Evoluo dos Trabalhos em Deteco de Anomalias na Rede
Llia de S Silva Antonio Montes
DSS-LAC/INPE CENPRA/INPE
lilia@dss.inpe.br antonio.montes@cenpra.gov.br
Resumo
Neste artigo so apresentadas as atividades
realizadas at o momento para o desenvolvimento de
um sistema de deteco de intruso baseado em rede,
para o qual utilizada a abordagem baseada em
anomalias. O objetivo deste sistema sinalizar desvios
do comportamento normal de uma rede, os quais podem
indicar a ocorrncia de ataques. Inicialmente,
apresentada uma breve descrio do objetivo do
trabalho e da situao atual em que se encontra. Na
seo 2, o ambiente configurado para a monitorao do
trfego de rede descrito. Em seguida, apresentada a
estratgia de recuperao de atributos a partir da qual
ser desencadeada a representao do comportamento
normal da rede, na seo 3. Finaliza-se este artigo com
concluses e descrio dos prximos desafios a serem
enfrentados.
Palavras-chave: deteco de intruso, deteco de
ataques, deteco por anomalia, ids, aplicao de
redes neurais.
1. Introduo
Para proteger uma rede de computadores do ciber-
terrorismo necessria a implantao de um sistema de
defesa em profundidade, considerando vrias camadas
de segurana [11]. Fortalecimento dos sistemas de hosts
da rede, anlise peridica da configurao de segurana
do ambiente e dos registros de eventos (logs) dos
sistemas, estratgia de localizao dos recursos, uso de
sistemas de filtragem e controle do trfego, configurao
de regras de controle de acesso em elementos ativos de
rede e implantao de sistemas de deteco de intruso,
so exemplos de camadas de segurana que podem
tornar uma rede mais segura.
Deteco de intruso corresponde a um conjunto de
tcnicas que so usadas para identificar ataques contra
computadores e infra-estrutura de rede. Os mtodos
mais desenvolvidos para detectar ciber-ataques rede
utilizam tcnicas de deteco baseadas em assinaturas
[2,14,16]. Tais mtodos possuem a limitao de detectar
apenas ataques previamente conhecidos representados
por meio de assinaturas. Uma assinatura manualmente
inserida em um banco de dados para cada novo tipo de
Jos Demisio Simes da Silva
LAC/INPE
demisio@lac.inpe.br
ataque que descoberto. Esta limitao conduz ao
interesse crescente pelo uso de tcnicas de deteco de
intruso baseadas em datamining [1,5,8,10,12],
descritas basicamente em duas categorias: deteco por
abuso e deteco por anomalia.
Na deteco por abuso, cada instncia de um
conjunto de dados rotulada como normal ou
intrusiva e um algoritmo treinado a partir dos dados
rotulados. Neste tipo de tcnica, os modelos de
deteco de intruso so automaticamente re-treinados a
partir de dados de entrada diferentes que descrevem
novos tipos de ataque, uma vez que tenham sido
adequadamente rotulados [8]. Pesquisas em deteco
por abuso so centradas principalmente na classificao
de intruses pelo uso de algoritmos de datamining
padro, modelos de predio de classe rara, regras de
associao e modelagem de custo sensitivo [5,8].
Diferente dos sistemas de deteco de intruso baseados
em assinaturas, os modelos por abuso so criados de
forma automtica, e costumam ser mais sofisticados e
precisos que as assinaturas criadas manualmente. Uma
grande vantagem do uso de tcnicas baseadas em abuso
seu alto grau de exatido na deteco de ataques
conhecidos e suas variaes. A principal desvantagem
a incapacidade de detectar ataques cujas instncias ainda
no tenham sido observadas.
Deteco por anomalia, por outro lado, uma
metodologia de deteco de intruso em que
perturbaes do comportamento normal sugerem a
presena de ataques, falhas, defeitos e outras ameaas,
induzidas intencionalmente ou no. Dado um conjunto
de dados normais para treinamento e dado uma nova
poro de dados de teste, o objetivo do algoritmo de
deteco de intruso por anomalia determinar se os
dados de teste pertencem a um comportamento normal
ou anmalo.
A proposta de uma soluo hbrida para deteco de
intrusos em redes de computadores, apresentada no
WORCAP 2004 [15], tem como objetivo o
desenvolvimento de um sistema de deteco de intruso
baseado em anomalia intitulado ANIS ANomaly
Identification-based Intrusion detection System , em que
tcnicas de datamining, tais como redes neurais,
devero ser utilizadas para a identificao de
informaes anmalas em grandes conjuntos de dados
do trfego de rede.
 Os mdulos da aplicao em desenvolvimento so
ilustrados na figura 1, a seguir, e devem realizar as
seguintes tarefas: captura de pacotes, filtragem de dados,
extrao de atributos, modelagem do perfil normal,
classificao de eventos e identificao de ataques.
Figura 1: Arquitetura modular do sistema
O mdulo Captura de dados ser utilizado para a
coleta de dados de pacotes trafegando pela rede. O
mdulo Filtragem destinado reconstruo de todas
as sesses de interesse do trfego. A seleo de dados
relevantes para compor as instncias que descrevero o
comportamento atual da rede ser realizada pelo mdulo
Extrao de Atributos. O mdulo de Modelagem do
perfil normal tem por finalidade o armazenamento das
instncias de treinamento em bancos de dados, quando
preparando o conjunto de dados de treinamento (etapa
1) para o detector inteligente.
Quando efetuando os testes e aplicao do sistema
(etapa 2) , ser executado o mdulo Deteco de
Anomalias para a identificao de eventos ilegtimos
na rede. Em caso de descoberta de atividade hostil, o
tipo de ataque ser identificado (etapa 3) e informado ao
operador do sistema.
Para o desenvolvimento do sistema proposto, as
seguintes aes esto sendo realizadas:
pesquisas na rea: formato dos protocolos de
rede TCP-IP [17]; identificao e recuperao
de conjuntos de atributos que representam o
comportamento da rede observada [6,8];
mapeamento do comportamento normal da
rede; estudo de perfis de ataques rede
[4,9,11]; estudo de redes neurais e lgica fuzzy;
acompanhamento da evoluo dos trabalhos
publicados na rea [5,6,7,8,13,18,19];
preparao do ambiente para monitorao do
trfego e captura de dados;
coleta e anlise de dados com tcpdump e
Ethereal;
estudos e reconstruo de sesses com o
sistema RECON [3];
desenvolvimento do sistema ANIS com os
mdulos: mdulo de filtragem de dados,
mdulo de extrao de atributos, mdulo de
modelagem do perfil normal, mdulo de
classificao e mdulo de deciso.
Neste trabalho, so apresentadas as etapas
concludas e aquelas em desenvolvimento para a
construo do sistema.
Pesquisas j realizadas envolvem o significado dos
campos de formatao dos protocolos de rede TCP/IP,
identificao de atributos-chave dos pacotes de rede e
estudos de perfis de ataques rede. Pacotes com
informaes de ataques simulados continuam sendo
avaliados, dados de trfego com traos de ataque so
comparados aos dados do trfego normal de uma rede
de teste controlada em uso e, medida que a pesquisa se
desenvolve, novas informaes esto sendo agregadas
ao trabalho.
O ambiente de monitorao do trfego da rede
interna de produo determinada para os testes de
desenvolvimento do sistema encontra-se operacional e
em correto funcionamento. Dados do trfego
monitorado pelos sistemas tcpdump e Ethereal tm sido
estudados. Na fase atual, dados de atributos do sistema
RECON esto sendo recuperados e sero armazenados
em uma base de dados para facilitar as anlises
realizadas.
Nesta etapa, parmetros do sistema RECON, que
correspondem a atributos de diferentes sesses do
trfego (HTTP, SMTP, DNS, SSH, por exemplo), os
quais so armazenados em memria (rvore de sesses),
esto sendo investigados e recuperados para a criao de
uma base de atributos teis. Na fase atual de
desenvolvimento do ANIS, inicia-se a construo do
Mdulo Extrao de Atributos do ANIS, onde os
atributos relevantes das sesses reconstrudas pelo
RECON sero coletados e armazenados em base de
dados, no caso da etapa de preparao de dados de
treinamento ou sero encaminhados para o mdulo de
deteco de anomalias, na fase de testes ou de anlise
dos dados de produo.
2. Preparao do ambiente para
monitorao do trfego
O comportamento de duas redes Rede de Teste e
Rede de Produo tem sido estudado. A coleta de
dados destas redes realizada atravs de um sensor
localizado no ambiente de monitorao do trfego
preparado para esta finalidade.
A Rede de Teste corresponde rede utilizada para
os testes de aplicao de ataques simulados e
monitorao do trfego. Esta rede reside no ambiente do
Laboratrio de Redes da Diviso de Desenvolvimento
de Sistemas de Solo LabRedes-DSS. At o momento,
so utilizados trs computadores nos quais so
instaladas aplicaes cliente e servidoras em ambiente
Windows e Linux, alm de ferramentas de anlise e
explorao de vulnerabilidades de sistemas, conforme
necessrio. Os servios instalados at o momento na
Rede de Testes so: HTTP (IIS e Apache), DNS, FTP e
SSH.
medida que diferentes ataques a servios precisam
ser aplicados, a Rede de Teste tem a sua configurao
modificada. O trfego desta rede observado por
intermdio de ferramentas, tais como tcpdump, Ethereal
e scripts de monitorao de rede.
Na Rede de Teste foram identificadas, atravs da
ferramenta Languard e outras ferramentas similares,
algumas brechas de segurana em mquinas Windows,
enquanto aplicaes como Nessus e scripts de
varreduras foram utilizadas para identificar
vulnerabilidades em maquina Linux. Alguns sistemas do
ambiente desenvolvido foram fortalecidos segundo os
procedimentos encontrados em livros [4], pesquisas pela
Internet e conforme recomendaes aprendidas nos
cursos de Segurana em Redes do INPE, enquanto
algumas vulnerabilidades de servios de rede de alguns
hosts foram estrategicamente mantidas para a realizao
dos testes.
O ambiente de rede principal (Rede de Produo)
monitorado neste trabalho a RedeBeta, rede interna do
INPE utilizada para compartilhamento e integrao de
conhecimento entre um grupo de usurios da ETE (rea
de Engenharia e Tecnologia Espacial). Para a
monitorao deste ambiente foi implementado o sensor
de rede descrito na prxima seo.
2.1. Caractersticas do sensor de rede
O sensor de rede um dispositivo utilizado para a
captura de dados que so introduzidos e processados em
sistemas de monitoramento de rede ou de deteco de
intruso.
Neste trabalho, o sensor utilizado para a
monitorao da Rede de Produo um
microcomputador denominado Maquina de Captura,
com as seguintes caractersticas: Pentium 4 com 1.5
GHz de velocidade de processamento; disco rgido com
capacidade para armazenamento de at 120 GB de
dados; memria RAM de 520 MB e sistema operacional
Linux Slackware.
Para fortalecimento da Mquina de Captura foram
instalados apenas os servios de rede e pacotes do
sistema operacional necessrios para as operaes
desejadas, alm da configurao segura de parmetros
dos arquivos de pacotes e servios instalados.
Como a Mquina de Captura possui uma
comunicao com a rede externa para backup de dados,
foi configurado o servio de filtragem de pacotes, para
bloquear o trfego indesejado. Alm disto, o relgio do
computador foi sincronizado com servio de tempo de
referncia para armazenar informaes de data-hora
corretas nos histricos de eventos registrados.
2.2. Posicionamento do sensor
Existem vrias possibilidades de posicionamento do
sensor na rede e que influenciam diretamente na
eficincia dos resultados gerados pelo monitor de rede
ou pelo detector de intruses aps anlise dos dados
coletados [3]. No ambiente configurado para este
trabalho, o sensor colocado fora dos limites de
proteo do firewall, de modo que todo o trfego
destinado ou proveniente da Rede de Produo
coletado. Esta configurao permite a observao de
ataques direcionados ao firewall e a recursos protegidos
por este. Deste modo, a quantidade de dados a serem
tratados consideravelmente grande.
Conforme ilustrado na figura 2, o sensor de rede est
conectado a uma porta do switch para a qual espelhado
o trfego de entrada e sada do firewall, o que viabiliza a
observao de todo o trfego passando pelo ponto de
monitoramento em questo. O sentido unidirecional da
seta representa o trfego fluindo para o sensor,
indicando que o sensor passivo, ou seja, no interage
com outros dispositivos, apenas transfere dados
coletados para backup em outra mquina.

Internet
` pesquisas conduzidas sobre o assunto [8,17] ajudaram
Sensor
Firewall
Rede Monitorada
Figura 2: Posicionamento do sensor na rede
2.3. Estratgia para captura de dados
Os dados da Rede de Produo so capturados pelo
sensor atravs de chamadas ao programa tcpdump
implementadas nos Shell scripts codificados em
linguagem C e compilados pelo GCC em ambiente
Linux Slackware. A captura de dados efetuada
utilizando-se a biblioteca libpcap implementada no
tcpdump. Um script de rotacionamento de logs
(rotatedump.sh) utilizado para manter o processo
tcpdump em execuo, coletando todo o trfego
destinado rede monitorada atravs de interface em
modo promscuo, e para armazenamento dos logs de
eventos em janelas de 10 minutos de trfego. A cada
hora os dados so armazenados em mquina remota
atravs de um script especfico para esta finalidade
(senddump.sh).
3. Mapeamento do comportamento
normal da rede
Com o ambiente de monitorao do trfego
preparado, um grande conjunto de dados, cerca de um
ms e meio de trfego total da RedeBeta registrado, hoje
encontra-se disponvel para os testes do sistema em
desenvolvimento. Com o conjunto de dados
armazenado, possvel realizar a extrao de atributos
de interesse dos pacotes de rede para mapeamento do
comportamento normal da rede. Um total de 144
arquivos so armazenados por dia, tendo em mdia o
tamanho de 2.5 MB cada um.
Participam deste grande conjunto, dados de pacotes
de rede referentes s sesses TCP/IP do trfego
proveniente e em direo Rede de Produo. Segundo endereo IP de origem e de destino, portas de origem e
[3], uma sesso TCP-IP definida por qualquer
seqncia de pacotes que caracterize a troca de
informaes entre dois endereos IP, e que tenha inicio,
meio e fim (mesmo que toda a comunicao esteja
contida em um nico pacote).
Anlises preliminares realizadas a partir de amostras
da populao do trfego da Rede de Produo e as
no entendimento e identificao de atributos que so
relevantes e que devem pertencer a um subconjunto de
dados, ainda de grande volume, a ser explorado. Destas
primeiras anlises tambm foram revelados os servios
mais explorados na Rede de Produo em determinado
dia, da semana e do ms.
Ainda como parte da pesquisa, a Rede de Testes tem
sido utilizada para as anlises comparativas entre o
trfego normal da rede quando acessados determinados
servios e as perturbaes provocadas quando estes
servios so atacados (trfego comprometido). Com
isto, a compreenso dos atributos de rede que so
influenciados ou modificados pela ocorrncia de ataques
ou ameaas, e que, conseqentemente, afetam o
comportamento normal da rede, amadurecida.
O RECON est sendo utilizado para obter
informaes de cabealhos dos pacotes e, a partir destas
informaes, reconstruir e inferir sobre o estado das
sesses TCP/IP contidas no trfego de rede analisado.
Esta aplicao utiliza a biblioteca libpcap para capturar
dados do cabealho dos pacotes TCP, UDP e ICMP (em
nvel de Transporte), IP (em nvel de Rede) e Ethernet
(em nvel de Enlace).
A idia para mapeamento normal do comportamento
de qualquer que seja a rede TCP/IP definir os atributos
relevantes e extra-los (seleo de atributos) do conjunto
de dados de sesses TCP e UDP filtrados e estruturados
pelo RECON, os quais descrevem a utilizao dos
servios e recursos da Rede de Produo. Em seguida,
estes dados sero armazenados em bases de dados, por
exemplo MySQL, que, embora grandes, tero menor
volume que a do trfego original carregada de atributos
desnecessrios para anlise de anomalias. Com um
conjunto reduzido de dados teis, pode-se mapear o
comportamento da rede, atravs de instncias do trfego
de rede caracterstico, em menor tempo e
eficientemente.
4. Concluses
Atravs dos grficos preliminares gerados at o
momento, observou-se os servios de rede que so mais
freqentemente utilizados na Rede de Produo
monitorada.
Os atributos relevantes necessrios para a
modelagem do perfil normal da rede podem ser
classificados como atributos primitivos e atributos
derivados. Dentre os atributos primitivos destacam-se:
de destino, tipo de protocolo, durao da sesso, total de
bytes por pacote e total de pacotes. Alguns exemplos de
atributos derivados so: nmero de pacotes fluindo de
uma determinada origem para um destino, nmero de
pacotes e quantidade de bytes fluindo de um
determinado destino para uma origem, nmero de
conexes para IP de destino nico dentro da rede nos
ltimos T segundos provenientes da mesma origem,
nmero de conexes para IP de destino nico dentro da
rede nas ltimas N conexes, partindo da mesma
origem.
Com os atributos extrados do RECON pode-se
construir grficos representativos do comportamento
normal da rede, com base em anlise estatstica de
freqncia mdia de acessos a servios e recursos (perfil
normal de uso dos servios). A comparao de grficos
de diferentes dias poder inferir sobre o comportamento
da rede em uma semana, por exemplo, e anlises de
grficos semanais podem inferir sobre o comportamento
da rede em um ms.
Uma fotografia do trfego em determinado instante
pode ento ser comparada ao comportamento normal
mdio da rede modelado e, a apresentao de algum
desvio significativo do padro modelado, poder indicar
a presena de um ataque conhecido ou de um novo
ataque que dever ser sinalizado pelo sistema e cujo
trao malicioso dever ser posteriormente confirmado
pelo analista de rede.
Alguns tipos de ataques podem ser observados pela
avaliao de informaes localizados em campos do
cabealho dos pacotes, enquanto outras, a partir dos
dados de carga til (payload) do pacote. Porm, certos
campos do cabealho so utilizados pelos atacantes de
forma diferente do especificado nas RFCs, para burlar
os sistemas de deteco. Neste caso, deve-se considerar
a anlise de cabealho dos pacotes e parte do contedo
do payload para identificao de determinados tipos de
ataques.
Dentre os prximos desafios a serem enfrentados
destacam-se:
Selecionar atributos e armazenar grande
conjunto de dados para representao do perfil
normal da rede;
Mapear situaes em que deve-se considerar
parte do payload para identificar ataques;
Modelar entradas para as redes neurais para
treinamento da rede e classificao de eventos
de rede;
Utilizar diferentes abordagens de dataming
para determinar tcnica mais promissora para
conduo das pesquisas;
Testar o desempenho e preciso do sistema;
Reduzir a taxa de falsos-positivos e negativos
do sistema.
Finalizando este artigo, apresentam-se alguns
comentrios sobre sistemas de deteco por anomalia.
Sistemas deste tipo permitem a construo de modelos a
partir de dados normais e detectam desvios do modelo
normal nos dados observados. Uma grande vantagem do
sistema a capacidade de detectar novos tipos de
intruses como desvios do comportamento normal.
Dado um conjunto de dados normais para treinamento e
dado uma nova poro de dados de teste, o objetivo do
algoritmo de deteco de intruso determinar se os
dados de teste pertencem a um comportamento normal
ou anmalo. Entretanto, modelos de deteco por
anomalia esto sujeitos a uma alta taxa de alarmes falsos
(falsos-positivos). Isto ocorre, principalmente, porque
comportamentos do sistema previamente no
observados, ainda que legtimos, podem tambm ser
reconhecidos como anomalias, e, conseqentemente,
sinalizados como intruses potenciais. Estes problemas
devem ser considerados no desenvolvimento do sistema
ANIS.
6. Referncias
[1] Ambwani, T., Multi Class Support Vector Machine
Implementation to Intrusion Detection, Proceedings of The
International Joint Conference on Neural Networks, 2003, 3,
2300-2305.
[2] Caswell, B.; Beale, J.; Foster, J.C.; Posluns, J., Snort 2
Sistema de Deteco de Intruso, Ed. Alta Books, Rio de
Janeiro, 2003.
[3] Chaves, M.H.P.C., Anlise de Estado de Trfego de
Redes TCP/IP para Aplicao em Deteco de Intruso, So
Jose Dos Campos, INPE, 2002.
[4] Dhanjani, N., Hack Notes Linux and Unix Security
Portable Reference, Rio de Janeiro, Ed. Elsevier, 2003.
[5] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.;
Srivastava, J.; Tan, P.; Ozgur, A. Cyber Threat Analysis
A key enabling Technology for The Objective Force
(A Case Study in Network Intrusion Detection),
dezembro, 2002.
[6] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.;
Srivastava, J.; Tan, P. Data Mining for Network Intrusion
Detection, Tutorial at the Pacific-Asia Conference on
Knowledge Discovery in Databases, Seoul, 2003.
[7] Ertoz, L.; Eilertson, E.; Lazarevic, A.; Tan, P.; Dokas, P.;
Srivastava, J.; Kumar, V., Detection and Summarization of
Novel Network Attacks Using Data Mining, disponvel em:
http://www.cs.umn.edu/ research/minds/papers/raid03.pdf,
acesso em: jul 2004.
[8] Lazarevic, A.; Ertoz, L.; Ozgur, A; Srivastava, J.; Kumar,
V., A Comparative Study Of Anomaly Detection Schemes In
Network Intrusion Detection, Proceedings of Third SIAM
Conference on Data Mining, San Francisco, May 2003.
[9] Melo, S.,Explorao de Vulnerabilidades em Redes
TCP-IP, Ed. Alta Books, Rio de Janeiro, 2004.
[10] Mukkamala, S.; Janowski, G.; Sung, A. H., Intrusion
Detection Using Neural Networks and Support Vector
Machines, Proceedings of the International Joint Conference
on Neural Networks, 2002, 2, 1702-1707.

[11] Northcutt, S.; Novak, J. Network Intrusion

Detection Ed. New Riders Publishing, 2003.

[12] Petrovskiy, M. A., Fuzzy Kernel-Based Method for

Real-Time Network Intrusion Detection, Innovative Internet
Community Systems, Lecture Notes in Computer Science,
2003, 2877, 189-200.

[13] Ramaswamy, S.; Rastogi, R.; Shim, K., Efficient

Algorithms For Mining Outliers From Large Data Sets,
Proceedings of the ACM Sigmod Conference, 2000.

[14] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,

A Neural Network Application for Attack Detection in
Computer Networks, International Joint Conference on
Neural Networks, Budapeste , Hungria, 2004.

[15] Silva, L. S.; Montes A.; Silva, J. D. S, Uma soluo

Hbrida para Deteco de Anomalias em Redes, Anais do IV
Workshop de Computao Aplicada , INPE So Jos dos
Campos, 2004.

[16] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,

ANNIDA: Artificial Neural Network for Intrusion Detection
Application Aplicao da Hamming Net para Deteco por
Assinatura, VII Congresso Brasileiro de Redes Neurais,
Natal, 2005.

[17] Stevens, W.R.; TCP-IP Illustrated Volume 1: The

Protocols, Ed. Addison-Wesley, 2001.

[18] Sung, A.H.; Mukkamala, S. A Comparative Study of

Techniques for Intrusion Detection, Proceedings of the
International Conference on Tools with Artificial Intelligence,
2003, 570-577.

[19] Zhang, Z.; Li, J.; Manikopoulos, C.N.; Jorgenson, J.;

Ucles, J. Hide: A Hierarchical Network Intrusion Detection
System Using Statistical Preprocessing ad Neural Network
Classification, Proceedings of the 2001 IEEE, Workshop on
Information Assurance and Security United States Military
Academy, West Point, NY, 2001, 5-6 June.