Detecção de Intrusão em Redes de Computadores: Algoritmo Imunoinspirado Baseado na Teoria do Perigo e Células Dendríticas

Transcrição

1 Universidade Federal de Minas Gerais PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA ELÉTRICA Detecção de Intrusão em Redes de Computadores: Algoritmo Imunoinspirado Baseado na Teoria do Perigo e Células Dendríticas Dissertação de mestrado submetida à banca examinadora designada pelo Colegiado do Programa de Pós-Graduação em Engenharia Elétrica da Universidade Federal de Minas Gerais, como parte dos requisitos exigidos para a obtenção do título de Mestre em Engenharia Elétrica. por Guilherme Costa Silva Bacharel em Sistemas de Informação Orientador: Prof. Walmir Matos Caminhas Co-orientador: Prof. Luciano de Errico Março 2009

2 Universidade Federal de Minas Gerais Programa de Pós-Graduação em Engenharia Elétrica Centro de Pesquisa e Desenvolvimento em Engenharia Elétrica Detecção de Intrusão em Redes de Computadores: Algoritmo Imunoinspirado Baseado na Teoria do Perigo e Células Dendríticas Autor: Guilherme Costa Silva Orientador: Prof. Walmir Matos Caminhas Co-orientador: Prof. Luciano de Errico Dissertação submetida à banca examinadora designada pelo Colegiado do Programa de Pós-Graduação em Engenharia Elétrica da Universidade Federal de Minas Gerais, como parte dos requisitos exigidos para a obtenção do título de Mestre em Engenharia Elétrica. Área de concentração: Engenharia de Computação e Telecomunicações. Banca Examinadora Douglas A. G. Vieira UFMG Luciano de Errico Delt/EE/UFMG Nilton Alves Maia DCC/CCET/UNIMONTES Rodney Rezende Saldanha DEE/EE/UFMG Walmir Matos Caminhas DEE/EE/UFMG Belo Horizonte, MG Março/2009

3 Resumo A invasão de redes de computadores é um dos principais problemas de segurança enfrentados por organizações atualmente. As maiores dificuldades de implementação de sistemas de detecção de intrusão estão na detecção de novas formas de ataque e na ocorrência de falsos positivos e falsos negativos. Nessa linha, este trabalho propõe um modelo de detecção de invasão que emprega o Algoritmo das Células Dendríticas (DCA). Esse algoritmo, usado principalmente na detecção de anomalias, pertence a uma nova geração de sistemas imunes artificiais baseados no Modelo do Perigo, uma teoria que define a resposta imune biológica como uma reação a danos celulares causados por agentes nocivos. O funcionamento do DCA se baseia na correlação entre os sinais coletados, definidos conforme o escopo do problema, e os antígenos, que correspondem a processos suspeitos, para a posterior classificação dos mesmos como normais ou anômalos. Como teste do algoritmo, foram realizadas simulações utilizando um processo anômalo, caracterizado pelo ping scan nas máquinas da rede, e um processo normal, caracterizado pelo envio de arquivo, executando tanto de forma isolada quanto simultânea. O ping scan é uma ferramenta destinada a levantar o perfil de funcionamento da rede, mas que tem sido utilizada maliciosamente para a obtenção de informações, com o objetivo de realizar ataques mais elaborados. Sua presença no ambiente é, portanto, uma significativa indicação preliminar de tentativa de invasão. Nos testes, o DCA foi modificado para permitir uma análise temporal do índice de detecção de anomalia. Foi observada uma grande variação deste índice durante o processo de detecção de anomalias, o que levava a frequentes falsos positivos. A introdução de normalização no algoritmo mostrou, em testes posteriores, uma forte contribuição para a melhora da qualidade da detecção e para a redução de falsos positivos e falsos negativos. Finalmente, uma análise de sensibilidade e especificidade foi realizada usando curvas ROC (Receiver Operating Characteristic), para a medição de desempenho do DCA nos testes realizados. Palavras-chave: Inteligência Computacional, Sistemas Imunoinspirados, Detecção de Intrusão, Detecção de Anomalias, Modelo do Perigo. ii

4 Abstract iii Computer network intrusion is currently one of the main corporate security problems. Intrusion detection systems face different implementation obstacles, mainly in detection of novel attacks and occurrence of false positives and false negatives. In this line, this work proposes an intrusion detection model that employs the Dendritic Cells Algorithm (DCA). This algorithm, mainly used in anomaly detection, belongs to a new generation based on the Danger Model, a theory which defines the immune response as a biological response to cellular damage caused by nocive agents. DCA works based on the correlation between the collected signals, defined in the scope of the problem, and the antigens, which are suspicious processes, for the subsequent classification of them as normal or abnormal. The algorithm was tested using simulations with an anomalous process, characterized by a ping scan in the network, and a normal process, characterized by a file transfer, executing both isolated and concurrently. Ping scan is originally a tool for network profiling, but has been used for malicious information gathering, aiming at a refinement in the attacks. Its presence in the environment is a significant preliminary indication of an intrusion. In tests, DCA was modified to allow a temporal analysis of the anomaly detection parameter. A large variation of this parameter was observed, which led to frequent false positives. In further tests, the introduction of normalization in the algorithm showed a strong contribution for the anomaly detection improvement and reduction in false positives and false negatives. Finally, a sensitivity and specificity analysis using ROC (Receiver Operating Characteristic) curves was developed, to measure the DCA performance in the tests. Keywords: Computational Intelligence, Immune inspired Systems, Intrusion Detection, Anomaly Detection, Danger Model.

5 Dedicatória Dedico este trabalho a todas aquelas pessoas que possuem princípios e ideais e são condizentes com os mesmos em sua realidade, sem perder o otimismo e a confiança no melhor. Também o dedico às crianças, que serão os adultos de amanhã e poderão mudar o mundo e fazer com que o mesmo entre em um equilíbrio. iv

6 Agradecimentos Agradeço a Deus em primeiro lugar, por estar aqui fazendo meu trabalho e minha missão. Também agradeço à minha família presente, principalmente a minha mãe, Fátima, o apoio e tudo que foi feito até o momento pela minha pessoa, em especial na formação do meu caráter. Sou grato ao meu orientador, o Prof. Walmir Matos Caminhas, que acreditou em meu potencial e contribuiu muito durante esse período na minha formação profissional e pessoal também. Agradeço também ao Prof. Luciano de Errico, as contribuições e dicas que enriqueceram meu trabalho. Agradeço também à Banca Examinadora por todas as contribuições ao presente trabalho. Também desejo agradecer a um grande colaborador deste trabalho, Thiago Guzella, que contribuiu muito, durante o início do desenvolvimento do mesmo, com dicas sobre a abordagem que eu resolvi adotar. A todos os professores do PPGEE, em especial: Benjamim, um sábio professor também responsável pelas dinâmicas deste laboratório; Rodney, que com entusiasmo sempre me apoiou e incentivou no desenvolvimento de minhas atividades acadêmicas; João Vasconcelos, que contribuiu com boas lições em suas disciplinas; e também ao Hani (coordenador), que contribuiu com sua cultura e humor, compartilhados em sala de aula e fora delas também. Aos colegas e parceiros do LabIComp (em ordem alfabética): Alessandra, pela atenção em muitos momentos em que precisei de auxílio; André Paim, que sempre contribuiu com dicas e ferramentas úteis; Celso Araújo, uma biblioteca do saber com suas discussões profissionais e filosíficas e contribuiu com sua experiência de vida; Eduardo Ostos, com quem compartilhamos algumas figurinhas; Joaquim Uchoa, que também me ajudou muito; Márcia Platilha, que me ensinou muitas coisas úteis e mostrou como se coloca "ordem na casa"; Steve Lacerda, com sua bagagem cultural e idéias interessantes; Thiago Arreguy, que também me apresentou muitas idéias e ferramentas. Sem me esquecer do Marcos Flávio, vulgo Marcão, que apesar de estar me "alugando"um pouco, também trouxe grandes contribuições no meu trabalho e na vida. Agradeço também ao pessoal dos laboratórios vizinhos: SEI, LVAS, MACSIN, CEFALA, LO- PAC, e outros, assim como muitas pessoas desses laboratórios que sempre estiveram sempre próximos a mim durante a realização deste trabalho, fornecendo apoio de alguma forma. Agradeço também à secretaria do PPGEE que sempre mostrou disposição para me atender em alguns casos e para me apoiar em minhas atividades. Agradecimentos sinceros aos funcionários e alunos companheiros da academia, antiga Stay Fit, atual Activa Center, pessoas de valor que também demonstraram apoio ao meu trabalho, mesmo quando não sabiam do que se tratava. E que sempre reforçou a idéia dos cuidados com o corpo, junto com a mente. Obrigado também aos meus grandes amigos, parceiros, colegas e companheiros, e aqueles que me seguem desde os tempos do Colégio, Graduação, ou em corridas de rua, dança de salão, na igreja e qualquer outra atividade social enriquecedora, e sempre foram pessoas que me incentivaram e forneceram auxílio em vários momentos de minha vida. Presto reconhecimento ao fomento do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq), que foi o meu suporte financeiro para o desenvolvimento e elaboração dessa dissertação, assim como da minha vida pessoal. Também presto reconhecimento ao Fundo de Amparo à Pesquisa do Estado de Minas Gerais (FAPEMIG), cuja infra-estrutura para o desenvolvimento deste laboratório foi de grande ajuda. Agradecimentos também à Gerdau Açominas, pelas doações de v

7 computadores com os quais, serviram de ferramenta para a realização deste trabalho. Finalmente, agradeço também aos professores Dra. Julie Greensmith e Dr. Uwe Aickelin, da Universidade de Nottingham, pelas bases de dados usadas na Seção 6.6, com as quais pude validar os experimentos realizados no trabalho. Resumindo, a todos aqueles que contribuíram, não somente no desenvolvimento deste trabalho, mas em toda a minha vida, um Muito Obrigado!!! vi

8 Sumário Lista de Figuras Lista de Tabelas Lista de Smbolos x xii xiii 1 Introdução Objetivos Estrutura do trabalho Introdução aos Sistemas Imunológicos Inspiração Biológica Fundamentos do sistema imune biológico Conceitos biológicos básicos Teorias formuladas Sistemas imunes artificiais Revisão da literatura em SIA Formalização da Engenharia Imunológica Sistemas baseados no modelo do perigo Detecção de Intrusos em Redes Introdução Segurança em redes de computadores Necessidades de um detector de intrusos Características de um IDS Características de ataques Classificação de ataques Modelos e tipos de IDS IDS baseado em anomalias IDS baseado em assinaturas vii

9 SUMÁRIO viii 3.7 Problemas nos IDSs Cenário Comercial Algumas ferramentas IDS Detecção de Intrusão e a Inteligência Computacional IC x IDS Sistemas Imunes x IDS Aplicação dos sistemas imunoinspirados em detecção de intrusos Revisão da Literatura Inspiração no Modelo do Perigo O Algoritmo das Células Dendríticas Metodologia do trabalho Aplicações do algoritmo das células dendríticas Descrição dos testes Resultados UCI Breast Cancer em várias abordagens DCA e detecção de intrusões Estudo do caso sobre o Ping Scan Natureza dos Ping Scans DCA aplicado ao problema Descrição dos testes Ajustes do DCA Os cenários de teste Especificações Resultados Iniciais Bases de dados da literatura Considerações Aperfeiçoamentos do algoritmo das células dendríticas Análise Qualitativa Evolução do MCAV e Informações Análise de dados Análise gráfica Análise temporal Análise das técnicas de normalização Limiar de anomalias Análise de sensibilidade e especificidade

10 SUMÁRIO ix 8 Considerações Finais Discussão dos resultados Contribuições Conclusões do trabalho Propostas de pesquisas futuras Referências bibliográficas 105 Glossário 113

11 Lista de Figuras 2.1 Esquema representando a área da computação natural e suas sub-áreas, extraído de (Von Zuben and de Castro, 2009) Áreas da computação bioinspirada Exemplos de agentes causadores de doenças, que podem ser identificados pelo sistema imune biológico. (autor desconhecido, 2009d) Camadas do sistema imune humano (de Castro, 2001) Ilustração dos processos de seleção positiva e seleção negativa das células T no Timo Ilustração da seleção clonal. baseado em (Qiu, 2009) Ilustração de anticorpos se interagindo em uma rede imune. (Fix, 2009) Ativação da resposta imune segundo a teoria do perigo, ilustração baseada em (Cayzer and Aickelin, 2002) Ilustrações dos processos analisados na Engenharia Imunológica Ilustração de uma rede de computadores protegida por firewall, ferramenta usada para segurança de informações na rede (autor desconhecido, 2009b) Ilustração de como os ataques podem ser realizados (a) e impedidos (b) em uma rede de computadores, baseada em (autor desconhecido, 2009c) Arquitetura de um IDS, baseada em (autor desconhecido, 2009a) Sistema típico de detecção de anomalias (Sundaram, 2009) Representação de uma detecção de anomalias em um plano cartesiano Representação hipotética de um cenário de detecção de falhas Sistema típico de detecção de assinaturas (Sundaram, 2009) Representação de uma detecção de assinaturas em um plano cartesiano Exemplo de uma curva ROC Ilustração do funcionamento do DCA de (Greensmith and Aickelin, 2007), onde cada passo será explicado mais adiante Distribuição dos pesos no processamento dos sinais (Greensmith, 2007), repare que o sinal seguro inibe a variável de ativação que torna a célula dendrítica madura Estrutura do DCA, o tecido e as células Ilustração do organização dos dados para o Teste Ilustração do organização dos dados para o Teste Resultados para o Teste x

12 LISTA DE FIGURAS xi 5.4 Resultados para o Teste Ilustração da rede onde serão aplicados os testes de intrusão Gráficos dos sinais x tempo em segundos para os testes feitos em cenários de perigo, onde foi executado o nmap Gráficos dos sinais x tempo em segundos para os testes feitos em cenários normais. Repare que o sinal PAMP não se manifesta, pois o scp não gera esse sinal Gráficos dos sinais x tempo em segundos para os testes feitos em cenários mistos, ou seja, onde foram executados o nmap e em seguida, o scp Gráficos do mcav final x número de receptores para os testes feitos em cenários mistos Gráficos do mcav final x número de DCs para os testes feitos em cenários mistos Gráficos do MCAV ao longo do tempo para os cenários de perigo, onde o nmap constitui no processo de interesse Gráficos do MCAV ao longo do tempo para os dois últimos cenários normais Gráficos do MCAV ao longo do tempo para os cenários mistos Gráficos para o cenário misto 4, onde o nmap é detectado, mas o scp também é detectado com MCAV que chega a ser maior do que o nmap Gráficos para o cenário misto 4, após a alteração. Neste cenário, ocorre a detecção do nmap e a classificação correta do scp Gráficos da Sensibilidade e Especificidade X Limiar de Anomalia Diferença entre sensibilidade e especificidade X Limiar de Anomalia Curvas ROC dos testes realizados

13 Lista de Tabelas 4.1 Termos usados para identificar os sinais de entrada e saida Descrição das fases das células dendríticas Matriz de pesos para o cálculo dos sinais de saída Amostra dos dados do UCI Breast Cancer Experiment Descrição das fases das células dendríticas Resultados dos testes com os valores para limiares de migração Dados sobre a base de dados Resultados obtidos com as técnicas na base de dados Ajuste padrão no algoritmo das células dendríticas para realização dos testes Modelagem dos pesos para a realização dos testes no DCA Pesos sugeridos Normalização dos sinais usada no trabalho Primeiros resultados verificando o MCAV final, na configuração padrão do DCA Resultados obtidos nos testes feitos com as bases de dados. (Greensmith, 2007) Quadro comparativo entre os índices MCAV obtidos nos testes Comparativos entre os testes realizados Testes realizados nos cenários de intrusão. Através deles, características sobre o MCAV podem ser analisadas MCAV final x MCAV máximo do nmap, com e sem PAMPs Análise temporal sobre intrusões ocorridas nos testes Variação dos sinais de perigo para o nmap e scp Normalização alternativa Comparativo dos testes feitos no cenário misto Comparativo dos testes feitos nos cenários normais Tabela de atributos para os valores de limiar definidos no DCA xii

14 Lista de Símbolos A - Vetor de Antígenos Ab - Anticorpo (Antibody) AD (Base dados UCI) - Marginal Adhesion ABNET - Algoritmo Rede de Anticorpos (Antibody Network) Ag - Antígeno (Antigen) ainet - Algoritmo Rede Imune Artificial (Artificial Immune NETwork) APC - Célula apresentadora de antígenos (Antigen Presenting Cell) API - Interface para programação de aplicações (Application Programming Interface) BN (Base dados UCI) - Bare Nuclei CH (Base dados UCI) - Cell shape CO (Base dados UCI) - Bland Chromatin CLONALG - Algoritmo de Seleção Clonal (CLONal Selection ALGorithm) CS (Base dados UCI) - Cell size CSM - moléculas coestimulatórias CT (Base dados UCI) - Clump Thickness CTL - Linfócito Citotóxico T D (sinal) - Sinal de Perigo (Danger Signal) DARPA - Defense Advanced Research Projects Agency DCA - Algoritmo das Células Dendríticas (Dendritic Cell Algorithm) DNA - Ácido desoxirribonucleico (Deoxyribonucleic acid) DoS - Negação de serviço (Denial of Service) DP - Desvio Padrão xiii

15 LISTA DE SÍMBOLOS xiv EI - Engenharia Imunológica EP (Base dados UCI) - Single Epithelial Cell Size FN - Falso Negativo FP - Falso Positivo GA - Algoritmo Genético (Genetic Algorithm) GB - Giga Bytes HIDS - Sistema detector de intrusos baseado em host (Host-based Intrusion Detection System) I (parâmetro) - número de sinais de entrada por categoria IC (sigla) - Inteligência Computacional IC (variável) - Citocina Inflamatória (sinal de inflamação) ID (Base dados UCI) - Number ID IDS - Sistema detector de intrusos (Intrusion Detection System) IP - Protocolo da Internet (Internet Protocol) IPS - Sistema de prevenção contra intrusos (Intrusion Prevention System) J (parâmetro) - número de categorias dos sinais de entrada K (parâmetro) - número de antígenos localizados no tecido L - número de ciclos do algoritmo LAN - Rede de área local (Local Area Network) M (sinal) - Célula Madura M (parâmetro) - número de células dendríticas na população MM (Base dados UCI) - Mitoses MAN - Rede de área metropolitana (Metropolitan Area Network) MB - Mega Bytes MCAV - Mature Coefficient Antigen Value

16 LISTA DE SÍMBOLOS xv MIT - Massachusetts Institute of Technology MHC - Complexo de histocompatibilidade principal (Major Histocompatibility Complex) N - tamanho do vetor de antígenos da célula NIDS - Sistema detector de intrusos baseado em rede (Network-based Intrusion Detection System) NK - Células Matadoras Naturais (Natural Killer) NN (Base dados UCI) - Normal Nucleoli TLR - Toll-like receptors O (Variável) - Vetor de sinais de saída P (sinal) - ver PAMP P (Parâmetro) - número de sinais de saída por célula PAMP - Padrão molecular associado ao patógeno (Pathogen-associated molecular pattern) PSO - Otimização por Enxame de Partículas (Particle Swarm Optimization) Q - número de antígenos amostrados por célula, em cada ciclo R - número de receptores de antígenos da célula RAM - Memória de Acesso Aleatório (Random Access Memory) RBF - Radial Basis Function R2L - Usuário remoto para local (Remote to Local) ROC - Receiver operating characteristic S (sinal) - Sinal seguro (Safe Signal) S (Variável) - Vetor de sinais de entrada SAND - Algoritmo Simulated ANnealing Approach to Increase Diversity seg - segundos SIA - Sistemas Imunes Artificiais

17 LISTA DE SÍMBOLOS xvi Sm - Semi Madura SSH - Secure Shell t% - Taxa de anomalia do teste T anomalia - Tempo da anomalia no teste t anomaliai - Instante no qual o processo passou a ser considerado anomalia T c - Célula T Citotóxica T h - Célula T Auxiliar (Helper T Cell) t processof - Instante no qual o processo foi considerado encerrado t processoi - Instante no qual o processo se iniciou T t otal - Tempo da simulação tx.anomalia - Taxa de anomalia do processo U2R - Usuário comum para Super usuário (User to Root) VN - Verdadeiro Negativo VoIP - Voz sobre IP (Voice over IP) VP - Verdadeiro Positivo W - Matriz de pesos WAN - Rede para localidade ampla (Wide Area Network)

18 Capítulo 1 Introdução Deixe quem desejaria mudar o mundo primeiro mudar a si mesmo. Sócrates Neste capítulo são apresentados o objetivo deste trabalho e a estrutura do mesmo. 1.1 Objetivos Nos dias de hoje, cada vez mais assuntos relacionados a Segurança de Informação ganham destaque. Isto se deve à existência de vulnerabilidades nas aplicações, nos sistemas operacionais, no hardware de suporte à rede e no hardware dos computadores. Estas vulnerabilidades são refletidas também em termos de software. Isto gera a necessidade da segurança das informações armazenadas nos sistemas de informação, assim como a prevenção de danos ocorridos aos componentes dos sistemas. A exploração de vulnerabilidades é uma das etapas do processo de intrusão em uma rede de computadores. Geralmente, o processo de intrusão começa com uma busca pelas máquinas em funcionamento em uma rede de computadores através do ping scan. O ping scan é uma ferramenta bastante usada por administradores de rede e sua verdadeira função é verificar o funcionamento dos computadores. Porém, essa ferramenta fornece informações para o usuário e estas informações são atraentes para um invasor, pois com estas informações, esse invasor poderá realizar ataques baseados em tais informações. Partindo deste princípio, o trabalho consiste em estudar a detecção do uso malicioso do ping scan. 1

19 1.2 Estrutura do trabalho 2 A metodologia adotada para a detecção da intrusão é baseada em sistemas imunoinspirados baseados no modelo do perigo: o Algoritmo das Células Dendríticas, que provê a detecção de anomalias baseada na correlação entre as evidências de um processo, abordadas em forma de sinais, e a identificação do processo, abordada na forma de antígeno. Por se tratar de uma metodologia recentemente adotada na literatura, serão feitos alguns testes para verificar a qualidade da detecção e dos métodos empregados, desta forma, coletando as informações observadas na execução do algoritmo e extraindo informações relevantes. 1.2 Estrutura do trabalho O Capítulo 2 apresenta uma revisão bibliográfica na área de sistemas imunes artificiais. São apresentados a inspiração biológica, a necessidade de se construir sistemas baseados na natureza, as teorias de estudo sobre os sistemas imunes e as abordagens imunoinspiradas construídas para problemas de engenharia. A abordagem será aplicada no problema discutido no Capítulo 3, onde serão discutidos o funcionamento de um sistema detector de intrusos, assim como sua necessidade em termos de segurança da informação. Também serão apresentados os tipos de sistemas existentes, as abordagens usadas para prover detecções mais eficientes e um breve histórico sobre a tecnologia. O capítulo mostrará por que as técnicas de Inteligência Computacional têm sido bastante empregadas para prover melhorias no desempenho de tais sistemas. As técnicas imunoinspiradas de inteligência computacional são apresentadas no Capítulo 4. as iniciativas empregadas na literatura e a abordagem de sistemas imunoinspirados baseados no modelo do perigo, sobretudo o algoritmo das células dendríticas, que constitui em uma ferramenta utilizada em detecção de anomalias. Os próximos capítulos abordarão os testes realizados com o algoritmo. No Capítulo 5, o DCA é testado e validado usando as mesmas bases de dados empregadas na literatura, no Capítulo 6 serão apresentados os testes realizados com o algoritmo em testes de intrusão e os resultados obtidos. As modificações feitas no algoritmo são apresentadas no Capítulo 7 onde serão discutidos alguns métodos, para aperfeiçoar os resultados e prover uma detecção mais efetiva. Finalmente o Capítulo 8 apresenta as conclusões tiradas durante o trabalho e apresenta algumas propostas para futuras pesquisas.

20 Capítulo 2 Introdução aos Sistemas Imunológicos A arte da vida consiste em fazer da vida uma obra de arte. Mahatma Gandhi O Sistema Imune (também chamado de Sistema Imunológico) corresponde ao mecanismo de defesa presente nos seres vivos. De acordo com (National Cancer Institute and Diseases, 2003), esse mecanismo de defesa constitui em uma rede de células e órgãos que funcionam em conjunto defendendo o organismo de agentes causadores de doenças, tais como bactérias, vírus, germes, ou qualquer outro patógeno que invade o organismo. Este mecanismo de defesa, serve de inspiração para a implementação de sistemas computacionais que requerem essas características citadas em (de Castro, 2001), tais como: robustez, memória, adaptabilidade, tolerância a falhas, e outras características do sistema imune em comum com a aplicação abordada. Esses sistemas são denominados Sistemas Imunes Artificiais (ou simplesmente SIA) ou também Sistemas imuno-inspirados. Os SIA, podendo ser aplicados a diversos problemas de engenharia, possuem um vasto conjunto de trabalhos existentes na literatura em (Brownlee, 2007) de acordo com as abordagens utilizadas. Assim como o sistema imune biológico possui teorias que tentam explicar seu funcionamento, o sistema imune artificial possui abordagens inspiradas nessas teorias, aplicadas a diferentes problemas. Os SIA também correspondem a uma pesquisa interdisciplinar que envolve a biologia, a matemática e a engenharia, de acordo com (Timmis et al., 2008). Estas áreas possuem contribuições mútuas que poderão ajudar engenheiros e imunologistas em outras pesquisas. Inicialmente, será apresentada a linha de pesquisa que conduz à criação desses sistemas e os tipos de sistemas desenvolvidos. Em seguida, será apresentado um conjunto de características básicas do sistema imune biológico, como objetivo de incluir conceitos da biologia que inspiraram a geração dos sistemas de engenharia. Finalmente, será apresentado um resumo da pesquisa em sistemas imunes artificiais, incluindo os baseados no modelo do perigo, enfoque deste trabalho. 3

21 2.1 Inspiração Biológica Inspiração Biológica O conjunto de sistemas que são desenvolvidos com inspiração ou utilização de um ou mais mecanismos naturais ou biológicos de processamento de informações constituem a linha de pesquisa da Computação Natural (de Castro et al., 2004), cujo esquema é ilustrado na Figura 2.1. Existem três subdivisões desta linha de pesquisa: computação Bioinspirada - novas formas de solução de problemas; simulação de eventos naturais - síntese da vida ; computação com mecanismos naturais - novos paradigmas de computação. Figura 2.1: Esquema representando a área da computação natural e suas sub-áreas, extraído de (Von Zuben and de Castro, 2009) A implantação de estruturas de dados que podem complementar ou substituir os computadores atuais é estudada em Computação com mecanismos naturais, essas estruturas podem ser as cadeias de DNA ou os bits quânticos, que permitem o desenvolvimento de "computadores naturais", diferentes das estruturas desenvolvidas em silício. O estudo de comportamentos, padrões e processos naturais e biológicos é a proposta da Simulação de eventos naturais. Esta linha de pesquisa propõe o estudo da natureza no computador, que dentre os assuntos estão incluídos vida artificial e geometria fractal. Trabalhos como (Flake, 2000) oferecem uma visão sobre o assunto.

22 2.1 Inspiração Biológica 5 Diferente do estudo da natureza no computador, é proposto também o estudo de ferramentas computacionais baseadas em fenômenos naturais, proposta da Computação Bio-inspirada, que é a ferramenta deste trabalho. Neste grupo, são propostas estratégias inspiradas em mecanismos biológicos ou naturais com o objetivo de incluir tais características nos sistemas desenvolvidos para uma determinada tarefa. As abordagens que pertencem à Computação Bio-inspirada são: as Redes Neurais Artificiais; a Computação Evolutiva; a Inteligência de Enxames; e os Sistemas Imunes Artificiais, ferramenta usada neste trabalho. Todos estes possuem a inspiração biológica como característica. Muitas dessas abordagens têm sido utilizadas na otimização de processos, aprendizado de máquina, dentre outras aplicações. Essas abordagens podem ser representadas pela Figura 2.2. Figura 2.2: Áreas da computação bioinspirada A influência da biologia nos sistemas de inteligência computacional se deve às características em comum entre os elementos biológicos e os sistemas designados para cumprir os objetivos descritos, tais como: memória; organização; aprendizado; reconhecimento; adaptação; robustez; tolerância e diversidade, características consideradas importantes nos sistemas analisados, dependendo dos objetivos desejados. Algumas destas características estão presentes nos sistemas imunes biológicos e muitas delas tornaram-se a motivação da existência dos sistemas imunes artificiais, principalmente sua função de defesa, útil para muitos sistemas computacionais que requerem recursos que provêem segurança. Esses sistemas computacionais, no entanto, não possuem necessariamente todas as características do sistema biológico referente. Por questões de praticidade, algumas características podem ser

23 2.2 Fundamentos do sistema imune biológico 6 omitidas na implementação. Além disso, a Computação Natural não busca imitar a biologia, mas busca a inspiração nela para gerar sistemas capazes de realizar uma determinada tarefa com base nas características do fenômeno biológico apresentado. 2.2 Fundamentos do sistema imune biológico Conceitos biológicos básicos Os sistemas imunes biológicos provêem defesas contra diversas doenças causadas por organismos invasores a um animal. Para isso são identificados agentes causadores de doenças através de antígenos, que são pequenas partes destes agentes. Alguns exemplos de patógenos são exemplificados na Figura 2.3. Após o reconhecimento dos patógenos através dos antígenos, o sistema imunológico o elimina para que a integridade do organismo seja mantida. Essa visão, porém, é controversa para alguns pesquisadores da área de imunologia, que consideram o sistema imune como um mecanismo de identificação do organismo, mantendo a integridade física e a homeostase (de Castro, 2001). No entanto, o sistema imune é extremamente complexo, sofisticado e desenvolvido, podendo reconhecer uma grande quantidade de patógenos e é capaz de produzir secreções ou células que os identificam e os eliminam do organismo ou neutralizam sua ação, dependendo do agente invasor, da forma de invasão e dos danos ocasionados ao organismo. Um patógeno pode atacar o corpo humano em diversas localidades, que possuem um nível de defesa definido. O Sistema imune é um dos três niveis do mecanismo de defesa do corpo humano. Os outros dois são: nível físico e nível bioquímico. E pode ser dividido em duas partes: sistema inato (ou natural) e sistema adaptativo (ou adquirido). A Figura 2.4 modela a defesa do corpo humano e suas camadas. O sistema inato ou natural é composto por macrófagos, as células dendríticas e células NK (Natural Killer), que estão imediatamente disponíveis para responder a alguns tipos de patógenos. Por outro lado, o sistema adaptativo é capaz de identificar inclusive alguns antígenos nunca encontrados antes. O sistema adaptativo ou adquirido é composto pelos linfócitos B, gerados na medula óssea, e os linfócitos T, desenvolvidos no timo. As células B são capazes de secretar anticorpos, proteínas que se ligam aos antígenos, marcando-os para eliminação, enquanto que as células T regulam e estimulam as respostas imunes, além de eliminar células do corpo infectadas. As células T se dividem em células T auxiliares (T h ) e células T citotóxicas (T c ), as células Th produzem citocinas ao reconhecer o complexo antígeno e MHC (complexo de histocompatibilidade principal) classe II e as células Tc desenvolvem linfócitos citotóxicos T (CTL) para eliminar agentes infecciosos, tais como vírus, tumores ou células infectadas. Para o reconhecimento e ativação do sistema imune, as APCs (células apresentadoras de antíge-

24 2.2 Fundamentos do sistema imune biológico 7 Figura 2.3: Exemplos de agentes causadores de doenças, que podem ser identificados pelo sistema imune biológico. (autor desconhecido, 2009d) Figura 2.4: Camadas do sistema imune humano (de Castro, 2001)

25 2.2 Fundamentos do sistema imune biológico 8 nos), circulam pelo corpo com o objetivo de digerir os antígenos encontrados, fragmentando-os de forma que estes possam se ligar a moléculas MHC, formando complexos. As células T reconhecem este complexo e se dividem secretando linfocinas, que são sinais químicos que mobilizam outros componentes do sistema imune. As células B reconhecem partes solúveis dos antígenos sem as moléculas de MHC. Existem duas classes de moléculas de MHC encontradas em células: MHC I e MHC II. O primeiro tipo é apresentado por qualquer célula e quando reconhecido, é desenvolvido o linfócito CTL que elimina células infectadas, enquanto que o segundo é apresentado apenas por células B e quando reconhecido, são produzidas citocinas, estimulando a proliferação das células B e T. As células B se diferenciam em plasmócitos, secretando anticorpos em altas taxas. Os antígenos se ligam aos anticorpos e neutralizam o patógeno, que é eliminado pelo organismo pelo sistema complemento ou por fagócitos. Algumas células B e T se transformam em células de memória, de forma a garantir uma resposta rápida caso o antígeno volte a aparecer no organismo. Enquanto nem todos os patógenos podem ser reconhecidos pelo sistema imune inato, os mais específicos podem ser reconhecidos apenas pelo sistema adaptativo. A resposta imune inata permanece constante em um indivíduo durante seu ciclo de vida, independente de sua exposição ao antígeno, e a resposta adaptativa, na qual ocorre a produção de anticorpos, adapta-se aos antígenos produzindo anticorpos específicos a um determinado agente infeccioso. O sistema adaptativo também mantem uma memória dos patógenos reconhecidos no caso do surgimento de uma nova infecção ou de uma infecção similar no futuro, para a eliminação da mesma. O sistema imune adaptativo, segundo (Hanegraaff, 2001), possui quatro importantes propriedades: especificidade antigênica; diversidade molecular; memória e distinção de padrões normais do organismo (o próprio ou self ) dos outros padrões (não-próprio ou nonself ), sendo esta última uma hipótese, aceita por grande parte dos imunologistas. Embora as funções e componentes do sistema imunológico sejam conhecidos, o real funcionamento da resposta adaptativa é ainda tema de pesquisas na área da imunologia, e muitas teorias foram formuladas com o objetivo de explicar como funciona o mecanismo de defesa imune do organismo, devido à sua complexidade Teorias formuladas Ao longo do tempo, muitas pesquisas tentaram explicar o funcionamento do sistema imunológico humano. As principais teorias existentes são: seleção clonal; seleção negativa e a rede imunológica. Existe também a teoria do perigo, formulada recentemente, que mostra o sistema imune como um mecanismo de defesa contra danos causados por patógenos. As primeiras teorias se baseiam na distinção do próprio e do não-próprio, como a seleção negativa, estudada em (Percus et al., 1993). A teoria da seleção negativa, sugere um processo onde um linfócito que reconheça padrões pertencentes ao organismo é eliminado e outro que não reconheça esses padrões fica livre para circular no

26 2.2 Fundamentos do sistema imune biológico 9 organismo, durante a etapa de desenvolvimento. De acordo com essa teoria, esse processo permitiria que o sistema imune diferenciasse os padrões próprios dos não-próprios. No timo, antes da seleção negativa, ocorre também um processo denominado seleção positiva, onde as células T que reconhecem antígenos associados ao MHC próprio podem amadurecer, ou seja, o processo visa ao reconhecimento de antígenos estranhos pelos linfócitos T no contato com moléculas MHC próprio. Os processos citados são ilustrados na Figura 2.5. Figura 2.5: Ilustração dos processos de seleção positiva e seleção negativa das células T no Timo A seleção negativa, mais tarde, foi extendida em (Burnet, 1959), e a teoria proposta foi batizada de seleção clonal, em referência ao comportamento das células B. Essa teoria explica que na resposta imunológica de um organismo, os linfócitos B e T são capazes de reconhecer o antígeno e através desse reconhecimento, a célula B se divide dando origem a clones. Alguns desses clones se diferenciam em plasmócitos, que secretam anticorpos para combater a infecção, e em células de memória, que são capazes de sobreviver durante longos períodos de tempo, permitindo uma resposta mais rápida ao mesmo antígeno, caso este seja encontrado novamente. A Figura 2.6 ilustra como a seleção clonal funciona. Mais tarde, uma teoria similar à da seleção clonal foi proposta em (Jerne, 1974) sugerindo que as células e moléculas de um sistema imune se reconhecem mesmo na ausência de um antígeno. Essa teoria é conhecida como a Rede Imune ou Rede Idiotípica. Nessa teoria, o sistema é uma rede dinâmica que interage com antígenos estranhos e as células possuem regiões conhecidas como idiotopos, permitindo o reconhecimento de células e moléculas por outras células, como mostra a Figura 2.7. O idiotopo é reconhecido por um paratopo de outra

27 2.2 Fundamentos do sistema imune biológico 10 Figura 2.6: Ilustração da seleção clonal. baseado em (Qiu, 2009) célula imune. Figura 2.7: Ilustração de anticorpos se interagindo em uma rede imune. (Fix, 2009) As teorias acima relatam a dinâmica do sistema imune adaptativo. As teorias seguintes explicam a interação entre o sistema imune inato e o adaptativo. Para explicar a ativação imune, existe a teoria da Dupla Sinalização, que supõe a existência de dois sinais para a ativação dos linfócitos, segundo (Baxter and Hodgkin, 2002), com o antígeno funcionando como o primeiro sinal. O segundo sinal pode vir de uma célula estimuladora, do MHC, ou das células T, sendo que neste último caso, a célula ativada é sempre a célula B. A teoria ou modelo do perigo, segundo o artigo, pode extender esta característica, considerando o segundo sinal necessário para a ativação ou eliminação do linfócito no organismo. O modelo do Perigo (Matzinger, 1994) propõe uma teoria diferente da distinção do próprio e do não próprio, onde as células que apresentam antígenos (APC) são ativadas por células que estão sofrendo danos. Os danos funcionam como alarmes ao organismo, de forma a ativar as APC através das células expostas a agentes nocivos ao organismo, como conseqüência do dano à célula. Nesse

28 2.3 Sistemas imunes artificiais 11 caso, o sistema imune estaria reagindo contra uma detecção de perigo, em vez de reagir contra padrões desconhecidos ao organismo. O perigo neste modelo é o principal fator para a atividade do sistema imune. Neste modelo, são requeridos os dois sinais para a ativação do linfócito. Se este receber apenas o sinal 1 (sinal do antígeno), este é eliminado. Caso o sinal recebido seja apenas o 2 (sinal das APC para o linfócito T, ou deste último para o linfócito B), nada acontece. Isso pode ser exemplificado na Figura 2.8. Figura 2.8: Ativação da resposta imune segundo a teoria do perigo, ilustração baseada em (Cayzer and Aickelin, 2002) As teorias sobre o funcionamento dos sistemas imunes biológicos tentam explicar como este realmente se comporta, o que ainda é um desafio para a biologia. No entanto, em sistemas imunes artificiais, muitas destas teorias podem ser usadas na implementação de sistemas, com base nas características do problema abordado. O estudo das teorias dos sistemas imunes gera muitas possibilidades de abordagens de problemas em sistemas com características adaptativas ou inteligentes. 2.3 Sistemas imunes artificiais Os sistemas imunes (ou imunológicos) artificiais, que podem ser chamados também sistemas imuno-inspirados ou sistemas de computação imunológica, são um conjunto de sistemas inspirados no sistema imune biológico, que podem ser aplicados a diversas áreas, como reconhecimento de

29 2.3 Sistemas imunes artificiais 12 padrões, otimização de problemas, detecção de anomalias, aprendizado de máquina, robótica, modelagem computacional, dentre outras aplicações Revisão da literatura em SIA O estudo dos sistemas imunes artificiais tem crescido nos últimos anos de acordo com Timmis, que realizou em (Timmis, 2007) um levantamento dos trabalhos mais importantes e descreveu a consolidação da linha de pesquisa e seus desafios atuais. Observando o aspecto da evolução dos estudos realizados em sistemas imunes artificiais, foi constatado também que muitos trabalhos estão enfocados no mecanismo de aprendizado e de memória no sistema imune (seleção clonal) e na seleção de detectores para identificação de anomalias (seleção negativa). Neste trabalho, abordaremos algumas pesquisas relevantes sobre sistemas imunes artificiais. O trabalho em (Forrest et al., 1994) é um dos trabalhos pioneiros ao abordar a similaridade entre o sistema humano e o modelo de detecção de vírus e violações em computadores. Este trabalho usa o princípio da distinção do Próprio/Não-Próprio com um conjunto de detectores e métodos probabilísticos de detecção. Assim, os detectores são gerados e os dados são monitorados para detectar as anomalias através da comparação de dados. Pouco depois, em (Somayaji et al., 1997) é detalhado como um sistema adaptativo deve funcionar baseando-se no sistema imune adaptativo e tecendo metáforas baseadas em comparações do sistema biológico com os sistemas computacionais que implementam características de segurança. Os aspectos computacionais do sistema imune são definidos em (Dasgupta, 1998) e a partir destes, definiu quais aplicações podem ser modeladas e aplicadas através de fenômenos ocorridos nos sistemas imunes. O trabalho define também um modelo pioneiro de detecção de intrusos usando características dos sistemas imunológicos. Até então, a linha de pesquisa ainda era pouco conhecida. O uso de sistemas imunes ganhou notoriedade com o trabalho realizado em (de Castro, 2001, 2002) propôs um arcabouço teórico para formalizar a geração das ferramentas que são implementadas usando os princípios do sistema imunológico. Esse arcabouço é denominado Engenharia Imunológica e reúne técnicas inspiradas no funcionamento de alguns componentes do sistema imune e também nas teorias propostas. Além do arcabouço teórico, quatro ferramentas imunoinspiradas foram propostas: SAND; CLONALG; ABNET e ainet. Destes quatro, dois deles ganharam popularidade na literatura. Em (de Castro and Von Zuben, 2002), o CLONALG é apresentado, uma das quatro ferramentas. O algoritmo é baseado na teoria da seleção clonal, definindo duas aplicações principais: reconhecimento de padrões e otimização. O CLONALG possui um caráter evolucionário, a medida que os anticorpos são gerados, melhores soluções são geradas ou reconhecimento do antígeno (Padrão a ser reconhecido) ou gerando o melhor anticorpo (Solução otimizada do problema). Em (de Castro and Von Zuben, 2001), de Castro apresenta o ainet, um algoritmo de classificação e clusterização baseado na teoria da rede imune. O ainet foi proposto com as idéias da metadinâmica da rede, o mecanismo de seleção clonal e

30 2.3 Sistemas imunes artificiais 13 a supressão das soluções similares. De acordo com (de Castro, 2001), o CLONALG e o ainet, são duas das quatro soluções apresentadas como ferramentas de engenharia imunológica. Em (de Castro and Timmis, 2002), foi demonstrado que o ainet também pode resolver problemas de otimização multimodal. Esses trabalhos demonstram as vantagens e resultados obtidos com as ferramentas imunoinspiradas. As teorias desses sistemas imunes, assim como alguns fundamentos e conceitos, foram apresentados em (Bachmayer, 2008). O trabalho também apresenta uma definição de como funcionam os SIAs baseados no Modelo do Perigo, incluindo as aplicações para cada teoria estudada. Em (Cayzer and Aickelin, 2002), o modelo do perigo é comparado às demais teorias na implementação dos SIAs e as aplicações possíveis para sistemas baseados no modelo do perigo, principalmente em detecção de anomalias. Diferentemente de outras abordagens, o modelo do perigo, segundo os autores, provêm idéias de como os SIAs devem representar e tratar os dados. Um levantamento dos estudos mais importantes em cada teoria estudada foi feito em (Dasgupta, 2006), comparando com outros métodos e apontando as aplicações e os detalhes destas conforme a inspiração biológica. Os trabalhos realizados sobre SIA em detecção de intrusão em redes de computadores serão apresentados no Capítulo 4, uma vez definido o problema que será abordado neste trabalho. Nas seções seguintes, serão apresentados mais detalhes sobre a definição de modelos para a construção dos sistemas imunoinspirados e sobre o modelo do perigo em imunologia computacional Formalização da Engenharia Imunológica De acordo com (de Castro, 2001, 2002), um sistema de engenharia pode ser definido formalmente através de um arcabouço teórico denominado Engenharia Imunológica (EI), que poderá definir a ferramenta de solução de problemas baseando-se em suas características e aplicando a ferramenta na obtenção da solução desejada. O objetivo da Engenharia Imunológica não é a representação fiel do sistema imune, mas sim desenvolver modelos que preservem as propriedades essenciais do sistema imune conforme a aplicação, tais como: a modelagem matemática dos linfócitos B e T e dos antígenos; expressões de afinidade entre anticorpo e antígeno; o espaço de formas representando ligações celulares e moleculares; algoritmo de medula óssea gerador de dados; algoritmos de seleção negativa; seleção clonal, entre outros. Essas ferramentas de EI, de acordo com (de Castro, 2001) são mais apropriadas para problemas de aprendizado de máquina, otimização, agrupamento de dados e classificação, cujos dados são matematicamente definidos e operam geralmente apenas com o linfócito B, apesar do linfócito T ser definido matematicamente no trabalho. Analisando no ponto de vista biológico, os componentes dos linfócitos são os anticorpos e não há distinção entre estes e os receptores antigênicos. Esse estudo define também como podem ser modelados os componentes do sistema imune, como

31 2.3 Sistemas imunes artificiais 14 a medula óssea, a hipermutação somática, representações de moléculas para cada problema de engenharia, o reconhecimento de padrões pela distância de Hamming, entre outros. Além disso, sugere como esses componentes podem se aplicar em diversos problemas de engenharia. Ilustrações sugestivas são mostradas na Figura 2.9. Figura 2.9: Ilustrações dos processos analisados na Engenharia Imunológica: (1) espaço de formas; (2) hipermutação somática; (3) base de dados baseada na Medula Óssea; (4) afinidade por similaridade em espaços euclideanos; e (5) representação de ligação antígeno-anticorpo por aproximação de afinidade. (de Castro, 2001) O desenvolvimento da EI, assim como a formulação das ferramentas, podem ser considerados como uma grande contribuição no desenvolvimento dos algoritmos baseados no sistemas imunes, impulsionando e conduzindo a pesquisa a outros rumos. O estudo e desenvolvimento dos algoritmos baseados na teoria do perigo constituem em um dos mais novos rumos na pesquisa sobre sistemas imuno-inspirados, esse fato será discutido na próxima seção.

32 2.3 Sistemas imunes artificiais Sistemas baseados no modelo do perigo A teoria do perigo, introduzida na seção 1.1.2, afirma que o sistema imune biológico realizará a defesa do organismo enquanto houver uma situação de perigo, onde algumas células estão sendo atacadas por patógenos. Neste caso, o reconhecimento de padrões benignos ou malignos aos organismos proposto nas demais teorias, principalmente a da seleção negativa, daria lugar à detecção e posterior eliminação do perigo. Como as pesquisas sobre o assunto são mais recentes, os sistemas imunes artificiais baseados nessa teoria surgiram depois. Um dos artigos pioneiros nesta abordagem é (Cayzer and Aickelin, 2002). O artigo enfatiza que a definição de padrões próprios e não-próprios é problemática e o modelo de seleção negativa possui falhas e maiores chances de falsos positivos e falsos negativos. O modelo do perigo proposto no trabalho foi modelado principalmente para detecção de falhas, no entanto, também pode ser usado em classificação de informações ocultas (data mining, por exemplo). O artigo em questão ainda compara o modelo do perigo com a imunologia clássica, de acordo com (Matzinger, 1994), levando em conta a reação imune contra bactérias, processos de auto-reação do sistema imune, mudanças no sistema imune humano e concluindo que o perigo é o fator principal para a resposta do sistema imune, pois responde a muitos problemas, como por exemplo: doenças auto-imunes; existência de bactérias externas ao organismo que não são eliminadas; etc. O modelo do perigo considera a distinção de padrões self/nonself útil, porém não essencial, confrontando a teoria da seleção negativa. Suas falhas ocorrem, segundo (Dasgupta, 2006), por causa dos falsos positivos, das regiões em comum entre padrões benignos e malignos e devido à variação dos padrões benignos, tornando o sistema impreciso ou auto-reativo. Segundo o artigo, o problema de detecção de anomalias requer a especificação de sinais de perigo, proximidades física ou de similaridades, presença ou não de sinais. O estudo ainda conclui que a teoria do perigo provê idéias sobre quais dados o sistema deve representar e com quais este deve tratar. Uma abordagem baseada nos sinais de perigo foi proposta em (Greensmith et al., 2006; Greensmith, 2007). Este algoritmo é baseado nas células dendríticas e foi aplicado à segurança em redes de computadores. O algoritmo foi desenvolvido em um ambiente API (interface para programação de aplicações) denominado libtissue, proposto em (Twycross and Aickelin, 2006b), e que permite a análise de algoritmos de SIA em aplicações através do conceito de tecidos biológicos. Este algoritmo consiste em representar a ação das células dendríticas como emissores de sinais de perigo às células T. Em (Greensmith et al., 2006), é mostrada a aplicação do algoritmo para o problema de detecção de anomalias. A aplicação testada em (Greensmith, 2007) foi o problema do uso indevido de uma ferramenta que consiste em descobrir IPs de rede ativos, processo conhecido como Ping Scan, que é usado antes de se realizar uma atividade de invasão em uma rede de computadores. O algoritmo de células dendríticas funciona da seguinte forma: em termos computacionais, a célula realiza uma fusão de dados multi-sensores baseando-se em janelas de tempo; e o conjunto de células correlaciona os sinais e os antígenos, emitindo dados sobre o grau de anomalia de cada antígeno. Este algoritmo será mostrado nos capítulos seguintes, como ferramenta principal do trabalho.

33 Capítulo 3 Detecção de Intrusos em Redes O medo do perigo é mil vezes pior do que o perigo real. Daniel Defoe 3.1 Introdução Uma rede de computadores, definida em (Tanenbaum, 2003), é um conjunto de computadores interligados com o objetivo de prover comunicação entre os usuários de acordo com seus interesses. Um exemplo de rede de computadores é a Internet, onde um computador, quando conectado a essa rede, dispõe de uma conexão entre diversas fontes de informação, que consiste em servidores conectados à rede. O crescimento constante da Internet propiciou o surgimento de novas formas de uso dos sistemas de informação, com inúmeras possibilidades e oportunidades de utilização, com seus diversos tipos de diversos serviços, tecnologias e funcionalidades. Estão incluídas algumas ferramentas da Internet como correio eletrônico ( ); serviços de mensagem instantânea (Instant Messengers); serviços de compartilhamento de arquivos; serviços de voz sobre IP (VoIP); conferências virtuais através de texto, voz ou vídeo, serviços de comércio eletrônico (e-commerce), e outras ferramentas que torna a Internet prática e popular. O ambiente de utilização da Internet e as ferramentas citadas acima é conhecido como WAN (Wide Area Network), pois atende a diversos usuários de computadores mundialmente. Além disso, a Internet é considerado um conjunto de redes de computadores conectadas em todo o mundo. Os ambientes de rede de computadores podem ser descritos abaixo, levando em conta a forma como as mesmas são planejadas. 16

34 3.2 Segurança em redes de computadores 17 LAN (Local Area Network) - Uma rede de computadores local desenvolvida para atender a uma localidade, como uma empresa, por exemplo. MAN (Metropolitan Area Network) - Uma rede de computadores desenvolvida para atender a uma parcela de usuários correspondente a uma cidade. WAN - Uma rede de computadores desenvolvida para atender a vários usuários em lugares geograficamente distintos. No entanto, o planejamento de uma rede de computadores, como o de qualquer ambiente de comunicação, envolve uma questão importante: segurança. A rede de computadores é suscetível aos riscos e chances de ataques maliciosos, violando autenticidade, privacidade, integridade, estabilidade e em alguns casos o sigilo de informações valiosas, dentre outras características. Um sistema de rede de computadores deve prover confidencialidade, integridade e robustez a ataques de negação de serviços. Entretanto, conforme surgem muitas aplicações financeiras da Internet e a conectividade cresce, as chances de ocorrência de intrusões aumentam significantemente. As tentativas de subversão tentam explorar falhas do sistema operacional como também de programas aplicativos específicos, objetivando comprometer a segurança do sistema. A segurança de uma rede de computadores é uma questão valiosa para atributos como a preservação de dados, integridade dos usuários e estabilidade do sistema. Para garantir esses atributos e proteger a rede de possíveis ataques, são usadas muitas ferramentas, como: firewall, ilustrado na Figura 3.1; detectores de malwares; entre outras. Porém, muitas dessas ferramentas protegem parcialmente o sistema ou restringem a liberdade e flexibilidade de utilização de recursos. Figura 3.1: Ilustração de uma rede de computadores protegida por firewall, ferramenta usada para segurança de informações na rede (autor desconhecido, 2009b) 3.2 Segurança em redes de computadores Segurança é um tópico de fundamental importância em redes de computadores, considerando que, assim como as tecnologias de rede, os ataques aos sistemas tornam-se mais sofisticados.

35 3.2 Segurança em redes de computadores 18 De acordo com (cert.br, 2009), a preocupação com a segurança é essencial, pois os computadores podem ser usados para transações financeiras, de comunicação e armazenamento de dados, por exemplo, e sempre existe uma chance de tais ataques que podem ocasionar em: roubos de informações sigilosas como senhas e números de cartões de crédito ou débito; acesso não autorizado à Internet; propagação de vírus; disseminação de falsas mensagens; vandalismo; acesso remoto para ocultar a identidade do invasor ou lançar ataques contra outros computadores. Muitas dessas operações realizadas em rede, principalmente na Internet, são transações de comércio eletrônico ou de pagamento eletrônico, acesso bancário ou qualquer outra operação comercial, financeira ou confidencial, e com a possibilidade de ocorrência dos eventos de intrusão, estas podem ser prejudicadas. É necessário, para a minimização desses ataques, prover ferramentas de proteção para as redes de computadores. O ideal é construir ferramentas que promovam uma proteção eficaz contra invasões e, ao mesmo tempo, não interfira na utilização do sistema. Essas ferramentas de proteção são estudadas na área de estudo denominada Detecção de Intrusão. Os Sistemas Detectores de Intrusos (Intrusion Detection Systems - IDS) monitoram eventos que ocorrem em um sistema ou rede de computadores e os analisa em termos de possíveis incidentes, que correspondem a violações ou ameaças iminentes às políticas de segurança ou de uso. (Scarfone and Mell, 2007) Um IDS pode servir basicamente para prover informações sobre uma rede, tais como: número de tentativas de ataque; tipo de ataque usado; origem dos ataques. O sistema, a princípio, não utiliza medidas preventivas, quando um ataque é descoberto age como um informante. Uma das maneiras mais comuns para descobrir ataques é através de dados das auditorias gerados pelos sistemas operacionais e ordenados pelo tempo em que o ataque ocorreu, para que estes registros sejam analisados manualmente por especialistas. No entanto, essa prática não é considerada eficiente, devido ao tamanho destes arquivos de logs. Cabe ao IDS automatizar essa tarefa e descobrir uma atividade sem autorização, detectando a extensão dos danos. É a partir dele que o administrador vai tomar conhecimento do que realmente se passa na rede e tomar as decisões para solucionar qualquer problema. (autor desconhecido, 2009e)

36 3.3 Necessidades de um detector de intrusos Necessidades de um detector de intrusos De acordo com (Frank, 1999), intruso é aquele usuário, mal-intencionado, que realiza acessos ao sistema caracterizados, de acordo com (Mukherjee et al., 1994), como usos não autorizados, usos indevidos e abusos de sistemas. Todos esses eventos, assim como invasões de sistemas são eventos caracterizados como intrusão. O IDS monitora o sistema em busca dos incidentes de intrusão. Segundo (Debar, 2000), um IDS é caracterizado pelo sistema de informação monitorado, que pode ser uma estação de trabalho, um elemento de rede, um servidor, um mainframe, um firewall, etc. Os incidentes de intrusão possuem diversas causas, como malwares (vírus, spyware), acesso não autorizado a um sistema, ganho de privilégios adicionais de forma ilícita, etc. Um evento caracterizado como intrusão viola características de segurança como confidencialidade, precisão, confiabilidade, integridade, disponibilidade e não repúdio da transferência de informações (Patrício et al., 2006). Como nem sempre é possível prevenir tais eventos, é desejável reduzir a ocorrência dos mesmos através de sua detecção. Detectar os eventos e informar ao usuário a ocorrência dos mesmos em tempo real é um dos objetivos dos sistemas de detecção de intrusos. No entanto, este problema implica em desafios por causa do crescimento constante da conectividade dos sistemas de computação e sua grande acessibilidade, permitindo facilmente um acesso indevido por um invasor. A Figura 3.2 ilustra um esquema de prevenção de ataques. Nem sempre a detecção de eventos intrusivos pode ser considerada perfeita, uma vez que o conceito de intrusão inclui ações e características humanas e por isso, chega a ser bastante filosófico. As formas tradicionais de identificação de intrusões podem ser consideradas problemáticas, principalmente porque os padrões de intrusão existentes anteriormente podem mudar com o passar dos tempos. Além da mudança de padrões, características anteriormente não intrusivas podem futuramente corresponder a novos padrões intrusivos ou serem exploradas para gerar novas formas de intrusão. Proporcionalmente, surgem ataques mais avançados a partir de princípios como a exploração de vulnerabilidades em sistemas. Partindo deste princípio, é necessário que um sistema de detecção de intrusos seja capaz de detectar uma intrusão, por mais avançada que seja a técnica. Em (Frank and Mda-c, 1994), é proposto que um IDS seja capaz de se adaptar a novas técnicas de intrusão e as técnicas de inteligência computacional são as mais adequadas para essa tarefa. A detecção de novos ataques será discutida mais adiante. Na próxima seção, serão discutidos como um IDS funciona.

37 3.3 Necessidades de um detector de intrusos 20 Figura 3.2: Ilustração de como os ataques podem ser realizados (a) e impedidos (b) em uma rede de computadores, baseada em (autor desconhecido, 2009c).

38 3.4 Características de um IDS Características de um IDS De acordo com (Lazarevic et al., 2005), um sistema de detecção de intrusos pode ser definido como uma combinação de componentes de software e/ou hardware que monitoram o sistema e emitem um alarme na ocorrência de um ataque, após a classificação de um evento. As rotinas de classificação de ataques e intrusões em redes de computadores têm sido realizadas de acordo com taxonomias formalmente desenvolvidas e com certos conjuntos de propriedades. Mais tarde, tais taxonomias foram agrupadas em: mau uso ou ataque do computador e tentativa de acesso não autorizado. De certa forma, um sistema de detecção de intrusos deve monitorar o sistema contra esses grupos de ataques de acordo com as políticas de segurança e verificando o estado do sistema emitindo um alarme a cada ocorrência de um possível ataque da forma mais eficaz possível, ou seja, o sistema não pode ser enganado com facilidade. Quando um IDS é desenvolvido adequadamente, segundo (McHugh et al., 2000), este consegue prover alertas indicando que um sistema está sendo atacado, mesmo este não sendo vulnerável a um ataque específico. Esses alertas podem ajudar os usuários na resistência a ataques e um IDS pode confirmar uma configuração segura e a operação de outros mecanismos de segurança. Ao mesmo tempo, este sistema deve reconhecer os próprios padrões, evitando auto-ataques e sendo resistente a subversões, evitando assim que uma atividade do sistema seja reconhecida como um ataque. Essa característica será explicada mais adiante. Os IDS podem ser caracterizados através da estrutura do sistema, estudo de fenômenos observados e abordagens de detecções. Basicamente, segundo (Verwoerd and Hunt, 2002), eles são compostos por: sensores - são responsáveis pelas análises de tráfego da rede, arquivos de registro ou do comportamento do sistema e traduzem os dados em eventos usados pelos monitores de alto nível, os motores; monitores - unidade principal de processamento do sistema que recebe dos sensores os eventos, correlacionados com o modelo de comportamento do sistema, produzindo alterações e alertas; alerta - indica uma ocorrência relevante à segurança do sistema e é repassado a um monitor de alto nível; motor - recebem dos monitores os alertas de eventos suspeitos e determina a resposta mais apropriada, através do mecanismo de decisão ou regras. Um modelo de IDS pode ser representado pela Figura 3.3. Algumas arquiteturas de IDS não distinguem essas divisões, tais componentes formam uma unidade ou são divididos em meio a processos e ferramentas (Verwoerd and Hunt, 2002). Os IDSs podem também ser divididos em HIDS (Host-based Intrusion Detection System) e NIDS (Network-based Intrusion Detection System), de acordo com a localização do mesmo. O primeiro faz

39 3.5 Características de ataques 22 Figura 3.3: Arquitetura de um IDS, baseada em (autor desconhecido, 2009a) a análise de uma máquina específica, o segundo analisa toda a rede de computadores e é utilizado em pontos estratégicos da mesma. Essas classificações podem ser analisadas profundamente em (Mukherjee et al., 1994). De acordo com (Innella, 2001), os HIDSs funcionam através de registros de auditoria e de arquivos, enquanto que os NIDSs funcionam como analisadores de pacotes, de forma parecida com um sniffer, cujo objetivo é registrar a entrada e a saída de pacotes da rede. Na próxima seção, serão discutidos como são realizados os ataques. 3.5 Características de ataques Todo sistema está sujeito a vulnerabilidades. Dessa forma, os ataques podem ocorrer em quaisquer circunstâncias, por mais que estes sejam considerados seguros. Logo, a descoberta da ocorrência de um ataque pelo IDS deve ocorrer de preferência em tempo real, informando ao administrador da rede a ocorrência desta o mais cedo possível. Podemos descrever alguns tipos de intrusões conhecidos: exploração de vulnerabilidades; ataques mascarados; invasão do sistema de controle de segurança; varredura da rede para realizar ataques; violação de conteúdo; ataques de negação de serviço; uso indevido de um sistema.