aperfeiçoamentos do modelo para respostas de detecção de intrusão compatível com o modelo idwg
DESCRIPTION
Aperfeiçoamentos do Modelo para Respostas de Detecção de Intrusão Compatível com o Modelo IDWG. Paulo Fernando da Silva Carlos Becker Westphall UFSC – CPGCC – LRG. Sumário. Introdução; Modelo IDREF; Alterações na Arquitetura Proposta; Desenvolvimento e Testes; Conclusão;. Introdução. - PowerPoint PPT PresentationTRANSCRIPT
Aperfeiçoamentos do Modelo para Respostas de Detecção de Intrusão Compatível com o Modelo IDWG
Paulo Fernando da SilvaCarlos Becker WestphallUFSC – CPGCC – LRG
CPGCC - LRG - UFSC
Sumário
• Introdução;• Modelo IDREF;• Alterações na Arquitetura Proposta;• Desenvolvimento e Testes;• Conclusão;
CPGCC - LRG - UFSC
Introdução
• Padronização de IDSs:– Modelo IDMEF do grupo IDWG;
• IDWG não define respostas;• Propor um modelo para
interoperabilidade de respostas;• Modelo deve ser compatível com
arquitetura IDWG;
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Visão Geral
-ident : String-version : String
IDREF-Message
Response
Config
React
11..*
-analyzerid : Stringalertident
AdditionalData
10..*
Manager
11
CreateTime
11
description
10..1
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Response
Response
-source : Integer-targer : Integer-flags : Byte
TCP
-type : Byte-code : Byte
ICMP
-type : IntegerAddress
11..*
notify
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – React
React-ident : String-unblock : String-time : Integer
Block
-ident : StringShutdown10..*
Resource1
1
1
1
1 0..*
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Config
ConfigResource command
1 1..*
11
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Resource
Resource UserListNode
Process Service FileList
CPGCC - LRG - UFSC
Alterações na arquitetura IDWG
Fonte deDados Sensor
Sensor Analisador
Operador
Gerenciador
Administrador Política de Segurança
Evento
Atividade
Atividade
EventoNotificação
Alerta
Recurso Contra-MedidasAção Resposta
Resposta
CPGCC - LRG - UFSC
Desenvolvimento e Teste do Modelo
IDSAna
ArquivoIDMEF
IDSMan
IDSResBEEP/IDXP
IDMEF
BEEP/IDXPIDREF
IDS Snot
Ambiente de domínio do IDSLog
IDREF
CPGCC - LRG - UFSC
Teste do Modelo
• Configurada regra Snort:– Alerta ao protocolo ICMP;
• Executado ping na rede;• Alertas foram apresentados no
IDSMan;• Respostas foram geradas no IDSMan
– Bloqueio de 30 minutos do recurso node;
CPGCC - LRG - UFSC
Teste do Modelo Transmissão IDREF
CPGCC - LRG - UFSC
Conclusão
• Modelo de ambiente de detecção:– utiliza informações do modelo IDMEF;– aumenta cooperação entre IDSs;– contribui com a segurança dos ambientes;
• Trabalhos Futuros:– Analisar outros tipos de repostas;– Avaliação do modelo junto a outros IDSs;
