Sistema de Detecção de IntrusãoLeonardo Machado

Rômulo CoutinhoYuri Vasquez

Redes de Computadores

• Introdução– Segurança Computacional– Além do Firewall– Objetivos

• Ataques• Sistemas de Detecção de Intrusão

– Tipos Baseado em rede Baseado na estação Híbrido

– Métodos de DetecçãoAssinaturasAnomalias

• Conclusão

Agenda

• Segurança Computacional– Confidencialidade– Integridade– Disponibilidade

• Além do Firewall– Reação a ataques– Falhas– Aumento do Nível de Segurança– Espionagem

Introdução

• Definição

• Componentes– Fonte de Informação– Análise– Resposta

• Tipos– Baseado na Rede– Baseado na Estação

Sistema de Detecção de Intrusão

• O que são?

• Tipos– Negação de Acesso– Penetração– Varredura

Ataques

• Modo de Funcionamento• Posicionamento na Rede• Vantagens

– Fácil instalação– Monitoramento de várias estações

• Desvantagens– Dificuldade em redes de alta velocidade– Dificuldade com protocolos codificados

SDI baseado em rede

• Modo de Funcionamento• Vantagens

– Pode analisar informações criptografadas• Desvantagens

– Onera a capacidade computacional da estação– Cada estação precisa ser monitorada

individualmente– Um ataque pode desinstalar este sistema

SDI baseado no servidor

• Baseado em Assinaturas• Baseado em Anomalias

Métodos de Análise

Assinaturas são sequencias de bits ou pacotes que são características de ataque.

Análise de Assinaturas

A análise por anomalias busca determinar se o comportamento das instâncias da rede está

fugindo ao padrão, para tal são necessários um registro de atividades do sistema e uma

fundamentação estatística

Análise de Anomalias

• Vantagens

– Comparação com base de dados, processamento mais rápido

– Ações corretivas tomadas mais rapidamente

– Baixo número de falsos negativos

• Desvantagens

– Dependência de base de dados atualizada

– Não detecta ataques com assinaturas levemente modi- ficadas

– Difícil detecção de tentativas de abuso de privilégio

Análise por assinaturas

• Vantagens

– Pode detectar abusos de privilégios por usuários internos

– Pode detectar ataques sem assinaturas comuns

• Desvantagens

– Grande número de falsos positivos

– Demanda maior capacidade computacional do que a análise por assinaturas

Análise por anomalias

• Os SDIs são uma camada de segurança importante para proteger redes de ataques internos e externos

• A escolha do tipo de SDI, bem como o seu método de funcionamento depende além do custo, do propósito para o qual este sistema está sendo implementado

Conclusão