sistemas de detecção de intrusão

Sistemas de Detecção de IntrusãoPedro Figueiredo

Agenda

•Conceito de intrusão•SDIs – Características•Técnicas de detecção •Tipos de SDIs •Honeypots •Conclusão•Perguntas

Intrusão

• Violação a:

- Integridade

- Disponibilidade

- Confiabilidade

Exemplos de intrusão

•Usuário mascarado

•Ataques internos

•Scripts/ferramentas

SDIs

•Identificar atividades maliciosas•Monitoramento•Análise dos dados•Geração de alertas (visual, e-mail,etc.)

•Passivos vs reativos Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar aplicativo externo,etc.

Técnicas de detecção

•Identificar ameaça a partir dos dados monitorados

•Análise de anomalias

•Análise de assinaturas

Análise de anomalias

•Comportamento anormal : provavelmente suspeito

•Estabelece um padrão normal

•Observação por um longo período

•Utilização de regras

•IA: Redes Neurais Artificiais

Análise de anomalias (2)

Vantagens e Desvantagens

+ Violações detectadas em tempo quase real

+ Detecta ataques desconhecidos

+ Gera informações para novas assinaturas

- Comportamento imprevisível: alta taxa de

falsos-positivos

- Pode ser difícil determinar um padrão

normal

Análise de assinaturas

•Ataques/vulnerabilidades conhecidas

(assinaturas)

•Dependente de base de dados

•Deve ser vasto e atualizado com

frequência

•Semelhante a AV

Análise de assinaturas (2)

Vantagens e Desvantagens

+ Mais eficiente: menos alarmes falsos

- Somente identifica ataques conhecidos

- Pode não detectar algumas variantes

- Dependente de atualização

Tipos de SDIs

•Network-based (NIDS)•Host-based (HIDS)•Hibridos

Baseados em rede (NIDS)

•Analisa tráfego da rede

•Pacotes de entrada e saída

•Posicionamento dos sensores

•Detecção por assinaturas

NIDS - exemplo

NIDS – Vantagens e Desvantagens+ Não interferem no funcionamento da

rede

+ Monitora redes grandes

- Redes com switch

- Não analisam dados criptografados

- Não indica se o ataque foi bem-sucedido

Baseados em estação (HIDS)

•Instalado em uma estação

•Processos, logs de aplicativos, arquivos de

sistema, etc.

HIDS - Exemplo

HIDS – Vantagens e Desvantagens+ Bom para detectar ataques internos

+ Podem analisar dados criptografados

- Instalação e configuração para cada

instância

- Suscetível a ataques DoS

Híbridos

•Combinação dos anteriores

•Exemplo: NIDS para a rede e HIDS para servidores-chaves

Honeypots

•Recursos dedicados a serem atacados

•Livre de interações

•Honeypots de baixa interatividade

•Honeypots de alta interatividade

Vantagens e desvantagens

+ Simples de implementar

+ Logs pequenos

+ Poucos recursos

+ Identificam novos ataques

- Não faz sentido sozinho

- Adiciona risco: pode ser invadido

Conclusões

•Agrega valor a solução de segurança

•Integração com outras ferramentas , ex.: firewall

Perguntas1. Caracterize uma intrusão.2. Que vantagens apresenta o método de detecção de

invasão por análise de anomalias? E desvantagens?3. De que fatores depende a eficiência de um sistema

que utiliza o método de detecção baseado em análise de assinaturas?

4. Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças.

5. Quais são as vantagens e desvantagens da técnica honeypot?