A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006. 1.

Apresentações semelhantes


Apresentação em tema: "SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006. 1."— Transcrição da apresentação:

1 SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons,

2 Roteiro 2  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

3 Roteiro 3  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

4 Papel das Medições da Internet na Segurança 4  Exame de características básicas dos pacotes tais como:  Intervalos de tempo entre chegadas  Tamanho dos pacotes  Escolhas de protocolos  Padrões de interação entre pontos terminais Endereços IP e portas origem e destino  São utilizadas para a detecção de atividades incomuns (Fora do padrão)

5 Camadas Mais Altas 5  Nas camadas mais altas:  Padrões ON/OFF das conexões  Diferenças nos atributos a nível de fluxo  Também foram usados em segurança das aplicações associadas.  Logs de firewalls são examinados em busca de pontos fora da curva.  Filtragem através de ACLs (Access Control List) de roteadores podem fornecer informações sobre falsos positivos:  Tráfego legítimo que pode ser bloqueado inadvertidamente

6 Papel das Medições da Internet na Segurança 6  Outros mecanismos de limitação de taxas, tais como o CAR da Cisco, podem necessitar de monitoração para examinar se o tráfego desejado está sendo limitado resultando em piora no desempenho.  Anomalias no nível de configuração da comunicação interdomínio, acidental ou deliberada, podem levar a interrupções significativas que podem não ser percebidas até que haja um ataque.  A monitoração passiva de mensagens de atualização BGP em conjunto com informações de topologia podem ajudar a detectar a presença destas anomalias.

7 Camada de Aplicação 7  Na camada de aplicação, tudo desde o conteúdo de cabeçalhos de protocolos a suas cargas foram candidatos para uma possível detecção de ataque.  A falta de verificação de conformidade do protocolo pelas implementações podem ser exploradas para atacar servidores.  O simples acompanhamento da fração entre a carga (upload) e a descarga (download) de um par pode ajudar a identificar “caroneiros” que contribuem para a degradação geral da rede p2p.

8 Vírus e Fidelidade em Jogos 8  No caso de worms e vírus, houve uma quantidade considerável de medições visando caracterizar, isolar e ajudar na detecção destes eventos.  Em jogos em rede, o sequestro da identidade de um usuário ou um jogador mentindo sobre as suas coordenadas atuais são violações da fidelidade do sistema.  A ausência desta fidelidade pode ter um impacto sério no número de participantes no jogo e, portanto, na sua popularidade geral.

9 Intrusões 9  Uma intrusão é frequentemente detectada como um desvio da norma;  Com a norma definida a partir de históricos de padrões de acesso e a política do sítio.  Uma arquitetura para um sistema de detecção de intrusões (IDS) pode começar com:  A filtragem e bloqueio de tráfego  Reunir informações adicionais sobre possíveis atacantes  Análise através de múltiplas camadas da pilha de protocolos antes de encaminhar os pacotes para o destino pretendido.

10 Intrusões 10  Métodos de detecção de mudanças construídos sobre técnicas de medições estatísticas monitoram os níveis de tráfego em diferentes partes da rede para avisar sobre possíveis ataques.  Foram criadas ferramentas para ajudar na detecção de intrusão com a incorporação de componentes básicos de medições.  Produtos comerciais de segurança dependem de medições para identificar ameaças em potencial, reduzir falsos positivos e na agregação de informação com finalidades forenses.

11 Roteiro 11  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

12 Medições na Intranet como Ajuda à Segurança 12  A maior parte das entidades administrativas estão preocupadas apenas em tornar seguras as suas próprias redes.  As medições que são usadas para caracterizar os problemas de segurança dependem de:  A natureza do tráfego dentro da rede  Os tipos de ataques observados e  A importância dos recursos que estão sendo protegidos.

13 Medições na Intranet como Ajuda à Segurança 13  Podem ser minerados informações de medições passivas que já estejam sendo realizadas, tais como dados de SNMP, ou informações de fluxos (ex. netflow).  Desvios significativos do tráfego esperado podem ser vistos como uma violação de segurança em potencial apesar de que alguns desvios significativos podem ser um comportamento de rotina. Uma breve falha de comunicação com um servidor DNS pode fazer com que uma aplicação seja suspendida por alguns segundos e um retorno ao comportamento normal confirmariam a ausência de um ataque. Da mesma forma, um evento de flash crowd disparado por um interesse repentino em um sítio Web, não seria um ataque.

14 Uso de Medições Passivas 14  Pela sua própria natureza, as medições passivas analisadas após o fato, são sobretudo detecção de intrusão e não uma prevenção ativa.  Os logs dos firewalls são normalmente reunidos tanto em tráfegos que foram bloqueados como naqueles que foram permitidos.  Nesta seção serão examinadas técnicas que foram propostas para usar dados disponíveis em diversos níveis procurando por possíveis violações de segurança.  Medições da Intranet usam SNMP, dados de fluxos e logs em diversos níveis de ataques.

15 Dados do SNMP 15  Os dados do SNMP são coletados periodicamente (tipicamente a cada 5 minutos) e consistem de uma variedade de estatísticas de tráfego tais como contadores de pacotes e número de bytes que atravessam um link  O intervalo de coleta limita o tipo de anomalias que podem ser detectadas dado que desvios breves que forem menores que este intervalo não serão capturados.

16 Dados de Fluxo e SNMP 16  Os dados de fluxos são coletados em diversos roteadores (acesso, entrada, etc.) em formato bruto.  Um exemplo do uso de dados de SNMP e de fluxos para detectar ataques de negação de serviço (DoS), com a aplicação de transformações baseadas em ondaletas (wavelets) aos dados é descrita em [BKPR02].  Foram usadas ondaletas dado que elas consideram seja a frequência como o tempo na descrição da série temporal dos dados.

17 Dados de Fluxos 17  Se o volume dos fluxos de dados se tornarem extremamente grandes, são obtidos apenas dados amostrados.  A amostragem pode ser simplesmente estatística, tais como um a cada n pacotes  Ou algo mais inteligente – polarizado para o percentual de tráfego em certas aplicações  O nível de detalhes disponíveis em dados de fluxos é frequentemente suficiente para distinguir as aplicações e examinar mais de perto endereços de origem e prefixos de interesse.

18 Dados de Fluxos 18  Mesmo que os dados de fluxos sejam coletados continuamente, devido à natureza dos fluxos que são exportados para a entidade coletora, múltiplas transações que durem minutos podem expirar antes que um registro de fluxo seja escrito.  Portanto, muitas das análises de registros de fluxos são realizadas após o fato, ao invés de ao vivo.  A análise estatística dos registros de fluxos podem identificar rapidamente endereços de origem que excedam alguns limiares esperados de contagem de pacotes ou de bytes para certas aplicações.  No entanto, limiares não são sempre a melhor forma para identificar atacantes.  Pacotes de teste enviados por endereços IP atacantes são em pequeno número, mas são uma ameaça à segurança.

19 Dados de Fluxos 19  Dado que os registros de fluxo não contêm o corpo dos pacotes, eles não são capazes de identificar ataques baseados no conteúdo.  Logs de aplicações de alto nível frequentemente retêm os cabeçalhos e, em casos específicos, informações de pacotes em camadas ainda mais profundas.  Estes logs podem ser minerados para obter dados adicionais.

20 Tráfego de Saída 20  Dado que é possível que ataques sejam disparados de dentro da rede, as medições podem ser usadas para verificar se o tráfego de saída excede alguns limiares.  Os ataques podem ser originados a partir de uma localidade do usuário;  Pode ser não intencional e disparado por um vírus.  Em geral é mais difícil escolher limiares razoáveis para o tráfego de saída dado que o tráfego pode ser benigno.  Ao contrário do tráfego de entrada onde restrições de capacidade e estatísticas passadas podem ajudar na obtenção de limiares interessantes, é mais difícil manter estatísticas em relação a destinos externos.

21 Roteiro 21  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

22 Medições no Gateway como Ajuda à Segurança 22  Os firewalls no perímetro de entidades administrativas registram uma variedade de atividades de rede.  Medições locais foram realizadas nos firewalls para ver se as ferramentas criadas para segurar ataques de inundação pode ser sobrepujado com o incremento da taxa de inundação.  Ex.: inundação de pacotes de SYN  Os firewalls também registram informações detalhadas sobre o tráfego destinado à instalação que estão protegendo.  Estes registros podem ser minerados em busca de informações interessantes: Endereços IP origem que habitualmente enviam tráfego não autorizado Aplicações mais comumente testadas Números de portas mais comumente testadas Etc.

23 IDSes 23  A hipótese básica dos sistemas IDS é que a atividade legítima dentro da rede é previsível:  Adere a certos padrões pré-especificados.  Portanto, um conjunto de assinaturas podem ser especificadas para observar o tráfego que viola os padrões esperados para os tráfegos de entrada ou de saída. Novas assinaturas devem ser frequentemente recuperadas de um servidor central dentro da organização.

24 Falsos Positivos 24  Um esforço considerável deve ser dispendido para ajustar a assinatura a falsos positivos não sobrecarreguem os IDSes.  Tráfego suspeitos de ataque que são na verdade tráfego benigno.  Demasiados falsos positivos reduzem a habilidade de detectar ataques reais  Por outro lado, não queremos perder ataques raros; ou a taxa de falso negativos irá crescer.  Ferramentas específicas foram criadas para tentar reduzir falsos positivos em ferramentas populares de IDS [PYD01].

25 Firewalls 25  Muitos firewalls implantam listas de controle de acesso (ACLs) e verificam endereços específicos de origem (na rede externa) ou de destino (na rede interna).  Se o volume de tráfego indesejado for grande, pode ser necessário criar uma zona desmilitarizada (DMZ).  Testes de vulnerabilidade podem ser executados por ferramentas tais como Internet Scanner [Sec] e nmap [nmap.org] que enviam pacotes de teste para verificar se as configurações do firewall e suas políticas são resilientes.

26 Firewalls 26  As configurações de firewall e as listas de controle de acesso são especificados em diversos formatos a depender do fabricante.  Linux ipchains  IOS da Cisco

27 Ferramentas para a Detecção de Intrusão 27  Citados no livro:  Network Flight Recorder (NFR): Hoje: Checkpoint Intrusion Prevention System  Bro (nova versão:  Snort   Snort:  OSSEC HIDS:  Sguil:

28 IDSes 28  Bro possui um interpretador de scripts de políticas através do qual a política de segurança de um sítio pode ser expressa numa linguagem de alto nível.  Snort:  Pode realizar análise de tráfego e de protocolo em tempo real para ajudar a detectar diversos ataques e alertar os usuários em tempo real.  Também usa uma linguagem para especificar que tráfego deve ser filtrado e que tráfego pode passar.  Pode ser usado também como um mecanismo para registro dos pacotes.  As diversas assinaturas da base de dados do Snort estão documentadas incluindo o seu potencial para falsos positivos e negativos e medidas corretivas a ser tomadas no caso de que um determinado alerta seja levantado.

29 Roteiro 29  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

30 Impacto das Medições Interdomínio na Segurança 30  Ataques a nível interdomínio podem ter uma grande escala e consequências muito sérias.  Uma tabela BGP comprometida pode resultar em colocar uma fração significativa do tráfego num “buraco negro”.  Ou ainda pior, tráfego sensível para um determinado destino pode ser sequestrado!

31 Monitoração de Mensagens BGP 31  A monitoração passiva de mensagens BGP [KMRV03] combinada com um modelo de conectividade de AS pode ajudar a isolar anúncios de rotas que sejam inconsistentes com a topologia atual indicando um possível ataque de “pessoa no meio”.  Esta técnica examina o atributo AS_PATH das mensagens de atualização do BGP buscando por sequências impróprias.

32 Monitoração de Mensagens BGP 32  Mensagens de atualização do BGP foram coletadas durante 4 semanas diferentes num período de dois anos. Tendo sido examinada junto com um mapa de AS gerado para cada uma das instâncias.  Os dados do primeiro dia de cada semana foi usado como um conjunto de treinamento a ser comparado com os demais dias da semana buscando anomalias.  Muitas das violações de propriedade incorreta dos IPs foram devidas a má configurações; e, portanto, não eram ataques.  Outra forma de buscar possíveis violações é através da análise de prefixos que parecem se originar em mais do que um AS. No entanto, também há razões legítimas para que isto ocorra e é necessário filtrar os falsos positivos.

33 Sequestro de Espaço de Endereços 33  Ocorre quando um AS anuncia por engano ou deliberadamente um espaço de endereços que não lhe pertence.  Foi medido em [MWA02] a frequência deste fenômeno de sequestro assim como diversos outros erros comuns de má-configuração.

34 Vantagens das Medições Relacionadas com o BGP 34  O potencial de impacto de qualquer detecção é alto  e os diversos operadores e administradores responsáveis pelo BGP normalmente tendem a cooperar quando são relatados ataques ou má-configurações.  O volume de tráfego a ser examinado é normalmente menor do que uma monitoração de pacotes em larga escala e dados precisam ser coletados apenas na pequena fração de roteadores de acesso que falam BGP.  Uma vez que as medições indiquem a presença de problemas, políticas de filtragem podem ser implantadas ou modificadas as já existentes.

35 Roteiro 35  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

36 Medições de Longa Distância como Ajuda à Segurança 36  Roteiro:  Classificação de ataques DOS  Detecção e rastreamento de atacantes  Vírus e Worms  Monitoração e Coordenação de Detecção de Intrusão

37 Classificação de ataques DOS 37  Ataques de negação de serviço têm sido a forma mais comum de ataque na Internet.  Examinando as características dos pacotes envolvidos nestes ataques (cabeçalhos, taxas de chegadas, etc.) pode-se detectar a ocorrência dos mesmos.

38 Técnica backscatter 38  Esta técnica discute modos de monitorar um único link de saída de um grande espaço de endereços (/8) como um mecanismo de amostragem para caracterizar o número total de ataques de negação de serviço.  Como os ataques são normalmente distribuídos, a monitoração de um espaço largo de endereços permite a caracterização dos ataques de DoS.  A classificação baseada em fluxos tradicional pode ser usada para classificar os ataques: Baseado no protocolo, são realizadas verificações da presença ou não de certos campos ou cabeçalhos.

39 Outras Técnicas 39  Sistema Cossack [HHP03a]: monitora links de peering de forma bidirecional entre ISPs para examinar como os ataques são propagados.  Ferramentas como tcpdump são usadas para capturar cabeçalhos de pacotes para examinar se certos limiares pré-configurados foram excedidos (ex. número de fontes distintas que estão tentando se comunicar com o mesmo host) para identificar um ataque.  Outros limiares incluem aumento na taxa de chegada de pacotes e mudança no volume do ataque com o tempo.

40 Outras Técnicas 40  Foram desenvolvidos arcabouços para classificar os ataques de DoS [HHP03b] usando:  análise de cabeçalhos,  a velocidade de crescimento dos ataques  distinção entre ataques a partir de uma fonte individual ou de múltiplas fontes: Fornecida através de análise de séries temporais.  O objetivo é ser capaz de caracterizar ataques presentes e ajudar a identificar futuros ataques de DoS.

41 Rastreamento de tráfego de ataque e Honeypots (potes de mel). 41  Um honeypot é definido de forma abrangente como um recurso cujo valor reside no seu uso não autorizado  Um mecanismo simples envolve anunciar um conjunto de endereços que não estejam em uso ativo, chamados de endereços escuros.  Quando chega algum tráfego nestes endereços, as origens destes tráfegos são consideradas maliciosas.  Muitos honeypots escutam passivamente a este tráfego de entrada, gastando poucos recursos neste processo.  Outros respondem ativamente desde o simples envio de um SYN- ACK em resposta a um SYN, à emulação de uma sessão de login, e em casos extremos emulando todo o kernel.  Alguns honeypots podem identificar endereços IP suspeitos [Vin04].

42 Honeyfarms 42

43 Honeyfarms 43  As honeyfarms usam imagens de máquinas virtuais para implementar honeypots criando tanto uma ‘assinatura de vulnerabilidade’ e possivelmente uma assinatura de ataque.  A detecção é baseada nos honeypots infectados e não no tráfego dos wormholes.

44 Telescópio de Rede 44  / /  Permite observar vítimas de certos tipos de ataques de DoS ou hosts infectados por worms, e má- configurações a uma distância segura.

45 Limitações dos Honeypots 45  Os honeypots reúnem dados nos alvos dos ataques e outros dados indesejados, mas são incapazes de localizar o ponto de entrada preciso deste tráfego na rede.  Além do mais, alguns destes endereços de origem podem estar mascarados (spoofed)  Rastrear a origem deste tráfego é difícil devido a diversas razões tais como: Atraso desde a origem até a recepção do pacote Dificuldade de manutenção do estado ao longo do caminho deste tráfego. Os ASes ao longo do caminho não se beneficiam do conhecimento de que o tráfego que transportam é malicioso.

46 Projeto Mohonk 46  Proposta para notificar os ASes no caminho antecipadamente sobre destinos “escuros” levou à criação de honeypots móveis.  Aspectos da mobilidade:  Informação sobre a escuridão dos prefixos é disponibilizada para os ASes a jusante e  O conjunto destes prefixos mudam periodicamente através de anúncios BGP e retiradas.  Sendo as informações sobre os prefixos escuros conhecidas dos ASes a jusante participantes do esquema, eles conheceriam este tráfego e seus originadores muito antes e poderiam tomar alguma ação corretiva.  O tráfego poderia ser descartado ou poderia ser incluído numa lista negra caso a quantidade de tráfego indesejado excedesse um limiar específico ao AS.  Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado para informar aos ASes a jusante que o prefixo é escuro.

47 Arquitetura do Mohonk 47

48 Originadores indesejados 48  Medições da habilidade de detectar originadores indesejados envolve escolher diversos parâmetros:  Comprimento dos prefixos que devem ser anunciados para atrair tráfego suficiente  Duração da vida dos anúncios  Escolha das aplicações a serem associadas com os endereços nos prefixos escuros  Limiares da contagem de pacotes que decidem se o tráfego é indesejado.

49 Originadores indesejados 49  Medições baseadas no mecanismo de honeypot devem ser resilientes contra ataques visando atrapalhar a configuração.  Dado que a comunidade dos blackhats trocam informações sobre as técnicas de detecção eles evitam os honeypots ao descobrirem os seus prefixos.  Uma medida da utilidade dos esquemas de honeypot é a velocidade na qual os originadores de tráfegos indesejados são detectados e colocados em listas negras entre múltiplos ASes num certo período de tempo comparado ao custo tanto para os whitehats como para os blackhats.

50 Vírus e Worms 50  Malware – termo que engloba todos os softwares que ao serem executados têm um impacto negativo.  Dentre as medições de interesse com relação a worms temos:  Como as listas dos alvos são escolhidas  O conjunto dos possíveis pontos de entrada  O quão rapidamente eles podem se espalhar na Internet  Adicionalmente:  Extensão do dano econômico causado pelo malware tanto em termos do instante do ataque ou como resultado de outros ataques habilitados pela abertura de backdoors.

51 Gerador de Carga 51  Um mecanismo para criar um gerador de carga para malware é discutido em [SYB04] com a finalidade de recriar um tráfego de pacotes malicioso.  A ideia é ser capaz de examinar tanto worms conhecidos e explorar o potencial de variantes que podem ser criados no futuro.  As características de desempenho de IDSes bem conhecidos podem ser examinadas pelo gerador de cargas.

52 Monitoração e Coordenação de Detecção de Intrusão 52  Medições em combinação com estatísticas têm um papel chave na melhoria das técnicas de monitoração e detecção de intrusão.  Diversas ferramentas foram criadas para ajudar aqueles que trabalham no campo da detecção de intrusões.  Um dos principais objetivos é o de reduzir os falsos positivos.

53 Compartilhamento de Informações 53  Dado que existe uma semelhança entre ataques na Internet, espera-se que seja benéfico o compartilhamento de informações entre sistemas de detecção de intrusão.  Empresas e grandes ISPs tradicionalmente relutam em compartilhar informações sobre ataques entre eles devido a questões de privacidade e preocupações de que as informações sobre as suas vulnerabilidades se tornem públicas.

54 Compartilhamento de Informações 54  Organizações neutras desempenham um papel importante em servir como uma central de troca de informações.  Algumas empresas oferecem serviços tanto para monitorar ataques dentro de empresas como para coordenar ataques na Internet para fornecer um sistema de alerta antecipado.  Muitas destas empresas formulam assinaturas de ataques, compila estatísticas, criam bases de dados de vulnerabilidades, e proveem possíveis contramedidas.

55 Tempos de Reação 55  Um problema chave em coordenar informações de ataque ou intrusão é que dependendo da natureza do ataque (varredura lenta ao invés de um worm que se espalhe rapidamente), as reações do agente de coordenação e as organizações participantes devem ser diferentes.  Dado que um worm pode teoricamente se espalhar por toda a Internet em questão de minutos [SPW02] não é suficiente trocar informações de ataques periodicamente.

56 Produtos Comerciais 56  Riverhead da Cisco  Peakflow da Arbor Networks  Intrushield da MacAfee

57 Roteiro 57  Papel das Medições da Internet na Segurança  Medições na Intranet como Ajuda à Segurança  Medições no Gateway como Ajuda à Segurança  Impacto das Medições Interdomínio na Segurança  Medições de Longa Distância como Ajuda à Segurança  Medições de Ataques na Camada de Aplicação

58 Medições de Ataques na Camada de Aplicação 58  Aplicações individuais podem mitigar ataques caso as camadas inferiores sejam incapazes de bloqueá-los.  A forma ais popular de ataque à camada de aplicação são os spams de  Que gasta bastante recursos na forma de produtividade do usuário, largura de banda e armazenamento.  Os firewalls são a primeira linha de defesa (varrendo à procura de vírus) mas normalmente não são capazes de identificar os spams!

59 Spams 59  São realizados diversos tipos de medições seja para caracterizar o problema seja como uma análise contínua.  É preciso garantir que os grandes servidores de e- mail não sejam sobrecarregados com mensagens indesejadas.  Os transmissores SMTP são classificados nas seguintes classes: Confiáveis Desconhecidos Suspeitos

60 Spams 60  Servidores mais ocupados lidam com transmissores SMTP suspeitos  Servidores levemente carregados lidam com transmissores confiáveis.  Estatísticas simples sobre o volume de spam suspeito podem ser mantidos de modo a atualizar esta divisão.

61 Filtragem de spams 61  Nos servidores a filtragem é realizada baseada numa variedade de fatores relacionados com as mensagens que chegam.  Baseado nestas técnicas de filtragem – normalmente uma combinação de medidas estatísticas Bayesianas e outras métricas calculadas pelo software de filtragem – são obtidas informações globais sobre o transmissor SMTP remoto.  As medições são realizadas baseadas no volume de bytes trocados numa única mensagem e agregados num certo período de tempo.

62 Registro de atividades 62  Nas camadas mais altas, diversos recursos relacionados com segurança registram as atividades (syslog, wtmp) que são usadas por diversos IDSes.  Estes registros são analisados ao nível do usuário procurando desvios tais como um aumento inesperado nos níveis de privilégio ou repetidas falhas durante estas tentativas.


Carregar ppt "SEGURANÇA Capítulo 9 Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley & Sons, 2006. 1."

Apresentações semelhantes


Anúncios Google