SISTEMAS DE DETECÇÃO DE INTRUSÃO

IDS

Prof.ª Camila do Nascimento Seixas

CONCEITOS

Intrusão: É qualquer conjunto de ações que tentem comprometer a integridade, confidencialidade ou a disponibilidade

Os Sistemas de Detecção de Intrusão ou IDS (Intrusion Detection System) são dispositivos de monitoramento de sistemas capazes de perceber a ocorrência de um ataque ou comportamento anormal dos mesmos e produzir uma resposta.

Prof.ª Camila do Nascimento Seixas

FUNÇÃO DO IDS

As respostas providas pelos IDS têm a função de alertar ao administrador do sistema ou da rede a ocorrência de um ataque ou uma tentativa de ataque ocorrida.

Prof.ª Camila do Nascimento Seixas

PARA PENSAR!!

Qual a diferença entre as duas situações anteriores.

Na primeira situação, o ataque está em andamento e o ataque pode ou não obter sucesso.

Na segunda situação, o ataque já aconteceu e o atacante não obteve sucesso.

Prof.ª Camila do Nascimento Seixas

EXISTEM VÁRIOS TIPOS DE IDS QUE PODEM SER CARACTERIZADOS PELA METODOLOGIA DE DETECÇÃO USADA OU PELO TIPO DE ANÁLISE EMPREGADO.

Prof.ª Camila do Nascimento Seixas

DETECÇÃO POR ANOMALIAS

Tem por objetivo identificar desvios de padrões de utilização de recursos, presentes em um sistema, por parte dos usuários, que podem caracterizar um ataque.

Partindo da ponto que cada usuário possui um perfil de utilização de recursos, qualquer desvio significativo desse perfil pode significar que o próprio esteja tentando uma acesso indevido.

Prof.ª Camila do Nascimento Seixas

TIPOS DE ATIVIDADES POSSÍVEIS

Intrusiva e anômala (verdadeiros positivos): a atividade é intrusiva e é detectada como tal.

Intrusiva e não anômala (falsos negativos): a atividade é intrusiva, mas não é detectada como tal.

Não intrusiva e anômala (falsos positivos): a atividade não é intrusiva, mas é considerada como tal.

Não intrusiva e não anômala (verdadeiros negativos): a atividade não é intrusiva e não é acusada como tal.

Prof.ª Camila do Nascimento Seixas

DETECÇÃO POR ASSINATURAS

Também conhecida por Detecção por Abusos, é a mais utilizada nos IDS, pois é mais rápida, gera menos falsos positivos que a por anomalia.

Utiliza uma base de dados que possui informações de padrões de ataques (assinaturas) é utilizado para a comparação com o padrão apresentado pelo possível ataque em andamento. Em caso de semelhança o ataque é detectado.

Prof.ª Camila do Nascimento Seixas

PARA PENSAR!

Grande problema do IDS por assinatura?

Em caso de novos tipos de ataques. Sua assinatura pode não estar contida na base de dados. O que pode levar ao não reconhecimento do ataque, assim o mesmo não será identificado.

Prof.ª Camila do Nascimento Seixas

CLASSIFICAÇÃO DE IDS BASEADOS EM TIPOS DE ANÁLISE

Prof.ª Camila do Nascimento Seixas

IDS BASEADOS EM HOST

Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de log ou pelos agentes de auditoria.

Uso da CPU; Acessos e modificações em arquivos de

sistema; Processos do sistema; Programas que estão sendo

executados.

Prof.ª Camila do Nascimento Seixas

IDS BASEADOS EM REDE

Monitoram o tráfego de pacotes do segmento de rede em que se concentram. O monitoramento se dá mediante a captura de pacotes e análise de seus cabeçalhos e conteúdo.

Vantagens: Não causa impacto na rede Ataques são detectados em tempo real Detecta tentativas de ataques

Prof.ª Camila do Nascimento Seixas

Prof.ª Camila do Nascimento Seixas