medição e monitoração de redes - di.ufpe.brsuruagy/cursos/mr/2012-1-mr-seguranca.pdf · 6...
TRANSCRIPT
SEGURANÇA Capítulo 9
Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006.
1
Roteiro 2
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Roteiro 3
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Papel das Medições da Internet na
Segurança 4
Exame de características básicas dos pacotes tais
como:
Intervalos de tempo entre chegadas
Tamanho dos pacotes
Escolhas de protocolos
Padrões de interação entre pontos terminais
Endereços IP e portas origem e destino
São utilizadas para a detecção de atividades
incomuns (Fora do padrão)
Camadas Mais Altas 5
Nas camadas mais altas:
Padrões ON/OFF das conexões
Diferenças nos atributos a nível de fluxo
Também foram usados em segurança das aplicações associadas.
Logs de firewalls são examinados em busca de pontos fora da curva.
Filtragem através de ACLs (Access Control List) de roteadores podem fornecer informações sobre falsos positivos:
Tráfego legítimo que pode ser bloqueado inadvertidamente
Papel das Medições da Internet na
Segurança 6
Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar de monitoração para examinar se o tráfego desejado está sendo limitado resultando em piora no desempenho.
Anomalias no nível de configuração da comunicação interdomínio, acidental ou deliberada, podem levar a interrupções significativas que podem não ser percebidas até que haja um ataque.
A monitoração passiva de mensagens de atualização BGP em conjunto com informações de topologia podem ajudar a detectar a presença destas anomalias.
Camada de Aplicação 7
Na camada de aplicação, tudo desde o conteúdo
de cabeçalhos de protocolos a suas cargas foram
candidatos para uma possível detecção de ataque.
A falta de verificação de conformidade do protocolo
pelas implementações podem ser exploradas para
atacar servidores.
O simples acompanhamento da fração entre a carga
(upload) e a descarga (download) de um par pode
ajudar a identificar “caroneiros” que contribuem para
a degradação geral da rede p2p.
Vírus e Fidelidade em Jogos 8
No caso de worms e vírus, houve uma quantidade considerável de medições visando caracterizar, isolar e ajudar na detecção destes eventos.
Em jogos em rede, o sequestro da identidade de um usuário ou um jogador mentindo sobre as suas coordenadas atuais são violações da fidelidade do sistema.
A ausência desta fidelidade pode ter um impacto sério no número de participantes no jogo e, portanto, na sua popularidade geral.
Intrusões 9
Uma intrusão é frequentemente detectada como um desvio da norma;
Com a norma definida a partir de históricos de padrões de acesso e a política do sítio.
Uma arquitetura para um sistema de detecção de intrusões (IDS) pode começar com:
A filtragem e bloqueio de tráfego
Reunir informações adicionais sobre possíveis atacantes
Análise através de múltiplas camadas da pilha de protocolos antes de encaminhar os pacotes para o destino pretendido.
Intrusões 10
Métodos de detecção de mudanças construídos sobre técnicas de medições estatísticas monitoram os níveis de tráfego em diferentes partes da rede para avisar sobre possíveis ataques.
Foram criadas ferramentas para ajudar na detecção de intrusão com a incorporação de componentes básicos de medições.
Produtos comerciais de segurança dependem de medições para identificar ameaças em potencial, reduzir falsos positivos e na agregação de informação com finalidades forenses.
Roteiro 11
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições na Intranet como Ajuda à
Segurança 12
A maior parte das entidades administrativas estão
preocupadas apenas em tornar seguras as suas
próprias redes.
As medições que são usadas para caracterizar os
problemas de segurança dependem de:
A natureza do tráfego dentro da rede
Os tipos de ataques observados e
A importância dos recursos que estão sendo
protegidos.
Medições na Intranet como Ajuda à
Segurança 13
Podem ser minerados informações de medições passivas que já estejam sendo realizadas, tais como dados de SNMP, ou informações de fluxos (ex. netflow).
Desvios significativos do tráfego esperado podem ser vistos como uma violação de segurança em potencial apesar de que alguns desvios significativos podem ser um comportamento de rotina.
Uma breve falha de comunicação com um servidor DNS pode fazer com que uma aplicação seja suspendida por alguns segundos e um retorno ao comportamento normal confirmariam a ausência de um ataque.
Da mesma forma, um evento de flash crowd disparado por um interesse repentino em um sítio Web, não seria um ataque.
Uso de Medições Passivas 14
Pela sua própria natureza, as medições passivas analisadas após o fato, são sobretudo detecção de intrusão e não uma prevenção ativa.
Os logs dos firewalls são normalmente reunidos tanto em tráfegos que foram bloqueados como naqueles que foram permitidos.
Nesta seção serão examinadas técnicas que foram propostas para usar dados disponíveis em diversos níveis procurando por possíveis violações de segurança.
Medições da Intranet usam SNMP, dados de fluxos e logs em diversos níveis de ataques.
Dados do SNMP 15
Os dados do SNMP são coletados periodicamente
(tipicamente a cada 5 minutos) e consistem de uma
variedade de estatísticas de tráfego tais como
contadores de pacotes e número de bytes que
atravessam um link
O intervalo de coleta limita o tipo de anomalias que
podem ser detectadas dado que desvios breves que
forem menores que este intervalo não serão
capturados.
Dados de Fluxo e SNMP 16
Os dados de fluxos são coletados em diversos roteadores (acesso, entrada, etc.) em formato bruto.
Um exemplo do uso de dados de SNMP e de fluxos para detectar ataques de negação de serviço (DoS), com a aplicação de transformações baseadas em ondaletas (wavelets) aos dados é descrita em [BKPR02].
Foram usadas ondaletas dado que elas consideram seja a frequência como o tempo na descrição da série temporal dos dados.
Dados de Fluxos 17
Se o volume dos fluxos de dados se tornarem extremamente grandes, são obtidos apenas dados amostrados.
A amostragem pode ser simplesmente estatística, tais como um a cada n pacotes
Ou algo mais inteligente – polarizado para o percentual de tráfego em certas aplicações
O nível de detalhes disponíveis em dados de fluxos é frequentemente suficiente para distinguir as aplicações e examinar mais de perto endereços de origem e prefixos de interesse.
Dados de Fluxos 18
Mesmo que os dados de fluxos sejam coletados continuamente, devido à natureza dos fluxos que são exportados para a entidade coletora, múltiplas transações que durem minutos podem expirar antes que um registro de fluxo seja escrito.
Portanto, muitas das análises de registros de fluxos são realizadas após o fato, ao invés de ao vivo.
A análise estatística dos registros de fluxos podem identificar rapidamente endereços de origem que excedam alguns limiares esperados de contagem de pacotes ou de bytes para certas aplicações.
No entanto, limiares não são sempre a melhor forma para identificar atacantes.
Pacotes de teste enviados por endereços IP atacantes são em pequeno número, mas são uma ameaça à segurança.
Dados de Fluxos 19
Dado que os registros de fluxo não contêm o corpo
dos pacotes, eles não são capazes de identificar
ataques baseados no conteúdo.
Logs de aplicações de alto nível frequentemente
retêm os cabeçalhos e, em casos específicos,
informações de pacotes em camadas ainda mais
profundas.
Estes logs podem ser minerados para obter dados
adicionais.
Tráfego de Saída 20
Dado que é possível que ataques sejam disparados de dentro da rede, as medições podem ser usadas para verificar se o tráfego de saída excede alguns limiares.
Os ataques podem ser originados a partir de uma localidade do usuário;
Pode ser não intencional e disparado por um vírus.
Em geral é mais difícil escolher limiares razoáveis para o tráfego de saída dado que o tráfego pode ser benigno.
Ao contrário do tráfego de entrada onde restrições de capacidade e estatísticas passadas podem ajudar na obtenção de limiares interessantes, é mais difícil manter estatísticas em relação a destinos externos.
Roteiro 21
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições no Gateway como Ajuda à
Segurança 22
Os firewalls no perímetro de entidades administrativas registram uma variedade de atividades de rede.
Medições locais foram realizadas nos firewalls para ver se as ferramentas criadas para segurar ataques de inundação pode ser sobrepujado com o incremento da taxa de inundação.
Ex.: inundação de pacotes de SYN
Os firewalls também registram informações detalhadas sobre o tráfego destinado à instalação que estão protegendo.
Estes registros podem ser minerados em busca de informações interessantes:
Endereços IP origem que habitualmente enviam tráfego não autorizado
Aplicações mais comumente testadas
Números de portas mais comumente testadas
Etc.
IDSes 23
A hipótese básica dos sistemas IDS é que a
atividade legítima dentro da rede é previsível:
Adere a certos padrões pré-especificados.
Portanto, um conjunto de assinaturas podem ser
especificadas para observar o tráfego que viola os
padrões esperados para os tráfegos de entrada ou de
saída.
Novas assinaturas devem ser frequentemente recuperadas
de um servidor central dentro da organização.
Falsos Positivos 24
Um esforço considerável deve ser dispendido para ajustar a assinatura a falsos positivos não sobrecarreguem os IDSes.
Tráfego suspeitos de ataque que são na verdade tráfego benigno.
Demasiados falsos positivos reduzem a habilidade de detectar ataques reais
Por outro lado, não queremos perder ataques raros; ou a taxa de falso negativos irá crescer.
Ferramentas específicas foram criadas para tentar reduzir falsos positivos em ferramentas populares de IDS [PYD01].
Firewalls 25
Muitos firewalls implantam listas de controle de acesso
(ACLs) e verificam endereços específicos de origem (na
rede externa) ou de destino (na rede interna).
Se o volume de tráfego indesejado for grande, pode
ser necessário criar uma zona desmilitarizada (DMZ).
Testes de vulnerabilidade podem ser executados por
ferramentas tais como Internet Scanner [Sec] e nmap
[nmap.org] que enviam pacotes de teste para verificar
se as configurações do firewall e suas políticas são
resilientes.
Firewalls 26
As configurações de firewall e as listas de controle
de acesso são especificados em diversos formatos a
depender do fabricante.
Linux ipchains
IOS da Cisco
Ferramentas para a Detecção de
Intrusão 27
Citados no livro:
Network Flight Recorder (NFR):
Hoje: Checkpoint Intrusion Prevention System
Bro (nova versão: http://www.bro-ids.org/)
Snort
http://sectools.org/tag/ids/:
Snort: http://www.snort.org/
OSSEC HIDS: http://www.ossec.net/
Sguil: http://sguil.sourceforge.net/
IDSes 28
Bro possui um interpretador de scripts de políticas através do qual a política de segurança de um sítio pode ser expressa numa linguagem de alto nível.
Snort:
Pode realizar análise de tráfego e de protocolo em tempo real para ajudar a detectar diversos ataques e alertar os usuários em tempo real.
Também usa uma linguagem para especificar que tráfego deve ser filtrado e que tráfego pode passar.
Pode ser usado também como um mecanismo para registro dos pacotes.
As diversas assinaturas da base de dados do Snort estão documentadas incluindo o seu potencial para falsos positivos e negativos e medidas corretivas a ser tomadas no caso de que um determinado alerta seja levantado.
Roteiro 29
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Impacto das Medições Interdomínio na
Segurança 30
Ataques a nível interdomínio podem ter uma
grande escala e consequências muito sérias.
Uma tabela BGP comprometida pode resultar em
colocar uma fração significativa do tráfego num
“buraco negro”.
Ou ainda pior, tráfego sensível para um determinado
destino pode ser sequestrado!
Monitoração de Mensagens BGP 31
A monitoração passiva de mensagens BGP
[KMRV03] combinada com um modelo de
conectividade de AS pode ajudar a isolar anúncios
de rotas que sejam inconsistentes com a topologia
atual indicando um possível ataque de “pessoa no
meio”.
Esta técnica examina o atributo AS_PATH das
mensagens de atualização do BGP buscando por
sequências impróprias.
Monitoração de Mensagens BGP 32
Mensagens de atualização do BGP foram coletadas durante 4 semanas diferentes num período de dois anos. Tendo sido examinada junto com um mapa de AS gerado para cada uma das instâncias.
Os dados do primeiro dia de cada semana foi usado como um conjunto de treinamento a ser comparado com os demais dias da semana buscando anomalias.
Muitas das violações de propriedade incorreta dos IPs foram devidas a má configurações; e, portanto, não eram ataques.
Outra forma de buscar possíveis violações é através da análise de prefixos que parecem se originar em mais do que um AS.
No entanto, também há razões legítimas para que isto ocorra e é necessário filtrar os falsos positivos.
Sequestro de Espaço de Endereços 33
Ocorre quando um AS anuncia por engano ou
deliberadamente um espaço de endereços que não
lhe pertence.
Foi medido em [MWA02] a frequência deste
fenômeno de sequestro assim como diversos outros
erros comuns de má-configuração.
Vantagens das Medições Relacionadas
com o BGP 34
O potencial de impacto de qualquer detecção é alto
e os diversos operadores e administradores responsáveis pelo BGP normalmente tendem a cooperar quando são relatados ataques ou má-configurações.
O volume de tráfego a ser examinado é normalmente menor do que uma monitoração de pacotes em larga escala e dados precisam ser coletados apenas na pequena fração de roteadores de acesso que falam BGP.
Uma vez que as medições indiquem a presença de problemas, políticas de filtragem podem ser implantadas ou modificadas as já existentes.
Roteiro 35
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições de Longa Distância como
Ajuda à Segurança 36
Roteiro:
Classificação de ataques DOS
Detecção e rastreamento de atacantes
Vírus e Worms
Monitoração e Coordenação de Detecção de Intrusão
Classificação de ataques DOS 37
Ataques de negação de serviço têm sido a forma
mais comum de ataque na Internet.
Examinando as características dos pacotes envolvidos
nestes ataques (cabeçalhos, taxas de chegadas, etc.)
pode-se detectar a ocorrência dos mesmos.
Técnica backscatter 38
Esta técnica discute modos de monitorar um único link
de saída de um grande espaço de endereços (/8)
como um mecanismo de amostragem para caracterizar
o número total de ataques de negação de serviço.
Como os ataques são normalmente distribuídos, a
monitoração de um espaço largo de endereços permite a
caracterização dos ataques de DoS.
A classificação baseada em fluxos tradicional pode ser
usada para classificar os ataques:
Baseado no protocolo, são realizadas verificações da presença
ou não de certos campos ou cabeçalhos.
Outras Técnicas 39
Sistema Cossack [HHP03a]: monitora links de peering
de forma bidirecional entre ISPs para examinar como
os ataques são propagados.
Ferramentas como tcpdump são usadas para capturar
cabeçalhos de pacotes para examinar se certos
limiares pré-configurados foram excedidos (ex. número
de fontes distintas que estão tentando se comunicar
com o mesmo host) para identificar um ataque.
Outros limiares incluem aumento na taxa de chegada de
pacotes e mudança no volume do ataque com o tempo.
Outras Técnicas 40
Foram desenvolvidos arcabouços para classificar os ataques de DoS [HHP03b] usando:
análise de cabeçalhos,
a velocidade de crescimento dos ataques
distinção entre ataques a partir de uma fonte individual ou de múltiplas fontes:
Fornecida através de análise de séries temporais.
O objetivo é ser capaz de caracterizar ataques presentes e ajudar a identificar futuros ataques de DoS.
Rastreamento de tráfego de ataque e
Honeypots (potes de mel). 41
Um honeypot é definido de forma abrangente como um recurso cujo valor reside no seu uso não autorizado
Um mecanismo simples envolve anunciar um conjunto de endereços que não estejam em uso ativo, chamados de endereços escuros.
Quando chega algum tráfego nestes endereços, as origens destes tráfegos são consideradas maliciosas.
Muitos honeypots escutam passivamente a este tráfego de entrada, gastando poucos recursos neste processo.
Outros respondem ativamente desde o simples envio de um SYN-ACK em resposta a um SYN, à emulação de uma sessão de login, e em casos extremos emulando todo o kernel.
Alguns honeypots podem identificar endereços IP suspeitos [Vin04].
Honeyfarms 42
Coleção centralizada de honeypots e ferramentas de análise relacionadas que recebem tráfegos suspeitos redirecionados por diversos dispositivos de detecção espalhados pela Internet.
Wormholes são appliances usadas para transmitir de forma segura o tráfego suspeito para a honeyfarm.
Têm sido usadas para detectar worms automaticamente.
Um conjunto de 𝑘 honeypots serão capazes de detectar um worm quando aproximadamente 1/𝑘 das máquinas vulneráveis estiverem infectadas.
Honeyfarms 43
As honeyfarms usam imagens de máquinas virtuais
para implementar honeypots criando tanto uma
‘assinatura de vulnerabilidade’ e possivelmente
uma assinatura de ataque.
A detecção é baseada nos honeypots infectados e
não no tráfego dos wormholes.
Telescópio de Rede 44
http://www.caida.org/research/security/telescope
/
Permite observar vítimas de certos tipos de ataques
de DoS ou hosts infectados por worms, e má-
configurações a uma distância segura.
Limitações dos Honeypots 45
Os honeypots reúnem dados nos alvos dos ataques e outros dados indesejados, mas são incapazes de localizar o ponto de entrada preciso deste tráfego na rede.
Além do mais, alguns destes endereços de origem podem estar mascarados (spoofed)
Rastrear a origem deste tráfego é difícil devido a diversas razões tais como: Atraso desde a origem até a recepção do pacote
Dificuldade de manutenção do estado ao longo do caminho deste tráfego. Os ASes ao longo do caminho não se beneficiam do conhecimento
de que o tráfego que transportam é malicioso.
Projeto Mohonk 46
Proposta para notificar os ASes no caminho antecipadamente sobre destinos “escuros” levou à criação de honeypots móveis.
Aspectos da mobilidade:
Informação sobre a escuridão dos prefixos é disponibilizada para os ASes a jusante e
O conjunto destes prefixos mudam periodicamente através de anúncios BGP e retiradas.
Sendo as informações sobre os prefixos escuros conhecidas dos ASes a jusante participantes do esquema, eles conheceriam este tráfego e seus originadores muito antes e poderiam tomar alguma ação corretiva.
O tráfego poderia ser descartado ou poderia ser incluído numa lista negra caso a quantidade de tráfego indesejado excedesse um limiar específico ao AS.
Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado para informar aos ASes a jusante que o prefixo é escuro.
Originadores indesejados 48
Medições da habilidade de detectar originadores
indesejados envolve escolher diversos parâmetros:
Comprimento dos prefixos que devem ser anunciados
para atrair tráfego suficiente
Duração da vida dos anúncios
Escolha das aplicações a serem associadas com os
endereços nos prefixos escuros
Limiares da contagem de pacotes que decidem se o
tráfego é indesejado.
Originadores indesejados 49
Medições baseadas no mecanismo de honeypot devem ser resilientes contra ataques visando atrapalhar a configuração.
Dado que a comunidade dos blackhats trocam informações sobre as técnicas de detecção eles evitam os honeypots ao descobrirem os seus prefixos.
Uma medida da utilidade dos esquemas de honeypot é a velocidade na qual os originadores de tráfegos indesejados são detectados e colocados em listas negras entre múltiplos ASes num certo período de tempo comparado ao custo tanto para os whitehats como para os blackhats.
Vírus e Worms 50
Malware – termo que engloba todos os softwares que ao serem executados têm um impacto negativo.
Dentre as medições de interesse com relação a worms temos:
Como as listas dos alvos são escolhidas
O conjunto dos possíveis pontos de entrada
O quão rapidamente eles podem se espalhar na Internet
Adicionalmente:
Extensão do dano econômico causado pelo malware tanto em termos do instante do ataque ou como resultado de outros ataques habilitados pela abertura de backdoors.
Gerador de Carga 51
Um mecanismo para criar um gerador de carga para malware é discutido em [SYB04] com a finalidade de recriar um tráfego de pacotes malicioso.
A ideia é ser capaz de examinar tanto worms conhecidos e explorar o potencial de variantes que podem ser criados no futuro.
As características de desempenho de IDSes bem conhecidos podem ser examinadas pelo gerador de cargas.
Monitoração e Coordenação de
Detecção de Intrusão 52
Medições em combinação com estatísticas têm um
papel chave na melhoria das técnicas de
monitoração e detecção de intrusão.
Diversas ferramentas foram criadas para ajudar
aqueles que trabalham no campo da detecção de
intrusões.
Um dos principais objetivos é o de reduzir os falsos
positivos.
Compartilhamento de Informações 53
Dado que existe uma semelhança entre ataques na
Internet, espera-se que seja benéfico o
compartilhamento de informações entre sistemas de
detecção de intrusão.
Empresas e grandes ISPs tradicionalmente relutam
em compartilhar informações sobre ataques entre
eles devido a questões de privacidade e
preocupações de que as informações sobre as suas
vulnerabilidades se tornem públicas.
Compartilhamento de Informações 54
Organizações neutras desempenham um papel importante em servir como uma central de troca de informações.
Algumas empresas oferecem serviços tanto para monitorar ataques dentro de empresas como para coordenar ataques na Internet para fornecer um sistema de alerta antecipado.
Muitas destas empresas formulam assinaturas de ataques, compila estatísticas, criam bases de dados de vulnerabilidades, e proveem possíveis contramedidas.
Tempos de Reação 55
Um problema chave em coordenar informações de
ataque ou intrusão é que dependendo da natureza
do ataque (varredura lenta ao invés de um worm
que se espalhe rapidamente), as reações do
agente de coordenação e as organizações
participantes devem ser diferentes.
Dado que um worm pode teoricamente se espalhar por
toda a Internet em questão de minutos [SPW02] não é
suficiente trocar informações de ataques
periodicamente.
Roteiro 57
Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições de Ataques na Camada de
Aplicação 58
Aplicações individuais podem mitigar ataques caso as
camadas inferiores sejam incapazes de bloqueá-los.
A forma ais popular de ataque à camada de
aplicação são os spams de e-mail
Que gasta bastante recursos na forma de produtividade do
usuário, largura de banda e armazenamento.
Os firewalls são a primeira linha de defesa (varrendo à
procura de vírus) mas normalmente não são capazes de
identificar os spams!
Spams 59
São realizados diversos tipos de medições seja para caracterizar o problema seja como uma análise contínua.
É preciso garantir que os grandes servidores de e-mail não sejam sobrecarregados com mensagens indesejadas.
Os transmissores SMTP são classificados nas seguintes classes:
Confiáveis
Desconhecidos
Suspeitos
Spams 60
Servidores mais ocupados lidam com transmissores
SMTP suspeitos
Servidores levemente carregados lidam com
transmissores confiáveis.
Estatísticas simples sobre o volume de spam suspeito
podem ser mantidos de modo a atualizar esta
divisão.
Filtragem de spams 61
Nos servidores a filtragem é realizada baseada numa variedade de fatores relacionados com as mensagens que chegam.
Baseado nestas técnicas de filtragem – normalmente uma combinação de medidas estatísticas Bayesianas e outras métricas calculadas pelo software de filtragem – são obtidas informações globais sobre o transmissor SMTP remoto.
As medições são realizadas baseadas no volume de bytes trocados numa única mensagem e agregados num certo período de tempo.
Registro de atividades 62
Nas camadas mais altas, diversos recursos
relacionados com segurança registram as
atividades (syslog, wtmp) que são usadas por
diversos IDSes.
Estes registros são analisados ao nível do usuário
procurando desvios tais como um aumento
inesperado nos níveis de privilégio ou repetidas
falhas durante estas tentativas.