Comprehensive Review: Intrusion Detection System and Techniques
Autores: Sheenam,Sanjeev Dhiman
Necessidade de um IDS: Devido a ataques ocorridos em sistemas por intrusos,
causando perdas financeiras, sociais e quebras de confidencialidade, integridade e disponibilidade. Ent�o existe a necessidade do uso de um IDS para gerenciar esses problemas previnindo esses tipos de perdas. Firewalls previnem o sistema de ser acessodos por ataques malicios, por�m atualmente existem ataques mais sofisticados que passam pelo firewall, ent�o IDS's s�o usados para detectar todos os tipos de ataque acontecendo na rede.
Intrusion Detection System : Sistema de detecc�o de intrus�o � usado para alertar
administradores do sistema sobre os sinais de uma possivel intrus�o. Entrega informa��es sobre alguma quebra de confidencialidade, integridade e disponibilidade para algum recurso critico da organiza��o. Firewalls s�o usados para previnir o acesso n�o autorizado ao sistma, mas firewalls n�o s�o eficientes quando o ataque j� ocorreu. Esses ataques podem ser feitos por proprios funcionarios insatisfeitos que tenham acesso a rede e queiram causar algum prejuizo ao sistema. Hoje, tecnologias wireless s�o usadas em todos os lugares tornando os ataques mais faceis dos que feitos para redes wired (cabeadas). Exitem dois tipos de IDS: -> Host based IDS: Em HIDS, se monitora o comportamento do host. Se examina todas as atividades da rede onde aquele host se encontra. HIDS detectam se os recursos est�o sendo usados e quais programas est�o acessando tais recursos. Se alguma modifica��o acontecer na rede, alertas sao enviados para o administrador da rede. -> Network based IDS:Nos NIDS, os pacotes verificados s�o todos que passam pela rede. NIDS possuem alguns modulos que s�o: forma��o de atributos, estagio de observa��o, estagio de espionagem. No FORMA��O DE ATRIBUTOS: o sistema alvo � inspecionado com maneiras pr�-definidas. No ESTAGIO DE OBERSAVA��O: dependendo do NIDS pode ser feito de formas diferentes, automaticamente ou manualmente. No ESTAGIO DE ESPIONAGEM o sistema � modelado com um trafego esperimental. * Categorias de detec��o: ** ASSINATURA: � uma tecnica que detecta intrus�es predefinidas, padr�es aprendidos de ataques passados. Atrav�s de ataques conhecidos ou dados compartilhados a assinatura do tipo de ataque pode ser indentificado. Um exemplo � considerarmos um guarda que verifica as credenciais antes de deixar alguem em entrar em certo local, esse guarda possue tamb�m uma base de dados com pessoas em que ele n�o pode deixar entrar, por�m se a foto de alguma pessoa m� intencionada n�o estiver em sua base de dados ele a deixar� entrar. A desvantagem de uma detec��o por assinatura � que n�o � capaz de detectar novos tipos de ataque. ** ANOMALIA: detecta comportamentos estranhos e anormais no sistema. Primeiramente cria um perfil de atividades normais. Se uma atividade normal excede os seus limites entao � considerado um tipo de intrus�o. Qualquer desvio ou ultrapasse de limites que demonstrem um comportamento anormal. Usando o mesmo exemplo do guarda seria uma pessoa que n�o tem sua foto na base de dados do guarda ent�o ele n�o a deixa entrar por n�o a conhecer. A vantagem da detec��o por anomalia � que est� � capaz de detectar ataques maliciosos desconhecidos. E dentro desse tipo de detec��o existem alguns alertas: *** Falso Negativo: IDS falha no atividade de examina��o, os resultados s�o negativos, mas eles realmente n�o s�o. � uma intrus�o, mas n�o anormal. *** Falso positivo: IDS traz resultados positivos, mas na verdade eles n�o s�o. � uma intrus�o, mas n�o anormal. *** Positivo falso: IDS traz resultados negativos. N�o existe nenhuma intrus�o e n�o � anormal. *** Positivo verdadeiro: IDS traz resultados positivos. � uma intrus�o e � anormal.
------- Link do documento completo em ingl�s: http://www.iosrjournals.org/iosr-