O documento discute Sistemas de Detecção de Intrusão (IDS), descrevendo suas características e funções, como coleta e análise de informações, detecção de atividades suspeitas e respostas. Aborda metodologias de detecção por anomalias e assinaturas, além de classificar IDS em host-based e network-based.

1. Sistemas de Detecção de
Intrusão (IDS)

2. Introdução
 Bolsões de segurança: Provimento de
serviço para usuários internos e externos;
 O firewall pode funcionar como uma 1ª linha
de defesa. A autenticação também é
importante;
 O IDS: provê uma forma de monitorar
usuários internos e externos:

3. Introdução
 Intrusão pode ser definido como qualquer
conjunto de ações, que tentem comprometer
a integridade, confidencialidade, ou
disponibilidade de um recurso
computacional;
 As respostas providas pelo IDS têm a função
de alertar ao administrador do sistema a
ocorrência de um ataque

4. Introdução

5. Introdução
 Um IDS tem por objetivo detectar atividades
suspeitas, impróprias, incorretas ou anômalas.
Trata-se de um elemento muito importante na
defesa de uma organização;
 Capaz de detectar ataques realizados por meio de
portas legítimas, ou qualquer comportamento
previamente autorizado, mesmo que seja
previamente controlado pelo firewall;

6. Características
 Um IDS funciona de acordo com uma série
de funções que, trabalhando de modo
integrado, é capaz de detectar, analisar e
responder atividades suspeitas:
Coleta de Informações;
Análise das Informações coletadas;
Armazenamento das informações;
Funções do IDS Resposta às atividades suspeitas

7. Características
Bloquear
Conexão
conexão Detectar;
Tráfego
Suspeito Analisar;
Permitir conexão Responder
Tráfego
Firewall Legítimo
IDS
O firewall libera conexões e o IDS detecta, notifica e
responde a tráfegos

8. Características
 Após a detecção da tentativa de ataque, uma das
ações pode ser tomada:
 Reconfiguração do firewall;
 Alarme;
 Aviso SNMP para sistemas de gerenciamento de redes
 Evento do Windows;
 Geração de logs;
 Gravação das informações sob ataque;
 Gravação das evidências do ataque;
 Finalização da conexão;
 Etc...

9. Metodologia de Detecção de Intrusão
 Detecção por Anomalias
 Tem por objetivo identificar desvios de padrão de
utilização de recursos. Partindo da premissa de
que cada usuário possui um perfil de utilização de
recursos, qualquer desvio significativo pode
indicar um ataque;

10. Metodologia de Detecção de Intrusão
 Detecção por Anomalias
 Intrusiva e anômala (verdadeiros positivos);
 Intrusiva e não anômala (falsos negativos);
 Não intrusiva e anômala (falsos positivos)
 Não intrusiva e não anômala (verdadeiros
negativos)

11. Metodologia de Detecção de Intrusão
 Detecção por Assinaturas:
 Mais utilizadas nos IDSs;
 Gera menos falsos positivos do que os sistemas
que utilizam sistemas de detecção de intrusão por
anomalia;
 Uma base de dados que contém informações de
padrões de ataques (assinaturas) é utilizada para
fazer comparações

12. Metodologia de Detecção de Intrusão
 Detecção por Assinaturas:
 Normalmente as assinaturas são constituídas de
uma sequência específica de comandos de
sistema
 GET /scripts/root.exe?/c+dir
 GET /MSADC/root.exe?/c+dir
 GET /c/winnt/system32/cmd.exe?/c+dir
 GET /d/winnt/system32/cmd.exe?/c+dir
 GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
 ....
Assinatura do NIMDA

13. Metodologia de Detecção de Intrusão
 Detecção por Assinaturas:
 Detecção de Intrusão através de sistemas
especialistas;
 Reconhecimento de padrões estatísticos;
 Probabilidade condicional

14. Classificação de Intrusão baseada no tipo
de análise
 Host-Based Intrusion Detection
 Fazem o monitoramento de um sistema com base
em eventos registrados nos arquivos de logs
 Uso dos CPUs;
 Modificações nos privilégios dos usuários;
 Acessos e modificações em arquivos em sistemas;
 Processos do sistema;
 Programas que estão sendo executados

15. Classificação de Intrusão baseada no tipo
de análise
 Host-Based Intrusion Detection
 Principais vantagens:
 Não precisam de hardware adicional’;
 São independetes de topologia de rede;
 Geram poucos falsos positivos;
 Ataques que ocorrem fisicamente podem ser detectados;
 Principais desvantagens:
 Dependência do sistema operacional
 Incapacidade de detectar ataques de rede;
 O host monitorado apresenta perda de desempenho

16. Classificação de Intrusão baseada no tipo
de análise
 Network-Based Intrusion Detection
 Monitoram o tráfego de pacotes na rede onde os
recursos estão situados;
 O monitoramento do se dá mediante a captura de
pacotes e a posterior análise de seus conteúdos

17. Classificação de Intrusão baseada no tipo
de análise
 Network-Based Intrusion Detection
 Vantagens:
 Não causa impacto no desempenho da rede;
 Ataques podem ser identificados em tempo real;
 Eficiência na detecção de port scanning;
 É possível detectar tentativas de ataque
 Desvantagens:
 Incapacidade de monitorar informações criptografadas;
 Pode haver perdas de pacotes em redes congestionados;