A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula.

Apresentações semelhantes


Apresentação em tema: "Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula."— Transcrição da apresentação:

1 Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula

2 Roteiro Parte I – Introdução – Detecção de intrusão – Sistema imunológico Parte II – Uma arquitetura de segurança – ADenoIdS – Testes e resultados experimentais – Conclusão

3 Parte I

4 Introdução Internet – Inicialmente: confiança mútua – Ambiente aberto e sem fronteiras Diversidade inclui indivíduos maliciosos Este trabalho – Propor arquitetura de segurança computacional – Inspiração provinda do sistema imunológico

5 Introdução: número de incidentes / ano CERT/CC

6 Introdução: segurança computacional Definição informal – Um sistema seguro é aquele que se comporta da maneira esperada Definição mais formal – Integridade – Confidencialidade – Disponibilidade

7 Introdução: aparatos de segurança Autenticação: quem é você? Firewalls: seleção de tráfego Criptografia: cifragem/decifragem e verificação Análise de vulnerabilidades: estou vulnerável? Sistemas de detecção de intrusão: ocorreu um ataque ou intrusão? Honeypots, anti-vírus, resposta a incidentes

8 Detecção de intrusão Primeiro passo: definir o que é legítimo – Política de segurança Detecção de intrusão: identificação de ações ilícitas (ataques) Sistema de detecção de intrusão (IDS) – Automatiza processo de identificação – Possibilita uma rápida tomada de decisão – Essencial para a segurança de corporações

9 Detecção de intrusão: sistemas de detecção de intrusão IDS ideal – Identifica todos os ataques – Não identifica nenhuma ação legítima IDSs atuais – Deixam de identificar alguns ataques Falso-negativo – Identificam algumas ações legítimas Falso-positivo

10 Detecção de intrusão: principais métodos de análise Baseado em conhecimento – Especificação manual de assinaturas de ataques – Somente ações especificadas são identificadas – Método preciso e rápido para ataques conhecidos Baseado em comportamento – Construção de perfis do que é usual – Comportamento não usual é visto como um ataque – Identifica ataques desconhecidos – Muitos falso-positivos

11 Detecção de intrusão: monitoramento e resposta Estratégia de monitoramento – IDS baseado em rede – IDS baseado em máquina Resposta – Passiva: envio de alertas – Ativa: bloqueio, coleta de dados, contra-ataque

12 Detecção de intrusão: melhorias Melhores técnicas de análise – Identificação precisa de ataques conhecidos e desconhecidos Adoção de melhores modelos – Redes atuais Um ambiente hostil e sujeito a falhas Intrusões aparentam ser inevitáveis

13 Sistema imunológico Protege o corpo contra vírus e bactérias potencialmente mortais Identifica ataques conhecidos e desconhecidos Detecção através de danos durante exposição Melhora a detecção após exposição Provê respostas para dificultar e bloquear ataques Restaura as partes afetadas do corpo Forte relação com segurança

14 Sistema imunológico: características Papel: distinguir self do nonself Divide-se em – Sistema inato Natureza congênita Primeira linha de defesa – Sistema adaptativo Sistema especializado Memória contra reinfecção

15 Sistema imunológico: imunologia e segurança Universidade do Novo México – Algoritmo para distinção entre self e nonself – Diversidade computacional – Homeostase: regulação de processos Outros – Agentes, algoritmos genéticos + imunologia, etc. Em resumo: detecção baseada em comportamento

16 Sistema imunológico: novas idéias para segurança Intrusões parecem ser inevitáveis –...realmente são no sistema biológico É melhor estar preparado – Identificar intrusões em andamento – Restaurar sistema afetado – Estudar automaticamente intrusões Busca pelas assinaturas de ataque Ataque desconhecido ataque conhecido

17 Parte II

18 Uma arquitetura de segurança Sistema imunológico – Características e funcionalidades Principais metas 1. Detecção precisa de ataques conhecidos e resposta 2. Detecção de ataques desconhecidos: evidências de intrusão 3. Manipulação de ataques desconhecidos Medidas de contenção e restauração Extração automatizada de assinatura Armazenamento de informação relevantes sobre o ataque 4. Utilização das assinaturas extraídas: detecção e resposta

19 Uma arquitetura de segurança: visão geral

20 Uma arquitetura de segurança: funcionamento Seqüência lógica – Detecção baseada em conhecimento + resposta adaptativa – Detecção baseada em comportamento + resposta inata – Detecção baseada em evidências de intrusão Cenário típico de intrusão Identificação após sucesso do atacante Precisão – Armazenamento de informações sobre o ataque – Restauração do sistema – Extração de assinatura e geração de resposta – Atualização do banco de dados de assinaturas e respostas

21 Uma arquitetura de segurança: extração de assinatura Algoritmo probabilístico – Entrada: eventos anteriores à intrusão, eventos legítimos, probabilidade de falso-positivos – Levantamento das assinaturas candidatas – Maturação das candidatas Eliminação de falso-positivos – Saída: eventos próximos à intrusão que aparentam não ser legítmos Assinaturas para o ataque Eventos muito raros

22 Uma arquitetura de segurança: analogias com o sistema imune

23 Uma arquitetura de segurança: outros trabalhos e originalidade Outros IDSs baseados no sistema imunológico – Analogia bastante profunda – Essência: detecção baseada em comportamento – Este trabalho: conhecimento + comportamento Assinaturas de ataques – González e Dasgupta, TIM, Wisdom & Sense: geração aleatória de regras de detecção – Este trabalho: extração de eventos reais relacionados com os ataques Detecção de vírus proposta por Kephart – Este trabalho: detecção de intrusão, identificação baseada em evidências, restauração mais abrangente

24 ADenoIdS Validar principais características da arquitetura – Detecção baseada em evidências – Restauração do sistema – Extração de assinaturas Ataques buffer overflow – Persistente classe de ataques – Sem solução definitiva

25 ADenoIdS: características Linux kernel Detecção baseada em evidências – Verificação de chamadas ao sistema Restauração – UNDOFS: undo no sistema de arquivos – Eliminação de processos contaminados Extração de assinatura – Candidatas: requisições grandes – Maturação: descartar candidatas menores que requisições legítimas

26 Testes e resultados experimentais Ambiente – ADenoIdS protegendo máquina virtual – Atacante situado na máquina real – Aplicações vulneráveis: named, wu-ftpd, imapd e amd Detecção baseada em evidências – Uso contínuo e eventuais ataques Extração de assinatura: DARPA e LAS

27 Testes e resultados experimentais: resultados Detecção baseada em evidências – Ausência de falso-positivos e falso-negativos – Ativação de outros módulos Restauração e extração de assinatura Extração de assinatura – Identificou tráfego relacionado ao ataque – Uma assinatura sempre foi encontrada – Eficiente para eliminar falso-positivos Publicações – IEEE Congress on Evolutionary Computation (CEC´04) – International Conference on Telecommunications (ICT´04)

28 Conclusão Assumindo que intrusões são inevitáveis – Ataques desconhecidos Identificados através de evidências de intrusão É possível tornar um ataque desconhecido em conhecido Hipótese validada Contribuições – Definição da detecção baseada em evidências – Exploração da oportunidade trazida por uma intrusão – Algoritmo para extração de assinaturas de ataque – Especificação de uma arquitetura de segurança

29 Conclusão: experiência e trabalhos futuros Resultados interessantes podem ser alcançados adotando uma analogia mais superficial Foco nas características e funcionalidades Outras aplicações – Honeypots, análise forense Trabalhos futuros – Generalização de ADenoIdS – Desenvolvimento de um ambiente para testes – Automatização de honeypots


Carregar ppt "Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula."

Apresentações semelhantes


Anúncios Google