Uma arquitetura de seguran - PowerPoint PPT Presentation

About This Presentation
Title:

Uma arquitetura de seguran

Description:

Uma arquitetura de seguran a computacional inspirada no sistema imunol gico Tese de doutorado Fabr cio S rgio de Paula Roteiro Parte I Introdu o Detec o de ... – PowerPoint PPT presentation

Number of Views:115
Avg rating:3.0/5.0
Slides: 30
Provided by: intern191
Category:

less

Transcript and Presenter's Notes

Title: Uma arquitetura de seguran


1
Uma arquitetura de segurança computacional
inspirada no sistema imunológico
  • Tese de doutorado

Fabrício Sérgio de Paula
2
Roteiro
  • Parte I
  • Introdução
  • Detecção de intrusão
  • Sistema imunológico
  • Parte II
  • Uma arquitetura de segurança
  • ADenoIdS
  • Testes e resultados experimentais
  • Conclusão

3
Parte I
4
Introdução
  • Internet
  • Inicialmente confiança mútua
  • Ambiente aberto e sem fronteiras
  • Diversidade inclui indivíduos maliciosos
  • Este trabalho
  • Propor arquitetura de segurança computacional
  • Inspiração provinda do sistema imunológico

5
Introduçãonúmero de incidentes / ano
CERT/CC
6
Introdução segurança computacional
  • Definição informal
  • Um sistema seguro é aquele que se comporta da
    maneira esperada
  • Definição mais formal
  • Integridade
  • Confidencialidade
  • Disponibilidade

7
Introduçãoaparatos de segurança
  • Autenticação quem é você?
  • Firewalls seleção de tráfego
  • Criptografia cifragem/decifragem e verificação
  • Análise de vulnerabilidades estou vulnerável?
  • Sistemas de detecção de intrusão ocorreu um
    ataque ou intrusão?
  • Honeypots, anti-vírus, resposta a incidentes

8
Detecção de intrusão
  • Primeiro passo definir o que é legítimo
  • Política de segurança
  • Detecção de intrusão identificação de ações
    ilícitas (ataques)
  • Sistema de detecção de intrusão (IDS)
  • Automatiza processo de identificação
  • Possibilita uma rápida tomada de decisão
  • Essencial para a segurança de corporações

9
Detecção de intrusão sistemas de detecção de
intrusão
  • IDS ideal
  • Identifica todos os ataques
  • Não identifica nenhuma ação legítima
  • IDSs atuais
  • Deixam de identificar alguns ataques
  • Falso-negativo
  • Identificam algumas ações legítimas
  • Falso-positivo

10
Detecção de intrusãoprincipais métodos de
análise
  • Baseado em conhecimento
  • Especificação manual de assinaturas de ataques
  • Somente ações especificadas são identificadas
  • Método preciso e rápido para ataques conhecidos
  • Baseado em comportamento
  • Construção de perfis do que é usual
  • Comportamento não usual é visto como um ataque
  • Identifica ataques desconhecidos
  • Muitos falso-positivos

11
Detecção de intrusãomonitoramento e resposta
  • Estratégia de monitoramento
  • IDS baseado em rede
  • IDS baseado em máquina
  • Resposta
  • Passiva envio de alertas
  • Ativa bloqueio, coleta de dados, contra-ataque

12
Detecção de intrusãomelhorias
  • Melhores técnicas de análise
  • Identificação precisa de ataques conhecidos e
    desconhecidos
  • Adoção de melhores modelos
  • Redes atuais
  • Um ambiente hostil e sujeito a falhas
  • Intrusões aparentam ser inevitáveis

13
Sistema imunológico
  • Protege o corpo contra vírus e bactérias
    potencialmente mortais
  • Identifica ataques conhecidos e desconhecidos
  • Detecção através de danos durante exposição
  • Melhora a detecção após exposição
  • Provê respostas para dificultar e bloquear
    ataques
  • Restaura as partes afetadas do corpo
  • Forte relação com segurança

14
Sistema imunológicocaracterísticas
  • Papel distinguir self do nonself
  • Divide-se em
  • Sistema inato
  • Natureza congênita
  • Primeira linha de defesa
  • Sistema adaptativo
  • Sistema especializado
  • Memória contra reinfecção

15
Sistema imunológicoimunologia e segurança
  • Universidade do Novo México
  • Algoritmo para distinção entre self e nonself
  • Diversidade computacional
  • Homeostase regulação de processos
  • Outros
  • Agentes, algoritmos genéticos imunologia, etc.
  • Em resumo detecção baseada em comportamento

16
Sistema imunológiconovas idéias para segurança
  • Intrusões parecem ser inevitáveis
  • ...realmente são no sistema biológico
  • É melhor estar preparado
  • Identificar intrusões em andamento
  • Restaurar sistema afetado
  • Estudar automaticamente intrusões
  • Busca pelas assinaturas de ataque
  • Ataque desconhecido ? ataque conhecido

17
Parte II
18
Uma arquitetura de segurança
  • Sistema imunológico
  • Características e funcionalidades
  • Principais metas
  • Detecção precisa de ataques conhecidos e resposta
  • Detecção de ataques desconhecidos evidências de
    intrusão
  • Manipulação de ataques desconhecidos
  • Medidas de contenção e restauração
  • Extração automatizada de assinatura
  • Armazenamento de informação relevantes sobre o
    ataque
  • Utilização das assinaturas extraídas detecção e
    resposta

19
Uma arquitetura de segurançavisão geral
20
Uma arquitetura de segurançafuncionamento
  • Seqüência lógica
  • Detecção baseada em conhecimento resposta
    adaptativa
  • Detecção baseada em comportamento resposta
    inata
  • Detecção baseada em evidências de intrusão
  • Cenário típico de intrusão
  • Identificação após sucesso do atacante
  • Precisão
  • Armazenamento de informações sobre o ataque
  • Restauração do sistema
  • Extração de assinatura e geração de resposta
  • Atualização do banco de dados de assinaturas e
    respostas

21
Uma arquitetura de segurançaextração de
assinatura
  • Algoritmo probabilístico
  • Entrada eventos anteriores à intrusão, eventos
    legítimos, probabilidade de falso-positivos
  • Levantamento das assinaturas candidatas
  • Maturação das candidatas
  • Eliminação de falso-positivos
  • Saída eventos próximos à intrusão que
    aparentam não ser legítmos
  • Assinaturas para o ataque
  • Eventos muito raros

22
Uma arquitetura de segurançaanalogias com o
sistema imune
23
Uma arquitetura de segurançaoutros trabalhos e
originalidade
  • Outros IDSs baseados no sistema imunológico
  • Analogia bastante profunda
  • Essência detecção baseada em comportamento
  • Este trabalho conhecimento comportamento
  • Assinaturas de ataques
  • González e Dasgupta, TIM, Wisdom Sense geração
    aleatória de regras de detecção
  • Este trabalho extração de eventos reais
    relacionados com os ataques
  • Detecção de vírus proposta por Kephart
  • Este trabalho detecção de intrusão,
    identificação baseada em evidências, restauração
    mais abrangente

24
ADenoIdS
  • Validar principais características da arquitetura
  • Detecção baseada em evidências
  • Restauração do sistema
  • Extração de assinaturas
  • Ataques buffer overflow
  • Persistente classe de ataques
  • Sem solução definitiva

25
ADenoIdScaracterísticas
  • Linux kernel 2.4.19
  • Detecção baseada em evidências
  • Verificação de chamadas ao sistema
  • Restauração
  • UNDOFS undo no sistema de arquivos
  • Eliminação de processos contaminados
  • Extração de assinatura
  • Candidatas requisições grandes
  • Maturação descartar candidatas menores que
    requisições legítimas

26
Testes e resultados experimentais
  • Ambiente
  • ADenoIdS protegendo máquina virtual
  • Atacante situado na máquina real
  • Aplicações vulneráveis named, wu-ftpd, imapd e
    amd
  • Detecção baseada em evidências
  • Uso contínuo e eventuais ataques
  • Extração de assinatura DARPA e LAS

27
Testes e resultados experimentaisresultados
  • Detecção baseada em evidências
  • Ausência de falso-positivos e falso-negativos
  • Ativação de outros módulos
  • Restauração e extração de assinatura
  • Extração de assinatura
  • Identificou tráfego relacionado ao ataque
  • Uma assinatura sempre foi encontrada
  • Eficiente para eliminar falso-positivos
  • Publicações
  • IEEE Congress on Evolutionary Computation
    (CEC04)
  • International Conference on Telecommunications
    (ICT04)

28
Conclusão
  • Assumindo que intrusões são inevitáveis
  • Ataques desconhecidos
  • Identificados através de evidências de intrusão
  • É possível tornar um ataque desconhecido em
    conhecido
  • Hipótese validada
  • Contribuições
  • Definição da detecção baseada em evidências
  • Exploração da oportunidade trazida por uma
    intrusão
  • Algoritmo para extração de assinaturas de ataque
  • Especificação de uma arquitetura de segurança

29
Conclusãoexperiência e trabalhos futuros
  • Resultados interessantes podem ser alcançados
    adotando uma analogia mais superficial
  • Foco nas características e funcionalidades
  • Outras aplicações
  • Honeypots, análise forense
  • Trabalhos futuros
  • Generalização de ADenoIdS
  • Desenvolvimento de um ambiente para testes
  • Automatização de honeypots
Write a Comment
User Comments (0)
About PowerShow.com