Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula.

Slides:



Advertisements
Apresentações semelhantes
SISTEMAS DE SUPORTE À DECISÃO
Advertisements

CONCEITOS DE DECISÃO E O ENFOQUE GERENCIAL DA PESQUISA OPERACIONAL
Agenda Introdução Justificativa Objetivo Detecção de Spam
Prof. André Laurindo Maitelli DCA-UFRN
Nome da Apresentação Clique para adicionar um subtítulo.
Aula 03 – Projeto do produto e processo
Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.
Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Confiança.
Segurança em Redes - Código Seguro
INTERAÇÕES Organizações como Sistemas Complexos
Mecanismo de Proteção (Prevenção e Detecção)
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
CPU – based DoS Attacks Against SIP Servers
Criptografia e Segurança em Rede Capítulo 1
MECANISMOS DE SEGURANÇA
Simulação de Sistemas Prof. MSc Sofia Mara de Souza AULA2.
SIMULAÇÃO EM COMPUTADOR: O PENSAMENTO COMO PROCESSAMENTO DE INFORMÇÕES
Aspectos Avançados em Engenharia de Software Aula 3 Fernanda Campos
TSDD Teste de segurança durante o desenvolvimento.
Gestão de Defeitos Vanilson Burégio.
Segurança Completa, como nehuma outra solução tem.
Protocolos Sequência de passos, envolvendo duas ou mais partes, projetados para realizar uma tarefa específica. Sequência: início e fim. Características:
Segurança e Auditoria de Sistemas
Tópicos em Sistemas Distribuídos
Planejamento e controle de Projetos
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado
Sistemas de Detecção de Intrusão
Paulo Silva Tracker Segurança da Informação
IDS-Intrusion Detection System
PROTOCOLOS CRIPTOGRÁFICOS. Introdução aos Protocolos de Segurança Protocolos -Sequência de passos, envolvendo duas ou mais partes, projetados para.
Introdução Toda empresa com potencial de gerar uma ocorrência anormal, cujas conseqüências possam provocar sérios danos a pessoas, ao meio ambiente e a.
SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída
Modelo para Integração de Sistemas de Detecção de Intrusão através de Grids Computacionais Paulo Fernando da Silva Carlos Becker Westphall Carla Merkle.
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Otimizando sua TI, maximizando seus negócios
Tópicos especiais em controle inteligente e distribuído Professor: Jorge Dantas de Melo Rafael Marrocos Magalhães.
1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
Introdução à Gestão da Qualidade (Aula 8 – ISO 9004 & Auditoria da Qualidade) Professor Gustavo F Ribeiro PEÃO São Roque junho.
Entendemos que cada cliente é um parceiro e procuramos assim garantir sua satisfação com nossa qualidade no atendimento e competência técnica.Missão Permitir.
Segurança & Auditoria de Sistemas AULA 02 Eduardo Silvestri
Experimentação Algorítmica
1. Conceitos de Segurança
Segurança da Informação
Conceitos de Segurança em Redes
Projeto Final MCI 2004 Filtragem de s Agente de Classificação de SPAM.
A Psicologia Experimental
Sistemas Tolerantes a Falhas: Conceitos e Técnicas
Desenvolvimento de Software Dirigido a Modelos
Planejamento Estratégico
Engenharia de Software
Segurança & Auditoria de Sistemas AULA 02
Mecanismos de Segurança Luís Santos nº 11 Luís Silveira nº 12.
Análise de estratégias para implantação de segurança em arquiteturas orientadas a serviços Dezembro/2010 Itabaiana/SE Universidade Federal de Sergipe –
Arquitetura de segurança – Redes
Prof. Antonio Felicio Netto
POLITICAS DE SEGURANÇA
FIREWALL.
Componentes: Cáren Soares Érika Rodrigues Jeniffer Roxana Eduardo Borges Professor: LÔBO.
ENTREVISTA COMPORTAMENTAL
Tema 2: Técnicas de desenvolvimento seguro
Professora Michelle Luz
Detecção de tráfego Skype na Web através de Redes Neurais Artigo Original: Freire, P. E., Ziviani, A., and Salles, R. M. (2008). Detecting skype flows.
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
1 Projeto Piloto Conclusão em Agenda Projeto Piloto –Descrição –Execução da aplicação –Implementação de requisitos funcionais e não- funcionais.
Testes de Unidade. 2 Pauta Testes de Unidade; Testes de Unidade; Desenvolvimento orientado a testes; Desenvolvimento orientado a testes; Testes unitários.
Transcrição da apresentação:

Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula

Roteiro Parte I Parte II Introdução Detecção de intrusão Sistema imunológico Parte II Uma arquitetura de segurança ADenoIdS Testes e resultados experimentais Conclusão

Parte I

Introdução Internet Diversidade inclui indivíduos maliciosos Inicialmente: confiança mútua Ambiente aberto e sem fronteiras Diversidade inclui indivíduos maliciosos Este trabalho Propor arquitetura de segurança computacional Inspiração provinda do sistema imunológico

Introdução: número de incidentes / ano CERT/CC

Introdução: segurança computacional Definição informal Um sistema seguro é aquele que se comporta da maneira esperada Definição mais formal Integridade Confidencialidade Disponibilidade

Introdução: aparatos de segurança Autenticação: quem é você? Firewalls: seleção de tráfego Criptografia: cifragem/decifragem e verificação Análise de vulnerabilidades: estou vulnerável? Sistemas de detecção de intrusão: ocorreu um ataque ou intrusão? Honeypots, anti-vírus, resposta a incidentes

Detecção de intrusão Primeiro passo: definir o que é legítimo Política de segurança Detecção de intrusão: identificação de ações ilícitas (ataques) Sistema de detecção de intrusão (IDS) Automatiza processo de identificação Possibilita uma rápida tomada de decisão Essencial para a segurança de corporações

Detecção de intrusão: sistemas de detecção de intrusão IDS ideal Identifica todos os ataques Não identifica nenhuma ação legítima IDSs atuais Deixam de identificar alguns ataques Falso-negativo Identificam algumas ações legítimas Falso-positivo

Detecção de intrusão: principais métodos de análise Baseado em conhecimento Especificação manual de assinaturas de ataques Somente ações especificadas são identificadas Método preciso e rápido para ataques conhecidos Baseado em comportamento Construção de perfis do que é “usual” Comportamento não usual é visto como um ataque Identifica ataques desconhecidos Muitos falso-positivos

Detecção de intrusão: monitoramento e resposta Estratégia de monitoramento IDS baseado em rede IDS baseado em máquina Resposta Passiva: envio de alertas Ativa: bloqueio, coleta de dados, contra-ataque

Detecção de intrusão: melhorias Melhores técnicas de análise Identificação precisa de ataques conhecidos e desconhecidos Adoção de melhores modelos Redes atuais Um ambiente hostil e sujeito a falhas Intrusões aparentam ser inevitáveis

Sistema imunológico Protege o corpo contra vírus e bactérias potencialmente mortais Identifica ataques conhecidos e desconhecidos Detecção através de danos durante exposição Melhora a detecção após exposição Provê respostas para dificultar e bloquear ataques Restaura as partes afetadas do corpo Forte relação com segurança

Sistema imunológico: características Papel: distinguir self do nonself Divide-se em Sistema inato Natureza congênita Primeira linha de defesa Sistema adaptativo Sistema especializado Memória contra reinfecção

Sistema imunológico: imunologia e segurança Universidade do Novo México Algoritmo para distinção entre self e nonself Diversidade computacional Homeostase: regulação de processos Outros Agentes, algoritmos genéticos + imunologia, etc. Em resumo: detecção baseada em comportamento

Sistema imunológico: novas idéias para segurança Intrusões parecem ser inevitáveis ...realmente são no sistema biológico É melhor estar preparado Identificar intrusões em andamento Restaurar sistema afetado Estudar automaticamente intrusões Busca pelas assinaturas de ataque Ataque desconhecido  ataque conhecido

Parte II

Uma arquitetura de segurança Sistema imunológico Características e funcionalidades Principais metas Detecção precisa de ataques conhecidos e resposta Detecção de ataques desconhecidos: evidências de intrusão Manipulação de ataques desconhecidos Medidas de contenção e restauração Extração automatizada de assinatura Armazenamento de informação relevantes sobre o ataque Utilização das assinaturas extraídas: detecção e resposta

Uma arquitetura de segurança: visão geral

Uma arquitetura de segurança: funcionamento Seqüência lógica Detecção baseada em conhecimento + resposta adaptativa Detecção baseada em comportamento + resposta inata Detecção baseada em evidências de intrusão Cenário típico de intrusão Identificação após sucesso do atacante Precisão Armazenamento de informações sobre o ataque Restauração do sistema Extração de assinatura e geração de resposta Atualização do banco de dados de assinaturas e respostas

Uma arquitetura de segurança: extração de assinatura Algoritmo probabilístico Entrada: eventos anteriores à intrusão, eventos legítimos, probabilidade de falso-positivos Levantamento das assinaturas candidatas Maturação das candidatas Eliminação de falso-positivos Saída: eventos “próximos” à intrusão que aparentam não ser legítmos Assinaturas para o ataque Eventos muito raros

Uma arquitetura de segurança: analogias com o sistema imune

Uma arquitetura de segurança: outros trabalhos e originalidade Outros IDSs baseados no sistema imunológico Analogia bastante profunda Essência: detecção baseada em comportamento Este trabalho: conhecimento + comportamento Assinaturas de ataques González e Dasgupta, TIM, Wisdom & Sense: geração aleatória de regras de detecção Este trabalho: extração de eventos reais relacionados com os ataques Detecção de vírus proposta por Kephart Este trabalho: detecção de intrusão, identificação baseada em evidências, restauração mais abrangente

ADenoIdS Validar principais características da arquitetura Detecção baseada em evidências Restauração do sistema Extração de assinaturas Ataques buffer overflow Persistente classe de ataques Sem solução definitiva

ADenoIdS: características Linux kernel 2.4.19 Detecção baseada em evidências Verificação de chamadas ao sistema Restauração UNDOFS: undo no sistema de arquivos Eliminação de processos contaminados Extração de assinatura Candidatas: requisições “grandes” Maturação: descartar candidatas “menores” que requisições legítimas

Testes e resultados experimentais Ambiente ADenoIdS protegendo máquina virtual Atacante situado na máquina real Aplicações vulneráveis: named, wu-ftpd, imapd e amd Detecção baseada em evidências Uso contínuo e eventuais ataques Extração de assinatura: DARPA e LAS

Testes e resultados experimentais: resultados Detecção baseada em evidências Ausência de falso-positivos e falso-negativos Ativação de outros módulos Restauração e extração de assinatura Extração de assinatura Identificou tráfego relacionado ao ataque Uma assinatura sempre foi encontrada Eficiente para eliminar falso-positivos Publicações IEEE Congress on Evolutionary Computation (CEC´04) International Conference on Telecommunications (ICT´04)

Conclusão Assumindo que intrusões são inevitáveis Hipótese validada Ataques desconhecidos Identificados através de evidências de intrusão É possível tornar um ataque desconhecido em conhecido Hipótese validada Contribuições Definição da detecção baseada em evidências Exploração da oportunidade trazida por uma intrusão Algoritmo para extração de assinaturas de ataque Especificação de uma arquitetura de segurança

Conclusão: experiência e trabalhos futuros Resultados interessantes podem ser alcançados adotando uma analogia mais superficial Foco nas características e funcionalidades Outras aplicações Honeypots, análise forense Trabalhos futuros Generalização de ADenoIdS Desenvolvimento de um ambiente para testes Automatização de honeypots

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.