A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula.

PublicouRenato Espada Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula."— Transcrição da apresentação:

1 Uma arquitetura de segurança computacional inspirada no sistema imunológico
Tese de doutorado Fabrício Sérgio de Paula

2 Roteiro Parte I Parte II Introdução Detecção de intrusão
Sistema imunológico Parte II Uma arquitetura de segurança ADenoIdS Testes e resultados experimentais Conclusão

3 Parte I

4 Introdução Internet Diversidade inclui indivíduos maliciosos
Inicialmente: confiança mútua Ambiente aberto e sem fronteiras Diversidade inclui indivíduos maliciosos Este trabalho Propor arquitetura de segurança computacional Inspiração provinda do sistema imunológico

5 Introdução: número de incidentes / ano
CERT/CC

6 Introdução: segurança computacional
Definição informal Um sistema seguro é aquele que se comporta da maneira esperada Definição mais formal Integridade Confidencialidade Disponibilidade

7 Introdução: aparatos de segurança
Autenticação: quem é você? Firewalls: seleção de tráfego Criptografia: cifragem/decifragem e verificação Análise de vulnerabilidades: estou vulnerável? Sistemas de detecção de intrusão: ocorreu um ataque ou intrusão? Honeypots, anti-vírus, resposta a incidentes

8 Detecção de intrusão Primeiro passo: definir o que é legítimo
Política de segurança Detecção de intrusão: identificação de ações ilícitas (ataques) Sistema de detecção de intrusão (IDS) Automatiza processo de identificação Possibilita uma rápida tomada de decisão Essencial para a segurança de corporações

9 Detecção de intrusão: sistemas de detecção de intrusão
IDS ideal Identifica todos os ataques Não identifica nenhuma ação legítima IDSs atuais Deixam de identificar alguns ataques Falso-negativo Identificam algumas ações legítimas Falso-positivo

10 Detecção de intrusão: principais métodos de análise
Baseado em conhecimento Especificação manual de assinaturas de ataques Somente ações especificadas são identificadas Método preciso e rápido para ataques conhecidos Baseado em comportamento Construção de perfis do que é “usual” Comportamento não usual é visto como um ataque Identifica ataques desconhecidos Muitos falso-positivos

11 Detecção de intrusão: monitoramento e resposta
Estratégia de monitoramento IDS baseado em rede IDS baseado em máquina Resposta Passiva: envio de alertas Ativa: bloqueio, coleta de dados, contra-ataque

12 Detecção de intrusão: melhorias
Melhores técnicas de análise Identificação precisa de ataques conhecidos e desconhecidos Adoção de melhores modelos Redes atuais Um ambiente hostil e sujeito a falhas Intrusões aparentam ser inevitáveis

13 Sistema imunológico Protege o corpo contra vírus e bactérias potencialmente mortais Identifica ataques conhecidos e desconhecidos Detecção através de danos durante exposição Melhora a detecção após exposição Provê respostas para dificultar e bloquear ataques Restaura as partes afetadas do corpo Forte relação com segurança

14 Sistema imunológico: características
Papel: distinguir self do nonself Divide-se em Sistema inato Natureza congênita Primeira linha de defesa Sistema adaptativo Sistema especializado Memória contra reinfecção

15 Sistema imunológico: imunologia e segurança
Universidade do Novo México Algoritmo para distinção entre self e nonself Diversidade computacional Homeostase: regulação de processos Outros Agentes, algoritmos genéticos + imunologia, etc. Em resumo: detecção baseada em comportamento

16 Sistema imunológico: novas idéias para segurança
Intrusões parecem ser inevitáveis ...realmente são no sistema biológico É melhor estar preparado Identificar intrusões em andamento Restaurar sistema afetado Estudar automaticamente intrusões Busca pelas assinaturas de ataque Ataque desconhecido  ataque conhecido

17 Parte II

18 Uma arquitetura de segurança
Sistema imunológico Características e funcionalidades Principais metas Detecção precisa de ataques conhecidos e resposta Detecção de ataques desconhecidos: evidências de intrusão Manipulação de ataques desconhecidos Medidas de contenção e restauração Extração automatizada de assinatura Armazenamento de informação relevantes sobre o ataque Utilização das assinaturas extraídas: detecção e resposta

19 Uma arquitetura de segurança: visão geral

20 Uma arquitetura de segurança: funcionamento
Seqüência lógica Detecção baseada em conhecimento + resposta adaptativa Detecção baseada em comportamento + resposta inata Detecção baseada em evidências de intrusão Cenário típico de intrusão Identificação após sucesso do atacante Precisão Armazenamento de informações sobre o ataque Restauração do sistema Extração de assinatura e geração de resposta Atualização do banco de dados de assinaturas e respostas

21 Uma arquitetura de segurança: extração de assinatura
Algoritmo probabilístico Entrada: eventos anteriores à intrusão, eventos legítimos, probabilidade de falso-positivos Levantamento das assinaturas candidatas Maturação das candidatas Eliminação de falso-positivos Saída: eventos “próximos” à intrusão que aparentam não ser legítmos Assinaturas para o ataque Eventos muito raros

22 Uma arquitetura de segurança: analogias com o sistema imune

23 Uma arquitetura de segurança: outros trabalhos e originalidade
Outros IDSs baseados no sistema imunológico Analogia bastante profunda Essência: detecção baseada em comportamento Este trabalho: conhecimento + comportamento Assinaturas de ataques González e Dasgupta, TIM, Wisdom & Sense: geração aleatória de regras de detecção Este trabalho: extração de eventos reais relacionados com os ataques Detecção de vírus proposta por Kephart Este trabalho: detecção de intrusão, identificação baseada em evidências, restauração mais abrangente

24 ADenoIdS Validar principais características da arquitetura
Detecção baseada em evidências Restauração do sistema Extração de assinaturas Ataques buffer overflow Persistente classe de ataques Sem solução definitiva

25 ADenoIdS: características
Linux kernel Detecção baseada em evidências Verificação de chamadas ao sistema Restauração UNDOFS: undo no sistema de arquivos Eliminação de processos contaminados Extração de assinatura Candidatas: requisições “grandes” Maturação: descartar candidatas “menores” que requisições legítimas

26 Testes e resultados experimentais
Ambiente ADenoIdS protegendo máquina virtual Atacante situado na máquina real Aplicações vulneráveis: named, wu-ftpd, imapd e amd Detecção baseada em evidências Uso contínuo e eventuais ataques Extração de assinatura: DARPA e LAS

27 Testes e resultados experimentais: resultados
Detecção baseada em evidências Ausência de falso-positivos e falso-negativos Ativação de outros módulos Restauração e extração de assinatura Extração de assinatura Identificou tráfego relacionado ao ataque Uma assinatura sempre foi encontrada Eficiente para eliminar falso-positivos Publicações IEEE Congress on Evolutionary Computation (CEC´04) International Conference on Telecommunications (ICT´04)

28 Conclusão Assumindo que intrusões são inevitáveis Hipótese validada
Ataques desconhecidos Identificados através de evidências de intrusão É possível tornar um ataque desconhecido em conhecido Hipótese validada Contribuições Definição da detecção baseada em evidências Exploração da oportunidade trazida por uma intrusão Algoritmo para extração de assinaturas de ataque Especificação de uma arquitetura de segurança

29 Conclusão: experiência e trabalhos futuros
Resultados interessantes podem ser alcançados adotando uma analogia mais superficial Foco nas características e funcionalidades Outras aplicações Honeypots, análise forense Trabalhos futuros Generalização de ADenoIdS Desenvolvimento de um ambiente para testes Automatização de honeypots

Carregar ppt "Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula."

Apresentações semelhantes

SISTEMAS DE SUPORTE À DECISÃO

SISTEMAS DE SUPORTE À DECISÃO
CONCEITOS DE DECISÃO E O ENFOQUE GERENCIAL DA PESQUISA OPERACIONAL

CONCEITOS DE DECISÃO E O ENFOQUE GERENCIAL DA PESQUISA OPERACIONAL
Agenda Introdução Justificativa Objetivo Detecção de Spam

Agenda Introdução Justificativa Objetivo Detecção de Spam
Prof. André Laurindo Maitelli DCA-UFRN

Prof. André Laurindo Maitelli DCA-UFRN
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Aula 03 – Projeto do produto e processo

Aula 03 – Projeto do produto e processo
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Confiança.

Confiança.
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
INTERAÇÕES Organizações como Sistemas Complexos

INTERAÇÕES Organizações como Sistemas Complexos
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA
Simulação de Sistemas Prof. MSc Sofia Mara de Souza AULA2.

Simulação de Sistemas Prof. MSc Sofia Mara de Souza AULA2.
SIMULAÇÃO EM COMPUTADOR: O PENSAMENTO COMO PROCESSAMENTO DE INFORMÇÕES

SIMULAÇÃO EM COMPUTADOR: O PENSAMENTO COMO PROCESSAMENTO DE INFORMÇÕES
Aspectos Avançados em Engenharia de Software Aula 3 Fernanda Campos

Aspectos Avançados em Engenharia de Software Aula 3 Fernanda Campos

Apresentações semelhantes

Anúncios Google