1) O documento propõe uma arquitetura autonômica que combina sistemas de detecção de intrusão com redes definidas por software para mitigar ameaças de segurança em redes de computadores. 2) A arquitetura proposta foi implementada em um protótipo chamado Of-IDPS e testada em experimentos que avaliaram sua capacidade de detectar e reagir a diferentes tipos de ataques. 3) Os resultados dos experimentos mostraram que a arquitetura foi efetiva em identificar desequilíbrios causados por

1. Uma Arquitetura Autonômica para
Detecção e Reação a Ameaças de
Segurança em Redes de Computadores
Autores:
Este trabalho de Luiz Arthur Feitosa Santos, Rodrigo Campiolo e Daniel Macêdo Batista foi
licenciado com uma Licença Creative Commons - Atribuição – Não Comercial 3.0 Não
Adaptada.
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br
WoSiDA
09/Maio/2014

2. Introdução:
Problemas de pesquisa:
Crescimento do número de ataques contra redes locais;
Surgimento de novos desafios, tal como, BYOD;
Aumento na complexidade dos ataques à segurança;
Ineficácia das ferramentas/administradores em deter ataques.
Possíveis soluções:
Combinar ferramentas/métodos:
Computação Autonômica;
Uso de fontes de informações distribuídas e heterogêneas
a respeito de problemas de segurança;
Redes Definidas por Software (SDN).
2

3. Redes Definidas por Softwares:
Tenta resolver a ossificação da Internet;
Separa o plano de dados do plano de controle;
Permite programar as redes deixando-as mais dinâmicas.
3
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados
Plano de Controle
Plano de Dados Plano de Dados
Plano de Dados
Plano de Controle
Rede Comum Rede SDN

4. Computação Autonômica:
Sistemas complexos são difíceis de serem gerenciados por
humanos;
Computação Autonômica é baseada no conceito de equilíbrio
homeostático;
Um sistema autonômico deve possuir as propriedades de:
auto-gerenciamento, auto-configuração, auto-optimização,
auto-regeneração e auto-proteção.
4
Percepção
Ação
Atuadores
Sensores

5. Objetivo:
Desenvolver arquitetura autonômica que une Sistemas de
Detecção de Intrusão (IDS) e Redes Definidas por Software, na
figura do OpenFlow, para mitigar ações maliciosas em redes de
computadores locais.
5

6. Contribuições:
União de IDS, OpenFlow e Computação Autonômica no
combate a problemas de segurança em redes de
computadores locais;
Análise crítica do impacto, limitações e efetividade de uma
arquitetura autonômica que combina informações de fontes
heterogêneas para detecção e reação a incidentes de
segurança;
Implementação de um protótipo da arquitetura proposta e
disponibilização do código fonte :
https://github.com/luizsantos/Of-IDPS.
6

7. Arquitetura proposta:
7

8. Implementação da arquitetura e experimentos:
8
Controlador OpenFlow:
Of-IDPS – OpenFlow Intrusion Detection and Prevention System
(Nossa Proposta);
OpenFlow Beacon 1.0.4.
Outros elementos da rede (simulados):
Mininet 2.1.0;
Open vSwitch 1.9.0

9. Experimento 1:
Execução e resposta do Of-IDPS a alertas do IDS:
9
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Servidor Iperf:
Porta TCP/80
Porta TCP/90
Cliente Iperf:
Porta TCP/80
Fluxo Normal
Cliente Iperf:
Porta TCP/90
Fluxo Malicioso

10. Experimento 1:
10
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.

11. Experimento 1:
11
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.
Of-IDPS
reage aos alertas.

12. Experimento 1:
12
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Alertas:
30s – Risco baixo;
60s – Risco médio;
90s – Risco alto.
Fluxo Normal:
Aumento indireto
Taxa de transferência
de dados.
Fluxo Malicioso:
30s - restrição taxa de transferência de dados leve;
60s - restrição taxa de transferência de dados severa;
90s - bloqueio total.
Of-IDPS
reage aos alertas.

13. Experimento 1:
Resultados do experimento para o WoSiDA
13
Fluxo Normal
Fluxo Malicioso
Mensagem de alerta

14. 0
500
1000
1500
2000
2500
Fluxo Normal
Fluxo Malicioso
Mensagem de
alerta
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
14

15. 0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
15

16. 0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
16

17. 0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
17

18. 0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
18

19. 0 20 40 60 80 100 120 140
0
200
400
600
800
1000
1200
1400
1600
(b) Desvio Padrão do Fluxo Malicioso
Tempo em Segundos
NúmerodePacotes
0 20 40 60 80 100 120 140
0
500
1000
1500
2000
2500
3000
(a) Desvio Padrão do Fluxo Normal
Tempo em Segundos
NúmerodePacotes
Experimento 1:
Resultados do experimento após o WoSiDA
19

20. Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
20
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae

21. Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
21
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae

22. Experimento 2:
Reação a ataques de negação de serviço TCP-SYN
22
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Servidor Apache:
Porta TCP/80
Atacante com a
ferramenta
Hyenae

23. Experimento 2:
Resultados do experimento para o WoSiDA:
23

24. Resultados do experimento após o WoSiDA:
24
0
50
100
150
200
250
300
(a) Ataque da Rede Externa para a Rede Interna
Tempo em Segundos
NúmerodePacotes
0
50
100
150
200
250
300
(b) Ataque da Rede Interna para a Rede Externa
Tempo em Segundos
NúmerodePacotes
0
50
100
150
200
250
300
(c) Ataque da Rede Interna para a Rede Interna
Tempo em Segundos
NúmerodePacotes
Vítima sem Of-IDPS
Atacante sem Of-IDPS
Vítima com Of-IDPS
Atacante com Of-IDPS

25. 0
5000
10000
15000
20000
25000
20.014
1.279
20.040
1.348
20.030
1.121
(b) Quantidade de pacotes tratados pela vítima
QuantidadedePacotes
0
5000
10000
15000
20000
25000
20.014
10.646
20.034
10.520
20.032
10.556
(a) Quantidade de pacotes tratados pelo atacante
QuantidadedePacotes
Externa - Interna Interna - Externa Interna - Interna
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Externa - Interna Interna - Externa Interna - Interna
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Sem
Of-IDPS
Com
Of-IDPS
Resultados do experimento após o WoSiDA:
25

26. Experimento 3:
Reação a ataques de varreduras de porta e rede
26
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Vítima 2
Executando
Servidores
Telnet e HTTP
Atacante com a
ferramenta
Nmap

27. Experimento 3:
Reação a ataques de varreduras de porta e rede
27
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Atacante com a
ferramenta
Nmap
Vítima 2
Executando
Servidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.

28. Experimento 3:
Reação a ataques de varreduras de porta e rede
28
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima 1
Executando
Servidores
Telnet e HTTP
Vítima 2
Executando
Servidores
Telnet e HTTP
1º varredura – Vítima 1
Telnet;
HTTP;
Sistema Operacional.
2º varredura – Vítima 2
Telnet;
HTTP;
Sistema Operacional.
Atacante com a
ferramenta
Nmap

29. Experimento 4:
Reação a fluxos de diversos tipos de ataques
29
Rede
Externa
Rede
Externa
Controlador
OpenFlow
Roteador
IDS
Switch
OpenFlow
Host 1
Host 2
Host 3
Host 4
Rede Interna
Switch
Comum
Vítima
Atacante com a
ferramenta
IDSWakeUp

30. Experimento 4:
30
0
20
40
60
80
100
120
140
(a) Sem Of-IDPS
Tempo em Segundos
NúmerodePacotes
0
20
40
60
80
100
120
140
(b) Com Of-IDPS
Tempo em Segundos
NúmerodePacotes
Fluxo da Vítima
Fluxo do Atacante
Fim do 1°/Inicio do
2° Ataque

31. Avaliação dos Experimentos:
Experimento 1 - observa-se que o Of-IDPS precisa de 7 a 10
segundos para reagir contra ameaças à segurança.
Experimento 2 - constata-se redução de ~47% dos pacotes
gerados pelo atacante e principalmente ~93% dos pacotes
tratados pela vítima.
Experimento 3 - são necessários ajustes para melhorar o
tempo de resposta do Of-IDPS para bloquear totalmente
varreduras de portas.
Experimento 4 - o Of-IDPS bloqueou 31% dos pacotes
enviados para a vítima durante o ataque e atrasou o ataque em
94% no melhor caso e 156% no pior caso.
31

32. 32
Conclusões:
A arquitetura proposta consegue identificar desequilíbrios
causados por problemas de segurança e reagir evitando a
degradação massiva nos recursos da rede.
A criação de um sistema de segurança autonômico que integra
IDS e OpenFlow mostra-se uma solução efetiva e prática para
detectar ameaças de segurança em redes locais.

33. 33
Trabalhos Futuros:
Explorar mais a integração das estatísticas de redes obtidas
com o OpenFlow.
Correlacionar informações obtidas a partir de outras fontes
localizadas em segmentos comuns e distintos da rede.
Utilizar métodos de aprendizado de máquina para a geração de
políticas de segurança baseadas nos ataques anteriores.

34. Obrigado!
Perguntas?
Luiz Arthur F. Santos
luizsantos@utfpr.edu.br
Rodrigo Campiolo
rcampiolo@utfpr.edu.br
Daniel Macêdo Batista
batista@ime.usp.br