Os sistemas de detecção de intrusão (IDS) monitoram sistemas e redes para detectar ataques e comportamentos anormais. Eles alertam os administradores sobre tentativas de ataque em andamento ou passadas. Existem dois tipos principais de IDS: por assinatura, que identifica ataques conhecidos, e por anomalia, que detecta desvios de padrões normais de uso.
2. CONCEITOS
Intrusão: É qualquer conjunto de ações que
tentem comprometer a integridade,
confidencialidade ou a disponibilidade
Os Sistemas de Detecção de Intrusão ou
IDS (Intrusion Detection System) são
dispositivos de monitoramento de sistemas
capazes de perceber a ocorrência de um
ataque ou comportamento anormal dos
mesmos e produzir uma resposta.
Prof.ª Camila do Nascimento Seixas
3. FUNÇÃO DO IDS
As respostas providas pelos IDS têm a
função de alertar ao administrador do
sistema ou da rede a ocorrência de um
ataque ou uma tentativa de ataque ocorrida.
Prof.ª Camila do Nascimento Seixas
4. PARA PENSAR!!
Qual a diferença entre as duas situações
anteriores.
Na primeira situação, o ataque está em
andamento e o ataque pode ou não obter
sucesso.
Na segunda situação, o ataque já aconteceu
e o atacante não obteve sucesso.
Prof.ª Camila do Nascimento Seixas
5. EXISTEM VÁRIOS TIPOS DE IDS QUE
PODEM SER CARACTERIZADOS PELA
METODOLOGIA DE DETECÇÃO USADA OU
PELO TIPO DE ANÁLISE EMPREGADO.
Prof.ª Camila do Nascimento Seixas
6. DETECÇÃO POR ANOMALIAS
Tem por objetivo identificar desvios de
padrões de utilização de recursos, presentes
em um sistema, por parte dos usuários, que
podem caracterizar um ataque.
Partindo da ponto que cada usuário possui
um perfil de utilização de recursos, qualquer
desvio significativo desse perfil pode
significar que o próprio esteja tentando uma
acesso indevido.
Prof.ª Camila do Nascimento Seixas
7. TIPOS DE ATIVIDADES POSSÍVEIS
Intrusiva e anômala (verdadeiros positivos):
a atividade é intrusiva e é detectada como tal.
Intrusiva e não anômala (falsos negativos): a
atividade é intrusiva, mas não é detectada
como tal.
Não intrusiva e anômala (falsos positivos): a
atividade não é intrusiva, mas é considerada
como tal.
Não intrusiva e não anômala (verdadeiros
negativos): a atividade não é intrusiva e não é
acusada como tal.
Prof.ª Camila do Nascimento Seixas
8. DETECÇÃO POR ASSINATURAS
Também conhecida por Detecção por
Abusos, é a mais utilizada nos IDS, pois é
mais rápida, gera menos falsos positivos que
a por anomalia.
Utiliza uma base de dados que possui
informações de padrões de ataques
(assinaturas) é utilizado para a comparação
com o padrão apresentado pelo possível
ataque em andamento. Em caso de
Prof.ª Camila do Nascimento Seixas
9. PARA PENSAR!
Grande problema do IDS por assinatura?
Em caso de novos tipos de ataques. Sua
assinatura pode não estar contida na base
de dados. O que pode levar ao não
reconhecimento do ataque, assim o mesmo
não será identificado.
Prof.ª Camila do Nascimento Seixas
11. IDS BASEADOS EM HOST
Fazem o monitoramento de um sistema com
base nos eventos registrados nos arquivos
de log ou pelos agentes de auditoria.
Uso da CPU;
Acessos e modificações em arquivos de
sistema;
Processos do sistema;
Programas que estão sendo executados.
Prof.ª Camila do Nascimento Seixas
12. IDS BASEADOS EM REDE
Monitoram o tráfego de pacotes do segmento
de rede em que se concentram. O
monitoramento se dá mediante a captura de
pacotes e análise de seus cabeçalhos e
conteúdo.
Vantagens:
Não causa impacto na rede
Ataques são detectados em tempo real
Detecta tentativas de ataques
Prof.ª Camila do Nascimento Seixas