Inteligência Artificial Aplicada a Detecção de. Faculdade SENAC DF Pós-Graduação em Segurança da Informação. Intrusão: Uma Abordagem de Software

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Autores Leonardo Augusto Rodrigues Edilberto M. Silva Brasília-DF 2012 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software RESUMO Ataques aos sistemas de computadores estão tornando-se mais variados e complexos, assim como os vírus. Cada dia que se passa, com a introdução de novas funcionalidades, defender um sistema das ameaças é um objetivo cada vez mais difícil de ser atingido. A inteligência artificial surgiu para participar desta batalha. Existem ferramentas de monitoramento e proteção de rede baseadas em IA capazes de aprender. Esta técnica pode ser encontrada nos sistemas de detecção e prevenção de intrusão, nos antivírus e em outras soluções. Neste artigo são abordados temas cruciais para o entendimento da IA relacionada e sua aplicação na segurança da informação, contextualizando a inteligência artificial, softwares de segurança, IDS/IPS, antivírus e agentes móveis, todos explorados do ponto de vista técnico da IA. Ao fim é realizado um ataque direcionado a um sistema de detecção de intrusão para fins de demonstração. Palavras-Chave: inteligência artificial; IA; segurança informação; IDS; IPS; antivírus. Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título tulo de Especialista em Segurança a da Informação. Ficha Catalográfica Rodrigues, Leonardo Augusto. Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software / Leonardo Augusto Rodrigues. Brasília : Faculdade Senac-DF, f. : il. Orientador: Edilberto M. Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, inteligência artificial. 2. IA 3. segurança da informação. 4. IDS. 5. IPS 6. antivírus. ABSTRACT Attacks on computer systems are becoming more varied and complex, as well as viruses. As time goes by, with the introduction of new features, to defend a system of threats is an increasingly difficult goal to achieve. Artificial intelligence has emerged to join this battle. There are tools for monitoring and network protection based on AI capable of learning. This technique can be found in detection systems and intrusion prevention, antivirus and the other solutions. This article addresses crucial issues to understand the related AI and its application in information security, contextualizing artificial intelligence, software security, IDS/IPS, antivirus and mobile agents, are all explored from technical point of view of AI. After It conducted a targeted attack ack at an intrusion detection system for demonstration purposes. Keywords : artificial intelligence; AI; information security; IDS; IPS; antivirus.

2 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 2 1 INTRODUÇÃO Vários processos críticos deixaram de funcionar por meio de papéis e documentos com o aparecimento da digitalização. As instituições financeiras são um grande exemplo. Um ataque bem sucedido em um ambiente digitalizado é facilmente convertido em danos financeiros para a organização. A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização [52]. Com o desenvolvimento de novas funcionalidades, fica cada vez mais difícil identificar e eliminar as vulnerabilidades de um sistema computacional. Uma empresa está sempre vulnerável a muitas ameaças de segurança, não importa se ela tenha poucos ou muitos funcionários, e não existe uma fórmula mágica para impedir que elas atinjam os seus negócios [9]. Na tentativa de tornar as redes mais seguras, diversos softwares de segurança foram desenvolvidos. Dentre eles, podemos citar os sistemas de detecção e prevenção de invasão ou Intrusion Detection System e Intrusion Prevention System, antivírus, firewall e técnicas de criptografia. A inteligência artificial está presente em alguns destes softwares, incluindo uma solução inovadora chamada agente móvel, auxiliando na detecção de ataques e agentes maliciosos. Atualmente é possível encontrar algumas técnicas para digitalização da inteligência, como por exemplo, redes neurais artificiais, sistemas especialistas, lógica de conjuntos difusos, árvores de decisão e outros. No estudo de caso tem-se o OSSIM - Open Source Security Information Management que é um open source SIEM contendo diversas técnicas de IA atuando na detecção anômala [1]. Será criada uma rede ponto a ponto por meio da virtualização e um ataque será feito para fins de demonstração.

3 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 3 2 TÉCNICAS E FERRAMENTAS DE SEGURANÇA DA INFORMAÇÃO 2.1 O que é IPS e IDS? Segundo [37], o sistema de detecção de intrusão é uma ferramenta que tem por objetivo identificar, registrar e alarmar incidentes de segurança em uma rede de computadores em tempo real. Já o sistema de prevenção de intrusão, seguindo o raciocínio de [11], possui a capacidade de tomar alguma ação para bloquear ou prevenir o incidente no momento da sua ocorrência. De acordo com [44], uma ferramenta IDS: Serve basicamente para nos trazer informações como: Quantas tentativas de ataques sofremos por dia; Qual tipo de ataque foi usado; Qual a origem dos ataques; Enfim, a partir dele, você vai tomar conhecimento do que realmente se passa em sua rede e em casos extremos, poderá tomar as medidas cabíveis para tentar solucionar qualquer problema Tipos de IDS no sistema. Os IDS podem variar em três tipos que estão relacionados com a localização NIDS NIDS, ou Network-Based Intrusion Detection System, opera em um segmento de rede avaliando o tráfego presente. O NIDS pode ser instalado, segundo [33], das seguintes formas: O NIDS pode ser instalado no modo inline ou no modo passivo. No modo inline, o NIDS é instalado em um ponto que intercepta o fluxo da rede, atuando como um dispositivo de ponte (bridge) e capturando pacotes para detectar uma intrusão. Já no modo passivo, o NIDS é conectado a um switch ou hub que passa cópias dos pacotes da rede para sua análise.

4 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 4 Este tipo de IDS tem a capacidade de detectar quaisquer ataques que gerem informações transitáveis na rede. Para detectar situações específicas nos próprios computadores, pode-se utilizar o tipo de IDS a seguir HIDS Este IDS, diferentemente do modelo NIDS, se localiza em determinada máquina para analisar eventos internos. Ele pode operar unicamente no host ou fazer parte de um sistema centralizado de informações colhidas por cada HIDS. De acordo com [11], este tipo tem a capacidade de analisar eventos que ocorram isoladamente na máquina Híbrido Um IDS híbrido utiliza tanto informações coletadas em segmentos de rede como em hosts. Uma tecnologia baseada em sensores pode ser utilizada para atingir o uso das duas técnicas de coleta. Sensores são robôs ou bots que coletam informações no local instalado Detecção de ataques Um dos objetivos dos sistemas de detecção/prevenção é melhorar a capacidade de detecção de ataques e de agentes maliciosos, assim como reduzir a freqüência dos erros de detecção. Várias técnicas de identificação de ataques são desenvolvidas, inclusive a do espelhamento no sistema imunológico [45][25], porém, é possível dividir os tipos de detecção em duas categorias Erros de detecção Dois erros conhecidos muito importantes são o falso positivo e o falso negativo. Segundo [29][33], falso positivo é quando uma ocorrência não é um ataque, mas é categorizado como tal, desta forma, alarmando os administradores sem necessidade. Já o falso negativo é mais perigoso e ocorre quando o sistema deixa um ataque verdadeiro passar despercebido por que não foi categorizado como tal.

5 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Detecção por assinatura De acordo com [36], a detecção por assinatura se baseia em registros em um banco de dados, contendo uma seqüência de ações que são indícios de ataques. Estas assinaturas podem vir com a instalação do IPS/IDS, mas também podem ser configuradas e atualizadas Detecção por anomalia Segundo [36][41], a detecção por anomalia identifica desvios de comportamento na rede que podem ser categorizados como ataques. Normalmente o sistema passa por uma fase de treinamento para saber distinguir o normal do anormal. Diferentemente da detecção por assinatura, esta técnica tem a vantagem de identificar ataques novos, porém o índice de falsos positivos é maior Detecção híbrida Este tipo utiliza as duas técnicas no processo de detecção. Uma parte baseada em registros e outra na aprendizagem e identificação de situações anormais. 2.2 O que é firewall? O firewall, em português muro de fogo, de acordo com [28], é um software ou hardware que verifica informações vindas da Internet ou de uma rede, bloqueandoas ou permitindo que elas passem e entrem no seu computador. Basicamente, pacotes são informações e mensagens divididas em partes que trafegam na rede visando um destino. O firewall deve ser usado em conjunto com os sistemas IDS e IPS Tipos de firewall O firewall apresenta alguns métodos diferentes para controlar o tráfego em uma rede. É possível categorizar o firewall em três tipos: filtros de pacotes, gateways de aplicação, gateways de circuito [8][12][4].

6 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Filtros de pacotes Este tipo de firewall funciona com base na análise de pacotes que os relaciona com um conjunto de regras. Todo pacote que está em tráfego na rede carrega uma série de informações e dados importantes para seu direcionamento adequado. As regras do firewall podem analisar os dados do pacote, como por exemplo, IP de origem, IP de destino, portas de origem e de destino, tipo de protocolo usado, horário do dia e outros [8][12]. Esta ferramenta pode bloquear qualquer tipo de pacote que não obedeça às regras impostas. É possível bloquear os pacotes de determinada origem ou até mesmo bloquear um determinado protocolo. Um protocolo é uma linguagem usada para permitir que dois ou mais computadores se comuniquem [23]. Existem muitos protocolos e cada um traz consigo uma funcionalidade diferente Gateways de aplicação Proxy ou application gateway comporta-se como um intermediário no processo de conexão. A sessão do usuário estabelece uma conexão com o proxy, que por sua vez estabelece uma conexão com o endereço de destino [12]. De acordo com [4], proxies podem agregar outras características importantes de proteção, tais como filtragem de conteúdo, autenticação de usuários, proxy reverso e etc. 2.3 O que é antivírus? Antivírus é um software responsável por incrementar a segurança em uma rede contra agentes maliciosos, conceitua-se esta ferramenta de acordo com [24] da seguinte forma: Antivírus é um software responsável pela detecção, desinfecção e remoção de pragas digitais como vírus, trojans (cavalos de tróia), worms e qualquer outro tipo de código malicioso, não se limitando somente aos vírus como o nome sugere. Alguns antivírus também removem adwares e spywares, tarefa antes reservada apenas aos anti-spywares.

7 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Detecção de pragas digitais O antivírus possui seus métodos de detecção assim como os sistemas de detecção e prevenção. Dois dos métodos utilizados são: análise de assinaturas e heurística Análise de Assinaturas Uma assinatura é uma seqüência única de bytes específica para uma parte de um código malicioso [51]. Desta forma, o software antivírus precisa apenas examinar o código do vírus para saber se é malicioso ou não, mas de acordo com [51], o uso único da técnica de assinatura não resolve todos os problemas. Uma de suas limitações se deve ao fato da necessidade de checar o código do agente malicioso. Os vírus polimórficos tornam isto extremamente complicado, já que são capazes de mudar constantemente e até encriptar a si mesmos, o que consiste em tornar o próprio código ilegível [21]. No caso de vírus polimórficos a aplicação dessa técnica isolada não trará bons resultados visto que a rotina de encriptação muda de geração para geração e o corpo do vírus é encriptado com uma nova chave [51] Heurística De acordo com [30][36][5], a detecção heurística irá procurar por padrões no código que podem representar um agente malicioso. Esta técnica complementa a análise de assinaturas utilizando inteligência artificial, e sua vantagem está em lidar com agentes maliciosos novos e que não possuem assinatura. Ajuda a combater os vírus polimórficos Malwares Malware é a combinação das palavras inglesas malicious e software, ou seja, programas maliciosos [48]. O antivírus também possui seus desafios assim como as soluções IDS. Novos malwares são criados a todo o momento gerando uma variação surpreendente. Portanto, o uso único da detecção por assinatura precisa ser atualizado constantemente para identificar as novas variantes de vírus. Alguns antivírus empregam a detecção heurística, o que proporciona a capacidade de

8 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 8 identificar agentes maliciosos novos, porém apresentando o mesmo problema que o IDS, a taxa de falsos positivos é aumentada. Segundo [21], estes softwares maliciosos podem utilizar os meios de propagação: , download, falhas de segurança e outros. Algumas das variantes de vírus são o spyware, keylogger, trojan, worms e vírus polimórficos já conceituados. Cada um destes possui determinada habilidade, mas existem vírus multifuncionais apresentando uma ou mais destas estratégias Spyware O spyware ou programa espião, de acordo com [26], é um programa que executa determinadas ações, geralmente sem o seu consentimento, tais como: Exibição de anúncios Coleta de informações pessoais Alteração de configuração do seu computador Keylogger O Keylogger, de acordo com [21], é um software malicioso capaz de gravar tudo que é digitado pelo usuário do computador. É um malware que pode causar sérios problemas principalmente relacionados a senhas. Ele age antes da segurança proporcionada pela web, que inclui criptografia, traduzindo sinais que o seu teclado emite e podendo enviar os dados coletados por Trojans Segundo [21], os trojans são malwares que possuem o intuito de se infiltrar no computador para garantir meios de se controlar o sistema, seja por acesso remoto ou outra funcionalidade. Seu nome faz uma referência ao famoso episódio do cavalo de tróia.

9 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Worms Worm, de acordo com [21], é um vírus que possui a habilidade de se propagar, fazendo cópias de si mesmo, pelo sistema utilizando compartilhamentos, pendrives, a própria rede e outros dispositivos. 2.4 Agentes móveis Um agente móvel é um software capaz de se locomover entre os hosts e servidores de uma rede atuando de forma benéfica [6][25]. A implementação destes agentes geraria uma grande revolução nos sistemas atuais e levantaria uma série de questões. Já existem soluções para a criação de agentes móveis como é o caso do Jade [22] e do Aglets [38] da empresa IBM. Estes indivíduos digitais podem empregar a inteligência artificial Funções e habilidades Os agentes móveis teriam variadas funções em uma rede, desde organização de arquivos, segurança e análise de vulnerabilidade, manutenção, monitoramento e buscas na web. De acordo com [25] os agentes móveis devem ter as seguintes características: Objetos passantes: quando um agente móvel é transferido, todo o objeto é movido, incluindo código, dados, itinerário e estado de execução. Assincronismo: o agente móvel possui sua própria thread de execução, que pode ser executada tanto de forma síncrona como assíncrona. Interação local: o agente móvel pode interagir com outros agentes móveis ou objetos estacionários locais. Operação sem conexão: o agente móvel pode executar tarefas mesmo com a conexão fechada. Para a realização de transferências aguarda-se até que a conexão seja restabelecida. Execução paralela: múltiplos agentes podem ser movidos para distintos servidores para a execução de tarefas paralelas.

10 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Novos ataques A introdução da tecnologia pode gerar novas vulnerabilidades e ataques diferentes. Segundo [25], os ataques podem entrar em três categorias: Ameaças ao agente: os atacantes poderiam alterar a estrutura do agente para fins maliciosos e também roubar, corromper e criar informações em seu banco de dados. Ameaças ao host: os agentes poderiam atacar o seu próprio hospedeiro de diversas formas como os malwares. Ameaças à rede: assim como os ataques no host, os agentes poderiam causar danos à rede do sistema. 3 CONCEITOS ACERCA DA INTELIGÊNCIA ARTIFICIAL O reconhecimento de voz presente nos celulares e a identificação de rostos em sites de redes sociais são exemplos de aplicações contemporâneas da IA. De acordo com [13], a IA - Inteligência Artificial pode ser aplicada nas áreas de educação, medicina, trânsito e transporte, processamento de linguagem, imagem e voz, detecção de fraudes, jogos, robótica e outros. 3.1 Breve histórico sobre inteligência artificial De acordo com [53][54][47], a inteligência artificial sofreu marcos importantes nos anos: 1943 Iniciam-se as pesquisas conceituais com redes neurais por Warrem McCulloch e Walter Pitts [7] McCarthy apresenta pela primeira vez o termo inteligência artificial [10][14] Desenvolvido o sistema ELIZA por Joseph Weizenbaum capaz de manter diálogos aparentemente inteligentes [19] Criados os algoritmos genéticos por John Holland [40] Robô autônomo surge na Universidade de Stanford capaz de se guiar em ambientes exteriores Início das pesquisas que desenvolveram os veículos autônomos NAVLAB capazes de dirigir sem intervenção humana [39].

11 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software O sistema Deep Blue venceu o melhor enxadrista do mundo Garry Kasparov [18] Surge o primeiro campeonato de futebol de robôs. 3.2 Limitação de desenvolvimento da inteligência artificial Para criar uma inteligência artificial mais inteligente, segundo [19], é preciso compreender melhor a inteligência humana. A falta de sua compreensão completa tem dificultado a criação de uma IA mais eficiente. Seguindo a mesma lógica, de acordo com [16] o grande desafio da IA é: Entender como a inteligência natural funciona. Desenvolver IA não é como criar um coração artificial. Os cientistas não têm um modelo simples e concreto para começar a trabalhar. Nós sabemos que o cérebro contém bilhões de neurônios e aprendemos por meio de conexões elétricas estabelecidas nestes neurônios. Mas não sabemos exatamente como essas conexões estão relacionadas com o pensamento profundo e com as operações mais simples. 3.3 Teorias e tipos de IA Atualmente existem métodos promissores para representar a aprendizagem artificial. Dentre eles, vale destacar as técnicas: árvores de decisão, redes neurais artificiais e a lógica de conjuntos difusos (lógica fuzzy). Essas não são as únicas técnicas. Existem outras, como por exemplo, a rede bayesiana e o algoritmo genético Redes neurais artificiais As redes neurais são modelos matemáticos que se assemelham as funções dos neurônios.

12 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 12 Figura 1 Partes do neurônio [32] De acordo com [32], o neurônio recebe o sinal ou estímulo pelos dendritos e pode ou não gerar uma saída que é enviada pelo axônio. Cada neurônio é uma unidade independente e pode ou não estar conectado por meio do próprio axônio no dendrito dos outros neurônios. Dá-se o nome sinapse para cada ligação de axônio com dendrito. A sinapse entre os dois neurônios irá influenciar a característica do sinal, fazendo com que para um neurônio, o sinal excite e no outro possa significar inibição. Com o entendimento parcial do neurônio, é possível criar, de acordo com [27], uma réplica por meio da programação utilizando funções e objetos Árvores de decisão Com informações retiradas de [10][42][34], conclui-se que o algoritmo de árvores de decisão se baseia em uma árvore hierárquica de decisões como descrito na figura a seguir: Figura 2 Árvore de Decisão simples para calcular a riqueza [10] O funcionamento desta técnica se da no percurso da raiz, ou topo da árvore, até a parte mais distante da raiz. Uma árvore de decisão é formada por um conjunto de regras de classificação. Cada caminho da raiz até uma folha representa uma dessas regras [10]. Este algoritmo é usado principalmente nas atividades de data mining. A mineração de dados, data mining, pode ser definida como o processo

13 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 13 automático de descoberta de conhecimento em bases de dados muito volumosas [10] Sistemas Especialistas Sistemas especializados são aplicações computacionais baseadas em inteligência artificial que possuem o objetivo de resolver problemas que seriam resolvidos apenas por especialistas humanos [50][46][35]. Para que este objetivo seja alcançado, os sistemas especialistas devem possuir algumas habilidades de acordo com [50]: Explicar seu raciocínio. Conseqüentemente o processo de raciocínio deve proceder em etapas compreensíveis em que o metaconhecimento suficiente (conhecimento sobre o processo de raciocínio) esteja disponível para que as explicações dessas etapas possam ser geradas. Adquirir conhecimento novo e modificar o conhecimento antigo. Como o conhecimento pode ser aumentado e/ou alterado, torna-se importante então separar a base de conhecimento do conjunto de operadores do sistema. Os sistemas especialistas podem aprender de diferentes formas. Uma das formas de aprendizagem dos sistemas especialistas é através de textos. Um programa captura palavras chave em um parágrafo do texto, podendo formatá-lo para um formato especial de armazenamento [50]. Outro método inclui interação direta com especialistas como uma relação professor-aluno Lógica de conjuntos difusos (Lógica Fuzzy) De acordo com [42], a lógica fuzzy, ou lógica nebulosa, é mais especializada em lidar com a incerteza, ambigüidade, aproximação e multiplicidade. Tal habilidade se resume na sua capacidade de operar com valores entre 0 e 1, diferentemente da lógica booleana que possui como resultado o 0 e 1 somente. 3.4 Vantagens e desvantagens entre IA e programação convencional A grande vantagem da IA é sua capacidade de aprender e reconhecer padrões. Na função de identificação de imagens, por exemplo, seria muito mais

14 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 14 complicado utilizar a programação convencional em linhas de código ou orientada a objeto. Para reconhecimento facial, o programador teria que especificar todos os rostos existentes. A inteligência artificial trabalharia em atributos como cor, tamanho e disposição geométrica para enquadrar a imagem. É importante ressaltar que a IA é melhor aplicada em alguns casos e em outros não. Para uma seqüência de tarefas simples e exatas, convém não usar a IA. Uma desvantagem da IA se dá no fato do tempo gasto na aprendizagem necessária para o seu bom funcionamento. A inteligência artificial também precisa ser bem programada assim como a programação convencional. 4 ESTUDO DE CASO Com o objetivo de demonstrar melhor a detecção de incidentes de segurança com o uso de inteligência artificial, faz-se o uso de um IDS/IPS híbrido que será atacado enquanto utiliza técnicas de detecção. Será criado um ambiente utilizando virtualização. 4.1 Configuração do ambiente de teste O ambiente será formado por um sistema operacional Ubuntu Linux v12.04 e a ferramenta Open Source Software Image Map v3.1(64bit edition) que fará o papel do IDS no SO Debian Linux. Para virtualizar as máquinas, será utilizado o VirtualBox v da Oracle. Mais detalhes e conceitos serão apresentados nos tópicos a seguir, assim como os procedimentos de instalação e ataque VirtualBox Em uma definição livre, virtualização é o processo de executar vários sistemas operacionais em um único equipamento. Uma máquina virtual é um ambiente operacional completo que se comporta como se fosse um computador independente [15]. O programa escolhido para virtualizar é o VirtualBox v da Oracle. Ele pode ser obtido neste link:

15 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Ubuntu Linux A máquina que efetuará o ataque utilizará o sistema operacional Linux Ubuntu¹. A instalação ocorre dentro do programa Virtual Box com a opção Nova. Será utilizado o nome Atacante Ubuntu e 512MB de memória. Após a instalação, é preciso Instalar Adicionais de Convidados. Agora a máquina virtual está pronta para o uso e pode ser desligada e iniciada assim que necessário OSSIM De acordo com [1], OSSIM - Open Source Security Information Management é um open source SIEM contendo diversas técnicas de IA atuando na detecção anômala. SIEM do inglês Security Information and Event Management. Trata-se de uma solução que provê uma compilação de ferramentas que trabalham juntas para oferecer uma detalhada consulta do sistema em todos os aspectos. Segundo [17], um projeto de open source é aquele com a finalidade de criar e manter softwares que incluem o código fonte para seus usuários. Dependendo da licença usada, o usuário ganha o direito de usá-lo para qualquer fim. Esta ferramenta possui a capacidade de atuar como IDS/IPS e possui várias outras funcionalidades. Será utilizada a versão 3.1 (64bit edition). Pode ser obtida neste link: Após a instalação, é importante efetuar uma configuração relacionada à interface de rede. Selecionar OSSIM, clicar em Rede. Alterar a configuração do primeiro adaptador para Rede Interna, ir a Avançado, Modo Promíscuo: Permitir Tudo e clicar em OK. Na instalação do OSSIM é importante informar os parâmetros de rede corretamente. IP Address: Netmask: Ubuntu: é um sistema operacional free e pode ser obtido no link: Neste artigo foi utilizada a versão v12.04.

16 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software 16 Gateway: O Snort é um IDS acoplado ao OSSIM. Este IDS utiliza redes neurais de acordo com [3] e pode incluir as outras técnicas com auxílio de plugins, como por exemplo, árvores de decisão e sistemas especialistas. Ele será o responsável pela identificação do ataque, mas por padrão ele vem configurado para não gerar incidentes das máquinas que estão no escopo de proteção, ou rede interna. O Atacante Ubuntu está neste escopo. Configurando IDS Snort para detectar ataques internos: Efetuar login no OSSIM > cd..> cd etc > cd snort > nano snort.conf > Trocar var EXTERNAL_NET!$HOME_NET para var EXTERNAL_NET any > Ctrl + O > Enter > Ctrl + X Configurações da Rede Atacante Ubuntu As interfaces de rede do Atacante Ubuntu precisam ser configuradas para atender a dois propósitos: compartilhar internet do host para instalar os programas de ataque e enxergar o servidor IDS o qual será atacado. Para compartilhar a internet com o host e fazer as primeiras configurações de rede interna, é preciso seguir os passos abaixo: Iniciar o programa VirtualBox > Selecionar Atacante Ubuntu > Rede > Adaptador 1 > Conectado a: NAT > Adaptador 2 > Habilitar Placa de Rede > Conectado a: Rede Interna > OK. Para que as duas máquinas, OSSIM e Atacante Ubuntu se enxerguem na rede, será preciso alterar o IP Address do Atacante Ubuntu. Abaixo, os passos para efetuar a alteração: Iniciar a máquina Atacante Ubuntu > Inserir a senha > Procurar por um ícone na parte superior direita entre bateria e som > Editar conexões > Conexão Cabeada 2 > Editar > Configurações IPv4 > Método: Manual > Adicionar > Endereço: > Máscara de rede: > Gateway: > Salvar > Fechar.

17 Inteligência Artificial Aplicada a Detecção de Intrusão: Uma Abordagem de Software Conceitos relacionados ao ataque direcionado Com o objetivo de tornar o entendimento mais claro em relação à tarefa dos ataques, é preciso compreender alguns conceitos antes de prosseguir Terminal Segundo [49], terminal é o CLI (Command Line Interface), onde você digita os comandos para dizer ao computador o que ele deve fazer. Esse modo é extremamente poderoso e rápido. O terminal oferece comandos para executar as mais diversas tarefas e funcionalidades. Pode ser acessado através do atalho: Ctrl + Alt + T no Linux. Os ataques serão executados no terminal Habilitando conta root Para possuir a permissão necessária e instalar o programa de ataque, é preciso habilitar a conta root do sistema. Abaixo, os passos necessários: Acessar o terminal do Linux (Ctrl + Alt + T) > Digitar o comando: sudo passwd root > Enter > Inserir senha > Enter > Digitar o comando: su root para entrar como root Instalando o programa nmap² e escaneando IDS Para estabelecer o compartilhamento da internet, é necessário que a conexão cabeada 2 seja desconectada temporariamente. A ferramenta nmap fará um scan de portas. Este é um ato considerado por muitos IDS como um precursor de ataques e gerará relatórios no sistema de detecção. De acordo com [31], o simples comando nmap <alvo> escaneia mais de 1660 portas TCP no host <alvo>. Ele divide as portas em seis estados: aberto, fechado, filtrado, não-filtrado, open filtered ou closed filtered. Entrar como root > apt-get install nmap > Enter > S > Enter. 2 Nmap: Nmap ( Network Mapper ) é uma ferramenta de código aberto para exploração de rede e auditoria de segurança [31]. Obtido por meio do comando apt-get install nmap.