DIBSet: Um Detector de Intrusão por Anomalias Baseado em Séries Temporais

Documentos relacionados
DIBSet: um Detector de Intrusão por Anomalias Baseado em Séries Temporais *

Sistemas de Detecção de Intrusão

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques

Ataque Distribuído de Negação de Serviço por Reflexão Amplificada usando Simple Network Management Protocol

Detecção de Intrusão e Gerenciamento de Redes de Computadores: Uma Integração Possível

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

SEG. EM SISTEMAS E REDES. 03. Vulnerabilidades em redes. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com>

DoS: Negação de Serviço e formas de defesa

RECURSOS DA TELEFONIA VOIP APLICADAS NAS INSTALAÇÕES DO CRSPE/INPE - MCT

Sistemas de Detecção de Intrusão SDI

Ataques para obtenção de informações

Fatadist: Uma Ferramenta para Classificação de Ataques baseada em Discriminantes Estatísticos

Segurança de Informações e Comunicação: Uma visão acadêmica

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP

An Intrusion Tolerant Architecture for Dynamic Content Internet Servers

Universidade do Estado de Santa Catarina/Centro de Ciências Tecnológicas UDESC/CCT

Ataques DoS e DDoS. Alessandro Santos Germer Rafael Ambiel Faccioli Roberto Röseling Badô. 1. Introdução

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Detecção e Rastreamento de Objetos coloridos em vídeo utilizando o OpenCV

DoS: Negação de Serviço e formas de defesa

SDNIPS: Enabling Software-Defined Networking Based Intrusion Prevention System in Clouds

S.I.M - Uma aplicação para o Monitoramento Integrado de Redes de Computadores

Gerência e Administração de Redes

Objetivos deste capítulo

IDS - Implementando o SNORT Open Source

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de

ATAQUES DoS, DDoS, Smurf e Ping of Death. Alunos: Clauzio Cristiano Perpétuo Cleber Franco Madureira Hugo Azevedo de Jesus

UNIVERSIDADE F EDERAL DE P ERNAMBUCO ANÁLISE DE UM MÉTODO PARA DETECÇÃO DE PEDESTRES EM IMAGENS PROPOSTA DE TRABALHO DE GRADUAÇÃO

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Sistemas para Internet 06 Ataques na Internet

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim

FAE São José dos Pinhais

Redes de Computadores

Plano de Segurança da Informação

Gerenciamento de Redes Gerenciamento OSI

Ambientes Controlados de Geração de Anomalias: Uma Reprodução de Ataques de Negação de Serviço

Ping. O programa Ping, opção de record route e de timestamp.

ADDRESS RESOLUTION PROTOCOL. Thiago de Almeida Correia

Segurança de Redes de Computadores

Um Modelo de Sistema de Detecção de Anomalias em Redes de Computadores Baseado na Extração de Características Dinâmicas

Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015

Um IDS utilizando SNMP e Lógica Difusa

INFO ARQ REDES. Prova 2 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Critérios para Apoiar a Decisão Sobre o Momento de Parada dos Testes de Software

Agenda. Rede de Computadores (Técnico em Informática) Modelo em Camadas. Modelo em Camadas. Modelo em Camadas 11/3/2010

Modelagem Flexível para Processos de Negócio. Resultados de um Estudo Experimental

Tópicos Especiais em Redes de Telecomunicações

MECANISMOS DE AUTENTICAÇÃO EM REDES IEEE

Projeto de Redes Top-Down

Detecção de Intrusões em Backbones de Redes de Computadores Através da Análise de Comportamento com SNMP

Um Detector de Complexos QRS Evolutivo para o Eletrocardiograma

Arquitetura TCP/IP. Parte IV Mapeamento de endereços IP em endereços físicos (ARP) Fabrízzio Alphonsus A. M. N. Soares

DAS Inteligência Artificial Aplicada à Controle de Processos e Automação Industrial

Negação de Serviço, Negação de Serviço Distribuída e Botnets

CS: : Um Simulador de Protocolos para Computação Móvel

Segurança Física e Segurança Lógica. Aécio Costa

ANÁLISE COMPARATIVA DE DETECTORES DE FALHAS PARA REDES MÓVEIS 1 A COMPARISON OF FAILURE DETECTORS DESIGNED TO MOBILE NETWORKS

Adaptação dinâmica do Timeout para Detectores de Defeito usando Informações do Protocolo SNMP.

Detecção de Tentativas de Intrusão em Sistemas por Análise de Tráfego de Rede

Groupware. Protocolos e Artefatos de Coordenação em CSCW Cleidson de Souza cdesouza@ufpa.br. Exemplos. Protocolos e Artefatos de Coordenação

Cartilha de Segurança para Internet

Ferramentas para Simulação e Avaliação de Processadores. de Alto Desempenho

Aumentando a Segurança da Informação com Softwares Livres em uma Universidade

Detecção de Anomalias em Redes de Computadores através de Transformadas Wavelet

Segurança da Informação

Firewalls e DNS. Como e por que configurar corretamente. Hugo Koji Kobayashi. Registro.br. 30 de Junho de /24

Kaspersky DDoS Protection. Proteja a sua empresa contra perdas financeiras e de reputação com o Kaspersky DDoS Protection

Análise de Dados do Financeiro

Um Driver NDIS Para Interceptação de Datagramas IP

Tecnologia de Redes. Protocolo ICMP

Segurança com Iptables

Anomalias de Rede e Recursos de Proteção contra Ataques

Manual Técnico Interface Modbus

BGP Traceback: Um Novo Método para Identificação de Origem de Ataques na Internet. Denilson Vedoveto Martins

Segurança da Informação

UNIVERSIDADE FEDERAL DE PERNAMBUCO

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Vulnerabilidades

Developers Magazine

Transcrição:

VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais DIBSet: Um Detector de Intrusão por Anomalias Baseado em Séries Temporais Universidade Federal de Santa Maria Centro de Tecnologia GMICRO/INPE Roben Castagna Lunardi, Bruno L. Dalmazo, Erico M. H. do Amaral, Raul Ceretta Nunes rclunardi@inf.ufrgs.br, {dalmazo, erico, ceretta}@inf.ufsm.br Sumário Introdução Caracterização Séries Temporais Solução Conceitual Implementação Estudos de Caso Resultados Conclusões e Trabalhos Futuros 1

Introdução (1) Atualmente a utilização da internet é parte do cotidiano de umagrande gama de usuários Diversos serviços são disponibilizados para estes usuários Usuários maliciosos podem tirar proveito de possíveis falhas e/ou mal configurações de destes serviços/usuários Uma das medidas para a garantia do bom funcionamento é a utilização de Sistemas de Detecção de Intrusão Introdução (2) SistemasdeDetecçãodeIntrusãosãocompostosde3partes fundamentais: dados, análiseee resposta Embora existam diversos estudos na área, ainda não existe uma forma eficiente de analisar os dados capturados Por este motivo, o trabalho se concentrou no processo de análise, com a utilização do DIBSet para realizar alguns estudos de caso. 2

Caracterização Ataques Caracterizáveis: ocorrem sempre da mesma forma Filtráveis i Não Filtráveis Ataques Não Caracterizáveis: não possuem um padrão de ocorrência Detecção por Assinaturas: busca por atividades suspeitas (conhecidas) e por erros na semântica de protocolos Detecção por Anomalias: independe do conhecimento de características específicas de ataques, mas pode gerar muitos falsos positivos Séries Temporais Séries Temporais é um conjunto de observações de uma dada variável, ordenadas no tempo, geralmente em tempos eqüidistantes O modelo ARIMA incorpora os modelos: AR(p): puramente autoregressivo de ordem p MA(q) puramente médias móveis de ordem q ARMA(p,q): autoregressivo e de médias móveis de ordem p e q ARIMA(p,d,q): autoregressivo integrado e de médias móveis de ordem p, d e q (ARIMA(p,d,q)) onde d representa a ordem de integração, ou seja, o número de diferenças necessárias para transformar a série temporal não estacionária em estacionária. 3

Solução Conceitual A Solução é baseado em Detecção de Intrusões por Anomalias Foram Utilizadas Séries Temporais para a predição do comportamento esperado Estabeleceu se limites (thresholds) superiores e inferiores Os alarmes gerados são diferenciados para a extrapolação dos limiares inferiores e superiores Os dados capturados e os alarmes são registrados para realimentação do sistema e conferência das principais ocorrências. DIBSet Implementação Contadores NTOP Preditores Arima RPS Numerical Recipes Gerador de Alarme Logs Gerador de Logs 4

Estudos de Caso (1.1) Three way Handshake SYN Estudos de Caso (1.2) Three way Handshake SYN SYN/ACK 5

Estudos de Caso (1.3) Three way Handshake SYN SYN/ACK ACK Estudos de Caso (1.4) Syn Attack SYN FLOOD SYN/ACK SYN FLOOD 6

Estudos de Caso (1.5) SYN Attack com Spoofing SYN FLOOD SYN/ACK Estudos de Caso (2.1) SMURF Attack ICMP echo request Broadcast 7

Estudos de Caso (2.2) SMURF Attack ICMP echo request Broadcast Estudos de Caso (2.3) SMURF Attack ICMP echo request Broadcast ICMP echo reply ICMP echo reply 8

Resultados (1) Pacotes SYN Numero de Pacotes SYN 1400 1200 1000 800 600 400 200 0 1 8 15 22 29 36 43 50 57 64 71 78 85 92 99 106 113 120 127 134 141 148 155 Amostras (a cada 15 segundos) Alarme SYN 6 Nível de Alarme SYN 4 2 0 1 8 15 22 29 36 43 50 57 64 71 78 85 92 99 106 113 120 127 134 141 148 155-2 -4-6 Amostras (a cada 15 segundos) Resultados (2) Pacotes ICMP Numero de Bytes IC CMP 3000 2500 2000 1500 1000 500 0 1 11 21 31 41 51 61 71 81 91 101 111 121 131 141 151 161 171 181 191 201 211 221 Amostras (a cada 15 segundos) Alarme ICMP Nível de Alarme 6 4 2 0 1 11 21 31 41 51 61 71 81 91 101 111 121 131 141 151 161 171 181 191 201 211 221-2 -4-6 Amostras (a cada 15 segundos) 9

Conclusões e Trabalhos Futuros Utilizamos séries temporais para detectar intrusões Empregamos níveis inferiores e superiores de thresholds Apresentamos a implementação do DIBSet como sistema de detecção de intrusões Para suportar a nossa solução, utilizamos dois ataques e os respectivos níveis de alarmes Os resultados foram suportaram as idéias apresentadas Conclusões e Trabalhos Futuros Como continuação deste trabalho estão sendo adaptadas as funções de coletas para utilizar os dados do IAS (Internet Analysis System) parceria FHGe e UFSM Além disso, está sendo aperfeiçoado o algoritmo de geração de alarmes para diminuir o número de falsos positivos Serão realizados outros ataques para verificar o desempenho do DIBSet 10

Referências Pohlmann, N. and Proest M. (2006) Internet Early Warning System: The Global View. In: Vieweg, Securing Eletronic Business Process, pages 377 386. Dwyer, D. (2003) NetworkIntrusion Detection. 3rd Edition, NewRidersPublishing. Kompella, R. R., Singh, S. E Varghese, G. (2007) On Scalable Attack Detection in the Network. In: IEEE/ACM TRANSACTIONS ON NETWORKING, Vol. 15, No. 1. Levchenko, K., Paturi, R. e Varghese, G. (2004) On the Difficulty of Scalably Detecting Network Attacks. CCS ACM. Peng, T., Leckie, C. e Ramamohanarao, K. (2007) Survey of Network Based Defense Mechanisms Countering the DoS and DDoS Problems. In: ACM Computing Surveys, Vol. 39, No 1, Article 3. Maselli, G., Deri, L. e Suin, S. (2003) Design and Implementation of an Anomaly Detection System: an Empirical Approach. Proceedings of Terena Networking Conference (TNC 03), Zagreb, Croatia. Lunardi, R. (2008) Um analisador de intrusões baseado em Séries Temporais. Trabalho de Graduação n 255, Curso de Ciência da Computação, UFSM. Kumar, S. (2007) Smurf based Distributed Denial of Service (DDoS) Attack Amplification in Internet. Second International Conference on Internet Monitoring and Protection (ICIMP IEEE 2007). Bowerman, Bruce L. and O'Connel, Richard T. Forecasting and Time Series: an Applied Approach. Belmont: Duxbury Press. 1993. Goodall, J. (2006) Visualizing Network Traffic For Intrusion Detection In: ACM Symposium on Designing Interactive Systems, pages 363 364. 11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback