Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas

Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes.

Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSEG 2007).

UFRJ – Rio de Janeiro, 29 de agosto de 2007.

Jorge L. Corrêa, Adriano M. Cansian.UNESP – Universidade Estadual Paulista – Instituto de Biociências, Letras e

Ciências Exatas (IBILCE) - Campus de São José do Rio Preto, SPACME! Computer Security Research

{jorge,adriano}@acmesecurity.orgwww.acmesecurity.org

SBSeg 2007 - UFRJ Jorge Luiz Corrêa 2

Organização da apresentação

• Objetivo e motivação.

• Fluxo de dados (Netflow).

• Sistemas inteligentes: redes neurais artificiais.

• Metodologia e concepção do modelo.

– Modelo adaptativo de detecção.

– Modelos de assinaturas.

– Treinamento.

– Resultados.

• Vantagens, desvantagens e dificuldades.

• Conclusões.


Objetivo e motivação

• Objetivo: conceber uma arquitetura de monitoria cujas principais características são:

– Adaptabilidade ao ambiente.

– Detecção de anomalias baseada no comportamento.

– Escalabilidade e automatização do processo de detecção.

• Motivações:

– Complementação de um modelo anterior (captura de pacotes).

– Atuar no modelo atual de tráfego (alta densidade e diversidade).

– Proteger perímetros maiores (redes stub).

– Detectar eventos de negação de serviço.


Fluxo de dados (Netflow)

• Surgimento: padrão de análise de tráfego (necessidade proposta pelo IETF).

• Netflow: padrão utilizado e desenvolvido pela Cisco Sytems.

• Definição: uma seqüência unidirecional de pacotes entre dois hosts, representando um tráfego com características comuns.

• Por que fluxos?

– Não há análise de payload (gera menos latência).

– Representação de todas as sessões estabelecidas no ambiente.

• Implicações diretas:

– Permite escalabilidade.

– Maior abrangência da área a ser monitorada.

– Visão geral do ambiente a ser protegido.


Sistemas inteligentes: redes neurais artificiais

• RNAs são sistemas amplamente utilizados no reconhecimento de padrões.

• Rede neural utilizada: Multi Layer Perceptron (MLP):– Modelo de treinamento supervisionado permite inserção de

conhecimentos específicos.

– Backpropagation possibilita um treinamento que garanta eficiência no reconhecimento de padrões.

– As redes MLP já foram utilizadas com sucesso nesta área.

• Topologia da rede:– De modo geral, possui 3 camadas (input, hidden e output).

– O número de neurônios depende:

• Modelo de assinatura.

• Quantidade de eventos a serem detectados.


Sistemas inteligentes: redes neurais artificiais (2)

• Uma visão da topologia, para o modelo de análise por serviços.


Metodologia e concepção do modelo: modelo adaptativo de detecção

• Modelo de detecção baseia-se no comportamento do ambiente.

• A operação do sistema consiste nas seguintes etapas:

– Exportação (Netflow no roteador).

– Coleta (flow-tools).

– Geração de assinatura.

– Tentativa de reconhecimento.

– Obtenção do evento.


O conceito de assinatura

• Embora trabalhe com anomalias, padrões de fluxos são testados durante a monitoria (por isso a denominação assinaturas).

• Modelagem básica para todos os modelos:

– Gráficos cartesianos relacionando fluxos x tempo.

– Cada linha representa uma média de fluxos, durante um período de tempo.

– O período de tempo é representado por cada coluna, de forma discreta.

– Todos estes parâmetros são ajustáveis. host:~$ flow-cat fluxos/ft* | neuro-sig --gen-statistic -- Neuro-flow - Flows statistics -- Service Maximum flows Average 80 821 39 53 308 74 25 949 5


O conceito de assinatura (2)

• Exemplo:

– Cada coluna representa uma janela de tempo de 30s e cada linha uma média de 20 fluxos por segundo.

– A presença do algarismo 1 em uma linha representa que foram recebidos 600 fluxos por segundo:

• 20 (fluxos por segundo) x 30 (segundos) = 600 fluxos


Metodologia e concepção do modelo: análise TOTAL de fluxos

• Não faz distinção entre tráfego de entrada e tráfego de saída.

• Requer uma quantidade menor de assinaturas durante o treinamento (muito abrangente em relação aos tipos de fluxos analisados).

• Torna-se difícil distinguir anomalias diferentes (generalização).


Metodologia e concepção do modelo: análise por DESTINO de fluxos

• Ordenada dividida em fluxos de entrada e fluxos de saída.

• Possibilita a diferenciação de ataques sofridos e gerados.

• Quantidade necessária de padrões de treinamento aumenta.

• A geração das codificações torna-se mais detalhada.


Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos

• Considera a análise dos fluxos separados por serviços.

• A assinatura fica mais complexa e requer maior quantidade de padrões para o treinamento.

• As ligações entre as camadas da rede neural é alterada.

• Permite o monitoramento geral da rede pela análise do comportamento dos serviços simultaneamente.


Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos (2)

• Além da análise de cada serviço, como anteriormente, há uma visão geral da rede.

• Esta visão é uma máscara aplicada à entrada, selecionando os últimos momentos de cada serviço.


Metodologia e concepção do modelo: treinamento

• Netflow versão 5.

• Treinamento utiliza o simulador SNNS.

• A rede neural treinada é convertida e um arquivo em linguagem C.

• Ligada estaticamente ao código do sistema.

• Para cada processo de treinamento utiliza-se dois conjuntos:

– Treinamento.

– Validação.


Metodologia e concepção do modelo: treinamento (2)

• Padrões são gerados por meio de um arquivo intermediário.

• Momento em que há a interação do administrador.


Resultados

• A eficiência do sistema está intimamente relacionada ao erro cometido pela rede neural.

• Um treinamento que minimize este erro conseqüentemente leva a um sistema de detecção eficiente.

• Os seguintes conjuntos foram utilizados:

• Em média, é gasto 1 minuto para o treinamento.

• Os gráficos a seguir mostram a curva de convergência dos erros quadráticos médios para cada modelo.


Resultados (2)

• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise total de fluxos.


Resultados (3)

• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por destino.


Resultados (4)

• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por serviços.


Resultados (5)

• Eventos detectados (causam anomalias em serviços ou no ambiente de modo geral):

– Prospecção de hosts e serviços.

– DoS e DDoS.

– Eventos FlashCrowd.

– Ataques de dicionário.

– Tráfego ilícito em canais mitigados (DNS).

– Tráfego normal, uso indevido e problemas de conectividade.

• Taxa de falso positivo dependerá de quão representativo são os padrões utilizados no treinamento.


Resultados (6)

• Exemplo de saída: detecção de anomalia no DNS causada por covert channel (testes utilizando a ferramenta NSTX).


Vantagens, desvantagens e dificuldades

• Vantagens– Pode ser utilizado em redes com grande diversidade de tráfego.

– Não gera latência como ocorre na análise de conteúdo, podendo monitorar um perímetro maior (escalabilidade).

– Absorve informações sobre o comportamento do ambiente.

– RNA confere poder de generalização.

– Detecta eventos de negativa de serviço.

– Automatização do processo.

• Desvantagens e dificuldades:– Requer interação inicial do administrador.

– Processo de treinamento deve ser minucioso, pois impacta na eficiência do reconhecimento dos padrões.

– Generalização da RNA: ao mesmo tempo é uma desvantagem, pois pode dificultar a identificação precisa de um evento.


Conclusões

• Embora o estabelecimento do sistema final possua dificuldades, os resultados do modelo mostraram-se promissores, principalmente quanto a:

– Automatização do processo e rápida detecção.

– Escalabilidade.

– Adaptabilidade ao ambiente e reconhecimento de variações de ataques.

• É importante nas novas metodologias de monitoramento a preocupação com as atuais características de tráfego: alta diversidade e alta densidade.

• Por fim, a segurança efetiva está relacionada a colaboratividade entre diversos sistemas e metodologias.

• Este modelo visa complementar sistemas atuais e auxiliar na tarefa de manutenção de um ambiente seguro.


Contatos

• Jorge Luiz Corrêa

[email protected]

PGP KeyID: 0x1BCB7255

• Adriano Mauro Cansian

[email protected]

PGP KeyID: 0x3893CD2B

• Site:

www.acmesecurity.org

Documents

Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. Simpósio Brasileiro em Segurança da Informação e de Sistemas