Uma arquitetura de seguran

1
Uma arquitetura de segurança computacional
inspirada no sistema imunológico

• Tese de doutorado

Fabrício Sérgio de Paula
2
Roteiro

• Parte I
• Introdução
• Detecção de intrusão
• Sistema imunológico
• Parte II
• Uma arquitetura de segurança
• ADenoIdS
• Testes e resultados experimentais
• Conclusão

3
Parte I
4
Introdução

• Internet
• Inicialmente confiança mútua
• Ambiente aberto e sem fronteiras
• Diversidade inclui indivíduos maliciosos
• Este trabalho
• Propor arquitetura de segurança computacional
• Inspiração provinda do sistema imunológico

5
Introduçãonúmero de incidentes / ano
CERT/CC
6
Introdução segurança computacional

• Definição informal
• Um sistema seguro é aquele que se comporta da
  maneira esperada
• Definição mais formal
• Integridade
• Confidencialidade
• Disponibilidade

7
Introduçãoaparatos de segurança

• Autenticação quem é você?
• Firewalls seleção de tráfego
• Criptografia cifragem/decifragem e verificação
• Análise de vulnerabilidades estou vulnerável?
• Sistemas de detecção de intrusão ocorreu um
  ataque ou intrusão?
• Honeypots, anti-vírus, resposta a incidentes

8
Detecção de intrusão

• Primeiro passo definir o que é legítimo
• Política de segurança
• Detecção de intrusão identificação de ações
  ilícitas (ataques)
• Sistema de detecção de intrusão (IDS)
• Automatiza processo de identificação
• Possibilita uma rápida tomada de decisão
• Essencial para a segurança de corporações

9
Detecção de intrusão sistemas de detecção de
intrusão

• IDS ideal
• Identifica todos os ataques
• Não identifica nenhuma ação legítima
• IDSs atuais
• Deixam de identificar alguns ataques
• Falso-negativo
• Identificam algumas ações legítimas
• Falso-positivo

10
Detecção de intrusãoprincipais métodos de
análise

• Baseado em conhecimento
• Especificação manual de assinaturas de ataques
• Somente ações especificadas são identificadas
• Método preciso e rápido para ataques conhecidos
• Baseado em comportamento
• Construção de perfis do que é usual
• Comportamento não usual é visto como um ataque
• Identifica ataques desconhecidos
• Muitos falso-positivos

11
Detecção de intrusãomonitoramento e resposta

• Estratégia de monitoramento
• IDS baseado em rede
• IDS baseado em máquina
• Resposta
• Passiva envio de alertas
• Ativa bloqueio, coleta de dados, contra-ataque

12
Detecção de intrusãomelhorias

• Melhores técnicas de análise
• Identificação precisa de ataques conhecidos e
  desconhecidos
• Adoção de melhores modelos
• Redes atuais
• Um ambiente hostil e sujeito a falhas
• Intrusões aparentam ser inevitáveis

13
Sistema imunológico

• Protege o corpo contra vírus e bactérias
  potencialmente mortais
• Identifica ataques conhecidos e desconhecidos
• Detecção através de danos durante exposição
• Melhora a detecção após exposição
• Provê respostas para dificultar e bloquear
  ataques
• Restaura as partes afetadas do corpo
• Forte relação com segurança

14
Sistema imunológicocaracterísticas

• Papel distinguir self do nonself
• Divide-se em
• Sistema inato
• Natureza congênita
• Primeira linha de defesa
• Sistema adaptativo
• Sistema especializado
• Memória contra reinfecção

15
Sistema imunológicoimunologia e segurança

• Universidade do Novo México
• Algoritmo para distinção entre self e nonself
• Diversidade computacional
• Homeostase regulação de processos
• Outros
• Agentes, algoritmos genéticos imunologia, etc.
• Em resumo detecção baseada em comportamento

16
Sistema imunológiconovas idéias para segurança

• Intrusões parecem ser inevitáveis
• ...realmente são no sistema biológico
• É melhor estar preparado
• Identificar intrusões em andamento
• Restaurar sistema afetado
• Estudar automaticamente intrusões
• Busca pelas assinaturas de ataque
• Ataque desconhecido ? ataque conhecido

17
Parte II
18
Uma arquitetura de segurança

• Sistema imunológico
• Características e funcionalidades
• Principais metas
• Detecção precisa de ataques conhecidos e resposta
• Detecção de ataques desconhecidos evidências de
  intrusão
• Manipulação de ataques desconhecidos
• Medidas de contenção e restauração
• Extração automatizada de assinatura
• Armazenamento de informação relevantes sobre o
  ataque
• Utilização das assinaturas extraídas detecção e
  resposta

19
Uma arquitetura de segurançavisão geral
20
Uma arquitetura de segurançafuncionamento

• Seqüência lógica
• Detecção baseada em conhecimento resposta
  adaptativa
• Detecção baseada em comportamento resposta
  inata
• Detecção baseada em evidências de intrusão
• Cenário típico de intrusão
• Identificação após sucesso do atacante
• Precisão
• Armazenamento de informações sobre o ataque
• Restauração do sistema
• Extração de assinatura e geração de resposta
• Atualização do banco de dados de assinaturas e
  respostas

21
Uma arquitetura de segurançaextração de
assinatura

• Algoritmo probabilístico
• Entrada eventos anteriores à intrusão, eventos
  legítimos, probabilidade de falso-positivos
• Levantamento das assinaturas candidatas
• Maturação das candidatas
• Eliminação de falso-positivos
• Saída eventos próximos à intrusão que
  aparentam não ser legítmos
• Assinaturas para o ataque
• Eventos muito raros

22
Uma arquitetura de segurançaanalogias com o
sistema imune
23
Uma arquitetura de segurançaoutros trabalhos e
originalidade

• Outros IDSs baseados no sistema imunológico
• Analogia bastante profunda
• Essência detecção baseada em comportamento
• Este trabalho conhecimento comportamento
• Assinaturas de ataques
• González e Dasgupta, TIM, Wisdom Sense geração
  aleatória de regras de detecção
• Este trabalho extração de eventos reais
  relacionados com os ataques
• Detecção de vírus proposta por Kephart
• Este trabalho detecção de intrusão,
  identificação baseada em evidências, restauração
  mais abrangente

24
ADenoIdS

• Validar principais características da arquitetura
• Detecção baseada em evidências
• Restauração do sistema
• Extração de assinaturas
• Ataques buffer overflow
• Persistente classe de ataques
• Sem solução definitiva

25
ADenoIdScaracterísticas

• Linux kernel 2.4.19
• Detecção baseada em evidências
• Verificação de chamadas ao sistema
• Restauração
• UNDOFS undo no sistema de arquivos
• Eliminação de processos contaminados
• Extração de assinatura
• Candidatas requisições grandes
• Maturação descartar candidatas menores que
  requisições legítimas

26
Testes e resultados experimentais

• Ambiente
• ADenoIdS protegendo máquina virtual
• Atacante situado na máquina real
• Aplicações vulneráveis named, wu-ftpd, imapd e
  amd
• Detecção baseada em evidências
• Uso contínuo e eventuais ataques
• Extração de assinatura DARPA e LAS

27
Testes e resultados experimentaisresultados

• Detecção baseada em evidências
• Ausência de falso-positivos e falso-negativos
• Ativação de outros módulos
• Restauração e extração de assinatura
• Extração de assinatura
• Identificou tráfego relacionado ao ataque
• Uma assinatura sempre foi encontrada
• Eficiente para eliminar falso-positivos
• Publicações
• IEEE Congress on Evolutionary Computation
  (CEC04)
• International Conference on Telecommunications
  (ICT04)

28
Conclusão

• Assumindo que intrusões são inevitáveis
• Ataques desconhecidos
• Identificados através de evidências de intrusão
• É possível tornar um ataque desconhecido em
  conhecido
• Hipótese validada
• Contribuições
• Definição da detecção baseada em evidências
• Exploração da oportunidade trazida por uma
  intrusão
• Algoritmo para extração de assinaturas de ataque
• Especificação de uma arquitetura de segurança

29
Conclusãoexperiência e trabalhos futuros

• Resultados interessantes podem ser alcançados
  adotando uma analogia mais superficial
• Foco nas características e funcionalidades
• Outras aplicações
• Honeypots, análise forense
• Trabalhos futuros
• Generalização de ADenoIdS
• Desenvolvimento de um ambiente para testes
• Automatização de honeypots