sistemas de detecção de intrusão
DESCRIPTION
Sistemas de Detecção de Intrusão. Pedro Figueiredo. Agenda. Conceito de intrusão SDIs – Características Técnicas de detecção Tipos de SDIs Honeypots Conclusão Perguntas. Intrusão. Violação a: - Integridade - Disponibilidade - Confiabilidade. Exemplos de intrusão. Usuário mascarado - PowerPoint PPT PresentationTRANSCRIPT
Sistemas de Detecção de IntrusãoPedro Figueiredo
Agenda
•Conceito de intrusão•SDIs – Características•Técnicas de detecção •Tipos de SDIs •Honeypots •Conclusão•Perguntas
Intrusão
• Violação a:
- Integridade
- Disponibilidade
- Confiabilidade
Exemplos de intrusão
•Usuário mascarado
•Ataques internos
•Scripts/ferramentas
SDIs
•Identificar atividades maliciosas•Monitoramento•Análise dos dados•Geração de alertas (visual, e-mail,etc.)
•Passivos vs reativos Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar aplicativo externo,etc.
Técnicas de detecção
•Identificar ameaça a partir dos dados monitorados
•Análise de anomalias
•Análise de assinaturas
Análise de anomalias
•Comportamento anormal : provavelmente suspeito
•Estabelece um padrão normal
•Observação por um longo período
•Utilização de regras
•IA: Redes Neurais Artificiais
Análise de anomalias (2)
Vantagens e Desvantagens
+ Violações detectadas em tempo quase real
+ Detecta ataques desconhecidos
+ Gera informações para novas assinaturas
- Comportamento imprevisível: alta taxa de
falsos-positivos
- Pode ser difícil determinar um padrão
normal
Análise de assinaturas
•Ataques/vulnerabilidades conhecidas
(assinaturas)
•Dependente de base de dados
•Deve ser vasto e atualizado com
frequência
•Semelhante a AV
Análise de assinaturas (2)
Vantagens e Desvantagens
+ Mais eficiente: menos alarmes falsos
- Somente identifica ataques conhecidos
- Pode não detectar algumas variantes
- Dependente de atualização
Tipos de SDIs
•Network-based (NIDS)•Host-based (HIDS)•Hibridos
Baseados em rede (NIDS)
•Analisa tráfego da rede
•Pacotes de entrada e saída
•Posicionamento dos sensores
•Detecção por assinaturas
NIDS - exemplo
NIDS – Vantagens e Desvantagens+ Não interferem no funcionamento da
rede
+ Monitora redes grandes
- Redes com switch
- Não analisam dados criptografados
- Não indica se o ataque foi bem-sucedido
Baseados em estação (HIDS)
•Instalado em uma estação
•Processos, logs de aplicativos, arquivos de
sistema, etc.
HIDS - Exemplo
HIDS – Vantagens e Desvantagens+ Bom para detectar ataques internos
+ Podem analisar dados criptografados
- Instalação e configuração para cada
instância
- Suscetível a ataques DoS
Híbridos
•Combinação dos anteriores
•Exemplo: NIDS para a rede e HIDS para servidores-chaves
Honeypots
•Recursos dedicados a serem atacados
•Livre de interações
•Honeypots de baixa interatividade
•Honeypots de alta interatividade
Vantagens e desvantagens
+ Simples de implementar
+ Logs pequenos
+ Poucos recursos
+ Identificam novos ataques
- Não faz sentido sozinho
- Adiciona risco: pode ser invadido
Conclusões
•Agrega valor a solução de segurança
•Integração com outras ferramentas , ex.: firewall
Perguntas1. Caracterize uma intrusão.2. Que vantagens apresenta o método de detecção de
invasão por análise de anomalias? E desvantagens?3. De que fatores depende a eficiência de um sistema
que utiliza o método de detecção baseado em análise de assinaturas?
4. Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças.
5. Quais são as vantagens e desvantagens da técnica honeypot?