Uma Arquitetura para Compartilhamento e Atualização de Bases de Assinaturas Utilizando Agentes Móveis

Transcrição

1 Uma Arquitetura para Compartilhamento e Atualização de Bases de Assinaturas Utilizando Agentes Móveis Paulo Fernando da Silva, Mestrando, e Carlos Becker Westphall, Professor, Pós-Graduação em Ciências da Computação (CPGCC) Universidade Federal de Santa Cataria (UFSC) Resumo--Atualmente os sistemas de detecção de intrusão baseados em assinaturas têm as suas bases de assinaturas atualizadas de forma bastante manual, sendo que não existe um padrão para que diferentes sistemas troquem informações referentes às suas Este artigo apresenta a especificação e implementação de uma arquitetura para que diferentes sistemas troquem informações sobre suas assinaturas, atualizando-as de forma automática através de agentes móveis. Palavras Chaves--Agentes Móveis, Sistemas de Detecção de Intrusão, Assinaturas de Intrusão. I. INTRODUÇÃO istemas de detecção de intrusão (Intrusion Detection SSystems IDSs) são ferramentas utilizadas na tentativa de identificação e rastreamento de ataques a redes de computadores. Diversas técnicas são aplicadas a estes sistemas na busca de uma maior eficiência na detecção de ataques. Algumas das técnicas mais conhecidas são: análise de assinaturas, sistemas adaptativos e análise estatística. Destas técnicas, a mais utilizada é a análise de Os IDSs baseados na técnica de análise de assinaturas utilizam uma base de dados contendo várias seqüências de eventos, chamadas de Estes IDSs consistem na monitoração de eventos da rede ou hosts em que estão instalados, tentando identificar se os eventos que estão ocorrendo no sistema correspondem a alguma das assinaturas cadastradas na base de dados. Se o IDS encontrar uma seqüência de eventos no sistema que corresponda a uma assinatura da base de dados, então possivelmente estará ocorrendo um ataque ao sistema, e o IDS irá tomar alguma providência para conter este ataque. Esta providência pode ser um alerta sonoro ou visual no computador que está sendo atacado, o envio de um para o administrador da rede, ou até mesmo a interrupção da conexão ou do processo que está causando o ataque. Dentre os problemas encontrados nos sistemas de detecção de intrusão baseados em análise de assinaturas podemos citar a dificuldade de se manter atualizada a base de assinaturas e a falta de padrão entre as assinaturas dos diferentes IDSs existentes. Atualmente a atualização da base de assinaturas é feita de forma manual, exigindo conhecimento do usuário sobre a sintaxe das assinaturas em um IDS específico. Outra forma de atualização da base de assinaturas é através de atualizações disponibilizadas pelos fabricantes dos IDSs, esta forma de atualização exige que o usuário substitua periodicamente a sua base de assinaturas local pela base disponibilizada pelo fabricante. O trabalho apresentado neste artigo refere-se à comunicação, troca de informações e cooperação entre os diferentes IDSs existentes no mercado. Este trabalho propõe uma arquitetura para que os diferentes IDSs trabalhem em conjunto, compartilhando as suas bases de assinaturas e atualizando-as de forma automática, aumentando assim a eficiência destas ferramentas. Para isto a arquitetura proposta define uma estrutura para o armazenamento das assinaturas, esta estrutura é utilizada nas bases de assinaturas que são compartilhadas entre os IDSs. Para realizar a troca de informações entre os IDSs, foi utilizada a tecnologia de agentes móveis. Agentes Móveis são programas cujo código de execução possui recursos capazes de armazenar dados, transferir-se de um local para outro da rede e reiniciar sua execução. A recuperação de informação e o comércio eletrônico são suas principais áreas de aplicação. Algumas das tarefas realizadas por agentes móveis são a busca de informações na rede e a execução de tarefas distribuídas. Optou-se pela utilização de agentes móveis devido às suas características, principalmente no que diz respeito à recuperação de informações distribuídas. A plataforma de agentes móveis escolhida foi a plataforma Java Aglets. O Aglet é um agente móvel Java que suporta os conceitos de execução autônoma e roteamento dinâmico em seu itinerário. Os Aglets são hospedados por um servidor Aglet de forma similar à forma como os applets são hospedados por um Web browser. O servidor Aglet provê um ambiente para os aglets executarem e uma máquina virtual Java que, juntamente com o gerenciador de segurança do Aglet, tornam este servidor seguro para receber e hospedar os Aglets. Cada um dos IDSs que faz parte da arquitetura de compartilhamento e atualização de bases de assinaturas irá publicar uma base de assinaturas contendo as suas assinaturas armazenadas dentro do formato padrão definido pela arquitetura. Os agentes móveis irão navegar pela rede em busca de novas assinaturas, visitando as bases de assinaturas que foram publicadas. Quando um agente móvel encontra uma assinatura nova, ele retorna ao IDS que o disparou e atualiza a sua base de 318

2 Desta forma a base de assinaturas do IDS estará sempre atualizada, de forma automática, eliminando a preocupação do usuário em ficar constantemente atualizando sua base. O objetivo geral deste trabalho consiste um desenvolver uma arquitetura que proporcione a atualização automática da base de assinaturas de um IDS. Esta atualização utilizará agentes móveis que realizam consultas em bases de assinaturas de outros IDSs, espalhadas pela Internet. Como objetivos específicos temos: desenvolvimento de uma estrutura para o armazenamento das assinaturas; desenvolvimento de uma estrutura para publicação da base de assinaturas, de forma a possibilitar a consulta destas assinaturas; desenvolvimento de agentes móveis capazes de consultar e copiar assinaturas de bases publicadas por IDSs; A próxima seção irá apresentar as justificativas e motivações que levaram à realização deste trabalho, citando alguns trabalho correlatos. Na seção seguinte serão apresentados detalhes da metodologia e do ambiente de desenvolvimento utilizados. As duas seções posteriores apresentam a estrutura para armazenamento das assinaturas e a arquitetura de compartilhamento e atualização. As seções restantes demonstram os resultados obtidos com a implementação da arquitetura, a análise e interpretação destes resultados e a validação. Por fim, são apresentadas a conclusão e a bibliografia. II. MOTIVAÇÃO E JUSTIFICATIVAS A maior parte dos trabalhos relacionados com sistemas de detecção de intrusão tem como foco principal adicionar novas tecnologias aos IDSs já existentes, propor novas técnicas de detecção de ataques ou apresentar novas arquiteturas de implementação de IDSs. Não tão comuns são os trabalhos que tratam dos problemas relacionados com a cooperação, a falta de padrão e a falta de comunicação entre os IDSs existentes. Vários grupos de pesquisa trabalham atualmente no desenvolvimento e aperfeiçoamento de sistemas de detecção de intrusão. Dentre os trabalhos que abordam os problemas de falta de padrão e falta de comunicação entre diferentes IDSs podemos citar o Common Intrusion Detection Framework (CIDF). O CIDF é uma tentativa de padronização que tem por objetivo definir a estrutura de um IDS, com a divisão do mesmo em módulos. Neste projeto foi também desenvolvida uma linguagem denominada Common Intrusion Specification Language (CISL), que visa possibilitar a troca de informações entre os módulos. Outro trabalho importante relacionado com a padronização e comunicação dos IDSs está sendo desenvolvido pela IETF, através do seu grupo de estudos IDWG (Intrusion Detection Exchange Format Working Group). Este grupo realiza pesquisas para aperfeiçoar os sistemas de detecção de intrusão existentes, um dos objetivos deste grupo é o desenvolvimento do protocolo Intrusion Detection Exchange Protocol (IDXP), utilizado para troca de informações entre diferentes IDSs. Atualmente o IDWG trabalha na definição das mensagens a serem trocadas pelos diferentes IDSs através do IDXP. Tentativas de se desenvolver um padrão para a troca de informações e a interação entre diferentes IDSs vem sendo feitas por diversos grupos de pesquisa em segurança. O trabalho apresentado neste artigo surge como uma proposta para resolver parte deste problema, propondo uma arquitetura para o compartilhamento e a atualização de bases de assinaturas entre diferentes IDSs. III. METODOLOGIA E AMBIENTE DE DESENVOLVIMENTO Para o desenvolvimento da arquitetura de compartilhamento e atualização de bases de assinaturas através de agentes móveis, primeiramente foi definida a estrutura de armazenamento das assinaturas, esta estrutura deve conter a assinatura propriamente dita, além de informações relevantes ao compartilhamento da assinatura. Após isto, foi implementada a publicação da base de assinaturas, foi definida a forma como os dados estarão dispostos, onde a base deverá ficar e como os agentes devem acessar esta base para fazer suas consultas ou atualizações. Em seguida foram desenvolvidos os agentes móveis e um ambiente para que o usuário possa controlar os agentes (ex: configurar informações sobre as assinaturas desejadas). Estes agentes deverão ser capazes de consultar bases publicadas por diferentes IDSs, identificar quando uma assinatura nova foi encontrada, e retornar ao seu IDS de origem para atualizar a sua base de Depois do desenvolvimento de toda arquitetura, foram realizadas duas baterias de testes para avaliar a implementação e analisar os resultados obtidos. Os resultados destes testes foram utilizados para validar a arquitetura desenvolvida, a fim de garantir a sua funcionalidade. A arquitetura de agentes móveis para compartilhamento e atualização de bases de assinaturas foi desenvolvida utilizando a linguagem Java, para garantir a portabilidade que se faz necessária em um ambiente de rede heterogêneo como a Internet. Os agentes móveis foram desenvolvidos utilizando-se a biblioteca de classes Aglets, desenvolvida pelo grupo IBM Tokyo Research Laboratory. Uma implementação da API Aglet, denominada ASDK, pode ser encontrada para download no IBM Tokyo Research Laboratory ( O ASDK inclui o pacote API Aglet, documentação e exemplos de Aglets. Os agentes móveis necessitam de um servidor para serem executados, neste trabalho foi utilizado o servidor de Aglets Tahiti. O Tahiti é uma aplicação Java que permite ao usuário receber, gerenciar e enviar Aglets para outros computadores que também estejam executando o Tahiti. A Erro! A origem da referência não foi encontrada. apresenta o servidor de aglets Tahiti executando dois aglets que são distribuídos junto com o ASDK, podemos observar os aglets examples.simple.displayaglet e examples.hello.helloaglet. 319

3 Fig. 1. Servidor de Aglets Tahiti. A estrutura de hardware utilizada para desenvolvimento e testes é composta por três computadores conectados a internet, onde foram publicadas bases com diferentes Estes computadores estarão executando o servidor de Aglets Tahiti, para que possam receber agentes móveis interessados em consultar sua base de assinaturas publicada e também para que possam enviar agentes móveis para consultar outras bases de IV. ESTRUTURA PARA O ARMAZENAMENTO DAS ASSINATURAS A estrutura descrita a seguir define a forma como são armazenadas as assinaturas que serão compartilhadas e atualizadas entre os diferentes IDSs participantes da arquitetura de compartilhamento e atualização de bases de Além de conter a assinatura propriamente dita, a estrutura para armazenamento das assinaturas também contém informações a serem utilizadas pelos agentes móveis em busca de novas A Erro! A origem da referência não foi encontrada. apresenta os campos desta estrutura. TABELA I CAMPOS DA ESTRUTURA DE ARMAZENAMENTO DE ASSINATURAS. Campo ID da Assinatura Formato da assinatura Origem dos dados Tipo de ataque Protocolo ou Serviço Assinatura Descrição Identificador único da assinatura, obtido através de função hash. Indica se a assinatura está no formato padrão ou no formato de algum IDS específico. Ex: Padrão, Bro, RealSecure. Especifica que tipo de informações o IDS deve prover para poder utilizar a assinatura. Ex: Rede, S.O., Auditoria, Aplicativos. Especifica qual o tipo de ataque que a assinatura trata. Ex: DoS, OverFlow, Spoofing. Especifica com qual protocolo de rede ou serviço a assinatura está relacionada. Ex: TCP, FTP, Oracle, Finger. Contém a assinatura propriamente dita. O padrão de assinaturas escolhido para ser utilizado pela arquitetura apresentada neste trabalho é o formato utilizado pelo IDS Snort. O formato das assinaturas utilizado pelo Snort foi escolhido como padrão por ser este um dos IDSs mais populares e, conseqüentemente, com maior número Atualmente a base de assinaturas do Snort, disponível para download no seu site, possui aproximadamente duas mil Em sua grande maioria esta base é fruto de contribuições da comunidade de usuário do Snort espalhados pelo mundo. Maiores informações sobre o Snort podem ser obtidas em Apesar do formato de assinaturas do Snort ter sido adotado como padrão, a estrutura para armazenamento das assinaturas foi projetada de forma a permitir que assinaturas de vários IDS diferentes possam ser armazenadas. Para isto, o campo Formato da Assinatura indica se um determinado elemento da base de assinaturas contém uma assinatura padrão (formato do Snort) ou uma assinatura de outro IDS qualquer. Os campos Origem dos dados, Tipo de ataque e Protocolo ou serviço contém informações sobre as assinaturas armazenadas na base, e são utilizados pelos agentes móveis para realização de pesquisas sobre assinaturas com características específicas. A base de assinaturas é um arquivo em formato texto, sendo que cada linha do arquivo é um elemento da base. Os campos estão dispostos na linha na mesma ordem apresentada na Erro! A origem da referência não foi encontrada., separados por vírgula. Um exemplo genérico de um elemento da base seria da seguinte forma: ID, Formato, Dados, Ataque, Protocolo, Assinatura. V. ARQUITETURA DE COMPARTILHAMENTO E ATUALIZAÇÃO A arquitetura de compartilhamento e atualização de bases de assinaturas é responsável pela publicação da base de assinaturas e pelo envio de agentes móveis às bases remotas para procurar novas É responsável também por receber de volta os agentes móveis que foram enviados e retornaram com novas assinaturas, e atualizar a base de assinaturas com as assinaturas novas que estão chegando. A arquitetura de compartilhamento e atualização de bases de assinaturas é composta basicamente por dois tipos de agentes móveis. O agente responsável por publicar a base de assinaturas e gerenciar o envio de novos agentes às bases remotas, denominado de ManagerAglet, e o agente responsável por realizar a busca de assinaturas nas bases remotas, denominado de UpdaterAglet. O ManagerAglet é um aglet estacionário, ou seja, ele não pode ser enviado para outros servidores. Este aglet possui uma tela na qual o usuário tem a possibilidade de gerenciar a sua arquitetura de compartilhamento e atualização de bases de A Fig. 1 apresenta a tela exibida pelo ManagerAglet para o gerenciamento da arquitetura de compartilhamento e atualização de bases de Nesta tela, o usuário primeiramente informa a localização 320

4 do arquivo que contém a base de assinaturas que deve ser publicada, no caso da tela acima a base está em c:\ids\base.txt, esta possui o formato apresentado na seção anterior. Depois ele clica no botão Ler a base, e desta forma a base de dados estará disponível para os agentes que chegarem para consultá-la. Fig. 1 Gerenciador de Agentes Móveis. Através dos botões Adicionar e Remover, o usuário configura uma lista de bases confiáveis, esta lista contém o endereço de servidores de agentes móveis que contém bases publicadas. Considera-se que os endereços inclusos nesta lista são confiáveis, ou seja, possuem bases de assinaturas com dados corretos, íntegros e verdadeiros. No campo abaixo do Log, o usuário tem a possibilidade de informar um arquivo de configuração para o agente que será enviado, no exemplo acima foi informado o arquivo c:\ids\config.txt. Este arquivo possui uma linha com todos os campos definidos para a base de assinaturas, exceto o campo Assinatura. O arquivo de configuração é utilizado pelo UpdaterAglet para realizar buscas por assinaturas com características específicas. No campo abaixo do Log, o usuário tem a possibilidade de informar um arquivo de configuração para o agente que será enviado, no exemplo acima foi informado o arquivo c:\ids\config.txt. Este arquivo possui uma linha com todos os campos definidos para a base de assinaturas, exceto o campo Assinatura. O arquivo de configuração é utilizado pelo UpdaterAglet para realizar buscas por assinaturas com características específicas. Por exemplo, o arquivo de configuração poderia conter o seguinte valor: -, Padrao, -, -, TCP. Um agente configurado desta forma irá procurar apenas assinaturas que estejam no formato padrão e relacionadas com o protocolo TCP. Os campos que possuem o valor - não são considerados na configuração. No rodapé da tela existem dois botões, o botão Enviar novo agente cria um aglet UpdaterAglet e envia ele a um dos destinos cadastrados na lista de bases confiáveis. E o botão Sair encerra o funcionamento do ManagerAglet. O UpdaterAglet é um agente móvel responsável por procurar novas assinaturas e trazê-las de volta a sua base de origem para a atualização da base de Quando o UpdaterAglet chega a um destino, ele primeiramente tenta se comunicar com o gerenciador de agentes que está ativo neste destino. Constatando que existe um ManagerAglet ativo no servidor de destino, o UpdaterAglet solicita e ele a base de assinaturas publicada. Para realizar a pesquisa na base de assinaturas remota, o UpdaterAglet utiliza uma lista contendo o código hash de cada uma das assinaturas de sua base de origem. Comparando o código hash das assinaturas de sua base de origem com o código hash das assinaturas da base remota publicada, o UpdaterAglet pode identificar se uma determinada assinatura está ou não cadastrada em sua base de origem. Se o UpdaterAglet possuir um arquivo de configuração, após ele achar uma assinatura nova (com um hash diferente), ele irá verificar se esta assinatura satisfaz as condições definidas na configuração. O fato do UpdaterAglet utilizar uma lista contendo o código hash das assinaturas de sua base de origem, e não as próprias assinaturas da base, diminui sensivelmente o tamanho da base de dados que o UpdaterAglet necessita carregar para realizar o seu trabalho. Fig. 2 Ciclo de vida do agente atualizador de bases. Encontrando uma ou mais assinaturas novas e que satisfaçam a configuração, o UpdaterAglet retorna ao seu servidor de origem, para notificar o gerenciador de agentes que novas assinaturas foram encontradas e devem ser cadastradas na base de Caso não encontre assinaturas novas, o UpdaterAglet solicita ao gerenciador de agentes do servidor remoto que lhe indique um endereço da 321

5 sua lista de bases confiáveis, e o UpdaterAglet se desloca para este novo endereço e inicia a pesquisa por assinaturas novamente. A Fig. 2 apresenta em forma de fluxograma a trajetória percorrida pelo UpdaterAglet em busca de novas assinaturas, conforme o texto descrito acima. Observando o funcionamento do UpdaterAglet, verificamos que o caminho percorrido por ele durante a busca por novas assinaturas não é necessariamente conhecido pelo administrador do gerenciador de agentes, pois o endereço do próximo servidor a ser pesquisado é indicado pelo servidor que o UpdaterAglet acabou de pesquisar. Isto permite que o agente móvel pesquise bases de assinaturas que não são conhecidas pela sua origem. VI. RESULTADOS OBTIDOS E VALIDAÇÃO Nesta seção serão apresentados os resultados obtidos com a implementação da arquitetura de compartilhamento e atualização de bases de Serão também vistos resultados obtidos através de testes e simulações do ambiente de trabalho da arquitetura. Como um dos resultados da implementação temos um gerenciador de agentes móveis, este gerenciador é capaz de publicar uma base de assinaturas e enviar um agente móvel de pesquisa para um servidor de agentes remoto. O agente de pesquisa que é enviado pelo gerenciador de agentes móveis a uma base remota tem capacidade de ler a base de assinaturas publicada remotamente e avaliar se existe nesta base alguma assinatura que não existe em sua base de origem, respeitando as configurações de pesquisa que foram definidas pelo usuário. Encontrando uma nova assinatura em uma base remota, um agente móvel retorna ao seu gerenciador de origem e lhe entrega as novas assinaturas encontradas, com isto o gerenciador de assinaturas faz a efetiva atualização da base de E, desta forma temos como resultado a atualização automática da base de assinaturas, através da troca de informação e da cooperação entre os IDSs participantes da arquitetura. Outro resultado observado é o fato do itinerário seguido pelo agente móvel que realiza as pesquisar ser determinado por cada um dos servidores que ele pesquisa, ou seja, o servidor que está sendo pesquisado informa ao agente qual o próximo servidor deve ser pesquisado, e assim o agente móvel se desloca de um servidor para outro até encontrar novas Quanto ao armazenamento das assinaturas, temos como resultado uma estrutura que provê informações que facilitam a pesquisa e que permite o armazenamento de assinaturas de diversos formatos diferentes. A validação da arquitetura foi feia através da simulação do ambiente em que a mesma deve funcionar. Neste ambiente foram realizados testes para avaliar a implementação. Os resultados destes testes foram utilizados para validar a arquitetura desenvolvida e garantir a sua funcionalidade. Na primeira bateria de testes, foram publicadas três bases de assinaturas em diferentes hosts da Internet, estas bases possuíam algumas assinaturas iguais e outras diferentes entre si. Foram disparados agentes móveis destes três hosts, os agentes disparados percorreram as bases publicadas dos outros hots e foram capazes identificar as assinaturas diferentes, retornando ao seu ponto de origem para atualizar as suas bases de Em outra bateria de testes os agentes foram configurados, através de um arquivo de configuração, para atualizarem somente assinaturas que estavam no formato padrão e tratavam do protocolo TCP. Os agentes foram capazes de interpretar as informações passadas pelo arquivo e atualizar apenas as assinaturas desejadas. Os resultados das duas baterias de testes ficaram dentro do esperado. Com estes resultados a implementação da arquitetura para compartilhamento e atualização de bases de assinaturas através de agentes móveis está validada. VII. INTERPRETAÇÃO E ANÁLISE DOS RESULTADOS Os resultados demonstram que os agentes móveis são capazes de realizar pesquisas baseados em configurações definidas pelo usuário e identificar quando uma assinatura existente em uma base remota é uma assinatura nova ou não, através de códigos hash. A presença destas características é de extrema importância para o funcionamento eficaz da arquitetura, pois é através da pesquisa por assinaturas realizada pelo agente móvel que as bases de assinaturas são atualizadas. Com base nos resultados apresentados, observamos também que foi realizada a correta atualização das bases de assinaturas através dos agentes móveis, isto caracteriza a realização do objetivo geral da arquitetura apresentada neste trabalho, conforme citado anteriormente. Quanto à característica do itinerário a ser seguido pelos agentes móveis ser dinâmica, isto permite que sejam pesquisadas bases de assinaturas que não são conhecidas pela origem dos agentes que as estão pesquisando. Desta forma, o agente móvel tem a capacidade de pesquisar todos os servidores que estão interligados direta ou indiretamente através da arquitetura de compartilhamento e atualização de bases de assinaturas, permitindo que uma determinada base de assinaturas, que utiliza esta arquitetura, seja atualizada com informações da maior quantidade de servidores possível. Analisando os testes, a validação e o funcionamento de toda a arquitetura implementada, observamos uma arquitetura robusta e portável, para compartilhamento e atualização de bases de assinaturas, que pode ser adotada como padrão pelos diferentes IDSs existentes no mercado, fazendo com que eles troquem informações e trabalhem em conjunto. VIII. CONCLUSÃO Atualmente, para se atualizar uma base de assinaturas um usuário precisa conhecer os novos ataques e assinaturas que são criados todos os dias, analisar estas novas assinaturas e verificar se elas são necessárias dentro da rede específica em que trabalha e, atualizar manualmente a base de assinaturas de 322

6 sua rede se for o caso. Como ataques e assinaturas são criadas constantemente, e a atualização das bases ainda é feita de forma bastante manual, são grandes as chances da base de assinaturas de uma empresa não estar totalmente atualizada e ser surpreendida por um ataque recém criado ou uma vulnerabilidade recém descoberta, sem que o IDS tenha consciência de que isto está ocorrendo. A atualização também pode ser feita diretamente pelo fabricante de um IDS específico. Porém nestes casos todos os usuários do IDS daquele fabricante recebem a mesma base de assinaturas, ou seja, a base não é otimizada de acordo com as realidades e necessidades de cada rede. A base enviada pelo fabricante pode não satisfazer as necessidades específicas de uma rede, obrigando o usuário a novamente configurar e atualizar a sua base de assinaturas de forma manual. A contribuição do presente trabalho para com a segurança das redes de computadores vem através da possibilidade de atualização automática e eficiente das bases de assinaturas, eliminando a necessidade de um usuário realizar este trabalho manualmente. A arquitetura para compartilhamento e atualização de bases de assinaturas através de agente móveis apresentada neste artigo abre caminho para esta possibilidade. A arquitetura possibilita que um IDS atualize a sua base de assinaturas de forma automática. Um usuário pode configurar que tipo de assinaturas interessa para sua rede e, com base nesta configuração agentes móveis realizam pesquisas nas bases de assinaturas de outras redes. A pesquisa é feita em diversas bases de outras redes, inclusive bases não conhecidas pela rede de origem, isto permite que uma base de assinaturas que utilize a arquitetura proposta seja alimentada com informações de várias fontes, e não somente de uma fonte central como no caso de uma base distribuída por um fabricante de IDS. A possibilidade de configurar as características das assinaturas a serem pesquisadas garante que a base de assinaturas, que está sendo atualizada automaticamente, esteja sempre com informações (assinaturas) que esteja de acordo com as realidades e necessidades da rede em questão. A arquitetura desenvolvida e apresentada neste trabalho permite que os sistemas de detecção de intrusão, baseados na técnica de análise de assinaturas, tornem-se ferramentas mais eficientes no auxílio à segurança das redes de computadores. A arquitetura apresentada aumenta a eficiência do sistema devido a possibilidade da troca de informações e da cooperação entre diferentes IDSs. Vários aperfeiçoamentos podem ser aplicados à arquitetura apresentada neste artigo, a fim de torná-la mais robusta, confiável e eficaz. Um dos aspectos que poderia ser trabalhado nesta arquitetura é a questão da integridade das bases de No presente trabalho quando um agente móvel pesquisa uma base de assinaturas remota, ele considera que esta base contém informações corretas e confiáveis. Porém, alguém interessado em prejudicar a distribuição das assinaturas ou interessado em espalhar assinaturas falsas, poderia alterar de forma maliciosa uma base de assinaturas confiável, desta forma os agentes começariam a coletar assinaturas que prejudicariam o funcionamento de seus IDSs. Sendo assim, faz-se necessário algum mecanismo que possibilite o agente móvel conferir a integridade da base de assinaturas, antes de começar a pesquisar as assinaturas da base. Outro aperfeiçoamento aplicável a este trabalho, seria dotar os agentes móveis de uma maior inteligência na busca das assinaturas e na escolha da próxima base a ser pesquisada. Esta inteligência teria como objetivo maximizar a busca por novas assinaturas, tentando evitar que o agente pesquise assinaturas que ele, de alguma forma, poderia saber que não são novas. A escolha da próxima base a ser pesquisada também poderia ser otimizada, evitando que o agente pesquise novamente uma base de assinaturas que já foi pesquisada recentemente. Além das extensões aplicadas a arquitetura desenvolvida neste trabalho, podem ser desenvolvidos trabalhos aplicando as idéias contidas nesta arquitetura a outras tecnologias. Podese tentar desenvolver uma arquitetura semelhante utilizandose SNMP ou Web Services, ou ainda utilizando-se outras plataformas de agentes móveis. IX. REFERÊNCIAS [1] Buchheim, Tim, Erlinger, Michael, et al. (1999) Implementing the intrusion detection exchange protocol, IEEE Computer Society. [2] (2002) CIFT Common Intrusion Detection Framework, Outubro. [3] (2002) IBM Tokyo Research Laboratory, Outubro. [4] (2002) IETF Internet Engineering Task Force, Outubro. [5] Kahn, Cliffordn, Porras, Phillip, et al. (1998) A common intrusion detection framework, Journal of Computer Security. [6] Ning, Peng, Wang, Sean X., Jajodia, Sushil. (2000) Modeling requests among cooperating intrusion detection, Computer Communications 23(17): [7] Ning, Peng, Wang, Sean X., Jajodia, Sushil. (2001) Abstraction-based Intrusion Detection in Distributed Environments, In ACM Transactions on Information and System Security, ACM Press. [8] Pouzol, Jean P., Ducassé M. (2002) Formal specification of intrusion signatures and detection rules, Proceedings of the 15th ComputerIEEE Computer Security Foundations Workshop. IEEE Computer Society Press. [9] Schnackenberg, Dan, Djahandari, Kelly, et al. (2001) Cooperative intrusion Tracback and response architecture (CITRA), IEEE Computer Society Press. [10] White, Gregory B. (1996) Cooperating security managers: a peer-based intrusion detection system, IEEE Computer Society. [11] Zamboni, D. et al. (1998) An architecture for intrusion detection using autonomus agents, COAST Laboratory. 323