Upload
manuella-silva-caldas
View
225
Download
2
Embed Size (px)
Citation preview
Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes.
Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSEG 2007).
UFRJ – Rio de Janeiro, 29 de agosto de 2007.
Jorge L. Corrêa, Adriano M. Cansian.UNESP – Universidade Estadual Paulista – Instituto de Biociências, Letras e
Ciências Exatas (IBILCE) - Campus de São José do Rio Preto, SPACME! Computer Security Research
{jorge,adriano}@acmesecurity.orgwww.acmesecurity.org
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 2
Organização da apresentação
• Objetivo e motivação.
• Fluxo de dados (Netflow).
• Sistemas inteligentes: redes neurais artificiais.
• Metodologia e concepção do modelo.
– Modelo adaptativo de detecção.
– Modelos de assinaturas.
– Treinamento.
– Resultados.
• Vantagens, desvantagens e dificuldades.
• Conclusões.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 3
Objetivo e motivação
• Objetivo: conceber uma arquitetura de monitoria cujas principais características são:
– Adaptabilidade ao ambiente.
– Detecção de anomalias baseada no comportamento.
– Escalabilidade e automatização do processo de detecção.
• Motivações:
– Complementação de um modelo anterior (captura de pacotes).
– Atuar no modelo atual de tráfego (alta densidade e diversidade).
– Proteger perímetros maiores (redes stub).
– Detectar eventos de negação de serviço.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 4
Fluxo de dados (Netflow)
• Surgimento: padrão de análise de tráfego (necessidade proposta pelo IETF).
• Netflow: padrão utilizado e desenvolvido pela Cisco Sytems.
• Definição: uma seqüência unidirecional de pacotes entre dois hosts, representando um tráfego com características comuns.
• Por que fluxos?
– Não há análise de payload (gera menos latência).
– Representação de todas as sessões estabelecidas no ambiente.
• Implicações diretas:
– Permite escalabilidade.
– Maior abrangência da área a ser monitorada.
– Visão geral do ambiente a ser protegido.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 5
Sistemas inteligentes: redes neurais artificiais
• RNAs são sistemas amplamente utilizados no reconhecimento de padrões.
• Rede neural utilizada: Multi Layer Perceptron (MLP):– Modelo de treinamento supervisionado permite inserção de
conhecimentos específicos.
– Backpropagation possibilita um treinamento que garanta eficiência no reconhecimento de padrões.
– As redes MLP já foram utilizadas com sucesso nesta área.
• Topologia da rede:– De modo geral, possui 3 camadas (input, hidden e output).
– O número de neurônios depende:
• Modelo de assinatura.
• Quantidade de eventos a serem detectados.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 6
Sistemas inteligentes: redes neurais artificiais (2)
• Uma visão da topologia, para o modelo de análise por serviços.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 7
Metodologia e concepção do modelo: modelo adaptativo de detecção
• Modelo de detecção baseia-se no comportamento do ambiente.
• A operação do sistema consiste nas seguintes etapas:
– Exportação (Netflow no roteador).
– Coleta (flow-tools).
– Geração de assinatura.
– Tentativa de reconhecimento.
– Obtenção do evento.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 8
O conceito de assinatura
• Embora trabalhe com anomalias, padrões de fluxos são testados durante a monitoria (por isso a denominação assinaturas).
• Modelagem básica para todos os modelos:
– Gráficos cartesianos relacionando fluxos x tempo.
– Cada linha representa uma média de fluxos, durante um período de tempo.
– O período de tempo é representado por cada coluna, de forma discreta.
– Todos estes parâmetros são ajustáveis. host:~$ flow-cat fluxos/ft* | neuro-sig --gen-statistic -- Neuro-flow - Flows statistics -- Service Maximum flows Average 80 821 39 53 308 74 25 949 5
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 9
O conceito de assinatura (2)
• Exemplo:
– Cada coluna representa uma janela de tempo de 30s e cada linha uma média de 20 fluxos por segundo.
– A presença do algarismo 1 em uma linha representa que foram recebidos 600 fluxos por segundo:
• 20 (fluxos por segundo) x 30 (segundos) = 600 fluxos
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 10
Metodologia e concepção do modelo: análise TOTAL de fluxos
• Não faz distinção entre tráfego de entrada e tráfego de saída.
• Requer uma quantidade menor de assinaturas durante o treinamento (muito abrangente em relação aos tipos de fluxos analisados).
• Torna-se difícil distinguir anomalias diferentes (generalização).
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 11
Metodologia e concepção do modelo: análise por DESTINO de fluxos
• Ordenada dividida em fluxos de entrada e fluxos de saída.
• Possibilita a diferenciação de ataques sofridos e gerados.
• Quantidade necessária de padrões de treinamento aumenta.
• A geração das codificações torna-se mais detalhada.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 12
Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos
• Considera a análise dos fluxos separados por serviços.
• A assinatura fica mais complexa e requer maior quantidade de padrões para o treinamento.
• As ligações entre as camadas da rede neural é alterada.
• Permite o monitoramento geral da rede pela análise do comportamento dos serviços simultaneamente.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 13
Metodologia e concepção do modelo: análise por SERVIÇOS de fluxos (2)
• Além da análise de cada serviço, como anteriormente, há uma visão geral da rede.
• Esta visão é uma máscara aplicada à entrada, selecionando os últimos momentos de cada serviço.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 14
Metodologia e concepção do modelo: treinamento
• Netflow versão 5.
• Treinamento utiliza o simulador SNNS.
• A rede neural treinada é convertida e um arquivo em linguagem C.
• Ligada estaticamente ao código do sistema.
• Para cada processo de treinamento utiliza-se dois conjuntos:
– Treinamento.
– Validação.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 15
Metodologia e concepção do modelo: treinamento (2)
• Padrões são gerados por meio de um arquivo intermediário.
• Momento em que há a interação do administrador.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 16
Resultados
• A eficiência do sistema está intimamente relacionada ao erro cometido pela rede neural.
• Um treinamento que minimize este erro conseqüentemente leva a um sistema de detecção eficiente.
• Os seguintes conjuntos foram utilizados:
• Em média, é gasto 1 minuto para o treinamento.
• Os gráficos a seguir mostram a curva de convergência dos erros quadráticos médios para cada modelo.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 17
Resultados (2)
• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise total de fluxos.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 18
Resultados (3)
• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por destino.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 19
Resultados (4)
• Percentual de erros quadráticos médios em função do número de ciclos de treinamento para o modelo de análise por serviços.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 20
Resultados (5)
• Eventos detectados (causam anomalias em serviços ou no ambiente de modo geral):
– Prospecção de hosts e serviços.
– DoS e DDoS.
– Eventos FlashCrowd.
– Ataques de dicionário.
– Tráfego ilícito em canais mitigados (DNS).
– Tráfego normal, uso indevido e problemas de conectividade.
• Taxa de falso positivo dependerá de quão representativo são os padrões utilizados no treinamento.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 21
Resultados (6)
• Exemplo de saída: detecção de anomalia no DNS causada por covert channel (testes utilizando a ferramenta NSTX).
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 22
Vantagens, desvantagens e dificuldades
• Vantagens– Pode ser utilizado em redes com grande diversidade de tráfego.
– Não gera latência como ocorre na análise de conteúdo, podendo monitorar um perímetro maior (escalabilidade).
– Absorve informações sobre o comportamento do ambiente.
– RNA confere poder de generalização.
– Detecta eventos de negativa de serviço.
– Automatização do processo.
• Desvantagens e dificuldades:– Requer interação inicial do administrador.
– Processo de treinamento deve ser minucioso, pois impacta na eficiência do reconhecimento dos padrões.
– Generalização da RNA: ao mesmo tempo é uma desvantagem, pois pode dificultar a identificação precisa de um evento.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 23
Conclusões
• Embora o estabelecimento do sistema final possua dificuldades, os resultados do modelo mostraram-se promissores, principalmente quanto a:
– Automatização do processo e rápida detecção.
– Escalabilidade.
– Adaptabilidade ao ambiente e reconhecimento de variações de ataques.
• É importante nas novas metodologias de monitoramento a preocupação com as atuais características de tráfego: alta diversidade e alta densidade.
• Por fim, a segurança efetiva está relacionada a colaboratividade entre diversos sistemas e metodologias.
• Este modelo visa complementar sistemas atuais e auxiliar na tarefa de manutenção de um ambiente seguro.
SBSeg 2007 - UFRJ Jorge Luiz Corrêa 24
Contatos
• Jorge Luiz Corrêa
PGP KeyID: 0x1BCB7255
• Adriano Mauro Cansian
PGP KeyID: 0x3893CD2B
• Site:
www.acmesecurity.org