A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Detecção de Intrusos em MANETs

PublicouElisa Negro Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Detecção de Intrusos em MANETs"— Transcrição da apresentação:

1 Detecção de Intrusos em MANETs
Emilio de Camargo Francesquini Dezembro de 2004

2 Motivação Técnicas de segurança pré-existentes para redes fixas não são eficazes com a introdução de dispositivos móveis Firewalls Criptografia Ex: Code Red (2001) Conferência IETF (The Internet Engineering Task)

3 Roteiro Introdução Detecção de intrusos
Vulnerabilidades das MANETs A necessidade da deteção de intrusos Detecção de intrusos Embasamento sobre a detecção de intrusos Problemas das técnicas atuais Uma nova proposta para a detecção de intrusos Detecção de anomalias em MANETs Resultados

4 Vulnerabilidades das MANETs
Baseada em comunicação sem fio Não há a necessidade do intruso ter acesso físico à rede ou passar por várias linhas de defesa como firewalls ou gateways. Qualquer nó pode ser atacado. Problemas Personificação Vazamento de informações Contaminação de mensagens Fato 1: MANETs não têm uma linha de defesa clara e qualquer nó constituinte deve estar preparado para encontros com um adversário direta ou indiretamente.

5 Vulnerabilidades das MANETs
MANETs são constituídas de nós autônomos e com liberdade de movimentação Cada uma das unidades móveis está sujeita a ser roubada ou comprometida por um invasor. Em uma rede de escala global não é fácil manter uma lista de nós roubados/comprometidos para garantir a segurança da rede. A lista pode, inclusive, demorar para ser atualizada Fato 2: As UMs e a infraestrutura devem estar preparadas para operar em um modo no qual elas não confiem em nó algum

6 Vulnerabilidades das MANETs
Decisões são feitas de maneira descentralizada e através de algoritmos cooperativos. Estes algoritmos se baseiam na boa fé de vários nós para funcionar. Exemplo: Ataques aos protocolos de MAC para redes sem fio Raríssimos em rede fixa Fato 3: Um invasor pode se basear nisto para comprometer o funcionamento dos algoritmos cooperativos

7 Vulnerabilidades das MANETs
As UM possuem características únicas: Bateria Poder de processamento Operações desconectadas Operações dependentes da localização Essas características levam a utilização de proxies e agentes móveis rodando nas estações base para ganhos de desempenho atraves de caching, transcodificação de conteúdo, ... Fato 4: Possíveis ataques podem ser feitos contra esses proxies ou agentes de forma a conseguir informações privadas, DoS, inundar o cache com referências falsas ou fazer com que o proxy faça computações inúteis e caras.

8 Vulnerabilidades das MANETs
Resumindo: As MANETs são vulneráveis pois: Sua comunicação é feita em um meio aberto Sua topologia é dinâmica Utiliza algoritmos cooperativos Não tem um ponto central de controle e monitoramento Não tem uma linha de defesa clara

9 A necessidade da deteção de intrusos
Técnicas desenvolvidas para redes fixas podem ajudar a reduzir, mas não são capazes de eliminar as intrusões em MANETs Criptografia e autenticação Alguns algoritmos cooperativos utilizam informações redundantes, mas ainda necessitam confiar em um conjunto de nós. Secure Routing

10 A necessidade da deteção de intrusos
Não importa quantas travas de segurança sejam instaladas, o sistema sempre terá um ponto fraco que poderá ser utilizado para uma invasão Ex.: Code Red Detecção e resposta a intrusos pode ser utilizada como uma segunda linha de defesa para: minimizar estragos, colher informações para investigação posterior e até contra atacar.

11 Detecção de intrusos - Introdução
Invasão: qualquer conjunto de ações que tem como intuito o comprometimento da integridade, confidencialidade ou disponibilidade de um recurso. [3] As técnicas de detecção de intrusos pressupoem que as atividades dos usuários e programas são observáveis e que as atividades normais e as atividades dos intrusos são diferentes. A detecçao de intrusos, portanto, envolve a coleta de dados e a sua análise para determinar se um sistema está sob ataque

12 Detecção de intrusos - Introdução
Os sistemas de detecção de intrusos (SDIs) podem ser divididos em duas categorias Baseados na rede Geralmente ficam no gateway da rede capturando e analisando os pacotes Baseados nos nós Trabalha em conjunto com o SO para monitorar os dados e as ações dos programas ou usuários no nó

13 Detecção de intrusos - Introdução
As técnicas de detecção de intrusos podem ser divididas em 2 categorias Detecção de abusos Detecção de anomalias

14 Detecção de intrusos - Introdução
Detecção de abusos Utiliza padrões bem conhecidos de ataques e pontos fracos do sistema para reconhecer um ataque. Ex.: “existiram mais de 4 tentativas de login com senha errada nos últimos 2 minutos” Sistemas deste tipo: IDIOT e STAT Vantagens: eficaz e preciso na detecção de ataques conhecidos Desvantagens: não é capaz de perceber novos tipo de ataque

15 Detecção de intrusos - Introdução
Detecção de anomalias Captura informações das ações do sistema/usuário, analisa os dados e compara com os perfis de uso estabelecidos como padrões Ex.: O perfil de uma secretária é diferente do perfil de um programador. Então se, repentinamente, a secretária começar usar muito o GCC algo está errado Sistema deste tipo: IDES Vantagens: não necessita, de antemão, conhecer os tipos de ataque e pode detectar, inclusive, os novos tipos de ataque Desvantagens: Precisa de um período de treinamento, pode ter uma alta taxa de positivo e pode não saber o tipo de ataque que está ocorrendo

16 Problemas das técnicas atuais
SDIs baseados na rede não podem ser utilizados em MANETs. Não há um ponto central onde todas as informações passam. O padrão de comunicação em uma MANET é bem diferente de uma rede fixa. Há diferentes modos de operação (como operações desconetadas) que invalidam os modelos atuais de detecção de intrusos baseados em técnicas de detecção de anomalias Existe um sério problema em determinar o que é normal e o que não é em uma MANET. Um nó disseminando informação incorreta de roteamento é um nó comprometido ou é um nó que apenas está com as suas tabelas de roteamento desatualizadas?

17 Problemas das técnicas atuais
Resumindo Qual é a melhor arquitetura para um sistema de detecção de intrusos em MANETs? Quais são as fontes de dados apropriadas para auditar as ações dos usuários/programas? Como detectar anomalias utilizando informações parciais? (apenas as informações locais já que são as únicas confiáveis) Qual seria o modelo mais adequado para conseguir separar os eventos anômalos dos normais?

18 Arquitetura proposta

19 Arquitetura proposta

20 Funcionamento Módulo “Data Collection”
Captura informações de diversas fontes e dependendo do algoritmo de detecção de intrusos pode conter ações do usuário, comunicações deste nó com a rede, comunicações entre outros nós (que estão no alcance de rádio), ... Podem existir diversos módulos deste tipo dentro de um SDI.

21 Funcionamento Módulo “Local Detection”
Analisa os dados coletados pelo módulo “Data Collection” Pode utilizar tanto técnicas de detecção de abusos quanto de anomalias Caso detecte com forte evidência que um nó foi comprometido ou que a rede está sofrendo um ataque pode, independentemente dos outros nós, iniciar uma resposta ao ataque.

22 Funcionamento Módulo “Cooperative Detection”
Quando um nó detecta uma anomalia ou intrusão com uma evidencia muito fraca, (mas que ainda justifique maiores investigações) ele pode se comunicar com os seus vizinhos para iniciar um procedimento cooperativo de detecção de intrusos Os nós podem: Avisar aos seus vizinhos quanto a uma possível invasão Iniciar um procedimento cooperativo de detecção de invasão Iniciar um procedimento cooperativo de defesa da rede

23 Funcionamento Módulo “Cooperative Detection” (cont.)
Os avisos de invasão tem a seguinte forma: Com p% de confiança, o nó A, baseado em seus dados locais, afirma que há uma invasão Com p% de confiança, o nó A, baseado em seus dados locais e de seus vizinhos, afirma que há uma invasão Com p% de confiança, os nós A, B e C, .... concluem que há uma invasão Com p% de confiança, o nó A afirma que o nó X foi comprometido

24 Funcionamento Módulo “Cooperative Detection” (cont.)
Um algoritmo de detecção baseado em votação Um nó envia aos seus vizinhos uma consulta sobre o estado atual da rede Cada nó, incluindo o nó inicial, propaga a informação indicando a probabilidade de uma intrusão, ou anomalia, aos nós vizinhos Cada nó então determina, baseado nas respostas recebidas dos seus vizinhos, se a rede está sendo atacada Qualquer dos nós que tenha determinado que a rede está sendo atacada pode iniciar os procedimentos de resposta aos ataques.

25 Funcionamento O raciocínio por trás deste algoritmo é o seguinte:
Dados de auditoria dos nós vizinhos não devem ser usados Entretanto, os nós comprometidos não tem ganho nenhum em enviar relatórios de intrusão falsos já que a resposta dos outros nós pode acabar expulsando-o da rede Sendo assim, a não ser que a maioria dos nós esteja comprometido, o algoritmo consegue detectar invasões ainda que as evidências individuais de cada nó sejam fracas Mesmo que a maioria da rede seja comprometida, algum dos nós íntegros, provavelmente, vai notar e tomar as medidas contra intrusos

26 Funcionamento Procedimentos contra intrusos
Dependem do tipo da rede, do tipo de invasão, do tipo do protocolo da rede, das aplicações e do grau de confiança nas evidências coletadas Exemplos: Reinicializar canais de comunicação Identificados os nós comprometidos, reorganizar a rede de forma a deixar estes nós de fora Avisar o usuário e este tomar as providências Enviar um pedido de reautenticação a todos os nós pedindo que seus usuários se reautentiquem utilizando algo não presente no próprio dispositivo (senha, reconhecimento de voz, ...)

27 Detecção e reposta a intrusos em múltiplas camadas
Tradicionalmente os esquemas de detecção de intrusos trabalham apenas nas camadas mais baixas A detecção em camadas mais altas, por exemplo da aplicação, pode ser capaz de detectar de uma maneira mais eficaz os ataques devido ao valor semântico associado (por exemplo, ataques DoS) São instalados SDIs em cada uma das camadas. Caso alguma delas detecte uma invasão as demais camadas são avisadas e utilizam a informação para decidir, por si próprias, se há uma invasão ocorrendo e a partir daí tomam as devidas providências. Desta forma qualquer decisão das camadas mais baixas pode ser tomada de uma maneira mais informada

28 Detecção e reposta a intrusos em múltiplas camadas
A integração das múltiplas camadas permite a criação de um SDI mais eficaz que aumenta as taxas de acerto e diminui os alarmes falsos Exemplo: Alarme de incêndio

29 Detecção de anomalias em MANETs
Exemplo baseado em algoritmos de roteamento Os princípios básicos para outros algoritmos/aplicações são os mesmos

30 Modalidades de ataques em protocolos de roteamento
Comprometimento das rotas Enviando, deliberadamente, o pacote para o nó incorreto Disseminar informações incorretas de atualização de rotas Distorção do padrão de tráfego Perda de pacotes Geração de pacotes com falso remetente Alteração do conteúdo dos pacotes DoS

31 Modalidades de ataques em protocolos de roteamento
Em um ataque real ambos os elementos anteriores podem estar presentes No artigo, foram simulados: Alteração de rotas Perda aleatória de pacotes

32 Fontes de Dados O artigo sugere e utiliza em suas simulações 2 fontes de dados Dados de roteamento locais, incluindo entradas de cache e estatísticas de tráfego Localizador de posição (GPS) Assumiu-se que estes dispositivos não serão adulterados e portanto os seus dados são confiáveis

33 Uma pequena digressão -Classificadores
Recebem um vetor de características e classificam este vetor em uma classe Podem ser classificados em classificadores com aprendizado supervisionado e aprendizado não supervisionado.

34 Exemplo de um classificador simples
Um classificador de bolas Vetor de características (tamanho, peso) Exemplos de vetores: Basquete (75 cm, 630 g) Futebol (68 cm, 430 g) Tênis (20,5 cm, 58 g) Boliche (64 cm, 6000 g) Um treinamento seria conseguir traçar hiperplanos no espaço de características de forma a criar diversas partições do espaço. Cada partição é denominada classe, e o trabalho do classificador é de simplesmente decidir dado um vetor V em qual partição ele está

35 Exemplo de um classificador simples
Características como data de fabricação, fabricante e desgaste são inerentes a bola, mas não interferem na classificação do tipo da bola A escolha de um vetor de características com essas propriedades apenas dificulta a classificação Quando escolhermos um vetor de características desejamos que ele tenha uma baixa entropia, ou seja, que contenha apenas características que influenciam a classificação

36 Escolha do vetor de características
O classificador escolhido foi um classificador com aprendizado não supervisionado Começaram a treiná-lo com um vetor com excesso de características Após certo tempo de treinamento o classificador acabou dando pesos diferentes para cada uma das características e as características com menor peso foram descartadas

37 Características escolhidas
Distância física até o nó (D) Velocidade do nó (V) PCR – Porcentagem de rotas alteradas PCH – Porcentagem da alteração da soma do número de saltos da tabela de roteamento Foram treinados dois classificadores. Um para classificar PCR utilizando como vetor de característica (D, V, PCH) Outro para classificar PCH utilizando como vetor de característica (D, V, PCR)

38 Classificadores utilizados
RIPPER Muito parecido com uma árvore de decisão Sistema de indução de regras SVM Light Pré-processa os dados de entrada e acaba construíndo um espaço de características com uma dimensão muito maior do que o do vetor de entrada. A idéia é que para uma dimensão suficientemente grande, seja possível traçar um hiperplano que divida as classes e desta forma seja possível uma classificação. O SVM Light acabou produzindo resultados melhores que o RIPPER uma vez que ele foi capaz de perceber padrões complexos nos dados de treinamento que não eram claros antes do pré-processamento

39 Pós-Processamento Os dados gerados pelo classificador são utilizados para determinar se uma ação para contra-atacar a invasão é necessária. Várias camadas podem relatar ataques em momentos distintos. O pós-processamento garante que não sejam tomadas diversas ações quando apenas uma seria necessária

40 A Simulação Foram utilizados 3 protocolos diferentes
DSR – Dynamic Source Routing AODV – Ad Hoc On-Demand Distance Vector Routing DSDV – Destination-Sequenced Distance-Vector Routing Foram escolhidos pois representam duas categorias de protocolos de roteamento, proativos e reativos Foi utilizado o simulador de redes Network Simulator ns-2

41 A Simulação O classificador foi treinado com dados de 100K segundos de simulação Depois de treinado, a simulação foi colocada a prova por 5 scripts Normal 100K-rt (100 ataques), 10K-rt (10 ataques) - Roteamento 100K-tf (100 ataques), 10K-tf (10 ataques) - Tráfego

42 Simulação Todos os resultados passaram pelo pós-processamento
Os resultados obtidos são uma média de 10 execuções. A margem de erro calculada tem 95% de confiança

43 Resultados - DSR

44 Resultados - DSDV

45 Resultados - AODV

46 Resultados – DSR + SVM Light
Média de alarme falso: 0.125%

47 Referências [1] Y. Zhang, W. Lee, Y. Huang “Intrusion Detection Techniques for Mobile Wireless Networks”, ACM MONET Journal, 2002 [2] Y. Zhang, W. Lee “Intrusion Detection in Wireless Ad-Hoc Networks”, MobiCom’2000, Agosto de 2000 [3] R. Heady, G. Luger, A. Maccabe e M. Servilla “The architecture of a network level intrusion detection system. Technical Report, Computer Science Department, University of New Mexico, Agosto de 1990 [4] F. Kargl, A. Klenk, S. Schlott, M. Weber “Advanced Detection of Selfish or Malicious Nodes in Ad Hoc Networks”

Carregar ppt "Detecção de Intrusos em MANETs"

Apresentações semelhantes

Redes de computadores I

Redes de computadores I
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistemas de Localização baseados em

Sistemas de Localização baseados em
Aula 21/09/2011 Courouris, Dollimore, cap 10

Aula 21/09/2011 Courouris, Dollimore, cap 10
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Aprendizado de Máquina

Aprendizado de Máquina
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Cognitive Wireless Mesh Networks with Dynamic Spectrum Access IEEE Journal on Selected Area in Communication, Jan. 2008 issue 1 Kaushik R. Chowdhury Ian.

Cognitive Wireless Mesh Networks with Dynamic Spectrum Access IEEE Journal on Selected Area in Communication, Jan issue 1 Kaushik R. Chowdhury Ian.
Plano de Estudo e Pesquisa

Plano de Estudo e Pesquisa
ESTRUTURA DE COMUNICAÇÃO DE DADOS

ESTRUTURA DE COMUNICAÇÃO DE DADOS
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
3 – Projeto Lógico da Rede

3 – Projeto Lógico da Rede
INF 1771 – Inteligência Artificial

INF 1771 – Inteligência Artificial
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.

DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
Segurança na Telefonia IP e VoIP

Segurança na Telefonia IP e VoIP
Fundamentos de Segurança da Informação

Fundamentos de Segurança da Informação
Modelo de referência OSI

Modelo de referência OSI
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Apresentações semelhantes

Anúncios Google