A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas.

PublicouManuella Silva Caldas Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas."— Transcrição da apresentação:

1 Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSEG 2007). UFRJ – Rio de Janeiro, 29 de agosto de 2007. Jorge L. Corrêa, Adriano M. Cansian. UNESP – Universidade Estadual Paulista – Instituto de Biociências, Letras e Ciências Exatas (IBILCE) - Campus de São José do Rio Preto, SP ACME! Computer Security Research {jorge,adriano}@acmesecurity.org www.acmesecurity.org

2 SBSeg 2007 - UFRJJorge Luiz Corrêa2 Organização da apresentação Objetivo e motivação. Fluxo de dados (Netflow). Sistemas inteligentes: redes neurais artificiais. Metodologia e concepção do modelo. –Modelo adaptativo de detecção. –Modelos de assinaturas. –Treinamento. –Resultados. Vantagens, desvantagens e dificuldades. Conclusões.

3 SBSeg 2007 - UFRJJorge Luiz Corrêa3 Objetivo e motivação Objetivo: conceber uma arquitetura de monitoria cujas principais características são: –Adaptabilidade ao ambiente. –Detecção de anomalias baseada no comportamento. –Escalabilidade e automatização do processo de detecção. Motivações: –Complementação de um modelo anterior (captura de pacotes). –Atuar no modelo atual de tráfego (alta densidade e diversidade). –Proteger perímetros maiores (redes stub). –Detectar eventos de negação de serviço.

4 SBSeg 2007 - UFRJJorge Luiz Corrêa4 Fluxo de dados (Netflow) Surgimento: padrão de análise de tráfego (necessidade proposta pelo IETF). Netflow: padrão utilizado e desenvolvido pela Cisco Sytems. Definição: uma seqüência unidirecional de pacotes entre dois hosts, representando um tráfego com características comuns. Por que fluxos? –Não há análise de payload (gera menos latência). –Representação de todas as sessões estabelecidas no ambiente. Implicações diretas: –Permite escalabilidade. –Maior abrangência da área a ser monitorada. –Visão geral do ambiente a ser protegido.

5 SBSeg 2007 - UFRJJorge Luiz Corrêa5 Sistemas inteligentes: redes neurais artificiais RNAs são sistemas amplamente utilizados no reconhecimento de padrões. Rede neural utilizada: Multi Layer Perceptron (MLP): –Modelo de treinamento supervisionado permite inserção de conhecimentos específicos. –Backpropagation possibilita um treinamento que garanta eficiência no reconhecimento de padrões. –As redes MLP já foram utilizadas com sucesso nesta área. Topologia da rede: –De modo geral, possui 3 camadas (input, hidden e output). –O número de neurônios depende: Modelo de assinatura. Quantidade de eventos a serem detectados.

6 SBSeg 2007 - UFRJJorge Luiz Corrêa6 Sistemas inteligentes: redes neurais artificiais (2) Uma visão da topologia, para o modelo de análise por serviços.

7 SBSeg 2007 - UFRJJorge Luiz Corrêa7 Metodologia e concepção do modelo: modelo adaptativo de detecção Modelo de detecção baseia-se no comportamento do ambiente. A operação do sistema consiste nas seguintes etapas: –Exportação (Netflow no roteador). –Coleta (flow-tools). –Geração de assinatura. –Tentativa de reconhecimento. –Obtenção do evento.

8 SBSeg 2007 - UFRJJorge Luiz Corrêa8 O conceito de assinatura Embora trabalhe com anomalias, padrões de fluxos são testados durante a monitoria (por isso a denominação assinaturas). Modelagem básica para todos os modelos: –Gráficos cartesianos relacionando fluxos x tempo. –Cada linha representa uma média de fluxos, durante um período de tempo. –O período de tempo é representado por cada coluna, de forma discreta. –Todos estes parâmetros são ajustáveis.

9 SBSeg 2007 - UFRJJorge Luiz Corrêa9 O conceito de assinatura (2) Exemplo: –Cada coluna representa uma janela de tempo de 30s e cada linha uma média de 20 fluxos por segundo. –A presença do algarismo 1 em uma linha representa que foram recebidos 600 fluxos por segundo: 20 (fluxos por segundo) x 30 (segundos) = 600 fluxos

10 SBSeg 2007 - UFRJJorge Luiz Corrêa10 Metodologia e concepção do modelo: análise TOTAL de fluxos Não faz distinção entre tráfego de entrada e tráfego de saída. Requer uma quantidade menor de assinaturas durante o treinamento (muito abrangente em relação aos tipos de fluxos analisados). Torna-se difícil distinguir anomalias diferentes (generalização).

11 SBSeg 2007 - UFRJJorge Luiz Corrêa11 Metodologia e concepção do modelo: análise por DESTINO de fluxos Ordenada dividida em fluxos de entrada e fluxos de saída. Possibilita a diferenciação de ataques sofridos e gerados. Quantidade necessária de padrões de treinamento aumenta. A geração das codificações torna-se mais detalhada.

12 SBSeg 2007 - UFRJJorge Luiz Corrêa12 Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos Considera a análise dos fluxos separados por serviços. A assinatura fica mais complexa e requer maior quantidade de padrões para o treinamento. As ligações entre as camadas da rede neural é alterada. Permite o monitoramento geral da rede pela análise do comportamento dos serviços simultaneamente.

13 SBSeg 2007 - UFRJJorge Luiz Corrêa13 Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos (2) Além da análise de cada serviço, como anteriormente, há uma visão geral da rede. Esta visão é uma máscara aplicada à entrada, selecionando os últimos momentos de cada serviço.

14 SBSeg 2007 - UFRJJorge Luiz Corrêa14 Metodologia e concepção do modelo: treinamento Netflow versão 5. Treinamento utiliza o simulador SNNS. A rede neural treinada é convertida e um arquivo em linguagem C. Ligada estaticamente ao código do sistema. Para cada processo de treinamento utiliza-se dois conjuntos: –Treinamento. –Validação.

15 SBSeg 2007 - UFRJJorge Luiz Corrêa15 Metodologia e concepção do modelo: treinamento (2) Padrões são gerados por meio de um arquivo intermediário. Momento em que há a interação do administrador.

16 SBSeg 2007 - UFRJJorge Luiz Corrêa16 Resultados A eficiência do sistema está intimamente relacionada ao erro cometido pela rede neural. Um treinamento que minimize este erro conseqüentemente leva a um sistema de detecção eficiente. Os seguintes conjuntos foram utilizados: Em média, é gasto 1 minuto para o treinamento. Os gráficos a seguir mostram a curva de convergência dos erros quadráticos médios para cada modelo.

17 SBSeg 2007 - UFRJJorge Luiz Corrêa17 Resultados (2) Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise total de fluxos.

18 SBSeg 2007 - UFRJJorge Luiz Corrêa18 Resultados (3) Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por destino.

19 SBSeg 2007 - UFRJJorge Luiz Corrêa19 Resultados (4) Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por serviços.

20 SBSeg 2007 - UFRJJorge Luiz Corrêa20 Resultados (5) Eventos detectados (causam anomalias em serviços ou no ambiente de modo geral): –Prospecção de hosts e serviços. –DoS e DDoS. –Eventos FlashCrowd. –Ataques de dicionário. –Tráfego ilícito em canais mitigados (DNS). –Tráfego normal, uso indevido e problemas de conectividade. Taxa de falso positivo dependerá de quão representativo são os padrões utilizados no treinamento.

21 SBSeg 2007 - UFRJJorge Luiz Corrêa21 Resultados (6) Exemplo de saída: detecção de anomalia no DNS causada por covert channel (testes utilizando a ferramenta NSTX).

22 SBSeg 2007 - UFRJJorge Luiz Corrêa22 Vantagens, desvantagens e dificuldades Vantagens –Pode ser utilizado em redes com grande diversidade de tráfego. –Não gera latência como ocorre na análise de conteúdo, podendo monitorar um perímetro maior (escalabilidade). –Absorve informações sobre o comportamento do ambiente. –RNA confere poder de generalização. –Detecta eventos de negativa de serviço. –Automatização do processo. Desvantagens e dificuldades: –Requer interação inicial do administrador. –Processo de treinamento deve ser minucioso, pois impacta na eficiência do reconhecimento dos padrões. –Generalização da RNA: ao mesmo tempo é uma desvantagem, pois pode dificultar a identificação precisa de um evento.

23 SBSeg 2007 - UFRJJorge Luiz Corrêa23 Conclusões Embora o estabelecimento do sistema final possua dificuldades, os resultados do modelo mostraram-se promissores, principalmente quanto a: –Automatização do processo e rápida detecção. –Escalabilidade. –Adaptabilidade ao ambiente e reconhecimento de variações de ataques. É importante nas novas metodologias de monitoramento a preocupação com as atuais características de tráfego: alta diversidade e alta densidade. Por fim, a segurança efetiva está relacionada a colaboratividade entre diversos sistemas e metodologias. Este modelo visa complementar sistemas atuais e auxiliar na tarefa de manutenção de um ambiente seguro.

24 SBSeg 2007 - UFRJJorge Luiz Corrêa24 Contatos Jorge Luiz Corrêa jorge.sbseg2007@acmesecurity.org PGP KeyID: 0x1BCB7255 Adriano Mauro Cansian adriano.sbseg2007@acmesecurity.org PGP KeyID: 0x3893CD2B Site: www.acmesecurity.org

Carregar ppt "Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas."

Apresentações semelhantes

Introdução a Algoritmos

Introdução a Algoritmos
Agenda Introdução Justificativa Objetivo Detecção de Spam

Agenda Introdução Justificativa Objetivo Detecção de Spam
INTELIGÊNGIA COMPUTACIONAL

INTELIGÊNGIA COMPUTACIONAL
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Engenharia de Software

Engenharia de Software
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Teste de Software.

Teste de Software.
Redes Neurais Artificiais (RNA): Aprendizado

Redes Neurais Artificiais (RNA): Aprendizado
RECONHECIMENTO DE CARACTERES MANUSCRITOS APLICANDO REDES NEURAIS

RECONHECIMENTO DE CARACTERES MANUSCRITOS APLICANDO REDES NEURAIS
REDES NEURONAIS ARTIFICIAIS (RNAs) Universidade do Minho.

REDES NEURONAIS ARTIFICIAIS (RNAs) Universidade do Minho.
AULA 03 PERCEPTRON SIMPLES.

AULA 03 PERCEPTRON SIMPLES.
INTRODUÇÃO A INFORMÁTICA

INTRODUÇÃO A INFORMÁTICA
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Redes Neurais Artificiais

Redes Neurais Artificiais
Germano C. Vasconcelos Centro de Informática - UFPE

Germano C. Vasconcelos Centro de Informática - UFPE
Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José

Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José
Avaliação de Desempenho

Avaliação de Desempenho
Avaliação de Desempenho

Avaliação de Desempenho
Avaliação de Desempenho Introdução Aula 1 Marcos José Santana Regina Helena Carlucci Santana Universidade de São Paulo Instituto de Ciências Matemáticas.

Avaliação de Desempenho Introdução Aula 1 Marcos José Santana Regina Helena Carlucci Santana Universidade de São Paulo Instituto de Ciências Matemáticas.
Inteligência Artificial

Inteligência Artificial

Apresentações semelhantes

Anúncios Google