Vous êtes sur la page 1sur 6

Evoluo dos Trabalhos em Deteco de Anomalias na Rede

Llia de S Silva Antonio Montes Jos Demisio Simes da Silva


DSS-LAC/INPE CENPRA/INPE LAC/INPE
lilia@dss.inpe.br antonio.montes@cenpra.gov.br demisio@lac.inpe.br

Resumo ataque que descoberto. Esta limitao conduz ao


interesse crescente pelo uso de tcnicas de deteco de
Neste artigo so apresentadas as atividades intruso baseadas em datamining [1,5,8,10,12],
realizadas at o momento para o desenvolvimento de descritas basicamente em duas categorias: deteco por
um sistema de deteco de intruso baseado em rede, abuso e deteco por anomalia.
para o qual utilizada a abordagem baseada em Na deteco por abuso, cada instncia de um
anomalias. O objetivo deste sistema sinalizar desvios conjunto de dados rotulada como normal ou
do comportamento normal de uma rede, os quais podem intrusiva e um algoritmo treinado a partir dos dados
indicar a ocorrncia de ataques. Inicialmente, rotulados. Neste tipo de tcnica, os modelos de
apresentada uma breve descrio do objetivo do deteco de intruso so automaticamente re-treinados a
trabalho e da situao atual em que se encontra. Na partir de dados de entrada diferentes que descrevem
seo 2, o ambiente configurado para a monitorao do novos tipos de ataque, uma vez que tenham sido
trfego de rede descrito. Em seguida, apresentada a adequadamente rotulados [8]. Pesquisas em deteco
estratgia de recuperao de atributos a partir da qual por abuso so centradas principalmente na classificao
ser desencadeada a representao do comportamento de intruses pelo uso de algoritmos de datamining
normal da rede, na seo 3. Finaliza-se este artigo com padro, modelos de predio de classe rara, regras de
concluses e descrio dos prximos desafios a serem associao e modelagem de custo sensitivo [5,8].
enfrentados. Diferente dos sistemas de deteco de intruso baseados
em assinaturas, os modelos por abuso so criados de
Palavras-chave: deteco de intruso, deteco de forma automtica, e costumam ser mais sofisticados e
ataques, deteco por anomalia, ids, aplicao de precisos que as assinaturas criadas manualmente. Uma
redes neurais. grande vantagem do uso de tcnicas baseadas em abuso
seu alto grau de exatido na deteco de ataques
1. Introduo conhecidos e suas variaes. A principal desvantagem
a incapacidade de detectar ataques cujas instncias ainda
Para proteger uma rede de computadores do ciber- no tenham sido observadas.
terrorismo necessria a implantao de um sistema de Deteco por anomalia, por outro lado, uma
defesa em profundidade, considerando vrias camadas metodologia de deteco de intruso em que
de segurana [11]. Fortalecimento dos sistemas de hosts perturbaes do comportamento normal sugerem a
da rede, anlise peridica da configurao de segurana presena de ataques, falhas, defeitos e outras ameaas,
do ambiente e dos registros de eventos (logs) dos induzidas intencionalmente ou no. Dado um conjunto
sistemas, estratgia de localizao dos recursos, uso de de dados normais para treinamento e dado uma nova
sistemas de filtragem e controle do trfego, configurao poro de dados de teste, o objetivo do algoritmo de
de regras de controle de acesso em elementos ativos de deteco de intruso por anomalia determinar se os
rede e implantao de sistemas de deteco de intruso, dados de teste pertencem a um comportamento normal
so exemplos de camadas de segurana que podem ou anmalo.
tornar uma rede mais segura. A proposta de uma soluo hbrida para deteco de
intrusos em redes de computadores, apresentada no
Deteco de intruso corresponde a um conjunto de WORCAP 2004 [15], tem como objetivo o
tcnicas que so usadas para identificar ataques contra desenvolvimento de um sistema de deteco de intruso
computadores e infra-estrutura de rede. Os mtodos baseado em anomalia intitulado ANIS ANomaly
mais desenvolvidos para detectar ciber-ataques rede Identification-based Intrusion detection System , em que
utilizam tcnicas de deteco baseadas em assinaturas tcnicas de datamining, tais como redes neurais,
[2,14,16]. Tais mtodos possuem a limitao de detectar devero ser utilizadas para a identificao de
apenas ataques previamente conhecidos representados informaes anmalas em grandes conjuntos de dados
por meio de assinaturas. Uma assinatura manualmente do trfego de rede.
inserida em um banco de dados para cada novo tipo de
Os mdulos da aplicao em desenvolvimento so Para o desenvolvimento do sistema proposto, as
ilustrados na figura 1, a seguir, e devem realizar as seguintes aes esto sendo realizadas:
seguintes tarefas: captura de pacotes, filtragem de dados,
pesquisas na rea: formato dos protocolos de
extrao de atributos, modelagem do perfil normal,
rede TCP-IP [17]; identificao e recuperao
classificao de eventos e identificao de ataques.
de conjuntos de atributos que representam o
comportamento da rede observada [6,8];
mapeamento do comportamento normal da
rede; estudo de perfis de ataques rede
[4,9,11]; estudo de redes neurais e lgica fuzzy;
acompanhamento da evoluo dos trabalhos
publicados na rea [5,6,7,8,13,18,19];
preparao do ambiente para monitorao do
trfego e captura de dados;
coleta e anlise de dados com tcpdump e
Ethereal;
estudos e reconstruo de sesses com o
sistema RECON [3];

desenvolvimento do sistema ANIS com os


mdulos: mdulo de filtragem de dados,
mdulo de extrao de atributos, mdulo de
modelagem do perfil normal, mdulo de
classificao e mdulo de deciso.
Neste trabalho, so apresentadas as etapas
concludas e aquelas em desenvolvimento para a
construo do sistema.
Pesquisas j realizadas envolvem o significado dos
campos de formatao dos protocolos de rede TCP/IP,
identificao de atributos-chave dos pacotes de rede e
estudos de perfis de ataques rede. Pacotes com
informaes de ataques simulados continuam sendo
avaliados, dados de trfego com traos de ataque so
Figura 1: Arquitetura modular do sistema comparados aos dados do trfego normal de uma rede
de teste controlada em uso e, medida que a pesquisa se
O mdulo Captura de dados ser utilizado para a desenvolve, novas informaes esto sendo agregadas
coleta de dados de pacotes trafegando pela rede. O ao trabalho.
mdulo Filtragem destinado reconstruo de todas O ambiente de monitorao do trfego da rede
as sesses de interesse do trfego. A seleo de dados interna de produo determinada para os testes de
relevantes para compor as instncias que descrevero o desenvolvimento do sistema encontra-se operacional e
comportamento atual da rede ser realizada pelo mdulo em correto funcionamento. Dados do trfego
Extrao de Atributos. O mdulo de Modelagem do monitorado pelos sistemas tcpdump e Ethereal tm sido
perfil normal tem por finalidade o armazenamento das estudados. Na fase atual, dados de atributos do sistema
instncias de treinamento em bancos de dados, quando RECON esto sendo recuperados e sero armazenados
preparando o conjunto de dados de treinamento (etapa em uma base de dados para facilitar as anlises
1) para o detector inteligente. realizadas.
Quando efetuando os testes e aplicao do sistema
(etapa 2) , ser executado o mdulo Deteco de Nesta etapa, parmetros do sistema RECON, que
Anomalias para a identificao de eventos ilegtimos correspondem a atributos de diferentes sesses do
na rede. Em caso de descoberta de atividade hostil, o trfego (HTTP, SMTP, DNS, SSH, por exemplo), os
tipo de ataque ser identificado (etapa 3) e informado ao quais so armazenados em memria (rvore de sesses),
operador do sistema. esto sendo investigados e recuperados para a criao de
uma base de atributos teis. Na fase atual de
desenvolvimento do ANIS, inicia-se a construo do
Mdulo Extrao de Atributos do ANIS, onde os
atributos relevantes das sesses reconstrudas pelo 2.1. Caractersticas do sensor de rede
RECON sero coletados e armazenados em base de
dados, no caso da etapa de preparao de dados de O sensor de rede um dispositivo utilizado para a
treinamento ou sero encaminhados para o mdulo de captura de dados que so introduzidos e processados em
deteco de anomalias, na fase de testes ou de anlise sistemas de monitoramento de rede ou de deteco de
dos dados de produo. intruso.
Neste trabalho, o sensor utilizado para a
2. Preparao do ambiente para monitorao da Rede de Produo um
monitorao do trfego microcomputador denominado Maquina de Captura,
com as seguintes caractersticas: Pentium 4 com 1.5
O comportamento de duas redes Rede de Teste e GHz de velocidade de processamento; disco rgido com
Rede de Produo tem sido estudado. A coleta de capacidade para armazenamento de at 120 GB de
dados destas redes realizada atravs de um sensor dados; memria RAM de 520 MB e sistema operacional
localizado no ambiente de monitorao do trfego Linux Slackware.
preparado para esta finalidade. Para fortalecimento da Mquina de Captura foram
A Rede de Teste corresponde rede utilizada para instalados apenas os servios de rede e pacotes do
os testes de aplicao de ataques simulados e sistema operacional necessrios para as operaes
monitorao do trfego. Esta rede reside no ambiente do desejadas, alm da configurao segura de parmetros
Laboratrio de Redes da Diviso de Desenvolvimento dos arquivos de pacotes e servios instalados.
de Sistemas de Solo LabRedes-DSS. At o momento, Como a Mquina de Captura possui uma
so utilizados trs computadores nos quais so comunicao com a rede externa para backup de dados,
instaladas aplicaes cliente e servidoras em ambiente foi configurado o servio de filtragem de pacotes, para
Windows e Linux, alm de ferramentas de anlise e bloquear o trfego indesejado. Alm disto, o relgio do
explorao de vulnerabilidades de sistemas, conforme computador foi sincronizado com servio de tempo de
necessrio. Os servios instalados at o momento na referncia para armazenar informaes de data-hora
Rede de Testes so: HTTP (IIS e Apache), DNS, FTP e corretas nos histricos de eventos registrados.
SSH.
medida que diferentes ataques a servios precisam 2.2. Posicionamento do sensor
ser aplicados, a Rede de Teste tem a sua configurao
modificada. O trfego desta rede observado por Existem vrias possibilidades de posicionamento do
intermdio de ferramentas, tais como tcpdump, Ethereal sensor na rede e que influenciam diretamente na
e scripts de monitorao de rede. eficincia dos resultados gerados pelo monitor de rede
Na Rede de Teste foram identificadas, atravs da ou pelo detector de intruses aps anlise dos dados
ferramenta Languard e outras ferramentas similares, coletados [3]. No ambiente configurado para este
algumas brechas de segurana em mquinas Windows, trabalho, o sensor colocado fora dos limites de
enquanto aplicaes como Nessus e scripts de proteo do firewall, de modo que todo o trfego
varreduras foram utilizadas para identificar destinado ou proveniente da Rede de Produo
vulnerabilidades em maquina Linux. Alguns sistemas do coletado. Esta configurao permite a observao de
ambiente desenvolvido foram fortalecidos segundo os ataques direcionados ao firewall e a recursos protegidos
procedimentos encontrados em livros [4], pesquisas pela por este. Deste modo, a quantidade de dados a serem
Internet e conforme recomendaes aprendidas nos tratados consideravelmente grande.
cursos de Segurana em Redes do INPE, enquanto Conforme ilustrado na figura 2, o sensor de rede est
algumas vulnerabilidades de servios de rede de alguns conectado a uma porta do switch para a qual espelhado
hosts foram estrategicamente mantidas para a realizao o trfego de entrada e sada do firewall, o que viabiliza a
dos testes. observao de todo o trfego passando pelo ponto de
O ambiente de rede principal (Rede de Produo) monitoramento em questo. O sentido unidirecional da
monitorado neste trabalho a RedeBeta, rede interna do seta representa o trfego fluindo para o sensor,
INPE utilizada para compartilhamento e integrao de indicando que o sensor passivo, ou seja, no interage
conhecimento entre um grupo de usurios da ETE (rea com outros dispositivos, apenas transfere dados
de Engenharia e Tecnologia Espacial). Para a coletados para backup em outra mquina.
monitorao deste ambiente foi implementado o sensor
de rede descrito na prxima seo.
informaes entre dois endereos IP, e que tenha inicio,
meio e fim (mesmo que toda a comunicao esteja
Internet contida em um nico pacote).
Anlises preliminares realizadas a partir de amostras
da populao do trfego da Rede de Produo e as
` pesquisas conduzidas sobre o assunto [8,17] ajudaram
Sensor
no entendimento e identificao de atributos que so
relevantes e que devem pertencer a um subconjunto de
dados, ainda de grande volume, a ser explorado. Destas
primeiras anlises tambm foram revelados os servios
mais explorados na Rede de Produo em determinado
Firewall dia, da semana e do ms.
Ainda como parte da pesquisa, a Rede de Testes tem
sido utilizada para as anlises comparativas entre o
trfego normal da rede quando acessados determinados
servios e as perturbaes provocadas quando estes
Rede Monitorada
servios so atacados (trfego comprometido). Com
isto, a compreenso dos atributos de rede que so
Figura 2: Posicionamento do sensor na rede influenciados ou modificados pela ocorrncia de ataques
ou ameaas, e que, conseqentemente, afetam o
comportamento normal da rede, amadurecida.
2.3. Estratgia para captura de dados
O RECON est sendo utilizado para obter
informaes de cabealhos dos pacotes e, a partir destas
Os dados da Rede de Produo so capturados pelo
informaes, reconstruir e inferir sobre o estado das
sensor atravs de chamadas ao programa tcpdump
sesses TCP/IP contidas no trfego de rede analisado.
implementadas nos Shell scripts codificados em
Esta aplicao utiliza a biblioteca libpcap para capturar
linguagem C e compilados pelo GCC em ambiente
dados do cabealho dos pacotes TCP, UDP e ICMP (em
Linux Slackware. A captura de dados efetuada
nvel de Transporte), IP (em nvel de Rede) e Ethernet
utilizando-se a biblioteca libpcap implementada no
(em nvel de Enlace).
tcpdump. Um script de rotacionamento de logs
A idia para mapeamento normal do comportamento
(rotatedump.sh) utilizado para manter o processo
de qualquer que seja a rede TCP/IP definir os atributos
tcpdump em execuo, coletando todo o trfego
relevantes e extra-los (seleo de atributos) do conjunto
destinado rede monitorada atravs de interface em
de dados de sesses TCP e UDP filtrados e estruturados
modo promscuo, e para armazenamento dos logs de
pelo RECON, os quais descrevem a utilizao dos
eventos em janelas de 10 minutos de trfego. A cada
servios e recursos da Rede de Produo. Em seguida,
hora os dados so armazenados em mquina remota
estes dados sero armazenados em bases de dados, por
atravs de um script especfico para esta finalidade
exemplo MySQL, que, embora grandes, tero menor
(senddump.sh).
volume que a do trfego original carregada de atributos
desnecessrios para anlise de anomalias. Com um
3. Mapeamento do comportamento conjunto reduzido de dados teis, pode-se mapear o
normal da rede comportamento da rede, atravs de instncias do trfego
de rede caracterstico, em menor tempo e
Com o ambiente de monitorao do trfego eficientemente.
preparado, um grande conjunto de dados, cerca de um
ms e meio de trfego total da RedeBeta registrado, hoje 4. Concluses
encontra-se disponvel para os testes do sistema em
desenvolvimento. Com o conjunto de dados Atravs dos grficos preliminares gerados at o
armazenado, possvel realizar a extrao de atributos momento, observou-se os servios de rede que so mais
de interesse dos pacotes de rede para mapeamento do freqentemente utilizados na Rede de Produo
comportamento normal da rede. Um total de 144 monitorada.
arquivos so armazenados por dia, tendo em mdia o Os atributos relevantes necessrios para a
tamanho de 2.5 MB cada um. modelagem do perfil normal da rede podem ser
Participam deste grande conjunto, dados de pacotes classificados como atributos primitivos e atributos
de rede referentes s sesses TCP/IP do trfego derivados. Dentre os atributos primitivos destacam-se:
proveniente e em direo Rede de Produo. Segundo endereo IP de origem e de destino, portas de origem e
[3], uma sesso TCP-IP definida por qualquer de destino, tipo de protocolo, durao da sesso, total de
seqncia de pacotes que caracterize a troca de
bytes por pacote e total de pacotes. Alguns exemplos de partir de dados normais e detectam desvios do modelo
atributos derivados so: nmero de pacotes fluindo de normal nos dados observados. Uma grande vantagem do
uma determinada origem para um destino, nmero de sistema a capacidade de detectar novos tipos de
pacotes e quantidade de bytes fluindo de um intruses como desvios do comportamento normal.
determinado destino para uma origem, nmero de Dado um conjunto de dados normais para treinamento e
conexes para IP de destino nico dentro da rede nos dado uma nova poro de dados de teste, o objetivo do
ltimos T segundos provenientes da mesma origem, algoritmo de deteco de intruso determinar se os
nmero de conexes para IP de destino nico dentro da dados de teste pertencem a um comportamento normal
rede nas ltimas N conexes, partindo da mesma ou anmalo. Entretanto, modelos de deteco por
origem. anomalia esto sujeitos a uma alta taxa de alarmes falsos
Com os atributos extrados do RECON pode-se (falsos-positivos). Isto ocorre, principalmente, porque
construir grficos representativos do comportamento comportamentos do sistema previamente no
normal da rede, com base em anlise estatstica de observados, ainda que legtimos, podem tambm ser
freqncia mdia de acessos a servios e recursos (perfil reconhecidos como anomalias, e, conseqentemente,
normal de uso dos servios). A comparao de grficos sinalizados como intruses potenciais. Estes problemas
de diferentes dias poder inferir sobre o comportamento devem ser considerados no desenvolvimento do sistema
da rede em uma semana, por exemplo, e anlises de ANIS.
grficos semanais podem inferir sobre o comportamento
da rede em um ms. 6. Referncias
Uma fotografia do trfego em determinado instante
pode ento ser comparada ao comportamento normal [1] Ambwani, T., Multi Class Support Vector Machine
mdio da rede modelado e, a apresentao de algum Implementation to Intrusion Detection, Proceedings of The
desvio significativo do padro modelado, poder indicar International Joint Conference on Neural Networks, 2003, 3,
a presena de um ataque conhecido ou de um novo 2300-2305.
ataque que dever ser sinalizado pelo sistema e cujo
trao malicioso dever ser posteriormente confirmado [2] Caswell, B.; Beale, J.; Foster, J.C.; Posluns, J., Snort 2
Sistema de Deteco de Intruso, Ed. Alta Books, Rio de
pelo analista de rede.
Janeiro, 2003.
Alguns tipos de ataques podem ser observados pela
avaliao de informaes localizados em campos do [3] Chaves, M.H.P.C., Anlise de Estado de Trfego de
cabealho dos pacotes, enquanto outras, a partir dos Redes TCP/IP para Aplicao em Deteco de Intruso, So
dados de carga til (payload) do pacote. Porm, certos Jose Dos Campos, INPE, 2002.
campos do cabealho so utilizados pelos atacantes de
forma diferente do especificado nas RFCs, para burlar [4] Dhanjani, N., Hack Notes Linux and Unix Security
os sistemas de deteco. Neste caso, deve-se considerar Portable Reference, Rio de Janeiro, Ed. Elsevier, 2003.
a anlise de cabealho dos pacotes e parte do contedo
do payload para identificao de determinados tipos de [5] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.;
ataques. Srivastava, J.; Tan, P.; Ozgur, A. Cyber Threat Analysis
Dentre os prximos desafios a serem enfrentados A key enabling Technology for The Objective Force
destacam-se: (A Case Study in Network Intrusion Detection),
dezembro, 2002.
Selecionar atributos e armazenar grande
conjunto de dados para representao do perfil [6] Dokas, P.; Ertoz, L.; Kumar, V.; Lazarevic, A.;
normal da rede; Srivastava, J.; Tan, P. Data Mining for Network Intrusion
Mapear situaes em que deve-se considerar Detection, Tutorial at the Pacific-Asia Conference on
Knowledge Discovery in Databases, Seoul, 2003.
parte do payload para identificar ataques;
Modelar entradas para as redes neurais para [7] Ertoz, L.; Eilertson, E.; Lazarevic, A.; Tan, P.; Dokas, P.;
treinamento da rede e classificao de eventos Srivastava, J.; Kumar, V., Detection and Summarization of
de rede; Novel Network Attacks Using Data Mining, disponvel em:
Utilizar diferentes abordagens de dataming http://www.cs.umn.edu/ research/minds/papers/raid03.pdf,
para determinar tcnica mais promissora para acesso em: jul 2004.
conduo das pesquisas;
Testar o desempenho e preciso do sistema; [8] Lazarevic, A.; Ertoz, L.; Ozgur, A; Srivastava, J.; Kumar,
V., A Comparative Study Of Anomaly Detection Schemes In
Reduzir a taxa de falsos-positivos e negativos
Network Intrusion Detection, Proceedings of Third SIAM
do sistema. Conference on Data Mining, San Francisco, May 2003.
Finalizando este artigo, apresentam-se alguns
comentrios sobre sistemas de deteco por anomalia. [9] Melo, S.,Explorao de Vulnerabilidades em Redes
Sistemas deste tipo permitem a construo de modelos a TCP-IP, Ed. Alta Books, Rio de Janeiro, 2004.
[10] Mukkamala, S.; Janowski, G.; Sung, A. H., Intrusion
Detection Using Neural Networks and Support Vector
Machines, Proceedings of the International Joint Conference
on Neural Networks, 2002, 2, 1702-1707.

[11] Northcutt, S.; Novak, J. Network Intrusion


Detection Ed. New Riders Publishing, 2003.

[12] Petrovskiy, M. A., Fuzzy Kernel-Based Method for


Real-Time Network Intrusion Detection, Innovative Internet
Community Systems, Lecture Notes in Computer Science,
2003, 2877, 189-200.

[13] Ramaswamy, S.; Rastogi, R.; Shim, K., Efficient


Algorithms For Mining Outliers From Large Data Sets,
Proceedings of the ACM Sigmod Conference, 2000.

[14] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,


A Neural Network Application for Attack Detection in
Computer Networks, International Joint Conference on
Neural Networks, Budapeste , Hungria, 2004.

[15] Silva, L. S.; Montes A.; Silva, J. D. S, Uma soluo


Hbrida para Deteco de Anomalias em Redes, Anais do IV
Workshop de Computao Aplicada , INPE So Jos dos
Campos, 2004.

[16] Silva, L. S.; Santos, A. C. F.; Silva, J. D. S; Montes A.,


ANNIDA: Artificial Neural Network for Intrusion Detection
Application Aplicao da Hamming Net para Deteco por
Assinatura, VII Congresso Brasileiro de Redes Neurais,
Natal, 2005.

[17] Stevens, W.R.; TCP-IP Illustrated Volume 1: The


Protocols, Ed. Addison-Wesley, 2001.

[18] Sung, A.H.; Mukkamala, S. A Comparative Study of


Techniques for Intrusion Detection, Proceedings of the
International Conference on Tools with Artificial Intelligence,
2003, 570-577.

[19] Zhang, Z.; Li, J.; Manikopoulos, C.N.; Jorgenson, J.;


Ucles, J. Hide: A Hierarchical Network Intrusion Detection
System Using Statistical Preprocessing ad Neural Network
Classification, Proceedings of the 2001 IEEE, Workshop on
Information Assurance and Security United States Military
Academy, West Point, NY, 2001, 5-6 June.