1 / 24

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão. Pedro Figueiredo. Agenda. Conceito de intrusão SDIs – Características Técnicas de detecção Tipos de SDIs Honeypots Conclusão Perguntas. Intrusão. Violação a: - Integridade - Disponibilidade - Confiabilidade. Exemplos de intrusão. Usuário mascarado

phelan-bonner
Download Presentation

Sistemas de Detecção de Intrusão

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistemas de Detecção de Intrusão Pedro Figueiredo

  2. Agenda • Conceito de intrusão • SDIs – Características • Técnicas de detecção • Tipos de SDIs • Honeypots • Conclusão • Perguntas

  3. Intrusão • Violação a:- Integridade- Disponibilidade- Confiabilidade

  4. Exemplos de intrusão • Usuário mascarado • Ataques internos • Scripts/ferramentas

  5. SDIs • Identificar atividades maliciosas • Monitoramento • Análise dos dados • Geração de alertas (visual, e-mail,etc.) • Passivos vs reativos Ex.: reconfigurar firewall, finalizar conexão TCP, iniciar aplicativo externo,etc.

  6. Técnicas de detecção • Identificar ameaça a partir dos dados monitorados • Análise de anomalias • Análise de assinaturas

  7. Análise de anomalias • Comportamento anormal : provavelmente suspeito • Estabelece um padrão normal • Observação por um longo período • Utilização de regras • IA: Redes Neurais Artificiais

  8. Análise de anomalias (2)

  9. Vantagens e Desvantagens + Violações detectadas em tempo quase real + Detecta ataques desconhecidos + Gera informações para novas assinaturas • Comportamento imprevisível: alta taxa de falsos-positivos • Pode ser difícil determinar um padrão normal

  10. Análise de assinaturas • Ataques/vulnerabilidades conhecidas (assinaturas) • Dependente de base de dados • Deve ser vasto e atualizado com frequência • Semelhante a AV

  11. Análise de assinaturas (2)

  12. Vantagens e Desvantagens + Mais eficiente: menos alarmes falsos • Somente identifica ataques conhecidos • Pode não detectar algumas variantes • Dependente de atualização

  13. Tipos de SDIs • Network-based (NIDS) • Host-based (HIDS) • Hibridos

  14. Baseados em rede (NIDS) • Analisa tráfego da rede • Pacotes de entrada e saída • Posicionamento dos sensores • Detecção por assinaturas

  15. NIDS - exemplo

  16. NIDS – Vantagens e Desvantagens + Não interferem no funcionamento da rede + Monitora redes grandes • Redes com switch • Não analisam dados criptografados • Não indica se o ataque foi bem-sucedido

  17. Baseados em estação (HIDS) • Instalado em uma estação • Processos, logs de aplicativos, arquivos de sistema, etc.

  18. HIDS - Exemplo

  19. HIDS – Vantagens e Desvantagens + Bom para detectar ataques internos + Podem analisar dados criptografados - Instalação e configuração para cada instância - Suscetível a ataques DoS

  20. Híbridos • Combinação dos anteriores • Exemplo: NIDS para a rede e HIDS para servidores-chaves

  21. Honeypots • Recursos dedicados a serem atacados • Livre de interações • Honeypots de baixa interatividade • Honeypots de alta interatividade

  22. Vantagens e desvantagens + Simples de implementar + Logs pequenos + Poucos recursos + Identificam novos ataques • Não faz sentido sozinho • Adiciona risco: pode ser invadido

  23. Conclusões • Agrega valor a solução de segurança • Integração com outras ferramentas , ex.: firewall

  24. Perguntas • Caracterize uma intrusão. • Que vantagens apresenta o método de detecção de invasão por análise de anomalias? E desvantagens? • De que fatores depende a eficiência de um sistema que utiliza o método de detecção baseado em análise de assinaturas? • Como são classificados os SDIs, em relação a forma de monitoramento? Explique as principais diferenças. • Quais são as vantagens e desvantagens da técnica honeypot?

More Related