sensor host Conhecimento Programada Regras/Modelag. estado
SNORT Rede Sensor rede Centralizada Conhecimento Programada Regras Centralizada Passiva

ACME Rede Sensor rede Centralizada Comportamento Programada Regras/Sistema Espec. Centralizada Ativa
Conhecimento Automtica/Sup. Exemplos/ RN
RIPPER Host Sensor host Distribuda Composto Automtica/Sup. Reg. induo/minera. Distribuda Ativa

AAFID2 Host Hbrido Sensor host Distribuda Comportamento Automtica/Sup. Regras/Estat. descritiva Distribuda Passiva

GBID Host Sensor host Distribuda Comportamento Automtica/Sup. Regras/estatst./A.Gent. Distribuda Passiva

ESP Host Sensor host Alta. distribuda Composto Automtica/No Sup Regras/clustering Alta. distribuda Ativa

LISYS Host/Hbrido Sensor host Distribuda Composto Automtica/No Sup. Regra/Imunologia comp. Distribuda Passiva

IDA Host Coletor host Distribuda Comportamento Automtica/Sup. Regras induao Centralizada Ativa
Hbrido Sensor host

Figura 11: Classificao dos 20 (vinte) IDS, segundo a nova taxonomia proposta.

67
3.4 Comparao das taxonomias

Tabela comparativa dos critrios usados que compem trs taxonomias de IDS:

Taxonomias
Critrios
Debar Axelsson Taxonomia Proposta
Local.inform. origem Sim Sim Sim
Mecanismo coleta No No Sim
Arquitetura coleta No Sim Sim
Mtodo Sim Sim Sim
Aprendizagem No Sim Sim
Tcnica No Sim Sim
Arquitetura anlise No Sim Sim
Mecanismo resposta Sim Sim Sim

Figura 12: Comparao dos critrios da taxonomia proposta com as usuais.

68
Tabela comparativa das caractersticas usadas que compem as trs taxonomias de IDS;

Taxonomia
Critrio Caracterstica
Debar Axelsson Taxonomia Proposta

Local.inf.origem Rede Sim Sim Sim

Host Sim Sim Sim
Hbrido No No Sim
Mecanismo coleta Coletores No No Sim
Sensores No No Sim
Arquitetura coleta Centralizada No Sim Sim
Distribuda No Sim Sim
Altamente distribuda No No Sim
Mtodo Comportamento Sim Sim Sim
Conhecimento Sim Sim Sim
Composto No Sim Sim
Aprendizagem Automtica supervisionada No Sim Sim
Automtica no supervisionada No No Sim

Programada No Sim Sim

Arquitetura anlise Centralizada No Sim Sim
Distribuda No Sim Sim
Altamente distribuda No No Sim
Mecanismo Ativa Sim Sim Sim
resposta Passiva Sim Sim Sim

Figura 13: Comparao das caractersticas da taxonomia proposta com as usuais.

Se taxonomias de IDS forem vistas com relao aos trs principais componentes de um IDS, que
so a coleta de dados (CO), a anlise (MA) e o mecanismo de resposta (RE), pode-se visualizar
os critrios identificados na taxonomia, tanto funcionais quanto no funcionais, como um grande
conjunto e trs outros subconjuntos representando alguns dos critrios estudados at o presente,
destes trs componentes respectivamente.

69
 CO MA RE

Figura 14: Viso global das caractersticas dos trs componentes de um IDS

A taxonomia de Debar pode ser identificada atuando em:

CO MA RE

Figura 15: Abrangncia das caractersticas na taxonomia de Debar

A taxonomia de Axelsson pode ser vista atuando em:

70
 CO MA RE

Figura 16: Abrangncia das caractersticas na taxonomia de Axelsson.

A nova taxonomia pode ser vista atuando em:

CO MA RE

Figura 17: Abrangncia das caractersticas na nova taxonomia proposta.

3.5 Concluso

Os trs componentes da ID citados por [Bace,2000] foram identificados e utilizados em uma

taxonomia mais completa, abrangendo as trs fases: coleta, anlise e resposta. Com isto foi
possvel classificar mais completamente os 20 IDS tomados como exemplo.

Ao primeiro componente coleta de dados foi includo o critrio mecanismo de coleta, pois
importante que o grande nmero de dados de auditoria sejam reduzidos na fase de coleta, para
tanto, deve ser determinado o mecanismo que ser usado nesta fase, isto direciona a escolha de

71
um IDS, identificando tambm caractersticas implcitas como armazenamento de dados
coletados. Os IDS que utilizam coletores tm a desvantagem de carregar um volume de dados
maior que os IDS que trabalham com sensores, pois estes selecionam e obtm somente a
informao necessria, tendo como resultado, uma menor quantidade de dados gerada, podendo
monitorar os dados e somente produzir resultados quando eventos relevantes so detectados. J os
IDS que utilizam sensores tm a desvantagem de serem de implementao mais complexa, pois
no fazem s coleta de dados e o mecanismo de monitoramento tem que ser projetado de maneira
mais especfica para o componente que vai monitorar e, para o tipo de informao que ir gerar.
Adicionalmente, se forem vistos com relao ao analisador, os sensores no tm inteligncia
semelhante, podendo no coletar dados suficientes para o analisador tomar sua deciso.

Tambm foi acrescentada a caracterstica hbrido ao critrio local da informao de origem.

um tipo de IDS que tem a vantagem de examinar padres no trfego de rede, que no feito em
modo promscuo, monitorando somente os pacotes destinados ao host em questo e determinam,
em tempo real, se um ataque est sendo executado, podendo, ento, responder em tempo real. No
entanto apresentam o problema de escalabilidade, pois um IDS hbrido deve ser instalado em
cada equipamento.

O segundo componente anlise, foi aprofundado em mais detalhes quanto tcnica utilizada no
engenho de deteco. Algumas tcnicas permitem agregar conhecimento e utilizam tecnologias
de inteligncia computacional que agora aparecem de forma mais evidente quando o IDS
tratado na taxonomia proposta. Tambm foi levado em considerao o mtodo composto que,
embora mais complexo, talvez detecte, com maior rapidez, uma intruso, porque trabalha com
modelo intrusivo e de comportamento normal.

A arquitetura de um IDS foi vista atravs de outra abordagem. Um exemplo evidente o caso do
IDS ESP, que pelas taxonomias de Debar e de Axelsson no podem ser classificados. No entanto,
na taxonomia proposta aparece classificado como arquitetura altamente distribuda, aquela que a
anlise desempenhada no mesmo nmero de pontos de coleta, ou seja, to prxima no tempo e
no espao quanto possvel.

A taxonomia proposta limitada no grau de aprofundamento do terceiro componente de um IDS

mecanismo de resposta. Independentemente do modo de resposta dos IDS, de respostas reativas
ou passivas, nos dois casos a visualizao dos resultados importante para se conseguir manusear

72
os resultados advindos dos IDS, referentes a ataques ou intruses, para a interao do
componente alarme e o Administrador de Segurana - AS. Tambm ajuda a examinar, atravs do
resultado alcanado, a reao tomada ou interagir com o sistema, com a inteno de decidir por
alternativas. Embora a visualizao dos resultados no parea fazer parte de um IDS, sendo
apenas uma fase posterior resposta, ela no s complementa, de maneira valiosa, o mecanismo
de resposta como tambm traz benefcios, levando-se em considerao que, na resposta reativa,
apesar do AS no interferir nos mecanismos de resposta, pode ser til no caso de uma ao de
recuperao das configuraes do sistema. Na resposta passiva, as notificaes feitas
autoridade, atravs de email ou gravaes nos logs de segurana, precisam ser analisadas para
possveis respostas manuais.

Observa-se que, apesar da tendncia de ter IDS distribudos, a questo da apresentao dos
resultados para visualizao pelo AS continua sendo centralizada. Os alertas referentes a rede e a
host devem ser apresentados ao AS de maneira integrada para que o diagnstico seja feito o mais
acurado possvel. IDS que permitem a visualizao dos resultados consolidados, mantendo o
poder do AS entender, analisar e intervir nos mnimos detalhes so bem vistos.

O ideal seria que um IDS conseguisse reunir eficincia nos mecanismos de coleta de dados, de
anlise e de resposta. Enquanto isto no plenamente encontrado num IDS, uma caracterstica,
tambm relacionada a seus componentes principais como a sua arquitetura pode, de maneira
considervel, ajudar na sua eficincia. A incorporao de novos mtodos de coleta e anlise e a
disponibilidade dos resultados da anlise para interferncia do AS, podem, por exemplo, ser
derivada de sua arquitetura.

73
Captulo 4

Uma proposta de um modelo de IDS

A proposta de um modelo foi possvel atravs:

do estudo da Deteco de Intruso e identificao de suas caractersticas, vantagens e
limitaes;
da estruturao de uma nova taxonomia com definio de critrios e identificao de
caractersticas que levam a uma clara visualizao dos 3 (trs) principais componentes de
um IDS.

O modelo proposto tem como objetivo uma nova abordagem direcionada aos 3 (trs)
componentes funcionais de um IDS, coleta, anlise e resposta. Esta abordagem mostrada por
meio:
do modelo conceitual;
do diagrama de fluxo de dados,
da arquitetura de um IDS, que ser explicada por meio do diagrama de classes 18
da
Unified Modeling Language UML [Furlan, 1998].

18
Apndice B

74
4.1 Modelo Conceitual

O modelo de um IDS, baseado no modelo conceitual do I-DREAM [Silva e outros, 1997],

conforme a figura 18, tem como objetivo descrever a funcionalidade do sistema, abstraindo-se
das caractersticas de implementao. Pode ser visto da seguinte forma:

Administrador de Sistema

11 1 8 12 12
Visualizao Definio Controle

9 10 4 13
5
Anlise/Diagnstico
Coleta/Atuao
6
3 7
Sistema Alvo

Figura 18: Modelo de um IDS

Em um trabalho anterior, [Franklin, 1997] apresentou este modelo e um prottipo de um Sistema

de Monitorao de Recursos e Aplicaes Baseados em Intranet, ambos referenciados por
I-DREAM. A metodologia apresentada especifica um modelo conceitual que pode ser aplicado a
outros problemas. Este trabalho se utilizou deste modelo conceitual e props uma arquitetura
aplicada ao problema de deteco de intruso.

A funcionalidade de cada subsistema descrita abaixo:

Visualizao: o subsistema que fornece, ao AS, as informaes sobre os resultados das
anlises realizadas pelo subsistema Anlise/Diagnstico. Tambm fornece as informaes
contidas na Definio.

75
 Definio: o subsistema que mantm as informaes necessrias para as monitoraes.
Contm dados de configurao (como e onde coletar os dados de auditoria, como
responder as intruses, etc) e dados de referncia (profiles de comportamento esperado do
sistema alvo e de seus usurios, histricos de monitoramento, estatsticas e assinaturas de
ataques conhecidas). O AS fornece estas definies. As informaes contidas na
Definio so usadas pelo Controle para configurar as ferramentas de monitorao. Estas
informaes podem ser, tambm, usadas pelo subsistema Anlise/Diagnstico para
comparar as informaes coletadas do sistema alvo e de seus usurios com o
comportamento esperado e com as assinaturas, ambos armazenados na Definio. As
definies podem ser visualizadas e alteradas pelo AS. Uma outra funcionalidade a
capacidade de adicionar ou remover hosts monitorados, por meio de uma ordem do AS.

Controle: o subsistema responsvel pela ativao e desativao dos hosts a monitorar e

pela utilizao das definies para determinar o comportamento das ferramentas de
monitorao e interagir com o subsistema Coleta/Atuao para ativar e desativar suas
entidades (monitores, transceptores e agentes). Ferramentas existentes podem ser
removidas e modificadas, ativadas e desativadas, alm do que, novas ferramentas podem
ser adicionadas.

Anlise/Diagnstico: o subsistema que usa informaes coletadas do sistema alvo e

dados sobre o comportamento esperado do sistema/usurios, assinaturas, regras e aes
fornecidas pela Definio para detectar problemas no comportamento do sistema/usurios
e identificar aes conhecidas de ataques. Este subsistema pode decidir por duas aes:
diretamente ativar a Atuao (do subsistema Coleta/Atuao) para corrigir problemas ou
ativar alarmes para alertar o AS. Em ambos os casos, este subsistema armazena a
informao para que esta seja visualizada posteriormente.

Coleta/Atuao: o subsistema que coleta informaes no sistema alvo. As informaes

coletadas so usadas pelo subsistema Anlise/Diagnstico para formar uma anlise do
comportamento do sistema e compar-las com assinaturas conhecidas de ataque. Pode,
tambm, agir no sistema alvo para modificar seu comportamento por uma ordem do
Controle ou, resolver um problema detectado pelo subsistema Anlise/Diagnstico.

76
Os subsistemas so organizados em duas camadas:

Camada Superior, qual pertencem Controle, Definio e Visualizao;

Camada Inferior, Anlise/Diagnstico e Coleta/Atuao.

4.1.1 Diagrama de Fluxo de Dados

Como o modelo conceitual visa demonstrar a funcionalidade do IDS, um Diagrama de Fluxo de

Dados foi utilizado para especificar a funcionalidade dos subsistemas e os relacionamentos
existentes entre eles. A funcionalidade dos cinco subsistemas j foi mostrada, restando explicar o
fluxo das informaes entre os diversos subsistemas.

77
 2

12 11
12 Armazena dados
1 Definio
Ligar Solicitar Administrador comportamento 1
Controle ferramenta visualizao 11 Segurana esperado sistema
dados 8
10
13 8,9,10,11
Identificar ao Transformar dados
Alertar sobre 10 Visualizao
correspondente ao para visualizao
o problema problema 8,9,10
10
6
6,10 4
9 Anlise/
13 Coleta e 3 Diagnstico
Coletar dados
Ativar 5
Atuao comportamento
agente atual do sistema
5 5
7
Compara
comportamento
7 esperado
Ativar agente Agir no sistema para
comportamento
corrigir problema
atual

Figura 19: Diagrama de Fluxo de Dados.

78
Fluxo de Informao:

(1) Mensagem induzida do AS para mudana na base de dados do subsistema Definio.

Exemplo: Insero de novo host na rede, mudana de horrios de acesso de usurios na rede
(seguindo certas normas da poltica de segurana).

(2) Mensagem passada sob demanda do subsistema Controle vinda do subsistema Definio, para
configurar a ferramenta. Este fluxo tambm representa uma mensagem induzida pelo subsistema
Definio, representando alguma mudana realizada pelo AS na base de dados do subsistema
Definio. Exemplo: Inserir uma nova tcnica de deteco para ser utilizada como ferramenta ou
atualizao de assinatura de ataque para ser usada por um agente.

(3) Mensagem sob demanda do subsistema Coleta/Atuao, para coletar dados do comportamento
atual do sistema alvo. Tambm neste mesmo fluxo, representa uma mensagem para armazenar
dados do comportamento atual do sistema alvo. Exemplo: Checagem da permisso (400 ou 200
ou 100) no arquivo rhosts no sistema alvo, trfego da rede, utilizao da CPU, acesso a
discos,etc.

(4) e (5) Mensagem sob demanda do subsistema Anlise/Diagnstico vinda do subsistema

Coleta/Atuao e Definio, para fornecer dados do comportamento esperado do sistema alvo.
Exemplo: Comparao do comportamento atual com o esperado do espao em disco no host
monitorado, logon de usurios, etc.

(6) Mensagem induzida do subsistema Anlise/Diagnstico para o subsistema Coleta/Atuao.

Exemplo: Deteco de alterao no sistema alvo, ativa um agente para corrigir o problema do
tipo matar um processo que est ocupando tempo de CPU.

(7) Mensagem induzida pelo subsistema Coleta/Atuao para o sistema alvo. Exemplo: Matar
um processo.

79
(8) Mensagem sob demanda do AS vinda do subsistema Definio. Exemplo: Visualizar hosts
que esto disponveis para monitorao.

(9) Mensagem sob demanda do subsistema Visualizao vinda do subsistema Coleta/Atuao.

Exemplo: Visualizao do resultado do monitoramento do comportamento atual do sistema alvo.
(10) Mensagem sob demanda do subsistema Visualizao vinda do subsistema
Anlise/Diagnstico. Exemplo: Visualizar o diagnstico da anlise.

(10) Mensagem induzida do subsistema Anlise/Diagnstico para AS. Exemplo: Deteco de um

problema do tipo mudana no comportamento do sistema alvo, por exemplo quando o servidor de
DNS no est rodando, deve ser passado o alerta ao AS.

(11) Mensagem induzida do subsistema Visualizao para o AS. Exemplo: Alerta sobre o
problema detectado do tipo alterao no arquivo etc/passwd, como um sintoma de um ataque.

(11) Mensagem sob demanda do AS vinda do subsistema Visualizao. Exemplo: AS deseja ver
o resultado da comparao do nmero de logins falhos, de determinado usurio, no host
monitorado, com o nmero de logins falhos esperados/permitidos.

(12) Mensagem sob demanda do AS vinda do subsistema Controle e vice-versa (mensagem sob
demanda do subsistema Controle para o AS). Exemplo: AS ativa agente de verificao de
assinatura de ataque do tipo string para o UNIX, que pode ser cat++``>/.rhosts``, em
determinados hosts. No segundo caso, o AS pode visualizar dados sobre as ferramentas de
monitorao configuradas pelo subsistema Controle.

(13) Mensagem induzida do subsistema Controle para o subsistema Coleta/Atuao. Exemplo:

Controle solicita que seja ativado o agente que monitora conexes para mltiplas portas em
determinados hosts, como tambm a utilizao da CPU.

80
4.2 Uso de agentes inteligentes em IDS

Abordagens baseadas em agentes para deteco de intruso usam entidades de software que
desempenham certas funes de monitoramento de segurana nos hosts, como monitoramento da
coleta, anlise ou resposta. Elas funcionam automaticamente, isto , so controladas somente pelo
sistema operacional e no por outros processos. Tambm rodam continuamente e cuja operao
permite que os agentes aprendam por experincia, to bem como comunicam e cooperam com
outros agentes de construo similar.

Como visto, a abordagem de agentes muito poderosa, devido s capacidades que podem ser
embutidas nele. Seu projeto interno pode ser baseado numa variedade de paradigmas para anlise
de dados, como o casamento de padres, o sistema baseado em regras e aprendizagem usando
programao gentica. Pode ser extremamente simples, contando o nmero de vezes que um
comando particular invocado num intervalo de tempo. Ou pode ser complexo, procurando
evidncias de ataques num ambiente particular. Pode ser utilizado como mecanismo de resposta
ativa, agindo diretamente no sistema alvo, bem como, ser utilizado nas respostas passivas,
medida que o AS recebe os alertas, executando uma monitorao no host, por exemplo,
interrompendo a sesso do usurio.

A utilizao de agentes autnomos tem sido proposta por alguns autores como forma de construir
sistemas de deteco de intruso no-monolticos. Foram identificadas algumas vantagens nos
sistemas baseados em agentes autnomos em comparao com sistemas monolticos (Crosbie &
Spafford 1995a; 1995b):
fcil configurao, uma vez que possvel se ter uma srie de pequenos agentes
especializados em tarefas especficas de deteco, o sistema de deteco pode ser
configurado da forma mais adequada para cada caso;
eficincia, pois agentes podem ser treinados previamente e otimizados para realizar suas
tarefas da maneira a gerar a menor sobrecarga possvel no sistema;
capacidade de extenso, porque um sistema de agentes pode ser facilmente modificado
para operar em rede e permitir migrao para rastrear comportamentos anmalos atravs
da rede, ou, mover-se para mquinas onde eles podem ser mais teis;
escalabilidade, para atuar em sistemas maiores, bastando adicionar mais agentes e
aumentar sua diversidade;

81
 flexibilidade e robustez fornecida aos IDS. flexvel na maneira em que agentes podem
ser inseridos, removidos e atualizados sem provocar um impacto significante na operao
do sistema em tempo real. robusto, de modo que, se isolado, ou se grupos de agentes
so comprometidos, ou falham de alguma maneira, a operao do sistema maior no
necessariamente arriscada.

[Balasubramaniyan et al, 1998] liberou a segunda implementao de um ambiente, denominado

Autonomous Agents for Intrusion Detection (AAFID2), utilizando-se diversos recursos de
administrao de sistemas e segurana comuns em ambiente Unix. Algumas entidades deste
sistema foram testadas em laboratrio, como parte prtica desta dissertao e desempenham
monitoramento de coleta e anlise de dados.

Uma abordagem alternativa e promissora baseia-se em agentes inteligentes capazes de tomar

decises com mais autonomia e de migrarem entre dispositivos, possibilitando uma forma de
monitoramento mais distribuda [Macedo, 2001]. Isto os diferencia das demais tecnologias
cliente-servidor, j que no esto confinados no sistema onde comea sua execuo. Agentes
mveis so livres para serem executados em qualquer mquina do ambiente no qual esto
inseridos. Ao chegar em um ponto remoto, o agente pode tomar a deciso (autonomia) de migrar
para um novo computador, seguindo sua lista de itinerrios. Agentes mveis possuem a
habilidade de transportar a si prprios, como cdigo, estado de execuo, itinerrio, etc, de um
sistema para outro numa rede de computadores. Esta habilidade de viajar permite, a um agente
mvel, movimentar-se para o sistema de agente que contm o objeto com o qual deseja interagir.

Embora as tcnicas de inteligncia artificial paream promissoras na rea de deteco de intruso,

sua efetiva aplicao em IDS tem sido discreta.

82
4.3 Arquitetura do IDS

A arquitetura modular para um IDS descreve os mdulos de implementao da ferramenta.

desenvolvida por meio do mapeamento no modelo conceitual j mostrado.

A arquitetura composta de quatro mdulos descritos abaixo e mostrada na figura 20:

1) Sociedade de Entidades: responsvel por implementar a funcionalidade dos subsistemas

Controle, Coleta/Atuao e Anlise/Diagnstico descritos no modelo conceitual. Utiliza as
ferramentas para efetuar testes de deteco e utiliza a base de dados para recolher
informaes de configurao e dados de referncia (comportamento esperado do sistema). O
monitoramento desempenhado em trs camadas separadamente. Os monitores deste mdulo
controlam os tranceptores e estes, por sua vez, os agentes.

a) Monitores. So as entidades mais complexas com respeito capacidade de comunicao.

Um monitor deve ter todas as funcionalidades de um transceptor, pois tambm precisa ser
capaz de controlar entidades locais e coordenar as atividades entre os transceptores. Deve
dar incio e controlar entidades remotas. Deve tambm ser capaz de dar incio a novos
transceptores, ou monitores em hosts, que no tenham um rodando, bem como enviar
mensagens para eles. O monitor somente se comunica com monitores e transceptores, no
o fazendo com agentes que possam estar rodando no host. O monitor deve ser capaz de
escutar conexes de entidades remotas, porque pode ter iniciado um transceptor, ou outro
monitor em um host precisar ser controlado por um monitor j existente. A nova entidade
deve ser capaz de entrar em contato com o monitor e registrar-se enviando uma
mensagem. Uma vez que a entidade remota iniciada, ou um pedido de conexo foi
processado, o monitor deve ser capaz de se comunicar com ela da mesma maneira que
com entidades locais.

b) Transceptores. Residem nos hosts. So responsveis por receber os dados dos agentes,
que rodam no mesmo host e controlar suas atividades, como iniciao ou terminao. Eles
no precisam de capacidade de comunicao remota downstream, mas, de se comunicar
com um grande nmero de entidades locais. Agentes podem fornecer dados e comandos,
por exemplo, para o pedido de um mdulo adicional necessrio para execuo.

83
 Transceptores podem necessitar enviar um comando para um agente, por exemplo,
configurar um valor de parmetro. Tambm precisam ser capazes de responder a
comandos vindos de monitores e fornecer, aos mesmos, dados. Se um transceptor recebe
uma mensagem de um agente, a qual no capaz de interpretar, a mesma deve ser enviada
para uma entidade pai do transceptor para processamento adicional. Portanto, consolidam
relatos e os remetem para os sistemas monitores. Cada transceptor controla todas as
entidades em um host, mas no exercem influncia sobre outros agentes em outros hosts.
Existem tcnicas para fazer isto, mas o sistema no as implementa.

c) Agentes. Agentes estticos de softwares, que com a ajuda dos filtros (implementados
como threads nos agentes), coletam informaes do sistema onde esto rodando.
Monitoram aspectos especficos de atividades nos hosts e relatam, para os seus
transceptores, um comportamento anormal, que pode indicar problema de segurana.
Algumas tarefas dos agentes so fornecidas pela infra-estrutura para criao de agentes
para permitir novas entidades no menor tempo possvel. Outras como inicializao,
checagem e cleanup so especficas para cada agente. Eles so escritos off-line e realizam
tarefas especficas, por exemplo, procurando por assinaturas de ataques especficas
escritas tambm off-line e acrescentadas no SGBD. Exemplos de agentes que poderiam
rodar no sistema utilizando diversos recursos de administrao de sistemas e segurana
comuns em ambiente Unix:

i) Login de usurios em horas estranhas;

ii) Login de usurios a partir de sites no familiares da rede.
iii) Tentativas falhas de login com senhas fracas, especialmente se ocorrerem
mltiplas falhas;
iv) Reboots inexplicveis ou, mudanas nos relgios do sistema;
v) Mensagens de erro no usuais de correios, daemons ou outros servios;
vi) Uso no autorizado do comando su, para ganhar acesso de root;
vii) Espao ocupado no diretrio /tmp;
viii) Processo /etc/Shell;
ix) Espao ocupado em disco;
x) Seqncia de processos;
xi) Permisses no arquivo rhosts, s aceita 400,200 e 100;
xii) Conexes para mltiplas portas (portscan);

84
 xiii) Conexes para mesmo host de um mesmo servio;
xiv) Carregamento CPU;
xv) Configurao FTP;
xvi) Conexes TCP.

2) Interface: Faz a interao entre o AS e os mdulos SGBD, Caixa de Ferramentas e Sociedade

de Entidades. atravs da interao desta interface com o Monitor do Mdulo de Sociedade
de Entidades que se ativa e desativa os Transceptores e por sua vez os Agentes. As
informaes da definio do sistema podem ser acrescentadas, apagadas, modificadas ou
visualizadas do SGBD, bem como as regras, assinaturas e as aes de respostas.

3) Caixa de Ferramentas: A ferramenta pode ser qualquer cdigo ou tcnica que ajuda as
Entidades a executarem suas atividades. Esta Caixa atua como repositrio para todas as
informaes que as entidades possam precisar. Isto inclui, principalmente, cdigo e mdulos
de suporte. Por exemplo, um Transceptor pode ter sido iniciado com poucos recursos locais e,
quando ele precisar de um mdulo cujo cdigo no est presente no local, ser solicitado ao
seu Monitor. Este deve ser capaz de definir o cdigo necessrio e solicit-lo a Caixa de
Ferramentas. O mesmo acontece se um Agente necessitar de um cdigo adicional. Deve ser
possvel acoplar outras ferramentas a este mdulo.

4) SGBD: O SGBD, alm de armazenar a definio das configuraes, dados de referncia,

regras, assinaturas e aes definidas pelo AS, mantm tambm informaes coletadas pelos
agentes e resultados sobre o comportamento atual da rede.

A arquitetura mostrada na figura 20:

85
 Interface Usurio/Sistema

Caixa de Monitor
Sociedade de Entidades SGBD
Ferramenta

Transceptores
Transceptores
Transceptor ...
Agente Agente 3 Agente
Agente Agente Agente
Agente Agente Agente ...
Sistema Alvo Sistema Alvo Sistema Alvo ...

Figura 20: Arquitetura do IDS

A arquitetura foi derivada do modelo conceitual da seguinte maneira:

A funcionalidade da interface do usurio, encontrada nos subsistemas Definio,
Visualizao e Controle, implementada pelo mdulo IUS.
A funcionalidade do subsistema Controle implementada pelos mdulos, Monitor e
Transceptor.
A funcionalidade do Banco de Dados, requisitada pelos subsistemas Definio,
Coleta/Atuao e Anlise/Diagnstico, implementada pelo mdulo SGBD.
A funcionalidade de diagnstico, identificao de soluo e correo de problemas do
subsistema Anlise/Diagnstico implementada pelos mdulos, Monitor, Transceptor e
Caixa de Ferramentas.
A funcionalidade da coleta de informaes do subsistema Coleta/Atuao implementada
pelos mdulos, Monitor, Transceptor, Agente e Caixa de Ferramentas.
A funcionalidade de realizao de aes do subsistema Coleta/Atuao implementada
pelos mdulos, Monitor, Transceptor e Agente.

86
4.4 O que se espera deste modelo

Na ausncia de uma tecnologia nica que detecte ou resolva os problemas encontrados, a idia a
existncia de uma arquitetura com caractersticas de flexibilidade e extensibilidade, visando
permitir a alterao ou a incluso de novos mtodos de deteco.

O mdulo Sociedade de Entidades construdo de maneira hierrquica, composto de entidades

que se referem a qualquer dos componentes definidos na mesma. Inclui agentes, transceptores e
monitores. Cada entidade um objeto separado, que conserva seu prprio estado interno e
comportamento de acordo com sua funo no sistema. So programas que rodam de forma
independente.

O mdulo Interface, como um programa que interage com a Sociedade de Entidades, tambm
pode ser considerado entidade superior na hierarquia.

O mdulo Caixa de Ferramentas pode implementar tcnicas mais aprimoradas, tais como:
Programao gentica, no reconhecimento da dinamicidade do comportamento do usurio.
Tcnica para reter o estado entre sesses. Estados isolados podem no representar um ataque,
no entanto, quando vistos em seqncia, podem permitir que sejam detectados ataques a
longo prazo ou, mudanas no comportamento do usurio/sistema;
Tcnica de reduo de dados, para lidar com volume de dados menor por questes de
segurana.
Rede Neural Artificial, para reconhecer leves variaes nas assinaturas de ataques.
Imunologia Computacional.

Monitores podem detectar eventos no notificados por transceptores, podendo tambm controlar
outros Monitores, localizados em outros hosts. No entanto, se implementados de maneira
hierrquica, podem sofrer com o problema de consistncia da informao. Mesmo esta
distribuio de controle do IDS, ainda mantm-se o ponto de falha do sistema num nvel mais
elevado.

87
Filtros podem ser implementados como threads nos agentes para ajudar na coleta de dados.
Agentes diferentes podem necessitar que sejam coletados dados, de uma mesma origem,
simultaneamente. Neste caso, os filtros ajudam na passagem dos dados para os agentes.

O arranjo hierrquico observado na arquitetura, onde entidades num nvel mais baixo
desempenham parte do trabalho e transmitem seus resultados para entidades mais altas na
hierarquia, talvez seja a nica maneira de manter os sistemas escalveis.

O modelo proposto contempla 3 (trs) abordagens que podem ser encontradas na taxonomia
proposta:
Coletas no podem ser feitas de uma nica origem. Deve-se dar o suporte para que o IDS atue
em origens diferentes;
No existe um mtodo nico de deteco que analise todos os problemas. Deve-se dar o
suporte ao IDS para que o mesmo permita a incluso de novos mtodos de anlise de dados
para deteco de intruso;
A existncia de um outro meio de resposta intruso que no utiliza somente respostas
automticas. Um mecanismo que permita que AS programe suas respostas para atuarem
atravs de ferramentas.

Um IDS no deve somente se preocupar em como a intruso ser detectada, nas tcnicas
utilizadas na anlise, como objetivo principal de um IDS. A tarefa de deteco baseada tambm
em decises como [Zamboni, 2000]:
O que ser detectado?
Como os dados sero coletados?
O que ser feito com o resultado da anlise?

A maioria dos modelos de IDS estudados, que compe o survey, apresenta coleta de uma nica
origem, no emprega agentes na coleta de dados nem apresentam visualizao dos resultados da
anlise. A arquitetura proposta se preocupou igualmente com a coleta de diversas origens, com a
diversidade de tcnicas de anlise e a visualizao dos resultados da anlise.

Na prtica, no entanto, o projeto de um IDS pode no contemplar todas as funcionalidades

apresentadas, devido a restries impostas pelo ambiente no qual o IDS vai operar ou pela

88
poltica de segurana implantada. Um projeto de um IDS pode ser dirigido aos dados disponveis
para coleta, isto vai influenciar ou determinar as tcnicas de anlise e as capacidades de deteco.
Ou pode ser dirigido a uma tcnica de anlise especfica, neste caso os dados necessrios para
coleta sero determinados e suas respectivas origens indicadas.

4.5 Anlise do modelo proposto numa organizao

O modelo proposto poderia ser analisado levando-se em considerao a localizao dos IDS
numa organizao. A base conceitual para anlise a taxonomia, os critrios nela definidos e
suas respectivas caractersticas compem uma slida estrutura para escolha de um IDS a ser
aplicado numa organizao. Foi tomada como base uma rede com seus recursos pblicos,
privados e internos bem como os mecanismos de segurana implementados como na figura 21
[Geus, 2002]. Diante do posicionamento dos 5 (cinco) IDS nos cinco segmentos de rede da
organizao, eles seriam vistos segundo:

a localizao da informao de origem;

o mecanismo de coleta;
o mtodo de deteco;
a aprendizagem;
a tcnica utilizada;
o mecanismo de resposta;
a arquitetura do IDS.

Os 5 IDS baseados em rede especificados como: IDS1, IDS2, IDS3, IDS4 e IDS5, aparecem na
figura 21 respectivamente como: 1, 2, 3, 4 e 5. Os 6 IDS baseados em host especificados como:
IDSA, IDSB, IDSC, IDSD, IDSE e IDSF aparecem tambm na figura 21, ao lado do servidor no
qual sero instalados como: A, B, C, D, E e F respectivamente.

89
 VPN
1 4
Internet Rede F
Firewall Interna
DMZ1 5
DMZ2

22
3
3
C
D

E-mail
Banco de
B Dados

Web E
FTP

A Autoridade
Certificadora
Web

Figura 21: Localizao de mecanismos de segurana numa organizao19.

IDS1 com o objetivo de detectar todas as tentativas de ataque contra a rede da organizao, at
mesmo as tentativas que no teriam efeito algum, como ataques a servidores web inexistentes.
Localizado no segmento de rede antes do firewall, seria implementado como:
com origem da informao na rede; com sensores de rede que possam filtrar por strings,
ou protocolos especficos, baseado em conhecimento que utilizam a modelagem de regras
procura de assinaturas de ataques, com aprendizagem programada.

IDS2: com o objetivo de detectar tentativas de ataque contra recursos pblicos localizados na
zona desmilitarizada (DMZ1), como servidores de e-mail, ftp, web; que passam pelo firewall,

19
Foi utilizado um nico componente de firewall, com 5 (cinco) interfaces de rede e utilizao da VPN em uma
interface dedicada do firewall.

90
mas, no entanto no implica no comprometimento da rede da organizao; seria implementado
nos padres do IDS1.

IDS3: com o objetivo de detectar tentativas de ataque contra recursos privados localizados numa
segunda zona desmilitarizada (DMZ2), por exemplo servidor de banco de dados, que passam pelo
firewall, pela VPN e por algum servio da primeira zona desmilitarizada, como por exemplo
servidor web. Localizado no segmento de rede atrs do firewall e seria implementado como:
com origem da informao na rede; com sensores de rede, baseado em comportamento
(por ser um acesso mais privado nesta DMZ2, pode-se trabalhar em cima do
comportamento do sistema/usurio) que utiliza a modelagem de estado, com
aprendizagem programada.

IDS4 com o objetivo de detectar tentativas de ataque contra recursos internos da organizao, que
passam pelo firewall e que podem vir pela VPN, seria implementado nos padres do IDS3.

IDS5: com o objetivo de detectar tentativas de ataque contra recursos internos da organizao
seria implementado como:
com origem da informao na rede, com sensores de rede, baseado em comportamento
que utilizam tcnicas de inteligncia artificial, aprendizagem automtica.

necessrio, tambm, o posicionamento de IDS baseado em host na organizao, para aumentar

a segurana de hosts especficos, como por exemplo:

A. Servidor web;
B. Servidor FTP;
C. Servidor e-mail;
D. Servidor de banco de dados;
E. Servidor autoridade certificadora;
F. Servidor de aplicativos.

Os IDS A, B, C, D, E e F seriam implementados como:

Origem da informao baseada em host, sensores de host, baseado em comportamento
que utilizam tcnicas de IA, aprendizagem automtica.

91
Estes IDS descritos nos cinco segmentos de rede e localizados na organizao seriam
implementados no modelo como entidades de IDS, da seguinte forma:

Uso de uma mquina no segmento 5 de rede como a Interface do Usurio do Sistema. O monitor
ativado nesta mquina e este ativa os transceptores para os segmentos de rede 1, 2, 3 e 4 e para
o prprio segmento. O transceptor, por sua vez, ativa os agentes especficos para detectar os
ataques nos respectivos segmentos. Estas entidades podem ser implementadas nos mesmos
padres dos IDS1, IDS2, IDS3, IDS4 e IDS5. O monitor controla o transceptor da prpria
mquina bem como aqueles ativados remotamente. Os transceptores apenas controlam os agentes
que foram ativados por ele, ou seja, no local.

O monitor tambm ativa transceptores para trabalharem nos servidores localizados nas duas DMZ
e em hosts instalados na rede interna, que queiram detectar intruses. Os transceptores ativam
agentes especficos para detectar intruses nos hosts no qual esto instalados. Estas entidades
podem ser implementadas, tambm, nos mesmos padres dos IDS descritos como IDSA, IDSB,
IDSC, IDSD, IDSE e IDSF.

O mecanismo de resposta do modelo pode ser ativo nas implementaes que utilizam a origem de
dados baseada em rede e passivo quando utilizam o host como origem de dados.

A arquitetura distribuda, tanto na coleta de dados como na anlise.

4.6 Concluso

A idia em torno deste modelo a viso de:

Transceptores em cada host monitorado como um IDS baseado em host, inclusive
detectando intruses ao nvel de aplicao, com a capacidade de controle e
processamento. Podem ser vistos como interface externa de comunicao do host;
Transceptores como IDS baseados em rede monitorando todos os pacotes direcionados
aos hosts localizados em segmentos da rede;
Os Monitores com capacidade de controle e processamento, podendo correlacionar a
informao dos Transceptores. Estando em um nvel mais elevado, percebe ataques no
detectados em um nvel mais baixo da hierarquia.

92
 Agentes esto nas folhas da rvore, portanto, somente enviam mensagens para cima. A
entidade localizada na raiz da rvore sempre um monitor. Mas este pode aparecer
tambm, em nveis intermedirios. A nica entidade que pode estar acima do monitor
localizado na raiz a interface do usurio, ou algum outro programa que controle todo o
IDS.
As ferramentas da Caixa de Ferramentas podem ser inseridas, removidas ou alteradas,
dando modularidade arquitetura.

O ponto de demarcao que, tipicamente, existe entre o monitoramento de deteco de intruso e

ambiente alvo transparente neste modelo. Transceptores e Agentes podem trabalhar localmente
monitorando o host local como seu sistema alvo bem como serem ativados em host remoto, em
um ponto de estrangulamento da rede, monitorando todos os pacotes direcionados aos hosts desta
rede.

O modelo distribudo da Sociedade de Entidades e o mdulo Interface utilizam uma arquitetura

hierrquica que prov facilidade de escalabilidade e manutenibilidade em oposio a arquitetura
centralizada apresentada na arquitetura do I-DREAM.

Construir sistemas com processamento distribudo talvez seja a nica maneira de torn-los
escalveis. Esta descentralizao de processamento permite que mais de uma ferramenta ou mais
de um analisador seja usado de maneira distribuda.

Mesmo com o processamento distribudo ainda se mantm o AS (Administrador de Segurana do

Sistema), para receber e atuar nos alarmes. A noo de que deteco de intruso pode tornar-se
completamente automtica controvertida. Certamente os IDS exigem extensivo suporte
humano, particularmente em termos de correlao e interpretao de informao, mesmo que os
sistemas ganhem funcionalidade.

As entidades do mdulo Sociedade de Entidades, da arquitetura proposta, podem ser

implementadas como programas separados. Uma proposta seria a implementao dos Agentes
como threads nos Transceptores. Este mecanismo pode acelerar a execuo da deteco,
eliminando boa parte da sobrecarga envolvida na execuo dos Agentes.

93
Os mdulos, Sociedade de Entidades e Interface, apresentam-se de maneira hierrquica. Assim,
concede, naturalmente, hierarquia a um modelo de comunicao. Os nveis que esto mais
prximos da raiz da hierarquia so identificados como upstream e, os que esto mais prximos
das folhas da rvore, como downstream. Uma entidade est acima da outra se pode ser alcanada
pelos caminhos de comunicao upstream e, abaixo, se pode ser alcanada pelos caminhos de
comunicao downstream. Uma entidade somente pode ter comunicao direta com entidades
que estejam imediatamente acima e abaixo dela prpria.

Uma entidade pode precisar de uma ferramenta, que esteja faltando, para poder desempenhar suas
funes. Neste caso a entidade envia uma mensagem para cima especificando a ferramenta que
falta. O mdulo Caixa de ferramentas disponibilizar a ferramenta necessria para o trabalho da
entidade. Este mecanismo traz flexibilidade arquitetura e leveza das entidades. Tambm permite
o mdulo Sociedade de entidades ser limitado a ferramentas essenciais e, ento, ter todas as
outras, desdobradas quando necessrias.

O protocolo utilizado de comunicao entre hosts o TCP. O nico mecanismo de segurana de

comunicaes corrente previsto para ser utilizado no modelo o ssh para monitorar o host
remotamente. Contudo, nenhuma autenticao ou criptografia feita depois deste ponto.

94
Captulo 5

Consideraes Finais

Esta dissertao apresentou uma proposta de uma nova taxonomia dos IDS, quanto s mquinas
de coleta, anlise e resposta. Tambm apresentado um survey de vinte (20) IDS, escolhidos pela
diversidade de mecanismos neles implementados. A comparao dos sistemas foi feita baseando-
se nas taxonomias apresentadas. Por ltimo e no menos importante, a partir do estudo
taxonmico, foi mostrada uma nova abordagem para um modelo de um IDS, que utiliza um
modelo conceitual j validado por aplicao na rea de Administrao de Sistemas.

5.1 A Deteco de Intruso

A pesquisa e o desenvolvimento da tecnologia de deteco de intruso vm se desenvolvendo
desde 1980 [Anderson, 1980], proporcionando estratgias de soluo para aperfeioar seus
objetivos, bem como restries para suportar. Fica claro que tecnologia de deteco de intruso
uma parte de um programa completo de segurana computacional.

Identificou-se a importncia de um extenso conhecimento nas tecnologias existentes para, atravs

de suas vantagens e limitaes, identificar sua funcionalidade, aplicao e possvel tomada de
deciso. Ainda existem muitos desafios a alcanar, principalmente no que diz respeito a:

Educao do usurio. Muitos, se no a maioria dos ataques, ocorrem atravs de engenharia

social.

95
 A noo de que deteco de intruso pode tornar-se completamente automtica
controvertida. Certamente os IDS exigem extensivo suporte humano, particularmente em
termos de correlao, interpretao de informao e tratamento de alarmes, mesmo que os
sistemas ganhem funcionalidade.

5.2 Contribuies
Resumidamente, este trabalho teve como contribuies:

Apresentao dos conceitos bsicos sobre deteco de intruso, sua finalidade, as formas
de ataques s redes computacionais, as vantagens e limitaes no emprego de mecanismos
de deteco de intruso e identificao de seus principais componentes funcionais;
Apresentao de uma taxonomia dos IDS diante das principais caractersticas encontradas
nos 3 (trs) mdulos principais de um IDS: coleta de dados, anlise e componente de
resposta.
Apresentao do Estado da Arte em termos de Sistemas de Deteco de Intruso,
abordando uma grande variedade de mecanismos conhecidos at a presente data;
Apresentao de um Survey dos IDS levando-se em considerao a nova taxonomia
proposta. Uma tabela comparativa dos IDS, mostrando caractersticas ainda no
analisadas em outros surveys de IDS e tambm importantes como, mtodo de coleta,
aprendizagem e arquitetura;
Identificao das vantagens e limitaes dos mecanismos empregados na deteco. Tanto
mecanismos de coleta como mecanismos de anlise e resposta.
Definio de uma arquitetura extensvel, hierrquica e escalvel, facilitada pela
capacidade de fcil insero de novos agentes e de novas assinaturas de ataque, medida
que novas vulnerabilidades so conhecidas.

Os testes com o prottipo AAFID2 demonstraram que um ambiente com agentes autnomos
possvel, desempenhando o nvel mais baixo da hierarquia. Tambm demonstrou que podem
trabalhar independente do sistema operacional do sistema alvo e de suas interfaces com os
dispositivos de rede. Uma contribuio desta dissertao, ao projeto COAST do Departamento de
Cincia da Computao da Universidade de Purdue, foi o retorno dos resultados obtidos nas
mquinas com sistema operacional AIX, onde nunca tinham sido testadas.

96
A observao de testes com o SNORT mostraram que, na prtica, um IDS que implementa
regras, que filtram assinaturas de ataques, melhor em termos de:

Alarmes so relativos ao que realmente conhecido ser intrusivo, em oposio aquele

alerta ao que comportamento supostamente intrusivo.
Codificar regras mais fcil que codificar exemplos de intruso e tambm no necessita
de perodo de treinamento do IDS.

No entanto exige extensivo suporte humano de Administrador de Sistemas experiente,

particularmente em termos de interpretao de logs, identificao de assinaturas, criao de filtros
e atualizao da base de regras do IDS. A experincia e o treinamento adequado de um
Administrador de Sistemas podem ser decisivos para uma interpretao correta das informaes
derivadas dos IDS, para que possam tomar aes apropriadas quando uma intruso identificada,
assegurando um resultado positivo.

A contribuio dada ao I-DREAM [Silva e outros, 1997], na definio de uma arquitetura

distribuda para o Gerente e um arranjo hierrquico para a Sociedade de Agentes, prov
facilidade de escalabilidade e manutenibilidade em oposio quela arquitetura, apresentada
anteriormente, centralizada no Gerente e a Sociedade de Agentes num nico nvel.

5.3 Trabalhos Futuros

Como trabalho futuro para esta pesquisa proposto:

Validar o modelo proposto segundo os requisitos de [Barrus, 1997] apresentados no

captulo 1.
Implementar um prottipo funcional que possa incluir o desenvolvimento de ferramentas,
como mdulos independentes, provendo cenrios avanados de deteco de intruso,
como por exemplo:

o introduzindo o conceito de algoritmos genticos para avaliao do comportamento

do usurio/sistema;

97
 o com tecnologia de redes neurais como um sistema de respostas com tratamento de
alarmes;
o utilizando tecnologia de Imunologia computacional para cuidar da segurana do
prprio IDS;
o agentes com caractersticas de mobilidade, como forma de construir arquiteturas
distribudas.

Um estudo mais aprofundado da taxonomia, no qual se inclua a anlise de dependncias

entre as caractersticas que aparecem na mesma. Por exemplo, caractersticas relacionadas
a um determinado mecanismo de coleta tendem a aparecer em IDS, quando a localizao
de coleta apresenta determinada caracterstica. Ou ainda, uma tcnica especfica possui
uma maior tendncia de atuar em IDS que implementa determinada aprendizagem ou
mtodo especfico.

98
Referncias Bibliogrficas

[Allen et al., 1998] John Kochmar, Julia Allen, Christopher Alberts, Cory Cohen, Gary Ford,
Barbara Fraser, Suresh Konda, Klaus-Peter Kossakowski and Derek Simmel. Preparing to
Detecting Signs of Intrusion. CMU/SEI, Pittsburgh, PA: Software Engineering Institute,
Carnegie Mellon University, 1998. http://www.cert.org/security-improvement/modules/m05.html.

[Allen et al., 1999a] Julia Allen, Alan Christie, William Fithen, John McHugh, Jed Pickel, Ed
Stoner. State of the Practice of Intrusion Detection Technologies, CMU/SEI 1999, TR 028.
www.sei.cmu.edu/publications/documents/99.reports/ 99tr028/99tr028abstract.html

[Allen et al., 1999b] Klaus-Peter Kossakowski, Julia Allen, Christopher Alberts, Cory Cohen,
Gary Ford, Barbara Fraser, Eric Hayes, John Kochmar, Suresh Konda, and William Wilson.
Responding to Intrusion. CMU/SEI, Pittsburgh, PA: Software Engineering Institute,
Carnegie Mellon University, 1999. http://www.cert.org/security-improvement/modules/m06.html.

[Amoroso, 1999] Edward G. Amoroso. Intrusion Detection: An Introduction to Internet

Surveillance, Correlation, Trace Back, Traps and Response. Intrusion.Net Books, 1999.

[Anderson, 1980] James P. Anderson. Computer Security Threat Monitoring and Surveillance.
Fort Washington, PA, April 1980.

[Asaka, 1999] Asaka, M., Taguchi, A., and Goto, S. The Implementation of IDA: An Intrusion
Detection Agent System. In Proceedings of the 11th Annual FIRST Conference on
Computer Security Incident Handling and Response (FIRST'99).
www.ipa.go.jp/STC/IDA/paper/ida-install-e.pdf .

[Axelsson, 1999] Stefan Axelsson. Research in Intrusion Detection Systems: A Survey. 1999.

[Axelsson, 2000] Stefan Axelsson. Intrusion detection systems: A Survey and Taxonomy. 2000.

99
[Babbie, 1999] Babbie, Earl, Mtodos de pesquisa de survey, Editora UFMG, 1999.

[Bace, 2000] Rebecca Gurley Bace. Intrusion Detection. Macmillan Technical Publishing, 2000.

[Balajinath and Raghavan, 2000] B. Balajinath, S. V. Raghavan. Intrusion Detection Through

Learning Behavior Model. Computer Communications 24, pginas 1202-1212, 2001.
www.netlab.cs.iitm.ernet.in/publications/ refereed-journal.html.

[Barber, 2001] Richard Barber. The Evolution of Intrusion Detection Systems The next Step.
Computers & Security 20, 132-145, 2001.

[Barrus, 1997] Joseph D. Barrus. Intrusion Detection in Real Time in a Multi-Node Multi-Host
Environment. Masters Thesis, Naval Postgraduate School, Monterey, CA, september 1997.

[Barrus, 1998] Joseph D. Barrus and Neil C. Rowe. A Distributed Autonomous-Agent Network-
Intrusion Detection and Response System. Command and Control Research and Technology
Symposium, Monterey CA, June-July 1998.

[Bernardes, 1999] Mauro Cesar Bernardes. Avaliao do Uso de Agentes Mveis em Segurana
Computacional. Dissertao de Mestrado. Instituto de Cincias Matemtica e de
Computao - ICMC/USP, novembro 1999.

[Borchardt e Mazieiro, 2001] Mauro A. Borchardt e Carlos Mazieiro, Verificao da Integridade

de Arquivos pelo Kernel do Sistema Operacional, 2001.

[Cannady and Harrell, 1996] James Cannady, Jay Harrell. A comparative analysis of current
intrusion detection technologies, 1996.

[Cannady, 1997] James Cannady. Artificial neural networks for misuse detection. 1997.

[Cansian, 1997a] Adriano Mauro Cansian. Desenvolvimento de um Sistema Adaptativo de

Deteco de Intrusos em Redes de Computadores. Tese de doutorado, Instituto de Fsica de
So Carlos/USP, 1997.

100
[Cansian, 1997b] ACME! Advanced Counter Measures Environment, Um mecanismo de Captura
e Anlise de Pacotes para Aplicao em Deteco de Assinaturas de Ataque.
http://www.acme-ids.org/.

[Cansian, 1999] Adriano Mauro Cansian. Deteco de Intruso em Redes de Computadores.

UNESP Universidade Estadual Paulista. Simpsio sobre Segurana da Informao, ITA,
CTA, 1999.

[Cansian, 2000] Adriano Mauro Cansian. Crime na Internet: Conhecendo e Observando o

Inimigo. SSI, 2000.

[Carnut e outros, 2001] Cristiano Lincoln Mattos, Evandro Curvelo Hora e Marco Antonio
Carnut. Desvendando Vulnerabilidades de Rede. Cesar/Tempest Security Technologies,
Cin/UFPE, 2001.

[Cheswick and Bellovin 94] William Cheswick and Steven Bellovin. Firewalls and Internet
Security. Addison-Wesley, 1994.

[Cunningham and Lippmann, 2000] Richard P. Lippmann and Robert K. Cunningham. Improving
Intrusion Detection Performance Using Keyword Selection and Neural Networks.
Computer Networks 34, 597-603, 2000.

[Debar et al, 1992] Debar, Herv, Beckerand Monique, Siboni, Didier. Hiperview: An Intelligent
security supervisor. In Proceedings of the 2nd International Conference on Intelligence in
Networks. Bordeaux. Frana, march 1992.

[Debar et al., 1999] Herv Debar, Marc Dacier, Andreas Wesp. Towards a Taxonomy of Intrusion
Detection Systems. Computer Networks 31, pginas 805-822, 1999.

[Denning, 1987] Denning, D., An Intrusion-Detection Model. IEEE Transaction on Software

Engineering, Vol. SE-13, No. 2, 1987.

[Denning, 1999] Dorothy Elizabeth Denning. Information Warfare and Security. Addison-
Wesley Longman, Inc., 1999.

101
[Endler, 1998] Markus Endler. Novos Paradigmas de Interao Usando Agentes Mveis.
Departamento de Cincia da Computao, IME USP. SBRC, 1998.

[Filho, 1997] Elson Felix Mendes Filho. Algoritmos Genticos. LABIC-ICMC, USP So Carlos
http://www.icmsc.sc.usp.br/~prico/gene1.html.

[Firth et al., 1997] Robert Firth, Gary Ford, Barbara Fraser, John Kochmar, Suresh Konda, John
Richael, Derek Simmel. Detecting Signs of Intrusion. Secutity Improvement Module, CERT
Coordination Center. http://www.cert.org/security-improvement/modules/m01.html.

[Flood and Carson, 1993] Robert Flood and Ewart Carson. Dealing with complexity An
introduction to the theory and application of system science, chapter 8, pages 151-158.
Plenum Press, New York, second edition, 1993.

[Forrest, 1997] Anil Somayaji, Steven A. Hofmeyr, Stephanie Forrest. Computer Immunology,
Communications of the ACM 40 (10) 88-96, 1997.

[Forrest, 1999] Steven A. Hofmeyr, Stephanie Forrest. Architecture for an Artificial Immune
System, Department of Computer Science, UNM, Albuquerque, NM, Santa fe Institute.
http://www.cs.unm.edu/~judd/lisys/.

[Franklin, 1997] Danielle Mattos Franklin. I-DREAM Um Sistema de Monitorao de Recursos e

Aplicaes Baseado em Intranet, Dissertao de Mestrado CIn/UFPE, 1997.

[Frincke and Huang, 2000] Deborah A. Frincke and Ming-Yuh Huang. Recent Advances in
Intrusion Detection Systems. Computer Networks 34, 541-545, 2000.

[Frisch, 1995] Aeleen Frisch. Essential System Administration. OReilly & Associates, Inc, 1995.

[Furlan, 1998] Jos Davi Furlan. Modelagem de Objetos atravs da UML, 1998.

[Geus, 1999a] Paulo Lcio de Geus. Componentes da Segurana: Aspectos de Segurana do

Linux2.2., SSI1999.

102
[Geus, 1999b] Paulo Lcio de Geus. Comparao entre Filtros de Pacotes com Estados e
Tecnologias Tradicionais de Firewall, 1999 SSI1999.

[Geus, 2000] Paulo Lcio de Geus.Teias de Confiana, 2000. SSI2000.

[Geus, 2002] Emlio Tissato Nakamura e Paulo Lcio de Geus. Segurana de redes em ambientes
cooperativos Editora Berkeley, 2002.

[Heady, 1990] R. Heady, G. Luger, A. Maccabe, M. Servilla, The Architecture of a Network

Level Intrusion Detection System, 1990.

[Hora, 1999] Evandro Curvelo Hora. Sobre a Percepo Remota de Sniffers para Detectores de
Intruso em Redes TCP/IP, Dissertao de Mestrado CIn/UFPE, 1999.

[Huang et al., 1999] Ming-Yuh Huang, Robert J. Jasper, Thomas M. Wicks. A Large Scale
Distributed Intrusion Detection Framework based on Attack Strategy Analysis. Computer
Networks 31, 2465-2475, 1999.

[Ingram, 1999] Dennis J. Ingram. Autonomous agents for distributed intrusion detection in a
multi-host environment. Dissertao de mestrado da Naval Postgraduate School, 1999.

[Javitz, 1991] H. S. Javits and Valdes. The SRI IDES Statistical Anomaly Detector, 1991.
http://www.sdl.sri.com/projects/nides/index5.html.

[Javitz, 1993] Javitz, H. S., and A. Valdes. The NIDES Statistical Components Description and
Justification, 1993. http://www.sdl.sri.com/projects/nides/index5.html.

[Jeremy, 1994] Frank Jeremy. Artificial Intelligence and Intrusion Detection: Current and Future
Directions. University of California at Davis, 1994.

[Jonsson and Lundin, 2000] Emile Lundin, Erland Jonsson. Anomaly-based Intrusion Detection:
Privacy Concerns and other Problems. Computer Network 34, 623-640, 2000.

103
[Lee and Stolfo, 1998] Wenke Lee and Salvatore Stolfo. Data Mining Approaches for Intrusion
Detection. Columbia University, New York, 1998.
www.cs.columbia.edu/~sal/hpapers/USENIX/usenix.html.

[Lunt, 1988] Teresa F. Lunt. Automated Audit Trail Analysis and Intrusion Detection: A Survey.
11th National Computer Security Conference, 1988.

[Macedo, 2001] Hendrik Teixeira Macedo. Mobilidade autonomia e distribuio de agentes para
o gerenciamento corporativo de sistemas. Dissertao de Mestrado CIn/UFPE, 2001.

[M, 1998] GASSATA A Genetic Algorithm as an Alternative Tool for Security Audit Trail
Analysis. First International Workshop on the Recent Advances in Intrusion Detection,
Belgium, 1998. www.supelec-rennes.fr/rennes/si/ equipe/lme/PUBLI/raid98.pdf.

[Mukherjee et al, 1990] Biswanath Muwherjee, L. Todd Heberlein, Karl N. Levitt, Gihan V.
Diaz, Jeff Wood and David Wolber. A Network Security Monitor. IEEE Network, pp. 296
304, 1990. http://seclab.cs.ucdavis.edu/papers/pdfs/th-gd-90.pdf.

[Mukherjee et al., 1991] J Brentano, G. Dias, T. Goan, T. Heberlein, C. Ho, K. Levitt, B.

Mukherjee, S. Smaha, T. Grance, D. Teal and D. Mansur. DIDS Distributed Intrusion
Detection System Motivation, Architecture and an Early Prototype. Proceeding of the
Fourteenth National Computer Security Conference, Washington, 1991.
seclab.cs.ucdavis.edu/papers/DIDS.ncsc91.pdf.

[Mukherjee et al., 1994] Biswanath Muwherjee, L. Todd Heberlein and Karl N. Levitt. Network
Intrusion Detection. IEEE Network, vol. 8-3, pp. 26-41, 1994.

[Neumann, 1985] Neumann, P. G., Audit Trail Analysis and Usage Collection and Processing.
Technical Report Project 5910, SRI International.

[Northcutt, 1999] Stephen Northcutt. Network Intrusion Detection: An Analysts Handbook. New
Riders Press, 1999.

104
[Northcutt, 2001] Stephen Northcutt, Judy Novak, Donald McLachlan. Segurana e preveno
em redes Editora Berkeley, 2001.

[Nilsson, 1996] Nils J. Nilsson. Introduction to Machine Learning, 1996.

[Porras and Neumann, 1997] P.G. Neumann and Phillip A. Porras. EMERALD: Event
Monitoring Enabling Responses to Anomalous Live Disturbances. In Proceedings of the
First USENIX Workshop on Intrusion Detection and Network Monitoring, pages 73-80,
Berkeley, CA, 1997. www.csl.sri.com/emerald/index.html

http://www.nfr.com/products/NID/docs/NID_Technical_Overview.pdf.

[Reami, 1998] E. R. Reami. Especificao e Prototipagem de um Ambiente de Gerenciamento de

Segurana Apoiado por Agentes Mveis. Dissertao de Mestrado, ICMC/USP, 1998.

[Richards, 1999] Kevin Richards. Network based Intrusion Detection: A Review of Technologies.
Computers & Security 18, 671-682, 1999.

[Roesh, 1997] M Roesh. Snort Ligtweight Intrusion Detection for Networks, 1997.
http://www.snort.org

[Schneier, 2000] Bruce Schneier. Secrets & Lies - Digital Security in Networked World. Wiley
Computer Publishing, 2000.

[Schonlau and Theus, 2000] Matthias Schonlau, Martin Theus. Detection Masquerades in
Intrusion Detection based on Unpopular Commands. Information Processing Letters 76,
33-38, 2000.

[Silva e outros, 1997] Fabio Silva, Danielle Franklin, Luciana Varejo, Fabiana Marins, Andr
Santos. I-DREAM: An Intranet-baseD REsource and Application Monitoring System.
Revista de Informtica Terica e Aplicada, vol. 4, n 2, pp. 49-60, 12/1997.

[Sodirey et al., 1996] M. Sobirey, B. Richter and H. Konig. The Intrusion Detection System
AID: Architecture and Experiences in Automated Audit Analysis. Proceeding of

105
 Internacional Conference on Comunications and Multimedia Security, Germany, 1996.
http://www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html.

[Sommer, 1999] Peter Sommer. Intrusion Detection Systems as Evidence. Computer Networks
31, 2477-2487, 1999.

[Spafford, 1993] Gene H. Kim and Eugene H. Spafford. The design and implementation of
Tripware: A file system integrity checker, Purdue Technical Report CSD TR 93-071,
November 1993.

[Spafford, 1994] Farmer, D., and E. Spafford The COPS Security Checker Systems, Purdue
Technical Reports CSD-TR-999, January, 1994.

[Spafford and Kumar, 1995] Sandeep Kumar, Eugene H. Spafford. A Software Architecture to
Support Misuse Intrusion Detection. COAST technical report 95/009, Purdue University,
West Lafayette, IN, March 1995.

[Spafford and Crosbie, 1995] Eugene H. Spafford and Mark Crosbie. Active Defense of a
Computer System Using Autonomous Agents. Technical report 95/008, Purdue University,
West Lafayette, IN, 1995.

[Spafford, 1996] Garfinkel, S., Spafford, G., Pratical UNIX and Internet Security, Second
Edition. Sebastopol, CA: O`Reilly & Associates, Inc., 1996.

[Spafford et al., 1996] Mark Crosbie, B Dole, T Ellis, Ivan Krsul and Eugene H. Spafford. IDIOT
Users Guide. Technical report 96/050, Purdue University, COAST Laboratory, West
Lafayette, IN, 1996. http://citeseer.nj.nec.com/crosbie96idiot.html

[Spafford et al, 1998a] Jai Sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David
Isacoff, Eugene Spafford and Diego Zamboni. An Architecture for Intrusion Detection
Using Autonomous Agents. COAST technical report 98/05, Purdue University, W.
Lafayette, IN, june 1998. [20] ftp://coast.cs.purdue.edu/pub/COAST/tools/AAFID/

106
[Spafford et al, 1998b] Ivan Krsul, Eugene Spafford and Mahesh Tripunitara. Computer
Vulnerability Analysis. COAST Laboratory, Purdue University, West Lafayette, IN, May
1998.

[Spafford and Zamboni, 2000] Eugene H. Spafford, Diego Zamboni. Intrusion Detection Using
Autonomous Agents. Computer Network 34, 547-570, 2000.

[Stallings, 1998] William Stallings. Cryptografhy and Network Security: Principles and Practice.
Prentice Hall, Inc. New Jersey, EUA,1998.

[Stephenson, 1999] Peter Stephenson. Investigating Computer-Related Crime: Handbook for

Corporate Investigators. CRC Press LLC, 1999.

[Valdes et al, 1995] D. Anderson, Frivold, Tamaru, Valdes. Next Generation Intrusion Detection
Expert System (NIDES). Software Design, Product Specification, and Version Description
document, Project 3131, July 1994. http://www.sdl.sri.com/projects/nides/index5.html.

[Zamboni, 2000] Diego Zamboni, Doing Intrusion Detection Using Embedded Sensors Thesis
proposal. CERIAS technical Report 2000-21, Purdue University, W. Lafayette, IN, october
18, 2000. http://www.cerias.purdue.edu/projects/esp/.

107
Apndice A

AAFID2 - AUTONOMOUS AGENT FOR INTRUSION DETECTION SYSTEM,

VERSO 2

Nvel 0 Nvel 1 Nvel 2 Nvel 3

Legenda

Interface do
usurio

Monitores

Transceptores

Agentes

Upstream Downstream

Figura: Arquitetura do AAFID2

um sistema que explora questes de arquitetura associada deteco de intruso distribuda.

Tenta resolver um dos principais problemas de deteco de intruso, que quanta informao
conservar e analisar localmente e quanta analisar centralmente. A coleta e anlise de dados
distribuda, entre muitos hosts, concede escalabilidade no encontrada comumente em IDS.
Apesar da arquitetura apresentar a desvantagem de se ter os monitores como nico ponto de
falha.

Mesmo sendo um sistema baseado em host, suporta algumas funes de rede. Foi implementado
utilizando-se a linguagem de scripts Perl e diversos recursos de administrao de sistemas e
segurana comuns em ambiente Unix. A arquitetura, construda de maneira hierrquica,
composta de entidades que se referem a qualquer dos componentes definidos na mesma. Inclui

108
agentes, transceptores, monitores e outros programas que interagem com a arquitetura, tais como
interface com o usurio. Cada entidade um objeto separado, que conserva seu prprio estado
interno e comportamento de acordo com sua funo no sistema. So programas que rodam de
forma independente.

Agentes estticos e autnomos

Agentes20 de software que, com a ajuda dos filtros21, coletam informaes do sistema onde esto
rodando. Monitoram aspectos especficos de atividades nos hosts e relatam, para os hosts
transceptores, um comportamento anormal, que pode indicar problema de segurana.

As tarefas inicializao, checagem e cleanup so especficas para cada agente. Todas as outras
funes so fornecidas pela infra-estrutura, para permitir a criao de novas entidades no menor
tempo possvel.

Tranceptores

Residem nos hosts. So responsveis por receber os dados dos agentes, que rodam no mesmo
host e controlar suas atividades, como iniciao ou terminao. Eles no precisam de capacidade
de comunicao remota downstream, mas, de se comunicar com um grande nmero de entidades
locais. Agentes podem fornecer dados, na forma de status_updates e comandos, por exemplo,
para o pedido de um mdulo adicional necessrio para execuo. Transceptores podem necessitar
enviar um comando para um agente, por exemplo, configurar um valor de parmetro. Tambm
precisam ser capazes de responder a comandos vindos de monitores e fornecer, aos mesmos,
dados como status_updates. Se um transceptor recebe uma mensagem de um agente, a qual no
capaz de interpretar, a mesma deve ser enviada para uma entidade pai do transceptor para
processamento adicional. Portanto, consolidam relatos e os remetem para os sistemas monitores.

Cada transceptor controla todas as entidades em um host, mas no exercem influncia sobre
outros agentes em outros hosts. Existem tcnicas para fazer isto, mas o sistema no as
implementa.

20
Tipos de agentes implementados no sistema e sua descrio no apndice B.
21
Tipos de filtros utilizados no sistema e sua descrio no apndice B.

109
Monitores

So as entidades mais complexas com respeito capacidade de comunicao. Um monitor deve

ter todas as funcionalidades de um transceptor, pois tambm precisa ser capaz de controlar
entidades locais e coordenar as atividades entre os transceptores. Deve dar incio e controlar
entidades remotas. Deve tambm ser capaz de dar incio a novos transceptores, ou monitores em
hosts, que no tenham um rodando, bem como enviar mensagens para eles. O monitor somente se
comunica com monitores e transceptores, no o fazendo com agentes que possam estar rodando
no host. O monitor deve ser capaz de escutar conexes de entidades remotas, porque pode ter
iniciado um transceptor, ou outro monitor em um host e necessitar de ser controlado por um
monitor j existente. A nova entidade deve ser capaz de entrar em contato com o monitor e
registrar-se enviando uma mensagem CONNECT. Uma vez que a entidade remota iniciada, ou
um pedido de conexo foi processado, o monitor deve ser capaz de se comunicar com ela da
mesma maneira que com entidades locais.

Finalmente, monitores tm a responsabilidade de atuar como repositrio para todas as

informaes que suas sub-entidades possam precisar. Isto inclui, principalmente, cdigo para os
agentes e mdulos de suporte. Por exemplo, um transceptor pode ter sido iniciado com poucos
recursos locais e, quando ele precisar de um mdulo cujo cdigo no est presente no local, ser
solicitado ao seu monitor. Este deve ser capaz de localizar o cdigo necessrio e fornece-lo ao
transceptor. Se o monitor no tem o cdigo solicitado, deve enviar o pedido sua prpria
entidade controladora. Se o cdigo eventualmente chegar, o pedido original do transceptor deve
ser imediatamente preenchido.

Representao da entidade

No AAFID2, cada entidade-objeto representada por uma hash annima, que contm os
parmetros para esta entidade especfica. Os parmetros so armazenados indexados por seus
nomes. Uma hash simples em Perl pode armazenar diferentes tipos de elementos
simultaneamente. Cada parmetro pode ser de um tipo diferente sem causar qualquer problema.

Parmetros so valores de nomes que so armazenados internamente em cada entidade e usados

para determinar caractersticas de seu comportamento, por exemplo, CheckPeriod, o perodo de

110
checagem, status corrente de 0 a 10. Tambm se faz necessrio para que a entidade seja capaz de
manter seu estado interno, por exemplo, quantas tentativas de login invlido foram observadas.

O uso de parmetros nomeados, nos quais os parmetros so armazenados indexados por seus
nomes, devido ao prprio mecanismo orientado a objetos da linguagem Perl conceder
naturalmente este esquema. uma maneira conveniente de comunicao da informao entre
entidades e armazenamento de seu estado interno.

A deteco de um problema no sistema AAFID2 indicada por um sistema indicador de status,

computado a partir do status de todas as entidades no IDS. Cada entidade capaz de guardar seu
prprio status e relatar quando solicitada. Todas as entidades devem conservar seu status com um
indicador numrico chamado status e uma descrio textual dele chamada message.

O valor do status deve ser um nmero entre 0 e 10 inclusive, onde 0 significa tudo normal e 10
significa extremo alarme. Valores intermedirios representam diferentes graus de importncia do
problema detectado. Nenhuma definio formal dada para os valores do indicador status, cada
entidade tem o poder de designar.

Mensagens

As mensagens no modelo de comunicao fluem atravs das arestas da rvore. No nvel de

arquitetura, no h preocupao com o contedo semntico da mensagem. definido um formato
de mensagem genrico que pode ser usado para representar qualquer tipo de informao que uma
entidade possa precisar para se comunicar.

Os campos definidos para as mensagens no AAFID2 so:

Tipo de mensagem: Este campo, implicitamente, tambm especifica o formato do campo
Dado, uma vez que a entidade destino deve saber como interpretar, de acordo, o campo
citado.

Subtipo de mensagem: Este campo pode ser usado para fornecer informao adicional sobre o
contedo da mensagem, to bem como indicar a interpretao semntica especfica que deve
ser dada ao campo Dado.

111
 Identificador de origem e Identificador de destino: Estes campos devem conter informaes
que, unicamente, identificam as entidades de origem e destino. O campo destino pode estar
vazio se a mensagem enviada num canal de comunicao one-to-one, onde no h incerteza
sobre qual o destino.

Time stamp: Este campo uma representao nica do momento quando a mensagem foi
gerada.

Dado: A estrutura deste campo depende do campo Tipo de mensagem e pode conter sub-
campos para a organizao adicional da informao.

As mensagens so representadas por objetos da classe Message. O objetivo principal desta classe
armazenar os campos como definidos, mas, tambm, para permitir a converso para ou, de um
formato apropriado de string para enviar sobre a rede. Dentro de uma entidade, a mensagem ser
armazenada como um objeto, mas, antes de envi-la para outra entidade, ser convertida numa
linha simples de texto com o seguinte formato:

TYPE SUBTYPE FROM TO TIME DATA

Modelo de comunicao

A arquitetura do sistema AAFID2 , por natureza, hierrquica. Assim, concede, naturalmente,

hierarquia a um modelo de comunicao. Como mostrado na figura, os nveis que esto mais
prximos da raiz da hierarquia so identificados como upstream e, os que esto mais prximos
das folhas da rvore, como downstream. Uma entidade est acima da outra se pode ser alcanada
pelos caminhos de comunicao upstream e, abaixo, se pode ser alcanada pelos caminhos de
comunicao downstream.

Uma entidade somente pode ter comunicao direta com entidades que estejam imediatamente
acima e abaixo dela prpria.

Agentes esto nas folhas da rvore, portanto, somente enviam mensagens para cima. A entidade
localizada na raiz da rvore sempre um monitor. Mas este pode aparecer tambm, em nveis
intermedirios. A nica entidade que pode estar acima do monitor localizado na raiz a interface
do usurio, ou algum outro programa que controle todo o IDS.

112
Mecanismo de comunicao

Um dos principais requisitos das entidades na comunicao com entidade-Pai a transparncia. O

usurio deve ser capaz de desempenhar o papel da entidade-Pai iniciando-a a partir de um
comando shell, digitando mensagens no teclado e vendo a sada produzida pela entidade no
monitor.

Para se conseguir isto, usou-se o mais comum mecanismo de comunicao disponvel no UNIX,
bem como em outros sistemas operacionais; os arquivos descritores standart output e standart
input. Para cada entidade, as mensagens vindas de suas entidades controladoras partem da entrada
padro e, qualquer escrita, para a sada padro, ir para a entidade controladora. No UNIX, os
arquivos descritores podem ser redirecionados para, ou, de qualquer lugar diferente. Assim, a
sada e a entrada padro de um processo podem ser redirecionadas para acessar um arquivo, um
pipe, uma conexo de rede ou um terminal.

Se um usurio executa uma entidade diretamente, suas sada e entrada padro so redirecionadas
para tela e teclado respectivamente, como com qualquer outro programa. Isto e o fato de que as
mensagens so representadas por strings de leitura humana, permite ao usurio interagir
diretamente com a entidade, digitando mensagens e, ser capaz de ler a resposta na tela.

A comunicao intra-host feita usando pipes UNIX. Para o processo-filho, o pipe que vem do
pai conectado entrada padro e, a sada padro, ao pipe que vai para o pai. A comunicao
entre hosts feita usando-se canais TCP.

Processamento de entrada

As entidades no AAFID2 podem receber informaes de mltiplas origens, pipes, conexo de

rede e teclado. Uma entidade tem que atender a todas as mensagens que chegam por qualquer
destes canais. Por exemplo, um monitor tem que escutar seu canal de controle, aquele que leva
mensagens para cima, na entrada padro, pode ter que atender a um nmero de pipes conectando-
os a entidade local e, tambm, a um nmero de conexes TCP que conectem a um monitor ou
transceptores remotos.

113
No UNIX, todos estes canais de comunicao podem ser vistos como arquivos manuseveis.
Uma vez que o canal esteja aberto, pode ser lido e escrito como se fosse um arquivo normal no
disco local. Assim, fcil monitorar, automaticamente, todos os canais de entrada para
mensagem.

Implementao de mensagem e comando

O comportamento de diferentes tipos de mensagens e comandos implementado atravs de

subrotinas normais Perl. Seguindo certas convenes , portanto, factvel implementar uma nova
entidade para acrescentar funcionalidade.

Carregamento e execuo da entidade

A habilidade de invocar e controlar uma nova entidade local herdada por monitores e
transceptores. A classe Monitor estende esta capacidade, permitindo a invocao de entidades
remotas. Cada entidade deve ser capaz de rodar como um programa stand-alone.

Mecanismo usado por cada modo de execuo da entidade:

As entidades devem ser capazes de trocar mensagens com suas entidades controladoras e, todas
as mensagens e comandos recebidos devem ser processados logo que possvel. A entidade
controladora pode estar no mesmo host, por exemplo, o transceptor a entidade controladora dos
agentes, ou pode estar em hosts diferentes, por exemplo, o monitor a entidade controladora do
transceptor.

possvel para o usurio iniciar uma entidade a partir da linha de comando e interagir com ela
dando comandos e mensagens do teclado. A entidade tambm pode se inicializada pela sua
entidade controladora.Todas devem reagir adequadamente aos seguintes sinais UNIX:

TERM - Para uma terminao sem problemas. Mesmo comportamento de uma mensagem ou
comando STOP.
HUP - Para inicializar.
USR1 - Para, temporariamente, pausar suspendendo todas as atividades. Se a entidade j
estiver pausada, no faz nada.

114
 USR2 - Para reinicializar. Se no estiver pausada, no faz nada.

Execuo de entidade

Toda entidade deve ter um mtodo chamado run, que ser chamado quando do ponto de entrada
da execuo da entidade. Quando o mtodo run retorna, a execuo da entidade considerada
finalizada e o solicitante estar livre para proceder com outras atividades.

Para inicializao, toda entidade tem um mtodo chamado init, que ser chamado quando o
objeto criado. Inicializao adicional pode ser feita no mtodo run. Para run e init, to bem
como o cdigo para fazer automaticamente atividades de configurao essenciais, tais como gerar
um identificador de identidade, enviando uma mensagem CONNECT para comear e uma
mensagem DISCONNECT para terminar. Estas atividades so feitas no mtodo new (construtor),
definido pela classe Entity, devendo ser herdado por todas as outras entidades.

As classes ControllerEntity e Monitor reconhecem um novo comando chamado START, que

recebe um parmetro chamado Class, o qual contm a especificao da entidade que precisa ser
iniciada, em uma das seguintes formas:
Classname pedido de execuo da classe dada de uma entidade local. Reconhecido por
ambos ControllerEntity e Monitor.
Host:Classname pedido de execuo da classe dada de uma entidade no host
especificado. Reconhecido somente pelo Monitor.

Execuo da entidade stand-alone

Para permitir que uma entidade seja carregada como um programa stand-alone, existe um
mecanismo que, automaticamente, cria uma instncia da classe e invoca seu mtodo run quando
a entidade executada. Contudo, este cdigo no deve ser executado quando a entidade
carregada a partir de outra.

No AAFID2, o mecanismo usado para resolver este problema a subrotina chamada

EndOfEntity, implementada pela classe Entity, que deve ser invocada na ltima linha no
arquivo de origem de uma entidade. Esta subrotina checa se o arquivo est sendo carregado por si
prprio ou como um mdulo a partir de outro programa. No primeiro caso, cria-se uma instncia

115
da entidade, chama-se o mtodo run e se sai quando a execuo termina. No segundo caso, nada
feito e o valor de 1 retornado, que a maneira normal em Perl de se sinalizar que um arquivo
mdulo foi carregado corretamente.

Quando uma entidade carregada stand-alone, suas entrada e sada-padro no so

redirecionadas e o usurio capaz de digitar mensagens e ver o resultado no terminal.

Execuo local de uma entidade a partir de outro programa

Quando uma entidade precisa ser executada a partir de outro programa, por exemplo, um
transceptor carregando um agente, os seguintes passos so desempenhados:
Carregamento da classe Entity usando o procedimento use.
Criao de uma nova instncia da entidade usando seu mtodo new.
Criao de um novo processo, onde a nova entidade ser executada.
Criao de dois pipes entre os processos pai e filho, um para envio de mensagem do pai para
filho e o outro, vice versa. No processo filho, a leitura final de um pipe associada com a
entrada-padro e a escrita final do outro associada com a sada padro, portanto,
estabelecendo o canal up da entidade. No processo pai, os finais correspondentes dos pipes
so armazenados em um parmetro interno para uso futuro e ser capaz de receber mensagens
da nova entidade.
O processo filho executa a nova entidade invocando o mtodo run. Quando retorna, o
processo termina.

Execuo remota de uma entidade

A classe Monitor fornece facilidades para ser capaz de pedir a ativao de uma entidade em um
host remoto. O mecanismo usado o seguinte:
Checa se o canal de comunicao para o transceptor ou monitor no host requisitado j
existe. Em caso positivo, envia uma mensagem para carregar a entidade solicitada. Caso
contrrio, continua com os passos seguintes.
Executa o programa Starter, no host remoto, com os parmetros apropriados e informa a
partir de qual host foi executado. AAFID2 usa ssh (Secure Shell) para executar Starter no
host remoto.

116
 O monitor configura os flags apropriados para indicar que est esperando por uma
conexo a partir do host onde o Starter foi executado e continua sua execuo normal.
No host remoto, o Starter instancia um transceptor (classe PlainTransceptor), contata a
porta do servidor no monitor, estabelece uma conexo TCP e redireciona sua sada e
entrada-padro para ele.
O Starter roda o transceptor, que se comunicar com o monitor, atravs de seus padres
de entrada e sada, como redirecionado no passo anterior, para registrar com ele.
Quando o monitor recebe a mensagem CONNECT a partir do transceptor criado
recentemente, identifica-o como uma entidade que tem que ser iniciada e envia o
comando apropriado para ele.

As seguintes caractersticas so observadas neste processo.

Todas as entidades so iniciadas no local, por exemplo, o transceptor iniciado no local
pelo Starter e a nova entidade, pelo transceptor. um programa separado chamado
Starter que estabelece a conexo de rede e faz o redirecionamento apropriado. Por esta
razo, a conexo de rede transparente para ambos, o novo transceptor e a nova entidade.
O monitor sabe sobre a conexo de rede, porque o mesmo recebe o pedido de conexo do
Starter na porta do seu servidor.
Uma vez que a conexo de rede estabelecida entre o monitor e o transceptor, mantida
aberta.

Pedido de cdigo que falta

Quando uma entidade controladora recebe um pedido para iniciar uma nova entidade, pode ser
que parte de todo o cdigo necessrio para carregar esta entidade, por exemplo, sua classe
arquivo-origem ou um mdulo necessrio, no esteja presente no host local. Neste caso, a
entidade controladora envia uma mensagem para cima, NEEDMODULE, especificando o nome
da classe que falta. A entidade que est acima deve achar o cdigo apropriado, provavelmente
enviando uma mensagem NEEDMODULE. Ento, envia a mensagem para cima numa
mensagem NEWMODULE.

Uma vez que a entidade controladora recebe a mensagem NEWMODULE contendo o cdigo de
que necessita, o mesmo salvo num arquivo local e tenta carreg-lo. Se continuar faltando

117
cdigo, por exemplo, se o cdigo recebido precisa de outro mdulo que no esteja presente, ento
o processo repetido at que a entidade da classe apropriada possa ser instanciada.

Este mecanismo permite a instalao inicial do AAFID2 no sistema monitorado, ser limitado a
classes essenciais e, ento, ter todas as outras, tais como agentes, desdobradas quando
necessrias.

Mecanismo de segurana para comunicao

O nico mecanismo de segurana de comunicao corrente usado no sistema AAFID2 o uso de

ssh para rodar o programa Starter no host remoto. Contudo, nenhuma autenticao ou
criptografia feita depois deste ponto. Isto importante para um sistema de produo,
particularmente em comunicao entre hosts. Pode ser vivel o uso de mecanismos de
comunicao existentes.

Alguns agentes deste sistema foram testados, eles basicamente monitoram:

comando su;
diretrio /tmp;
processo /etc/Shell;
espao em disco;
seqncia de processos;
arquivo rhosts, s aceita 400,200 e 100;
logins falhos;
conexes para mltiplas portas (portscan);
conexes para mesmo host de um mesmo servio;
carregamento CPU;
configurao FTP;
conexes TCP.

118
ACME ADVANCED COUNTER MEASURES ENVIRONMENT

Nvel de Suspeita Rede Neural

de uma Conexo
Legenda: em Particular
Fluxo de Controle Pr-Processador
Fluxo de Dados Dados
Analisador Semntico

Lista de Monitorao

Vetor de Monitorao 1 Mdulo de Conexo

Vetor de Monitorao 2

Vetor de Monitorao 3

Vetor de Monitorao 4 Mdulo de Pr-Seleo Mdulo

e Sistema Especialista de
... Captura
Rede
... Dados
...
Figura: Arquitetura do ACME

O ACME foi desenvolvido como um IDS baseado em conhecimento. Sua caracterstica

primordial a operao de um sistema de captura de pacotes em conjunto com uma rede neural.
A rede neural verifica os padres de comportamento, previamente codificados em assinaturas e
desenvolve uma porcentagem mostrando o quo similar este padro de algum ataque que ela
conhece. A partir desse ponto, o administrador analisa se ou no, um ataque. A vantagem deste
sistema a adaptabilidade proporcionada pela rede neural. Ela pode ser retreinada medida que
novos padres de ataques so descobertos, para que possa identific-los. Outro fator determinante
sua capacidade de generalizao, onde padres semelhantes podem ser identificados com uma
possibilidade intermediria. Assim, o administrador pode determinar uma porcentagem de risco
limite para efetuar alguma medida de segurana.
Graas a essa capacidade de generalizao, existe a possibilidade de identificao de ataques
dissimulados. Ataque desse tipo aquele onde o intruso procura ocultar suas reais intenes,
seguindo um conjunto de aes no correlatas ao ataque. Para que a rede neural possa manter seu
critrio o mais prximo da situao real, uma base de dados de ataques freqentemente
atualizada e os ataques so simulados para obteno de novas assinaturas de ataque.

119
O modelo de deteco de intruso formado por um sistema de captura e tratamento de pacotes,
um sistema de rede neural e um gerenciador de comunicaes e interface com o usurio. O
sistema de captura e o sistema de rede neural podem ou no, residir na mesma mquina. Se o
sistema de rede neural for implantado na mquina central, gerenciadora de segurana, devem
haver agentes e gerentes de comunicao utilizando protocolos que coordenem a troca de
informaes entre as mquinas. O sistema de captura e tratamento de pacotes organizado em
mdulos, que tratam o fluxo de pacotes e que terminam fornecendo o vetor de estmulo para a
rede neural. O nvel mais baixo apenas captura um fluxo de dados na rede e passa os pacotes
ordenados para o mdulo de conexo sob controle do mdulo de pr-seleo.

O ACME utiliza algo semelhante a uma ferramenta para captura de pacotes e usa a biblioteca
denominada libpcap, que implementa o BSD Packet Filter ou, simplesmente, BPF. Este filtro
seleciona pacotes do barramento segundo o protocolo22, alm de oferecer uma gama de opes
quanto filtragem de hosts, redes, etc. Para isso, basta passar, para o filtro, instrues sobre o
tipo de pacote com sintaxe similar ao Tcpdump23.

O mdulo de captura de pacotes (CAP) tem toda a informao na estrutura dos pacotes
capturados, necessrios auditoria. Os cabealhos e os campos de dados so enviados
integralmente para o mdulo conexo (CON) e apenas os cabealhos para o mdulo de pr-
seleo e sistema especialista (PSSE).

O mdulo PSSE decide a partir de que momento uma conexo considerada suspeita.
responsvel por mais um nvel de filtragem, pois o mdulo de conexo s registra as atividades
de mquinas ou domnios considerados suspeitos que sejam indicados pelo PSSE. Isto feito por
meio do seguinte mecanismo:
Uma Tabela de Nveis de Segurana (TNS), contendo o nvel de segurana dos servios (por
exemplo, telnet, ftp, finger) que consultada de acordo com o servio usado pela conexo em
questo.

22
IP, TCP, UDP, ICMP entre outros.
23
TCPDUMP Network Research Group of the Lawrence Berkeley National Laboratory
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z

120
 Uma Tabela de Controle de Conexo (TCC), onde cada entrada contm dados sobre hosts
origem/destino, um marcador horrio (time stamp) de conexo, nvel de segurana de servio,
porta origem/destino e tempo inicial /final.
Uma Tabela de Domnios Suspeitos (TDS) mantida quando um host atinge um determinado
nvel de segurana e o mdulo de conexo disparado. freqentemente atualizada.

O limiar para o disparo dos procedimentos de monitorao um valor definido pelo

administrador do sistema, o qual vai definir o comportamento do sistema como um todo. Este
mdulo faz uma seleo dos dados enviados pelo mdulo CAP, amenizando o fluxo de dados, o
que no acontece normalmente com ferramentas tradicionais.

O mdulo CON responsvel pela criao e manuteno de vetores de conexo. Este mdulo
ignora todos os pacotes at que o mdulo PSSE avise qual conexo considerada suspeita, para
que se inicie ento o monitoramento. O vetor de conexo consiste na juno de dois vetores de
fluxo, que representam a conexo de forma unidirecional. Com a utilizao de um par de vetores
de fluxo podemos representar uma conexo em particular e os dados que nela transitam. Na
prtica, o vetor de conexo nada mais que um arquivo com um nome padronizado
representando a conexo. Dentro deste arquivo esto todos os dados que trafegam naquela
conexo a partir do momento em que ela foi considerada suspeita.

O Analisador Semntico e Pr-Processador (ASPP), de posse dos dados condensados pelo

mdulo CON, interpreta e seleciona aquilo que for relevante, como trechos suspeitos que,
combinados, caracterizam um ataque (as assinaturas de ataques). Prepara-se, ento, para a fase
seguinte, onde realiza uma traduo, ou ainda, uma codificao de linguagens, possibilitando a
conexo ao mdulo de rede neural. O ASPP analisa, em tempo real, os dois sentidos do fluxo
(vetor de conexo) com o auxlio de uma base de dados, constituda, principalmente, por duas
tabelas de converso. A primeira associa cada seqncia de caracteres, que seja relevante, a um
nmero inteiro. A segunda, cada nmero inteiro vlido a um cdigo binrio reconhecvel pela
rede neural.

O ponto principal do Mdulo de Rede Neural (MRN) a interface com a rede neural, que
obtida a partir do arquivo de definies da rede, treinada com um aplicativo24 simulador de redes

24
Software aplicativo simulador de redes neurais Stuttgart Neural Network Simulator.

121
neurais. Para o treinamento, a rede exposta a um conjunto grande e variado de vetores de
estmulo, os quais representam sesses suspeitas, intrusivas e legtimas. feita uma rgida
monitorao durante tal processo, verificando se o aprendizado satisfaz os requisitos impostos
pelo sistema e, principalmente, se existe uma melhora na capacidade de generalizao de rede
frente a novos tipos de conjunto de dados. O MRN pode ser retreinado com o mesmo aplicativo e
exposto a novos padres, escolhidos juntamente com padres j conhecidos. Amplia-se assim, o
nvel de conhecimento do MRN e, tambm, a base de dados utilizada pelo ASPP, o que acarretar
uma melhoria significativa no resultado geral do sistema.

A interface recebe todo o conjunto de bits que compe o vetor de estmulo e, de acordo com o
tipo de treinamento ao qual a rede foi submetida, retorna uma porcentagem, a qual indica o grau
de suspeita da sesso. A facilidade proporcionada pela utilizao desta interface torna altamente
factvel a criao de sub-mdulos de preveno e contra-medidas, que podem ser desenvolvidos
de tal modo a executar tanto aes automticas quanto interativas em um ambiente standalone ou
distribudo. Como por exemplo, emisso de vrios nveis de alerta ao administrador, disparo de
processos de auditoria, ativao de contramedidas para isolar o host ou o domnio originador do
ataque atravs do ajuste de, por exemplo, um firewall.

122
AID - Adaptive Intrusion Detection System

Gerao

Base de Sistema
conhecimento Especialista
Buffer Relatrios

Gerente

secure RPC
Agente Agente

Auditoria Auditoria

Sist. Operacional Sist. Operacional

Figura: Arquitetura Cliente Servidor AID

A arquitetura cliente servidor consiste de agentes residindo nos hosts e de uma estao de
monitoramento central. As informaes so coletadas por agentes nos hosts monitorados e
convertidos para um formato de dados independentes do sistema operacional. Desta forma, o
monitoramento de um ambiente heterogneo UNIX suportado. Estes dados auditados so
transferidos para uma estao de monitoramento central para anlise e processamento. So
colocados em cache e analisados, em tempo real, por um sistema especialista baseado num
RTWorks25.

Na estao central, o gerente fornece funes para administrao segura dos hosts monitorados,
controla as funes auditadas, os pedidos de novos dados auditados e controla o recebimento e
encaminha as decises vindas dos agentes para o sistema especialista. O sistema especialista usa
uma base de conhecimento de assinaturas de ataque, que so modeladas por mquinas de estado
finito determinsticas e implementadas como seqncia de regras. Tem implementado 100 (cem)

25
http://www.talarian.com/rtworks.html

123
regras na sua base de conhecimento e capaz de detectar 10 (dez) cenrios de ataque. O
prottipo26 pode manusear com oito agentes.

O administrador de segurana pode acessar capacidades de monitoramento relevantes via uma

GUI. Em adio, o sistema especialista cria relatrios de segurana.

O Secure RPC usado para comunicao entre gerente e agentes.

26
AID foi testado em dezembro de 1995, num ambiente de rede local, consistindo de estaes SPARC
rodando Solaris 2.x e TCP/IP.

124
Ripper - Sistema Baseado em Minerao de Dados

Agente
Registros
remoto de de auditoria
aprendizado
Motor de Pr-processador
Aprendizagem
Registrosdeauditoria
Indutiva
(meta)
dados sobre Agente de
atividade deteco
(bsico)
modelos Motor de
Bases de Deteco Evidncias de
Regras (bsico) outros agentes de
(classificadores) deteco bsicos

evidncia

meta-agente de deteco Motor de Deteco (meta)

julgamento final
Tabela de
Deciso aes/relatrios
Motor de Deciso

Figura: Arquitetura de um Sistema de Deteco de Intruso Baseado em Data Mining

Lee e Stolfo apresentam uma abordagem baseada em tcnicas de data mining para descobrir
padres teis e consistentes das caractersticas do sistema, que descrevem os comportamento de
usurios e programas. A partir da, o conjunto de caractersticas relevantes do sistema usado
para computar classificadores (aprendidos por induo) que podem reconhecer anomalias e
intruses.

A arquitetura proposta hierrquica e inclui dois tipos de agentes inteligentes.

O agente de aprendizado pode residir em uma mquina servidora, pelo seu poder de computao.
responsvel pela computao e manuteno do conjunto de regras de programas e usurios. Ele
produz os modelos de deteco bsicos e os modelos de deteco meta.
O agente de deteco genrico e extensvel. equipado com um conjunto de regras, oriundo do
agente de aprendizado remoto. As regras so aprendidas e periodicamente atualizadas. O motor
de deteco executa a classificao nos dados de auditoria e emite evidncias de intruses. A

125
principal diferena entre agente de deteco bsico e agente de deteco meta que este usa
dados auditados pr-processados como entrada, enquanto aquele usa evidncias de todos os
agentes bsicos de deteco. Estes agentes no precisam rodar no mesmo host.

Os agentes de deteco so leves e podem funcionar independentemente, de tempo e local, dos

agentes de aprendizado e so equipados com conjunto de regras. Podem relatar novas instncias
de intruses pela transmisso de gravaes de auditoria para o agente de aprendizado, que podem
computar e atualizar classificadores para detectar tais intruses e despachar para todos os agentes
de deteco.

O sistema constri modelos de classificao para deteco anmala. O primeiro conjunto de

experimentos foi em dados de sendmail system call. Utiliza RIPPER, um programa de
aprendizagem de regras para treinamento dos dados e classificar os modelos em normal ou
anormal. O segundo experimento foi monitorando o trfego de rede diretamente, utilizando um
programa de captura de pacotes, como o tcpdump.

Para construir um classificador necessrio colher uma quantidade suficiente de dados para
treinamento e identificar um conjunto de caractersticas significantes. Dois algoritmos foram
usados para guiar o processo de auditoria: association rules e frequence episodes.

126
DIDS - DISTRIBUTED INTRUSION DETECTION SYSTEM

DIDS Diretor

Sistema
Especialista Interface Usurio

AS
Gerente Comunicao

Agente Host Agente LAN

Agente Host
Agente Host
Gerador Evento
Gerador Evento
Gerador Evento LAN
Host
Host Gerador Evento
Host
Monitores de Host
Monitores de Host
Monitores de Host Monitores de LAN

Figura: Arquitetura DIDS

DIDS ilustra a abordagem centralizada para deteco de intruso em rede. basicamente uma
coleo de mltiplos sistemas de deteco de intruso rodando em sistemas individuais, que
cooperam para detectar intruses em toda a rede. Os componentes de deteco de intruso em
sistemas individuais so responsveis pela coleta da informao do sistema e converso para uma
forma homognea para ser passada para o analisador central.

Sua arquitetura combina coleta distribuda e reduo de dados com anlise de dados centralizada.

DIDS tenta correlacionar informaes sobre monitoramento individual de usurios, com o uso de
um User Network Identifier (NID), onde seguida a pista dos movimentos de cada usurio
atravs da rede, assumindo diferentes identidades. Tambm segue a pista das aes
desempenhadas pelos hosts via o LAN monitor.

127
Seu projeto modular e seus componentes so 3 (trs).

Monitor de host por host

Responsvel pela coleta de evidncia de atividade no autorizada ou suspeita. O host monitor usa
a auditoria de dados nativa, fornecida pelo sistema operacional, para coleta de dados, Depois
pr processado para uma sintaxe comum chamada Host Audit Record (HAR). Esta converso da
informao para uma forma homognea, para ser passada para o analisador central, torna o DIDS
capaz de manusear sistemas individuais heterogneos com um sistema de deteco de intruso
centralizado. Este primeiro nvel de abstrao melhora a portabilidade e heterogeneidade das
pores restantes do host monitor. Gravaes redundantes so eliminadas neste ponto, que
fornece uma significante reduo no numero de gravaes que o alto nvel do host monitor
precisa para processar (mais do que uma reduo de 4:1)

Certas gravaes crticas so enviadas diretamente para o sistema especialista. Outras

processadas no local pelo host monitor, como os profiles do usurio e do comportamento de
sistema e as assinaturas de ataques. O objetivo do projeto empurrar o processamento das
operaes para os monitores de nvel o mais baixo possvel. Para fazer isto, o HEG cria um
objeto mais abstrato chamado evento, que inclui qualquer dado significante fornecido por uma
gravao de auditoria original. Um evento relatado por um host monitor chamado um HAR. De
todos os possveis eventos, somente um subconjunto encaminhado para o sistema especialista
para criao e aplicao do NID.

A comunicao do host monitor com o DIDS director feita pelo host agent.

Monitor de LAN por segmento de rede.

Responsvel pela coleta de evidncia de atividade no autorizada ou suspeita. Tambm consiste

de um LAN Event Generator (LEG) e de um LAN Agent. Usa muitos nveis de anlise para
capturar a maioria dos eventos significantes. Tambm retm os dados auditados para anlise pelo
diretor. Usa e mantm profiles do comportamento da rede, que so atualizados periodicamente.
LAN monitor utiliza heursticas simples para tentar averiguar se uma conexo particular
representa um comportamento intrusivo ou no.

128
DIDS pode manusear os hosts sem os monitores de host, desde que o LAN monitor possa relatar
as atividades de rede de tais hosts.

DIDS diretor

o crebro do DIDS e responsvel pela avaliao. Consiste de trs partes principais:

Gerente de comunicaes: Coleta os dados enviados pelo host monitor e pelo LAN monitor
respectivamente e comunica ao sistema especialista para o processamento.
Sistema Especialista: Faz inferncia sobre o estado de segurana do sistema e de cada host
individual. Agrega a informao para apresentao para o Administrador de Sistemas - AS.
um sistema baseado em regras simples, escrito em CLIPS27. As regras so derivadas de um
Modelo de Deteco de Intruso hierrquico (IDM), que descreve a transformao de dados
auditados puros para hipteses de alto nvel sobre intruses e sobre segurana geral do
ambiente monitorado. Esta viso unificada de sistemas distribudos simplifica o
reconhecimento de comportamento intrusivo, que atravessa hosts individuais. O IDM consiste
de seis camadas, cada uma representando o resultado de uma transformao desempenhada
nos dados (audit records, events, subjects, events no contexto, threats, valor numrico entre 0
(zero) e 100 que representa o estado de segurana geral da rede). O modelo o princpio
fundamental da base de regra.
Interface do usurio: no qual o AS pode configurar o sistema e obter conhecimento sobre
intruses suspeitas.

27
Sistema CLIPS, de domnio pblico, desenvolvido pela National Aeronautics and Space Administration
NASA.

129
EMERALD EVENT MONITORING ENABLING RESPONSES TO ANOMALOUS
LIVE DISTURBANCES

Mquina
Monitor API
Profile
(Processamento
Estatstico)
Sistema Sistema Alvo Resolver Outros
Alvo Objeto Monitores
Mquina
Assinatura Recurso
(Inferncia
Assinatura)
Monitor API

Monitor Monitor
API API

Figura: Arquitetura Monitor Genrico EMERALD

uma arquitetura que utiliza a abordagem de agente distribudo. Fornecendo a caracterstica de

escalabilidade, para monitorar grandes redes distribudas. E a de flexibilidade, abstraindo-se da
funcionalidade para possibilitar adio de ferramentas externas. Emerald tem a habilidade de
coletar, assimilar, correlacionar e analisar a informao de diferentes origens em tempo real,
sendo este trabalho essencial para deteco de ataques distribudos/coordenados.

Emerald inclui numerosos monitores locais em um framework que suporta distribuio local.
Resultando em um array global de detectores que, consolidam alarmes e alertas, sem um
controlador central.

O monitoramento do sistema desempenhado em trs camadas separadamente, onde cada

camada pode ter seu prprio mtodo baseado em comportamento e conhecimento:
Monitores de servio. Uma coleo de monitores de servio que desempenham qualquer
funo de monitoramento nos hosts. So altamente distribudos, independentes e dinmicos.
a camada mais baixa na hierarquia.

130
 Monitores de domnio. Desempenham o monitoramento dentro de um domnio de servio.
So responsveis em correlacionar informaes disponveis do monitor de servio, vrias
configuraes e aes relatadas. a camada intermediria na hierarquia.
Monitores de rede. Coleo de monitores que correlacionam atividades relatadas atravs de
domnios monitorados. Permite a deteco de ameaas de rede, tais como worms e ataques
coordenados entre mltiplos domnios. a camada mais alta na hierarquia.

Para que as trs camadas de monitoramento funcionem empregada uma arquitetura para um
componente genrico de monitoramento mostrado na figura acima.

A alimentao da informao segue via audit trail, pacotes de rede, trfego SNMP e outros
meios. A arquitetura tenta se abstrair do meio no qual a informao alimentada obtida para
produzir um esquema mais geral.

No centro da arquitetura se encontra o objeto de recurso especfico do sistema alvo, que fornece
um ambiente de processamento independente. feito atravs de uma biblioteca de configurao
de dados especficos e de mtodos. Objetos de recurso so importantes, porque representam os
nicos componentes no genricos da arquitetura.
Objeto de recurso inclui os seguintes componentes:
Estrutura de eventos configurveis. Especifica os fluxos de eventos para o sistema alvo. Isto
torna o Emerald portvel para muitos fluxos diferentes, via esta especificao de entrada.
Evento coleo de mtodos. Processa a filtragem, por meio de rotinas de baixo nvel, que
manuseiam os fluxos obtidos do sistema alvo.
Configuraes de mquinas. Muitas mquinas de anlise podem ser includas no objeto
recurso. As operaes de configurao da estrutura de dados e variveis nestas mquinas so
definidas, quando necessrias, para os fluxos-alvo.
Configuraes de unidade de anlises. Os tipos de mtodos de processamento de intruso so
especificados nas mquinas de objeto recurso.
Listas de subscrio. Suporta a infra-estrutura de comunicao do Emerald. Informaes
sobre subscries incluindo endereos e chaves pblicas so encontradas nesta lista.
Mtodos de resposta. Respostas programadas para o objeto-recurso so includas para eventos
identificados.

131
A informao alimentada no sistema alvo enviada para as mquinas de anlise para
processamento. A mquina de profile desempenha deteco anmala baseada em profile
estatstico e a mquina de assinatura, que desempenha o casamento de seqncias de assinaturas
especficas as quais corresponde a ataques com atividades de sistema alvo.

O componente resolver utilizado para coordenar os relatrios de anlises das mquinas de

profiler e assinatura e para iniciar atividades de respostas especficas. Tambm trata com
informaes fornecidas por outras mquinas de outros monitores de servio, domnio ou rede, no
qual a subscrio est disponvel para informao.

O monitor API tem a habilidade de interoperar com a anlise do alvo e com outras ferramentas de
deteco de intruso. Fornece uma interface para o monitor administrador, que inicia
contramedidas de ataques, tais como terminando processos.

132
ESP Embedded Sensors Project

A idia em torno deste IDS desempenhar deteco de intruso usando pequenos sensores
embutidos em um sistema computacional, que procuram sinais de intruses especficas. Estes
sensores desempenham monitoramento do alvo por observao do comportamento do sistema
diretamente e no atravs do audit trail ou pacotes da rede. Sendo construdos dentro do cdigo
do sistema operacional e de seus programas e somente necessitando usar recursos adicionais do
sistema quando fossem executados ou disparados. Sendo assim no impondo um carregamento
extra considervel no host monitorado.

Um sensor definido como uma parte de software que monitora uma varivel especfica,
atividade ou condio de um host e suas observaes so relatadas como valores numricos e
podem ser discretas ou contnuas.

O problema de anlise de dados que vem de muitas origens diferentes no novo. assunto de
estudo no campo chamado Fuso de Dados Multisensor. A aplicao de FDM na deteco de
intruso promete criar IDS que no somente seguem certas tcnicas de anlise nos dados
coletados, mas que podem inferir conhecimento sobre seu ambiente e as ameaas que encontram.

A tcnica utilizada para anlise clustering, o pacote de software Cluster foi utilizado, ele estima
parmetros de um modelo Gaussiano, usando algoritmo EM. Ele tambm estima o nmero de
clusters, usando a estratgia baseada em Princpio de Comprimento de Descrio Mnima
Rissanen

A proposta do trabalho em direo a validar duas hipteses:

possvel construir sensores em um sistema computacional de modo que permita a
deteco de intruses conhecidas. Os sensores podem ter limitada capacidade de
processamento e logging para evitar distrbio na operao normal do sistema. Isto
significa que cada sensor pode fazer algum processamento de valores que ele observa.
Pode conservar tambm uma limitada quantidade de informao de estado. Suas
capacidades de logging so limitadas a relatar valores de suas observaes, possivelmente
depois de uma transformao. O sensor pode tambm decidir no relatar uma observao
especfica.

133
 Um grupo de sensores projetado para detectar intruses conhecidas pode tambm ser
usado para detectar novas intruses. Supe-se que um nmero suficientemente grande de
sensores exista e que tenham sido propriamente projetados.

Se estas hipteses so vlidas suas verificaes devem contribuir para o projeto de um mais leve,
mais distribudo e mais resistente IDS e para determinar os tipos de dados que necessitam ser
coletados para detectar certos tipos de intruses.

Uma possvel fonte de informao sobre ataques o CVE (Common Vulnerability and Exposure
Enumeration) do MITRE. Uma vez que um nmero suficiente de sensores implementado e
testado, novos ataques so feitos contra o sistema para determinar se e como os sensores
existentes reagiro a novos ataques. Uma origem de informao de novos ataques pode ser,
CERT Advisories www.cert.org/advisories/, Bugtraq e SecurityFocus database
www.securityfocus.com/.

Interpretao e anlise dos dados produzidos pelos sensores sero feitas para ajudar a mostrar a
validade da hiptese proposta, de que novos ataques podem ser detectados usando-se sensores
existentes. Espera-se detectar uma percentagem significativa de novas tentativas de ataques
contra o sistema. Mesmo que a hiptese no puder ser validada, o resultado ser til para fornecer
uma evidncia de que no existe tipo geral de dados que possam ser coletados para detectar novos
ataques e que para cada novo ataque ser necessrio o desenvolvimento de sensores
especializados para sua deteco.

Todos os sensores sero implementados na mesma plataforma, para reduzir os diferentes sensores
que tem que ser testados. Sensores sero projetados para detectar tentativas de ataque e no se os
ataques foram bem sucedidos, o ataque no precisa existir numa plataforma de implementao
atualmente, e de fato pode ser um ataque para uma plataforma completamente diferente. Neste
sentido os sistemas trabalharo como honeypots universais, porque eles sero capazes de aceitar e
monitorar ataques para diferentes plataformas.

A maioria dos IDS baseados em host que existem hoje tem sido projetada em torno de dados que
o sistema operacional torna disponvel na forma de audit trail, logs de processos de
contabilidade, etc. A idia decidir que dados coletar e os mecanismos que devem ser
implementados para colet-los. Embutir sensores apropriados dentro do SO e dentro dos

134
programas afetados, de maneira que possam monitorar qualquer atividade no sistema e obter
qualquer informao que possa contribuir para a deteco de um ataque. Embutindo os sensores
dentro do cdigo afetado fazer monitoramento do alvo. diretamente estudar as atividades do
objeto, ao invs de indiretamente atravs do audit trail, com a vantagem de reduzir o risco de um
intruso modificar a informao antes de chegar no sensor.

A arquitetura AAFID suficientemente geral para fornecer uma infra-estrutura necessria para
implementar diferentes tipos de IDS. O prottipo AAFID ser usado como plataforma de suporte
para coleta de dados necessrios para o trabalho.

O sistema operacional escolhido foi Open BSD por ter origem aberta o que facilita a
incorporao de sensores no kernel e nos programas do sistema. Sua rvore de origem
gerencivel e distribuda como uma rvore de diretrio simples, imita de perto o layout do
prprio sistema, facilitando a localizao do cdigo para diferentes programas e subsistemas. A
maioria dos problemas de segurana para os quais os sensores sero implementados j foram
fixados no Open BSD. Procurando nos patches de segurana e no log modificado de cada arquivo
pode ser mais fcil localizar as pores do cdigo onde os problemas existem. Isto ajuda a
determinar onde os sensores para cada intruso tm que ser colocados.

Os dados coletados pelos agentes do AAFID foram analisados centralmente usando-se tcnicas
de clustering e os resultados mostraram que atribuies de clustering nos dados apontaram
mudana durante o perodo que os ataques foram desempenhados contra as mquinas da rede.

135
GASSATA GENETIC ALGORITHM TOLL FOR SIMPLIFIED SECURITY
AUDIT TRAIL ANALYSIS

Hosts Auditados Host Auditor

Host 1 Analisar
Sintaxe Eventos AG
T
r
Gerador a
d
De u
t
Log o
r
Rede

T Ataques
r
Gerador a Interface
d
De u de Rede Regras
t
Log o
r

Host 2
T
r
Gerador a
De
d Configurao
u Hosts Mdulo de Configurao
t
Log o
r

Figura: Arquitetura do GASSATA

O sistema nasceu do problema de segurana da anlise do audit trail. um sistema baseado em

host para deteco baseada em conhecimento. Ele no trabalha em tempo real, divide as
gravaes de auditoria em segmentos de 30 minutos e busca por assinaturas de ataques usando
algoritmos genticos.

GASSATA pode detectar mais do que 200 ataques, mas exige acima de 10 minutos para fazer
isto. Seu sistema de resposta limitado a relatrios mostrados na interfase do usurio.

Neste sistema, os algoritmos genticos so aplicados ao problema de classificao de eventos do

sistema, pelo uso de um conjunto de vetores hiptese H, um vetor por fluxo de eventos de

136
interesse, de n dimenses, onde n o nmero de ataques conhecidos. Hi definido como 1 se
representa um ataque e como 0 se no.

A funo tem duas partes. Na primeira, o risco que um ataque particular representa para o sistema
multiplicado pelo valor do vetor hiptese. O produto ento ajustado para uma funo de
penalidade quadrtica para eliminar hipteses no realsticas. Este passo melhora a discriminao
entre ataques possveis. O objetivo do processo otimizar os resultados desta anlise, assim a
probabilidade de um ataque detectado ser real, sinaliza 1 e a probabilidade de um ataque
detectado ser falso, sinaliza 0.

As seguintes desvantagens so observadas para abordagem de deteco de mal uso:

A forma de expresso binria, para fluxos de eventos individuais, leva o sistema a no
detectar mltiplos ataques de forma simultnea. Existe a possibilidade de que algoritmos
genticos no binrios possam resolver o problema.
Se o mesmo evento ou conjunto de eventos comum para muitos ataques e um atacante usa
isto para executar mltiplos ataques simultneos, o sistema no pode encontrar um vetor de
hiptese timo.
Sistema no localiza ataques, precisamente, no audit trail. Nenhum sentido de temporalidade
ocorre nos resultados de um detector.

137
GBID Genetic Based Intrusion Detection

Mdulo Aprendizagem
Algoritmo gentico

One behavior-gene
Delay Gerador do
Prximo Comando Switch

Probabili-
Mdulo dade de
Detector intruso
comandos Mdulo
Comparador Intruso

usurio
Figura : Modelo de deteco de intruso baseado em algoritmo gentico.

IDS baseado em comportamento, observa anomalia no uso de comandos por usurios individuais.
O comportamento do usurio aprendido continuamente para capturar desvio que resulte em um
nmero menor de alarmes falsos na deteco de intruso. Todo mundo exibe regularidades em
suas vidas dirias. Usurios de sistemas computacionais respondem a uma situao de uma
maneira similar, quando a mesma situao ocorre, mostrando regularidades, que podem ser
usadas para classificao de usurios no ambiente interativo. Algoritmos genticos so usados
para aprendizagem do comportamento do usurio num sistema computacional, por sua robustez e
adaptabilidade a mudanas no ambiente. So algoritmos de busca baseados em mecanismos de
seleo natural e gentica natural. Os genes so a unidade atmica que representa propriedades
no ambiente, sofrem um processo de evoluo que pode ser usado com uma tcnica heurstica
para resolver vrios problemas em diferentes ambientes. No processo de aprendizagem do
comportamento, o primeiro passo a codificao, vrios comandos do usurio so mapeados na
forma de gene, num processo de evoluo natural. Alfabetos (smbolos nicos) so atribudos
para cada comando usado na sesso do usurio. Comandos da sesso do usurio so divididos
dentro de string de alfabetos de tamanho n, chamado behavior-gene. Usou-se 4353 alfabetos para

138
representar todos os possveis comandos no desenvolvimento de behavior-gene. A populao
aleatria de behavior-genes gerada a partir de alfabetos vistos assim distantes.

A funo fitness calculada por uma coleo de behavior-genes. Behavior-genes com a mais alta
aptido na gerao corrente so propagados para a prxima gerao para obter o behavior-gene
mais apto, sua determinao apropriada importante para melhorar a exatido na predio. O
processo de evoluo mostrado na figura 1(inserir figura). Um parmetro que interfere na
funo fitness o ndice de entropia no comportamento do usurio. Quando o usurio exibe
mudana freqente no comportamento resulta em grande valor de entropia e indica que o
prximo comportamento do usurio no pode ser predito com exatido e vice-versa.

POPULAO RANDMICA DE
BEHAVIOR-GENES
Prxima
gerao

REPRODUO
CROSSOVER
MUTATION
Behavior-gene
ajustado
FUNO
FITNESS

No ajustado

Figura: Algoritmo gentico na aprendizagem do comportamento.

Na abordagem GBID trs operadores genticos so aplicados na populao aleatria de behavior-

genes:
Reproduo: seleciona behavior-genes com relativamente mais alto valor de aptido a
partir da populao aleatria inicial para gerar novos behavior genes para aplicar
crossover e Mutation: Esta operao desempenhada em behavior-genes na gerao
corrente, antes de aplicar outros operadores genticos;

139
 Crossover: Duas diferentes partes de behavior-gene na gerao corrente so concatenadas
para formar novos behavior-genes. Baseados no nmero de pontos da concatenao, a
operao chamada single-point crossover ou mult-point crossover;
Mutation: Alguns dos smbolos no behavior-genes so trocados aleatoriamente para que
evolua um novo behavior-gene. Este processo aplicado quando operaes de crossover
no esto gerando suficientes behavior-genes novos.

O comportamento caracterizado na abordagem por 3 (trs) tuple:

Match index: um parmetro que mede a regularidade de comportamento do usurio;
ndice de entropia: a medida do comportamento dinmico do usurio, tambm a medida
da distribuio de comandos na amostra de comandos;
Newness index: a medida do nmero de novos comandos, que no tinham ocorrido
antes.

O bloco semntico do modelo GBID mostrado na figura a seguir. Alfabetos mapeados de

comandos de usurio so usados como fluxo de entrada para o modelo.
Comandos do usurio Alfabetos (code)
ls 1
clear 41
ps 8
clear 41
cc <arquivo> 14
ls 1
cc <arquivo> 14
... ...

Figura: Mapeamento dos comandos do usurio para alfabetos.

O mdulo de aprendizagem aprende a tendncia do valor da entropia pelos comandos do usurio

atravs de algoritmos genticos. A exatido do behavior-gene predito decide o valor de 3-tuple
que por sua vez afeta a exatido da deteco de intruso.

140
Gerador do prximo comando gera os prximos comandos do usurio que ocorrem a partir do
behavior-gene predito.

O mdulo comparador calcula o valor do 3-tuple a partir dos comandos ocorridos realmente e
comandos preditos. O valor do 3-tuple do comportamento normal esperado comparado com o
valor do 3-tuple calculado para calcular o desvio no comportamento do usurio. Um switch
usado para controlar o feed back para o mdulo de aprendizagem. Quando o nmero de alarmes
falsos alto, o switch fechado para adaptar a mudana no comportamento do usurio.

O mdulo detector de intruso calcula a probabilidade da amostra do comando corrente ser

intrusiva a partir do desvio no comportamento do usurio.

O modelo proposto tem as seguintes caractersticas:

Conhecimento de novos ataques e vulnerabilidades do sistema no necessrio, desde

que a deteco feita pela observao de desvio nos padres de comportamento do
usurio;
Deteco de intruso pode ser feita em tempo real. Neste modelo a quantidade de logs de
dados processada para deteco intruso baixa;
Tem baixa taxa de alarmes falsos. O switch fechado para aprender o comportamento do
usurio, quando este est no modo exploratrio;
O comportamento do usurio continuamente aprendido, para captar o rumo (tendncia)
do comportamento do usurio;
GBID opera de uma maneira descentralizada. O algoritmo GBID roda em cada n de
maneira independente.

A exatido da predio no modelo de aprendizagem, quase permanecem constante (com uma

pequena mudana de 0,01 ou menos) para diferentes tamanhos de histria (intervalo observado),
para diferentes usurios. Este fenmeno pode ser explicado pelo fato do prximo comando que
ocorre ser mais dependente do comando prximo passado do que toda histria.

O tamanho do perodo inicial de observao determina o perodo durante o qual o GBID aprende
o comportamento do usurio, antes de comear a deteco de intruso. A predio dos prximos

141
comandos do usurio ocorrerem baseada nos comandos prximos passados do usurio. Se mais
nmeros de novos comandos no vistos ocorrem ento a exatido da predio do modelo de
aprendizagem decresce. A predio pode ser comeada quando o nmero de novos comandos, no
conjunto de comandos do usurio, torna-se constante para alcanar grande exatido na deteco
de intruso. Por observao, no modelo, a deteco de intruso pode ser comeada depois dos
iniciais 500 comandos ocorridos, para se obter a mxima exatido na predio.

No algoritmo usado no GBID, todo o intervalo de comandos observados, na sesso do usurio,

dividido em blocos de tamanho fixo chamados de amostras de comando. Os valores da 3-tuple
para as amostras de comando na sesso do usurio so calculados e formam o conjunto S. O valor
da 3-tuple da amostra de comando comparada com o valor da 3-tuple inicial de entrada, para
remover amostras de comando do conjunto S, que esto desviando dos valores de entrada. O
processo de remoo de amostras de comando repetido at as amostras de comando na sesso
corrente do usurio seja removida pelo aumento dos valores de entrada pelo fator de entrada, no
prximo ciclo. O nmero de amostras de comando restantes no conjunto, quando a amostra de
comando corrente estando eliminada do conjunto S determina a probabilidade da sesso corrente
ser intrusiva.

A performance do sistema GBID na deteco de intruso avaliada atravs de dois parmetros:

Exatido da intruso: Em IDS existentes o calculo da exatido da deteco de intruso

varia dependendo do domnio e definio da intruso. Na abordagem GBID, a intruso
um conjunto de aes que desviam do comportamento normal do usurio. A
probabilidade de uma amostra de comando ser intrusiva a mesma que exatido da
deteco na abordagem GBID;
Taxa de alarme falso: a medida da contagem dos exemplos no qual uma amostra de
comando do usurio autntica (genuna) classificada como uma amostra intrusiva. a
probabilidade da amostra de comando corrente ser classificada como intrusiva, embora
seja no intrusiva.

A avaliao experimental do sistema GBID mostrou que a abordagem capaz de detectar

intruso com uma exatido de 96,8% e uma taxa de alarme falso de 3,2 %, na vida real da histria
de comandos UNIX de 25 usurios.

142
Hyperview

O Hyperview um sistema com dois componentes importantes, o primeiro um SE que monitora

audit trail por sinais de intruses conhecidas e o segundo uma rede neural baseada em
componentes que aprendem o comportamento do usurio adaptativamente e levantam um alarme
quando o audit trail desvia do comportamento aprendido. O emprego da RN para funes de
deteco baseada em comportamento estatstico se firmou na hiptese de que os dados de
auditoria poderiam conter. A hiptese era de que continham sries temporais multivariadas, onde
o usurio constitui um processo dinmico que emite uma seqncia ordenada de eventos. A
gravao de auditoria que representa tal evento consiste de variveis de dois tipos. Os valores dos
primeiros vm de um conjunto finito de valores, por exemplo, nome do terminal no qual o
comando foi emitido. O segundo tem um valor contnuo, por exemplo, uso da CPU. A proposta
era mapeamento de sries temporais para as entradas da RN, reconhecendo assim que isto faria
um modelo simples que poderia ser facilmente treinado. No entanto devido a uma srie de
problemas, decidiu-se por um caminho diferente. O emprego de uma rede recorrente RR, onde
parte da sada da rede era conectada a entrada da mesma, formando a entrada para o prximo
estgio. Isto cria uma memria interna na rede, a proposta a mesma, dotar a rede com a
percepo do passado. interessante notar que a RR tem memria longa sobre os parmetros dos
processos, na forma de peso das conexes na rede e memria curta sobre a seqncia sob estudo
na forma de ativaes dos neurnios.

O projeto do sistema como um todo complexo, a RN conectada a dois SE. Um sistema

monitora a operao e o treinamento da rede, para prevenir a rede de aprender comportamento
anmalo, por exemplo e avaliar sua sada. O outro SE varre os dados de auditoria a procura de
padres conhecidos de abuso e junto com a sada do primeiro SE (e, portanto da RN) forma uma
opinio se dispara um alarme ou no. A deciso do SE tambm fornece a RNA com dados
situao de conscincia, dados que o audit trail no contm, simples data e hora corrente, a um
complexo estado de alerta ou estado de perigo do sistema, definido pelo Administrador de
Segurana.

143
IDA Intrusion Detection Agent system

O mtodo trabalha usando marcas deixadas por intrusos suspeitos (MLSIs Marks Left by
Suspected Intruders). Recuperao da informao e pistas das rotas de intruso so feitas pelo
uso de agentes mveis. Como intrusos podem atacar fora de seu host base, a proposta seguir a
pista de origem de uma intruso.

O prottipo conta com duas funes completas:

Deteco de ataque local;
Traar a pista de intruso numa LAN.

A prxima funo detectar ataques remotos, seguir a pista de intruses na internet, e estender a
aplicabilidade do sistema para redes de grande escala.

IDA trabalha observando eventos que possam relacionar com intruses, ao invs de analisar todas
as atividades dos usurios. Se uma marca suspeita achada, a informao colhida, analisada e
decide se ocorreu a intruso ou no. Por exemplo, ele monitora se arquivos crticos relacionados
com a segurana do sistema foram modificados. No entanto, usurios legtimos tambm podem
fazer alteraes nos arquivos e o sistema no pode somente se basear na modificao de arquivos,
para uma intruso ter ocorrido. Assim IDA colhe mais informaes relacionadas a modificaes
no arquivo, antes de decidir se a intruso ocorreu.

Passos executados pelo IDS:

1. Cada sensor busca marcas suspeitas no log do sistema;
2. Se o sensor detecta a marca, ele a reporta para o gerente;
3. O gerente dispara um agente que segue a pista para um sistema alvo onde a marca foi
detectada;
4. O agente chega no sistema alvo e ativa um agente de colheita de informao;
5. O agente ento coleta a informao relacionada as marcas suspeitas no sistema alvo;
6. Depois de ativar o agente de colheita, o agente que segue a pista investiga o ponto de
origem das marcas suspeitas e se esfora para identificar o site remoto do usurio. Este
agente pode acumular dados sobre conexes de rede, processos rodando no sistema;
7. Depois de coletar a informao, o agente de coleta, independente do agente de seguir a
pista, retorna ao gerente e incorpora a informao no bulletin board;

144
 8. O agente que segue a pista move para o prximo sistema alvo, na rota traada e ativa um
novo agente de coleta de informao;
9. Se o agente que segue a pista chega na origem da rota ou no pode mover para lugar
nenhum. Ou se outros agentes que seguem a pista perseguiram a rota, ele retorna para o
gerente.

O sistema IDA consiste de:

Gerente. Analisa a informao colhida pelos agentes de coleta - IA e detecta
intruses. Ele gerencia os agentes mveis e bulletin board BB e fornece uma
interface entre o AS e o sistema. O gerente acumula e pesa a informao entregue
pelo agente mvel no BB e se o peso excede a um conjunto de entrada, o gerente
conclui que uma intruso ocorreu. Um gerente reside em cada segmento de rede.
Sensores. Presentes em cada sistema alvo, monitora os logs do sistema em busca
de marcas suspeitas. Se o sensor acha uma marca ele relata ao gerente, como
tambm o tipo de marca.
Agente segue a pista. Este agente segue a pista de uma intruso e identifica seu
ponto de origem. O lugar no qual o usurio deixou sua marca remotamente no host
alvo. No percurso da rota o agente pode achar qualquer n intermedirio
comprometido. O agente no pode migrar para um sistema no qual o IDA no
esteja instalado.
Agente coleta. Este agente que mvel recolhe informaes relacionadas a marcas
no sistema alvo. Cada vez que o agente que segue a pista, na perseguio de um
intruso, disparado no sistema alvo, ele ativa um agente de coleta naquele
sistema. Ento, dependendo do tipo de marca, o agente de coleta recolhe a
informao, retorna ao gerente e relata.
Bulletin Board BB e Message Board -MB. So reas de uso comum que podem
ser acessadas pelo agente que segue a pista e agente de coleta e tambm um meio
de troca de informaes.

Existe um MB em cada sistema alvo, usado por agentes que segue a pista para troca de
informaes. Qualquer agente que segue a pista pode conhecer se uma pista sob sua investigao
j tem sido traada por outro agente e pode usar esta informao e decidir aonde ir. O BB est na

145
mquina gerente e usado para gravar informaes colhidas dos sistemas alvo pelos agentes de
coleta, tambm para integrar a informao colhida sobre toda rota traada.

Gerente Alvo C

Sensor MB

BB
IA
IA
Log

LAN

Alvo A Alvo B

TA
Sensor TA Sensor
IA

Log MB Log MB
TA

Figura : Arquitetura do sistema IDA.

146
IDES - INTRUSION DETECTION EXPERT SYSTEM

Atividade Audit Profile do

do Sistema Usurio/
Trail
Sistema

Anomalias IDES
Processamento
Alarme
Gravadas

Figura: Modelo IDES

Inicialmente foi projetado como simples sistema baseado em regras, usando cenrios de intruso
descritos por um conjunto de regras. O componente baseado em regras foi baseado no mesmo
Production-Based Expert System Toolset (P-BEST) que MIDAS28 usou. Embora este sistema
baseado em regras seja til, apresenta obstculos como a falta de suporte para o desenvolvimento
de cenrios de intruso. difcil se determinar a relao entre as regras.

Para superar esta dificuldade, o conceito de deteco de intruso baseado em modelo foi
desenvolvido conjuntamente. Cada cenrio de intruso foi separadamente modelado. Assim, o
nmero de regras necessrias para mudanas de um tamanho mais manejvel. Esta abordagem
organiza as regras para o cenrio de intruso, sendo que somente as regras usadas para checar os
passos iniciais da intruso so disparadas, enquanto as outras continuam dormentes. Quando o
cenrio de intruso se inicia, regras adicionais para deteco de passos subseqentes de intruso
podem ser acrescentadas ao conjunto de regras que devem ser avaliadas. Na abordagem baseada
em regras, nenhuma das regras permanece dormente. Todas so constantemente avaliadas.
Abordagem baseada em modelo ganha em eficincia e manuteno.

28
Multics Intrusion Detection and Alerting System, desenvolvido pela National Computer Security Center
(NCSC), disponibilizado em 1989 [Bace, 2000].

147
Informaes do audit trail so coletadas para um log protegido, sendo possvel estatsticas
baseadas em profile. Outros tipos de anlise tambm o so usando-se tcnicas e ferramentas off-
line.

IDS, segundo Denning, so modelados como os seguintes objetos matemticos.

<subjects, objects, profiles, audit records, anomaly records, alarms>

Subjects correspondem aos processos bsicos que iniciam as atividades.

Objects correspondem aos arquivos e diretrios usados para armazenar a informao.

Profiles so caractersticas de comportamento de usurios, grupos de usurios, hosts remotos e

sistemas alvo. Estes profiles so atualizados para refletir novos comportamentos uma vez ao dia,
depois da vida til 29do profile original.

No caso do usurio ser novo, ainda no conhecido pelo sistema, IDES usa um profile default para
dar incio ao monitoramento daquele usurio.
Gravaes de auditoria so includas para modelar as estruturas de dados usadas para capturar o
comportamento observado no sistema. A segurana do sistema operacional envolve o uso de
audit trail, que so compostos de seqncia de audit records. Cada gravao pretende contribuir
para a viso temporal do sistema ou atividade do usurio no ambiente alvo.

As gravaes de anomalia so includas para modelar as estruturas de dados usadas para capturar
decises de programas baseadas na anlise de intruses.

Alarme a maneira na qual problemas so relatados. Correspondem a aes de respostas tomadas

depois de uma anomalia ter sido detectada.

29
30 dias

148
IDIOT

Mquina
de estado
padro
... Mquina
de estado
padro
Mquina
de estado
Mquina e padro
de estado e
e
padro
C2_Server e

Eventos auditados na
forma cannica - e

showaudit.pl

Eventos auditados

Audit trail

Figura : Estrutura do sistema IDIOT.

um sistema que o princpio bsico empregar redes de Petri coloridas -RPC, para deteco de
intruso baseada em conhecimento. A abordagem em camadas sugerida quando tcnicas
baseadas em assinaturas so aplicadas ao problema de DI. uma tcnica que permite o
casamento condicional de padres e se prestam a uma representao grfica. Os padres
desempenham um papel principal e so escritos em uma linguagem textual simples e ento
analisados, resultando em uma nova mquina de casamento de padro. Esta nova mquina pode
ser dinamicamente acrescentada a uma instncia j rodando do IDIOT, via a interface do usurio.
Alm disso, o usurio pode estender o IDIOT a reconhecer novos eventos auditados.

O sistema IDIOT consiste de 4 (quatro) componentes:

Audit trail (Solaris 2.4 e Sun BSM). O sistema transforma dados do audit trail para a
forma cannica.

149
 Showaudit.pl um script perl que converte o audit trail, por exemplo Sun BSM para o
formato cannico necessrio ao IDIOT. Se o IDIOT for utilizado em outra plataforma,
este componente deve ser reescrito, para o novo formato do audit trail.
C2_Server. o centro do sistema, consiste de uma classe C++ com muitos mtodos
associados a ela.
Padres descritivos. So escritos numa linguagem que descreve um mtodo conhecido de
ataque como um conjunto de estados e transies entre eles. Devem ser traduzidos para
C++, compilados e ligados ao objeto C2_Server.

Audit trail e showaudit.pl so mquinas dependentes, enquanto o C2_Server e padres descritivos

so portveis. Um quinto componente C2_appl fornece uma interface para o usurio interativa,
tambm portvel.

150
LISYS Lightweight intrusion detection System

Computador IP: 20.20.20.5

externo port: 25

Datapath triple
(20.20.20.5, 31.14.21.37, smtp) = 1110111...11

N detector
Computador IP: 31.14.21.37
interno Port: 1700
Nvel Con-
sensibi- junto
Brodcast lidade detec-
LAN tor
Parme-
tros
repre-
sentao

0001010010011100011101110......................................01110
state Flag ativado ltima ativao N casamentos

Figura : Arquitetura do Lisys.

Forrest e Hofmeyr apresentam um mtodo de deteco de intruso, baseado no sistema

imunolgico humano. A definio de self feita em termos de seqncias curtas de chamadas ao
sistema executadas por processos privilegiados, provendo uma assinatura compacta do
comportamento normal dos processos. O mtodo baseado na construo de uma base de dados
do comportamento normal de cada programa de interesse. Cada base de dados especfica para
uma determinada arquitetura, verso e configurao de software, poltica de administrao e

151
padres de uso. Depois de construda, a base de dados utilizada para monitorar o
comportamento do programa relacionado. As seqncias de chamadas ao sistema da base de
dados formam o conjunto de padres normais do processo, e as seqncias no encontradas na
base de dados indicam anomalias no comportamento do processo. O mtodo proposto apresenta
dois estgios. No primeiro estgio, so extrados traos de comportamento normal dos processos
e construdas as bases de dados. No segundo estgio, as seqncias de chamadas ao sistema
executadas pelos processos so comparadas com os padres armazenados em suas bases de
dados. Se uma seqncia no encontrada na base de dados do processo, reportado um
mismatch, representando uma possvel invaso. Testes foram feitos com programas como,
sendmail e lpr.

Eles tambm apresentam um sistema imunolgico artificial, que detecta conexes TCP no
usuais com a rede protegida pelo sistema. A definio de self feita em termos de conexes TCP,
determinadas pelos endereos IP de origem e destino, e pela porta TCP de servio. Cada conexo
representada por uma string de 49 bits, sendo que o self o conjunto das conexes que
normalmente so observadas na rede. O sistema apresenta um nico tipo de detector, que
combina propriedades de vrias clulas do sistema imunolgico, podendo assumir diferentes
estados. Cada detector representado por uma string de 49 bits e um conjunto de estados.

A tcnica descrita tenta descobrir novas intruses, mas o sucesso somente tem sido em escala
experimental. O uso de uma analogia imunolgica , em princpio, muita poderosa.

152
MIDAS

construdo ao redor da idia de heursticas de DI, onde o AS analisa seus logs de auditoria
manualmente a procura de evidncia de comportamento intrusivo. MIDAS aplica um conjunto de
ferramentas de SE baseado em produo para DI. Este conjunto de ferramentas, P-BESTs
escrito em Lisp e produz um cdigo que pode ser compilado e rodar em uma mquina Lisp
simblica dedicada. A compilao do cdigo do SE dentro do cdigo do objeto fornece uma
execuo eficiente do Shell do SE.

A base de regas feita em trs categorias distintas e sua estrutura de duas camadas enfileiradas.
A primeira camada mais baixa deduz imediatamente certos tipos de eventos como nmero de
logins ruins e afirma se uma entrada particular suspeita foi alcanada, quando os eventos
dispararam. Estas suspeitas so ento processadas pelas regras da segunda camada, que decide se
dispara um alarme baseado nos fatos suspeitos afirmados pelas regras da camada mais abaixo.
Por exemplo: este usurio um intruso porque digitou 40 comandos errados nesta sesso, tentou
comando invlido suid e login em horrio no usual. Considerados em conjunto, uma forte
indicao de que alguma coisa foi confirmada pelas regas do segundo nvel.

153
NFR NETWORK FLIGHT RECORDER

Mquina Backend
Deciso

Sistema Sugador
Backend
Alvo Pacotes Filtro 1 Queries
G
U
Filtro 2 Backend I

...
Gerente Alerta

Figura: Configurao de Alto Nvel da Arquitetura do NFR

No uma ferramenta de deteco de intruso baseada em rede [Bace, 2000], mas um monitor de
rede genrico com APIs para suportar o acrscimo de analisadores de intruso. , essencialmente,
um kit de ferramentas para construo de analisadores de trfego, com abordagem de deteco
baseada em conhecimento que usa assinaturas. E gravao de eventos estatsticos, com
abordagem de deteco baseada em comportamento que usa profile de comportamento normal.

A configurao geral do sistema NFR em alto nvel esquematizada na figura acima. Alguns
aspectos arquiteturais e de segurana incluem:
Os sugadores de pacotes, que operam para capturar30 o trfego de rede e encaminhar
cpias dos pacotes para mquinas de deciso. A questo como armazenar grandes
volumes de dados usando dispositivos de drivers. A idia proporcionar facilidades de
captura de pacotes baseadas em dispositivos de hardware. O casamento de um software
flexvel NFR e uma rpida captura de pacotes baseados em hardware algo benfico para
a rea de deteco de intruso.

30
NFR usa uma verso modificada do libpcap para promiscuamente e passivamente extrair parte principal
de pacotes da rede.

154
 A mquina de deciso baseada numa coleo de filtros escritos numa linguagem de
programao especial chamada N31, onde so compilados e interpretados. Casamento de
padro desempenhado para permitir que os pacotes sejam reagrupados. Todos os filtros
so aplicados nos pacotes.

A extrao de dados dos filtros, depois da operao de filtragem, feita atravs de uma
primitiva alert, que passa os alarmes para um sistema designado para gerenciamento de
alarmes e, de uma primitiva Record, que passa a estrutura do dado para o backend 32para
desempenhar o processamento de intruso. Esta modularidade til, pois permite o uso de
rotinas terceirizadas para desempenhar o gerenciamento de alarmes ou a gravao.

O processamento no backend feito via uma pequena coleo de programas de propsito

geral, que fornecem histogramas de dados, o que facilita a captura de dados numa matriz
multi dimensional. A totalidade de categorias relevantes acumulada em clulas da
matriz. Alertas podem ser gerados baseados nos nmeros absolutos ou nas freqncias
relativas dentro das clulas.Tambm fornece listas cronolgicas de gravaes de
informao, proporcionando um nvel de detalhamento no fornecido pela funo
histograma. Tambm apresentam modularidade.

Um conjunto de queries usado para analisar os dados. A capacidade do query

fornecida por uma base de dados externa acessada com uma linguagem estruturada SQL.

Uma Interface Grfica do Usurio (GUI) fornecida e operam independentemente. Isto

permite anlise flexvel de diferentes tipos de informao de diferentes backends.

Um subsistema gerente de fila de alertas usado para fornec-los. Um daemon chamado

alertd usado para priorizar e definir rotas de alertas. Os tipos de alerta que o NFR usa
incluem mecanismos de entrega tais como, impresso, email e fax.

31
Marcus Ranum alega ter evoludo de uma linguagem chamada UberMUD
32
Um grupo de assinaturas que juntas podem detectar mltiplos ataques.

155
A natureza on-the-fly do NFR para deteco baseada em comportamento complementada pelo
seu backend, que pode ser mais bem entendido como um mtodo de processamento de audit trail
off-line.

NFR mais flexvel e completo que o Snort33. Foi o primeiro produto que preocupou em vencer
os ataques contra o prprio IDS em redes.

Tanto o NFR quanto o Snort operam com uma poltica de assinaturas fonte aberta.

33
Descrito neste captulo.

156
NIDES - NEXT GENERATION INTRUSION DETECTION EXPERT SYSTEM

Host Alvo 1 Host Alvo N

Dados Auditados Dados Auditados

Formato Nativo Formato Nativo
Alvo Alvo
Auditoria Auditoria
Sistema Agen Sistema Agen

Formato Dados
Auditados Nides Formato Dados
Auditados Nides
Arpool
Formato Dados Formato Dados
Auditados Nides Auditados Nides

Anlise Anlise
Baseada em
Estatsti Regra
ca
Resolver
Resultado Anlise Resultado Anlise
Estatstica Baseada Regras
Anlise Resultados
Resolver

Interface Usurio

Figura : Arquitetura do NIDES

O Next Generation Intrusion Detection Expert System emprega o mtodo baseado em

comportamento utiliza a tcnica estatstica. Constri profiles estatsticos atravs do
monitoramento de entidades que podem ser usurios, grupos de usurios, estaes de rede, hosts
remotos ou programas de aplicaes. complementado com um componente baseado em
conhecimento que utiliza um sistema especialista baseado em assinatura, implementado usando
P-Best34.

O desenvolvimento do NIDES se deu graas ao bem documentado IDES, pois foi importante para
dar continuidade pesquisa sobre sistemas de deteco de intruso. A mesma funcionalidade foi

34
Utilizado no SDI MIDAS, como no IDES.

157
mantida do IDES, mas a arquitetura foi alterada. NIDES modular, com interfaces bem definidas
entre os componentes. E construdo numa arquitetura cliente-servidor.
Tem anlise centralizada num host especfico, chamado NIDES host, que coleta dados de vrios
hosts na rede. Estes hosts-alvo coletam os dados auditados, de vrios logs baseados em host35,
logs de trfego de rede baseado em host. O componente Agen converte os dados auditados. O
processo Agend responsvel por parar e iniciar o agen quando instrudo pela interface do
usurio36.
O processo Arpool, no NIDES host, coleta os dados auditados que vieram do agend e os fornece
para os componentes de anlise estatstica e de anlise baseada em regra37 sob demanda.
So, na verdade, quatro sistemas diferentes. Cada um construdo no topo do seu antecessor:

O componente Resolver responsvel por avaliar e agir sobre os dados recebidos dos
mdulos de anlise agreg-los e fazer uma deciso composta.
O componente Archiver responsvel em armazenar gravaes de auditoria e resultados
de anlise e alertas.
O componente de anlise Batch permite ao SSO experimentar novas configuraes a
partir de dados auditados conhecidos, em paralelo, rodando o NIDES em produo.
A interface do usurio, no NIDES host, responsvel por comunicar violaes de
segurana suspeitas para o SSO, bem como o status geral de processamento. Somente
uma instncia da interface pode ser ativada de cada vez.

A funcionalidade do mtodo baseado em comportamento foi alterada para permitir ao NIDES no

s trabalhar com distribuio parametrizada simples, mas tambm, com distribuio multi modal.
Por exemplo, um usurio que desempenha duas tarefas completamente diferentes, desenvolvendo
um software e escrevendo a documentao para ele. Em outro dia, o usurio est fazendo um
relatrio do software. Padres de uso como este exigem um modelo estatstico com diferentes
modelos de usurio numa conta.

Trs mudanas foram feitas em favor da performance:

35
Existe uma previso de utilizar TCP WRAPPER.
36
implementado usando RPC.
37
Baseada em assinatura.

158
 O componente de anlise estatstica armazena informaes sobre arquivos e diretrios
acessados numa lista. Como esta lista cresce muito e para aliviar este problema, o
algoritmo de anlise foi alterado. O processamento de gravao de auditoria foi movido
para um estgio de gerao de profile.
Uma caracterstica foi acrescentada para dar, ao usurio, a chance de ter os profiles
atualizados em tempo real.
Um cache para profile de configurao de usurio foi adicionado, para aumentar a
velocidade de processamento, no mdulo baseado em comportamento.

Outras caractersticas foram acrescentadas:

Estrutura de armazenamento de profile otimizada para o armazenamento de profile de
curto e de longo prazo.
Anlise de configurao do NIDES em tempo real quando est rodando. Para deteco em
tempo real e em modo batch, deu ao SSO a possibilidade de configurar aspectos da
anlise de componentes.
Um relatrio de status expandido relata o status e a configurao de cada host monitorado.
O status e o resumo dos alertas so relatados periodicamente, quando da anlise de dados
auditados em modo batch.
Facilidade de gerenciamento de dados. Esta facilidade permite o AS alcanar e recuperar
os dados auditados e os dados resultantes do processamento.
Base de regras expandida38.
Introduo de um script perl para converter o audit trail do host especfico para a forma
cannica do NIDES39, por ser mais disponvel a um nmero de plataformas diferentes.
Um agen monitor em modo promscuo para detectar sniffer na rede.
Um modelo expandido de facto de audit record, permite considerar todos os campos
disponveis numa gravao de auditoria para deteco.

38
De 21 para 39 regras.
39
Anteriormente escrito em C, limitado e difcil de portar.

159
NSM Network Security Monitor

Foi o primeiro sistema a usar trfego de rede diretamente como origem de dados de auditoria. Ele
escuta passivamente todo o trfego de rede que passa atravs de uma LAN broadcast a procura de
comportamento intrusivo a partir desta entrada. O NSM pode monitorar uma rede de hosts
heterogneos sem ter de converter os formatos de audit trail para uma forma cannica.

Ele segue uma abordagem em camadas. A camada de conexo responsvel por estudar os dados
da rede e tentar formar pares de canais de comunicao bi-direcional entre conjunto de hosts.
Estas conexes so condensadas em um vetor conexo, podando para fora alguns dos dados
vindos das camadas mais baixas. No sistema descrito, somente os vetores host e os vetores
conexo so usados como entrada para um SE simples, que analisa os dados a procura de
comportamento intrusivo. Estes profiles consistem de caminhos de dados esperados que
descrevem que sistema esperado comunicar com qual, usando quais protocolos. Outro tipo de
profile construdo para cada tipo de protocolo de alto nvel, por exemplo, o que uma sesso
telnet normal parece. Outras entradas so conhecidas pelas vrias capacidades dos protocolos e de
como eles autenticam seus pedidos. Por exemplo, telnet um protocolo poderoso que permite o
usurio desempenhar uma variedade de tarefas e autentica seus pedidos. Enquanto o sendmail
pede identificao, mas no autentica esta identificao. O dado destas origens combinado para
tomar uma deciso sobre a probabilidade que uma conexo particular representa comportamento
intrusivo, baseado em reaes anmalas. Isto combinado dentro de um conceito de estado de
segurana da conexo.

A apresentao normal dos dados ao Administrador de Sistemas - AS tem a forma de lista

classificada, onde cada fileira na lista consiste de um vetor conexo e o nvel de suspeita
computado. Os resultados so tambm armazenados numa base de dados, permitindo o AS
selecionar eventos especficos para serem estudados mais de perto.

160
SNORT LIGHTWEIGHT INTRUSION DETECTION FOR NETWORK

Snort um IDS baseado em rede, com abordagem em deteco baseada em conhecimento. leve
e pode monitorar pequenas redes TCP/IP. Detecta uma grande variedade de trfego de rede
suspeito e ataques. Snort direciona sua arquitetura na simplicidade, no desempenho e na
flexibilidade.

Snort, comparado ao tcpdump, est mais voltado para a inspeo dos dados do pacote e tem a
vantagem de mostrar a sada de uma maneira mais amigvel.

Snort pode utilizar um conjunto de regras flexveis para desempenhar funes adicionais, tal
como procurar e gravar somente aqueles pacotes que tenham seus flags TCP sinalizados num
modo particular, ou contendo pedidos da web com provas de vulnerabilidades CGI.

Existem trs subsistemas primrios que fazem o Snort:

Pacote decodificador. A mquina de decodificar organizada ao redor das camadas da
pilha de protocolos presentes, suportada pelo link de dados e definies do protocolo
TCP/IP. Cada sub-rotina no decodificador impe ordem nos dados do pacote, revestindo a
estrutura de dados de trfego de rede puro. Estas rotinas so chamadas em ordem
atravs da pilha de protocolos, a partir da camada link de dados, a camada de transporte
at a camada de aplicao. A maior funcionalidade do decodificador consiste em
configurar ponteiros dentro dos pacotes de dados para anlise posterior, pela mquina de
deteco.
Mquina de deteco. O Snort mantm as regras de deteco numa lista de duas
dimenses que so denominados Cadeia de cabealhos e Cadeia de opes. Estas listas de
regras so condensadas para uma lista de atributos comuns na Cadeia de cabealhos, com
as opes variadas de deteco contidas na Cadeia de Opes. Por exemplo, se quarenta e
cinco regras de deteco de provas de CGI-BIN so especificadas em um dado arquivo de
biblioteca de deteco do Snort, elas compartilham todas, geralmente, um endereo IP de
origem e destino e portas comuns. Para acelerar o processo de deteco, essas so
condensadas dentro de uma simples Cadeia de cabealhos e ento assinaturas de deteco
individuais so conservadas em estruturas de Cadeias de Opes. Essas Cadeias de regras
so buscadas recursivamente para cada pacote, em ambas as direes. A ao especfica

161
 na definio da regra disparada, assim que a primeira regra atenda o casamento de
padro na mquina de deteco e retorna.
logging and alerting subsystem. selecionado na linha de comando, quando em
funcionamento. Existem trs (3) opes de logging e cinco (5) de alerta. As opes de
logging podem ser colocadas nos pacotes de log no seu decode, formato de leitura
humana para uma estrutura de diretrio baseado em IP, ou em formato binrio tcpdump
num arquivo de log simples. O formato decodificado de logging permite anlise rpida
dos dados coletados pelo sistema. O formato tcpdump mais rpido para gravar no disco
e deve ser usado em instncias onde alto desempenho exigido. Logging pode ser
desligado completamente, deixando as alertas habilitadas para maior desempenho. Alertas
podem ser enviadas para syslog, colocadas num arquivo texto de alerta em dois formatos
diferentes. As alertas do syslog so enviadas como mensagens segura/autorizao que so
facilmente monitoradas com ferramentas tais como Swatch40. Existem duas opes para
enviar as alertas para um arquivo texto plano, alerta completa e rpida. A primeira escreve
a mensagem alerta e a informao do cabealho do pacote atravs da camada de
transporte. A segunda opo escreve um subconjunto condensado da informao do
cabealho para o arquivo alerta, permitindo maior desempenho do que no modo completo.
Existe uma quinta opo para desabilitar completamente as alertas, que til quando as
alertas so desnecessrias ou inapropriadas, tais quando testes de penetrao na rede esto
sendo desempenhados.

Estes subsistemas ficam no topo da biblioteca libpcap de sniffing de pacotes em modo promscuo,
que fornece um sniffing de pacotes portvel e capacidade de filtragem. Configurao do
programa, anlise de regras e gerao de estrutura de dados tomam lugar antes da seo de
sniffing ser inicializada, conservando a quantidade de processamento por pacote a um mnimo
requerido para alcanar a funcionalidade do programa base.

Snort bem empregado na segurana da rede, quando um novo ataque aparece e a ferramenta
instalada no liberou a nova assinatura de reconhecimento de ataque.

O desenvolvimento de novas regras de deteco de exploits feito atravs da simples escrita de

tais regras, que so poderosas o suficiente para detectar uma grande variedade de hostilidades ou

40
Esta ferramenta est disponvel em ftp://coast.cs.purdue.edu/tools/unix/chrootuid.

162
trfego de rede suspeito. Existem trs aes bsicas diretivas que o Snort pode usar quando um
pacote casa com uma regra de padro especfico:
passar as regras, simplesmente pulando os pacotes.
colocar as regras em log, escrevendo todo o pacote para uma rotina de logs que tenha sido
selecionada pelo usurio no run-time.
regras de alertas que geram uma notificao de evento usando um mtodo especificado pelo
usurio na linha de comando e ento colocar em log o pacote todo, usando mecanismo de log
para permitir anlise futura.

O mtodo geral para desenvolvimento consiste de obter o exploit de interesse, tal como um novo
buffer overflow, rodar o exploit em uma rede teste com o Snort gravando todos o trfego entre o
alvo e o host atacado e ento analisar os dados para uma assinatura nica e condensar esta
assinatura em uma regra.

Snort tem capacidade de alerta em tempo real, sendo enviada para o syslog. Pode prover
administradores com dados suficientes para tomar deciso das aes em face das atividades
suspeitas.

163
W&S Wisdom & Sense

o nico na sua abordagem para deteco de intruso baseada em comportamento, ele estuda o
histrico de dados auditados para produzir vrias regras que descrevem o comportamento normal,
formando o Wisdom. Estas regras so ento alimentadas para um Sistema Especialista que
avalia dados auditados recentes, por violaes das regras e alerta o administrador de sistemas,
quando as regras indicam desvio de comportamento, formando o sense. W&S l as gravaes
de auditoria histricas a partir de um arquivo. O elemento sense l gravaes de auditoria,
avalia contra uma base de regras e dispara um alarme se o nmero suficientemente de regras
relatam uma discrepncia bastante alta com o profile. Ele relata uma anomalia se a contagem
excede um operador entrada pr-definido. O elemento sense ento l a base de regra, dicionrio e
novas gravaes de auditoria, tanto em batch ou na medida que se tornam disponveis. A mquina
de inferncia processa cada gravao de auditoria, achando as regras que aplicam e computa suas
transaes. Fazendo isto a mquina de inferncia basicamente computa todas as contribuies a
partir das diferentes regras falhas, tendo em mente que se procura por anomalias, e as regras que
descrevem comportamento normal fazem parte das gravaes de auditoria.

164
Apndice B

IU S

M o s t ra r()
A t i va r M o n i t o r ( )
D e s a t i va r M o n i t o r ( )

M o n it o r
C a ix a d e N om e SGBD
H ost
In s e r ir () In s e r i r D a d o ( )
B u s c a r()
D e l e t a r( ) M o d i fic a r D a d o ( )
A t i va r ( )
E n v ia r () A p a g a rD a d o ( )
D e s a t i va r ( )
M o d i fi c a r () V i s u a l i z a rD a d o ( )
In i c i a r ( )
V i s u a l iz a r( ) E n vi a r D a d o ( )
F in a liz a r()
In fe r i r ( )
C o rre la c io n a r()
E x e c u t a r()

F e rra m e n t a T ra n s c e p t o r
No m e Nom e
N o m eA g en t e Host
r e a A tu a o F e rra m e n t a
S t a tu s = o n o u o ff P l a t a fo r m a

L e r()
A va l i a r ( )
F o rn e c e r()
M a n d a rE x e c u t a r()
A t i va r A g e n t e ( ) A g e n te
D e s a t i va r A g e n t e ( ) N o m e A g e n te
F e rra m e n t a
H ost
P l a t a fo r m a

C o le t a r()
A rm a z e r()
R e a liz a r()

S is t e m a

Figura : Diagrama de classes (UML)

165