Resumo ataque que descoberto. Esta limitao conduz ao
interesse crescente pelo uso de tcnicas de deteco de Neste artigo so apresentadas as atividades intruso baseadas em datamining [1,5,8,10,12], realizadas at o momento para o desenvolvimento de descritas basicamente em duas categorias: deteco por um sistema de deteco de intruso baseado em rede, abuso e deteco por anomalia. para o qual utilizada a abordagem baseada em Na deteco por abuso, cada instncia de um anomalias. O objetivo deste sistema sinalizar desvios conjunto de dados rotulada como normal ou do comportamento normal de uma rede, os quais podem intrusiva e um algoritmo treinado a partir dos dados indicar a ocorrncia de ataques. Inicialmente, rotulados. Neste tipo de tcnica, os modelos de apresentada uma breve descrio do objetivo do deteco de intruso so automaticamente re-treinados a trabalho e da situao atual em que se encontra. Na partir de dados de entrada diferentes que descrevem seo 2, o ambiente configurado para a monitorao do novos tipos de ataque, uma vez que tenham sido trfego de rede descrito. Em seguida, apresentada a adequadamente rotulados [8]. Pesquisas em deteco estratgia de recuperao de atributos a partir da qual por abuso so centradas principalmente na classificao ser desencadeada a representao do comportamento de intruses pelo uso de algoritmos de datamining normal da rede, na seo 3. Finaliza-se este artigo com padro, modelos de predio de classe rara, regras de concluses e descrio dos prximos desafios a serem associao e modelagem de custo sensitivo [5,8]. enfrentados. Diferente dos sistemas de deteco de intruso baseados em assinaturas, os modelos por abuso so criados de Palavras-chave: deteco de intruso, deteco de forma automtica, e costumam ser mais sofisticados e ataques, deteco por anomalia, ids, aplicao de precisos que as assinaturas criadas manualmente. Uma redes neurais. grande vantagem do uso de tcnicas baseadas em abuso seu alto grau de exatido na deteco de ataques 1. Introduo conhecidos e suas variaes. A principal desvantagem a incapacidade de detectar ataques cujas instncias ainda Para proteger uma rede de computadores do ciber- no tenham sido observadas. terrorismo necessria a implantao de um sistema de Deteco por anomalia, por outro lado, uma defesa em profundidade, considerando vrias camadas metodologia de deteco de intruso em que de segurana [11]. Fortalecimento dos sistemas de hosts perturbaes do comportamento normal sugerem a da rede, anlise peridica da configurao de segurana presena de ataques, falhas, defeitos e outras ameaas, do ambiente e dos registros de eventos (logs) dos induzidas intencionalmente ou no. Dado um conjunto sistemas, estratgia de localizao dos recursos, uso de de dados normais para treinamento e dado uma nova sistemas de filtragem e controle do trfego, configurao poro de dados de teste, o objetivo do algoritmo de de regras de controle de acesso em elementos ativos de deteco de intruso por anomalia determinar se os rede e implantao de sistemas de deteco de intruso, dados de teste pertencem a um comportamento normal so exemplos de camadas de segurana que podem ou anmalo. tornar uma rede mais segura. A proposta de uma soluo hbrida para deteco de intrusos em redes de computadores, apresentada no Deteco de intruso corresponde a um conjunto de WORCAP 2004 [15], tem como objetivo o tcnicas que so usadas para identificar ataques contra desenvolvimento de um sistema de deteco de intruso computadores e infra-estrutura de rede. Os mtodos baseado em anomalia intitulado ANIS ANomaly mais desenvolvidos para detectar ciber-ataques rede Identification-based Intrusion detection System , em que utilizam tcnicas de deteco baseadas em assinaturas tcnicas de datamining, tais como redes neurais, [2,14,16]. Tais mtodos possuem a limitao de detectar devero ser utilizadas para a identificao de apenas ataques previamente conhecidos representados informaes anmalas em grandes conjuntos de dados por meio de assinaturas. Uma assinatura manualmente do trfego de rede. inserida em um banco de dados para cada novo tipo de Os mdulos da aplicao em desenvolvimento so Para o desenvolvimento do sistema proposto, as ilustrados na figura 1, a seguir, e devem realizar as seguintes aes esto sendo realizadas: seguintes tarefas: captura de pacotes, filtragem de dados, pesquisas na rea: formato dos protocolos de extrao de atributos, modelagem do perfil normal, rede TCP-IP [17]; identificao e recuperao classificao de eventos e identificao de ataques. de conjuntos de atributos que representam o comportamento da rede observada [6,8]; mapeamento do comportamento normal da rede; estudo de perfis de ataques rede [4,9,11]; estudo de redes neurais e lgica fuzzy; acompanhamento da evoluo dos trabalhos publicados na rea [5,6,7,8,13,18,19]; preparao do ambiente para monitorao do trfego e captura de dados; coleta e anlise de dados com tcpdump e Ethereal; estudos e reconstruo de sesses com o sistema RECON [3];
desenvolvimento do sistema ANIS com os
mdulos: mdulo de filtragem de dados, mdulo de extrao de atributos, mdulo de modelagem do perfil normal, mdulo de classificao e mdulo de deciso. Neste trabalho, so apresentadas as etapas concludas e aquelas em desenvolvimento para a construo do sistema. Pesquisas j realizadas envolvem o significado dos campos de formatao dos protocolos de rede TCP/IP, identificao de atributos-chave dos pacotes de rede e estudos de perfis de ataques rede. Pacotes com informaes de ataques simulados continuam sendo avaliados, dados de trfego com traos de ataque so Figura 1: Arquitetura modular do sistema comparados aos dados do trfego normal de uma rede de teste controlada em uso e, medida que a pesquisa se O mdulo Captura de dados ser utilizado para a desenvolve, novas informaes esto sendo agregadas coleta de dados de pacotes trafegando pela rede. O ao trabalho. mdulo Filtragem destinado reconstruo de todas O ambiente de monitorao do trfego da rede as sesses de interesse do trfego. A seleo de dados interna de produo determinada para os testes de relevantes para compor as instncias que descrevero o desenvolvimento do sistema encontra-se operacional e comportamento atual da rede ser realizada pelo mdulo em correto funcionamento. Dados do trfego Extrao de Atributos. O mdulo de Modelagem do monitorado pelos sistemas tcpdump e Ethereal tm sido perfil normal tem por finalidade o armazenamento das estudados. Na fase atual, dados de atributos do sistema instncias de treinamento em bancos de dados, quando RECON esto sendo recuperados e sero armazenados preparando o conjunto de dados de treinamento (etapa em uma base de dados para facilitar as anlises 1) para o detector inteligente. realizadas. Quando efetuando os testes e aplicao do sistema (etapa 2) , ser executado o mdulo Deteco de Nesta etapa, parmetros do sistema RECON, que Anomalias para a identificao de eventos ilegtimos correspondem a atributos de diferentes sesses do na rede. Em caso de descoberta de atividade hostil, o trfego (HTTP, SMTP, DNS, SSH, por exemplo), os tipo de ataque ser identificado (etapa 3) e informado ao quais so armazenados em memria (rvore de sesses), operador do sistema. esto sendo investigados e recuperados para a criao de uma base de atributos teis. Na fase atual de desenvolvimento do ANIS, inicia-se a construo do Mdulo Extrao de Atributos do ANIS, onde os atributos relevantes das sesses reconstrudas pelo 2.1. Caractersticas do sensor de rede RECON sero coletados e armazenados em base de dados, no caso da etapa de preparao de dados de O sensor de rede um dispositivo utilizado para a treinamento ou sero encaminhados para o mdulo de captura de dados que so introduzidos e processados em deteco de anomalias, na fase de testes ou de anlise sistemas de monitoramento de rede ou de deteco de dos dados de produo. intruso. Neste trabalho, o sensor utilizado para a 2. Preparao do ambiente para monitorao da Rede de Produo um monitorao do trfego microcomputador denominado Maquina de Captura, com as seguintes caractersticas: Pentium 4 com 1.5 O comportamento de duas redes Rede de Teste e GHz de velocidade de processamento; disco rgido com Rede de Produo tem sido estudado. A coleta de capacidade para armazenamento de at 120 GB de dados destas redes realizada atravs de um sensor dados; memria RAM de 520 MB e sistema operacional localizado no ambiente de monitorao do trfego Linux Slackware. preparado para esta finalidade. Para fortalecimento da Mquina de Captura foram A Rede de Teste corresponde rede utilizada para instalados apenas os servios de rede e pacotes do os testes de aplicao de ataques simulados e sistema operacional necessrios para as operaes monitorao do trfego. Esta rede reside no ambiente do desejadas, alm da configurao segura de parmetros Laboratrio de Redes da Diviso de Desenvolvimento dos arquivos de pacotes e servios instalados. de Sistemas de Solo LabRedes-DSS. At o momento, Como a Mquina de Captura possui uma so utilizados trs computadores nos quais so comunicao com a rede externa para backup de dados, instaladas aplicaes cliente e servidoras em ambiente foi configurado o servio de filtragem de pacotes, para Windows e Linux, alm de ferramentas de anlise e bloquear o trfego indesejado. Alm disto, o relgio do explorao de vulnerabilidades de sistemas, conforme computador foi sincronizado com servio de tempo de necessrio. Os servios instalados at o momento na referncia para armazenar informaes de data-hora Rede de Testes so: HTTP (IIS e Apache), DNS, FTP e corretas nos histricos de eventos registrados. SSH. medida que diferentes ataques a servios precisam 2.2. Posicionamento do sensor ser aplicados, a Rede de Teste tem a sua configurao modificada. O trfego desta rede observado por Existem vrias possibilidades de posicionamento do intermdio de ferramentas, tais como tcpdump, Ethereal sensor na rede e que influenciam diretamente na e scripts de monitorao de rede. eficincia dos resultados gerados pelo monitor de rede Na Rede de Teste foram identificadas, atravs da ou pelo detector de intruses aps anlise dos dados ferramenta Languard e outras ferramentas similares, coletados [3]. No ambiente configurado para este algumas brechas de segurana em mquinas Windows, trabalho, o sensor colocado fora dos limites de enquanto aplicaes como Nessus e scripts de proteo do firewall, de modo que todo o trfego varreduras foram utilizadas para identificar destinado ou proveniente da Rede de Produo vulnerabilidades em maquina Linux. Alguns sistemas do coletado. Esta configurao permite a observao de ambiente desenvolvido foram fortalecidos segundo os ataques direcionados ao firewall e a recursos protegidos procedimentos encontrados em livros [4], pesquisas pela por este. Deste modo, a quantidade de dados a serem Internet e conforme recomendaes aprendidas nos tratados consideravelmente grande. cursos de Segurana em Redes do INPE, enquanto Conforme ilustrado na figura 2, o sensor de rede est algumas vulnerabilidades de servios de rede de alguns conectado a uma porta do switch para a qual espelhado hosts foram estrategicamente mantidas para a realizao o trfego de entrada e sada do firewall, o que viabiliza a dos testes. observao de todo o trfego passando pelo ponto de O ambiente de rede principal (Rede de Produo) monitoramento em questo. O sentido unidirecional da monitorado neste trabalho a RedeBeta, rede interna do seta representa o trfego fluindo para o sensor, INPE utilizada para compartilhamento e integrao de indicando que o sensor passivo, ou seja, no interage conhecimento entre um grupo de usurios da ETE (rea com outros dispositivos, apenas transfere dados de Engenharia e Tecnologia Espacial). Para a coletados para backup em outra mquina. monitorao deste ambiente foi implementado o sensor de rede descrito na prxima seo. informaes entre dois endereos IP, e que tenha inicio, meio e fim (mesmo que toda a comunicao esteja Internet contida em um nico pacote). Anlises preliminares realizadas a partir de amostras da populao do trfego da Rede de Produo e as ` pesquisas conduzidas sobre o assunto [8,17] ajudaram Sensor no entendimento e identificao de atributos que so relevantes e que devem pertencer a um subconjunto de dados, ainda de grande volume, a ser explorado. Destas primeiras anlises tambm foram revelados os servios mais explorados na Rede de Produo em determinado Firewall dia, da semana e do ms. Ainda como parte da pesquisa, a Rede de Testes tem sido utilizada para as anlises comparativas entre o trfego normal da rede quando acessados determinados servios e as perturbaes provocadas quando estes Rede Monitorada servios so atacados (trfego comprometido). Com isto, a compreenso dos atributos de rede que so Figura 2: Posicionamento do sensor na rede influenciados ou modificados pela ocorrncia de ataques ou ameaas, e que, conseqentemente, afetam o comportamento normal da rede, amadurecida. 2.3. Estratgia para captura de dados O RECON est sendo utilizado para obter informaes de cabealhos dos pacotes e, a partir destas Os dados da Rede de Produo so capturados pelo informaes, reconstruir e inferir sobre o estado das sensor atravs de chamadas ao programa tcpdump sesses TCP/IP contidas no trfego de rede analisado. implementadas nos Shell scripts codificados em Esta aplicao utiliza a biblioteca libpcap para capturar linguagem C e compilados pelo GCC em ambiente dados do cabealho dos pacotes TCP, UDP e ICMP (em Linux Slackware. A captura de dados efetuada nvel de Transporte), IP (em nvel de Rede) e Ethernet utilizando-se a biblioteca libpcap implementada no (em nvel de Enlace). tcpdump. Um script de rotacionamento de logs A idia para mapeamento normal do comportamento (rotatedump.sh) utilizado para manter o processo de qualquer que seja a rede TCP/IP definir os atributos tcpdump em execuo, coletando todo o trfego relevantes e extra-los (seleo de atributos) do conjunto destinado rede monitorada atravs de interface em de dados de sesses TCP e UDP filtrados e estruturados modo promscuo, e para armazenamento dos logs de pelo RECON, os quais descrevem a utilizao dos eventos em janelas de 10 minutos de trfego. A cada servios e recursos da Rede de Produo. Em seguida, hora os dados so armazenados em mquina remota estes dados sero armazenados em bases de dados, por atravs de um script especfico para esta finalidade exemplo MySQL, que, embora grandes, tero menor (senddump.sh). volume que a do trfego original carregada de atributos desnecessrios para anlise de anomalias. Com um 3. Mapeamento do comportamento conjunto reduzido de dados teis, pode-se mapear o normal da rede comportamento da rede, atravs de instncias do trfego de rede caracterstico, em menor tempo e Com o ambiente de monitorao do trfego eficientemente. preparado, um grande conjunto de dados, cerca de um ms e meio de trfego total da RedeBeta registrado, hoje 4. Concluses encontra-se disponvel para os testes do sistema em desenvolvimento. Com o conjunto de dados Atravs dos grficos preliminares gerados at o armazenado, possvel realizar a extrao de atributos momento, observou-se os servios de rede que so mais de interesse dos pacotes de rede para mapeamento do freqentemente utilizados na Rede de Produo comportamento normal da rede. Um total de 144 monitorada. arquivos so armazenados por dia, tendo em mdia o Os atributos relevantes necessrios para a tamanho de 2.5 MB cada um. modelagem do perfil normal da rede podem ser Participam deste grande conjunto, dados de pacotes classificados como atributos primitivos e atributos de rede referentes s sesses TCP/IP do trfego derivados. Dentre os atributos primitivos destacam-se: proveniente e em direo Rede de Produo. Segundo endereo IP de origem e de destino, portas de origem e [3], uma sesso TCP-IP definida por qualquer de destino, tipo de protocolo, durao da sesso, total de seqncia de pacotes que caracterize a troca de bytes por pacote e total de pacotes. Alguns exemplos de partir de dados normais e detectam desvios do modelo atributos derivados so: nmero de pacotes fluindo de normal nos dados observados. Uma grande vantagem do uma determinada origem para um destino, nmero de sistema a capacidade de detectar novos tipos de pacotes e quantidade de bytes fluindo de um intruses como desvios do comportamento normal. determinado destino para uma origem, nmero de Dado um conjunto de dados normais para treinamento e conexes para IP de destino nico dentro da rede nos dado uma nova poro de dados de teste, o objetivo do ltimos T segundos provenientes da mesma origem, algoritmo de deteco de intruso determinar se os nmero de conexes para IP de destino nico dentro da dados de teste pertencem a um comportamento normal rede nas ltimas N conexes, partindo da mesma ou anmalo. Entretanto, modelos de deteco por origem. anomalia esto sujeitos a uma alta taxa de alarmes falsos Com os atributos extrados do RECON pode-se (falsos-positivos). Isto ocorre, principalmente, porque construir grficos representativos do comportamento comportamentos do sistema previamente no normal da rede, com base em anlise estatstica de observados, ainda que legtimos, podem tambm ser freqncia mdia de acessos a servios e recursos (perfil reconhecidos como anomalias, e, conseqentemente, normal de uso dos servios). A comparao de grficos sinalizados como intruses potenciais. Estes problemas de diferentes dias poder inferir sobre o comportamento devem ser considerados no desenvolvimento do sistema da rede em uma semana, por exemplo, e anlises de ANIS. grficos semanais podem inferir sobre o comportamento da rede em um ms. 6. Referncias Uma fotografia do trfego em determinado instante pode ento ser comparada ao comportamento normal [1] Ambwani, T., Multi Class Support Vector Machine mdio da rede modelado e, a apresentao de algum Implementation to Intrusion Detection, Proceedings of The desvio significativo do padro modelado, poder indicar International Joint Conference on Neural Networks, 2003, 3, a presena de um ataque conhecido ou de um novo 2300-2305. ataque que dever ser sinalizado pelo sistema e cujo trao malicioso dever ser posteriormente confirmado [2] Caswell, B.; Beale, J.; Foster, J.C.; Posluns, J., Snort 2 Sistema de Deteco de Intruso, Ed. Alta Books, Rio de pelo analista de rede. Janeiro, 2003. Alguns tipos de ataques podem ser observados pela avaliao de informaes localizados em campos do [3] Chaves, M.H.P.C., Anlise de Estado de Trfego de cabealho dos pacotes, enquanto outras, a partir dos Redes TCP/IP para Aplicao em Deteco de Intruso, So dados de carga til (payload) do pacote. Porm, certos Jose Dos Campos, INPE, 2002. campos do cabealho so utilizados pelos atacantes de forma diferente do especificado nas RFCs, para burlar [4] Dhanjani, N., Hack Notes Linux and Unix Security os sistemas de deteco. Neste caso, deve-se considerar Portable Reference, Rio de Janeiro, Ed. Elsevier, 2003. a anlise de cabealho dos pacotes e parte do contedo do payload para identificao de determinados tipos de [5] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.; ataques. Srivastava, J.; Tan, P.; Ozgur, A. Cyber Threat Analysis Dentre os prximos desafios a serem enfrentados A key enabling Technology for The Objective Force destacam-se: (A Case Study in Network Intrusion Detection), dezembro, 2002. Selecionar atributos e armazenar grande conjunto de dados para representao do perfil [6] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.; normal da rede; Srivastava, J.; Tan, P. Data Mining for Network Intrusion Mapear situaes em que deve-se considerar Detection, Tutorial at the Pacific-Asia Conference on Knowledge Discovery in Databases, Seoul, 2003. parte do payload para identificar ataques; Modelar entradas para as redes neurais para [7] Ertoz, L.; Eilertson, E.; Lazarevic, A.; Tan, P.; Dokas, P.; treinamento da rede e classificao de eventos Srivastava, J.; Kumar, V., Detection and Summarization of de rede; Novel Network Attacks Using Data Mining, disponvel em: Utilizar diferentes abordagens de dataming http://www.cs.umn.edu/ research/minds/papers/raid03.pdf, para determinar tcnica mais promissora para acesso em: jul 2004. conduo das pesquisas; Testar o desempenho e preciso do sistema; [8] Lazarevic, A.; Ertoz, L.; Ozgur, A; Srivastava, J.; Kumar, V., A Comparative Study Of Anomaly Detection Schemes In Reduzir a taxa de falsos-positivos e negativos Network Intrusion Detection, Proceedings of Third SIAM do sistema. Conference on Data Mining, San Francisco, May 2003. Finalizando este artigo, apresentam-se alguns comentrios sobre sistemas de deteco por anomalia. [9] Melo, S.,Explorao de Vulnerabilidades em Redes Sistemas deste tipo permitem a construo de modelos a TCP-IP, Ed. Alta Books, Rio de Janeiro, 2004. [10] Mukkamala, S.; Janowski, G.; Sung, A. H., Intrusion Detection Using Neural Networks and Support Vector Machines, Proceedings of the International Joint Conference on Neural Networks, 2002, 2, 1702-1707.
[11] Northcutt, S.; Novak, J. Network Intrusion
Detection Ed. New Riders Publishing, 2003.
[12] Petrovskiy, M. A., Fuzzy Kernel-Based Method for
Real-Time Network Intrusion Detection, Innovative Internet Community Systems, Lecture Notes in Computer Science, 2003, 2877, 189-200.
[13] Ramaswamy, S.; Rastogi, R.; Shim, K., Efficient
Algorithms For Mining Outliers From Large Data Sets, Proceedings of the ACM Sigmod Conference, 2000.
[14] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,
A Neural Network Application for Attack Detection in Computer Networks, International Joint Conference on Neural Networks, Budapeste , Hungria, 2004.
[15] Silva, L. S.; Montes A.; Silva, J. D. S, Uma soluo
Hbrida para Deteco de Anomalias em Redes, Anais do IV Workshop de Computao Aplicada , INPE So Jos dos Campos, 2004.
[16] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,
ANNIDA: Artificial Neural Network for Intrusion Detection Application Aplicao da Hamming Net para Deteco por Assinatura, VII Congresso Brasileiro de Redes Neurais, Natal, 2005.
[17] Stevens, W.R.; TCP-IP Illustrated Volume 1: The
Protocols, Ed. Addison-Wesley, 2001.
[18] Sung, A.H.; Mukkamala, S. A Comparative Study of
Techniques for Intrusion Detection, Proceedings of the International Conference on Tools with Artificial Intelligence, 2003, 570-577.
Ucles, J. Hide: A Hierarchical Network Intrusion Detection System Using Statistical Preprocessing ad Neural Network Classification, Proceedings of the 2001 IEEE, Workshop on Information Assurance and Security United States Military Academy, West Point, NY, 2001, 5-6 June.