DETECÇÃO DE INTRUSOS
Index >> Políticas de sistemas de detecção de intrusos >> Tipo de SDI
Sistemas baseados em regras (RBID)
Dentro de um sistema, existe um vasto e detalhado conteúdo de registros do funcionamento do sistema que, para um ser humano, pode ter muito pouco ou nenhum significado. Além disso é muitas vezes difícil distinguir um comportamento normal de uma intrusão. Um método utilizado pelos desenvolvedores de SDIs é utilizar sistemas tecnológicos especialistas para analisar esses registros automaticamente para verificar tentativas de intrusão. Esses sistemas de segurança, conhecidos como sistemas de detecção de intrusos baseados em regras, podem ser utilizados para analisar os registros de funcionamento do sistema de violações que já aconteceram ou que estão acontecendo. Essa tecnologia emergente busca aumentar a disponibilidade dos sistemas de computadores automatizando a detecção e eliminação de intrusos.
Um sistema baseado em regras assume que uma intrusão pode ser caracterizada como uma seqüência de atividades feitas por um usuário que levará a um estado comprometedor do sistema. Eles são caracterizados pelas propriedades de seus sistemas especialistas que acionam regras (essas regras são divididas em duas partes, a antecedente, que define quando a regra deverá ser aplicada, e a conseqüente, que define o que fazer caso a regra antecedente seja satisfeita) quando os registros do estado sistema começam a indicar atividade ilegal. Essas regras pré-definidas tipicamente buscam por mudanças de estados de alto nível observadas no registro do sistema comparando-as com as mudanças de estados pré-definidas de um cenário de intrusão. Se o RBID infere que uma intrusão está ocorrendo ou ocorreu, ele vai alertar os oficiais do sistema de segurança e dar-lhes tanto uma justificativa pelo alerta quanto uma identificação de usuário para o suspeito intruso.
Existem duas maiores abordagens para detecção de intrusos baseada em regras:
Sistemas baseados no estado: Nesta abordagem, a base das regras são codificados usando a terminologia encontrada nos registros do sistema. Tentativas de intrusão são definidas como seqüências de estados de sistema – como definido pelas informações dos registros do sistema – levando de um estado de acesso inicial limitado a um estado final comprometido.
Sistemas baseados no Modelo: Nesta abordagem, tentativas de intrusão conhecidas são modeladas como seqência de comportamento do usuário; esses comportamentos podem então, ser modelados, por exemplo, como um evento em um registro do sistema. Note, contudo, que o sistema de detecção de intrusos é responsável por determinar como o comportamento de usuário é identificado nos registros do sistema. Essa abordagem tem muitos benefícios, incluindo os seguinte:
[Adaptado de 7]
[topo]
Sistemas baseados em estatísticas (SBID)
O sistema RBID detecta comportamento de intrusos baseados em regras de intrusões conhecidas. Tentativas de intrusão não representadas nas regras RBID seguirão não detectadas nesses sistemas. Para ajudar a encobrir essa limitação, métodos estatísticos estão sendo empregados para identificar dados registrados que possivelmente indiquem comportamento abusivo ou intrusivo. Conhecidos como sistemas de detecção de intrusos baseados em estatísticas (SBID), estes analisam os dados do registro comparando-os com perfis típicos em um esforço para encontrar violações da segurança do computador que ainda estejam ocorrendo ou já ocorreram.
Sistemas SBID buscam identificar comportamento abusivo notando e analisando dados do registro que desviam da forma normal predita. O SBID é baseado na premissa que intrusos podem ser detectados inspecionando os dados do registro do sistema por atividade fora do usual, e que o comportamento de um intruso será notoriamente diferente de um usuário legítimo. Para que a atividade fora normal possa ser detectada, sistemas SBID requerem a caracterização de usuário ou sistema que é considerada “normal”. Essas caracterizações, denominadas perfis, são tipicamente representadas como uma seqüência de eventos que podem ser encontrados nos dados do registro do sistema. Qualquer seqüência de eventos do sistema desviando do perfil esperado por um valor estatístico significante é marcado como uma tentativa de intrusão. A maior vantagem dos sistemas SBID é que as intrusões podem ser detectadas sem uma informação a priori sobre as falhas de segurança de um sistema.
[topo]
Em um sistema passivo, o sensor de detecção de intrusos detecta uma possível brecha na segurança, armazena a informação e enviam um sinal de alerta para o console. Em um sistema reativo, que é conhecido como um sistema de prevenção de intrusos (IPS) o sistema de detecção responde à atividade suspeita restabelecendo a conexão que ele acredita ser suspeita ou re-programando o firewall para bloquear o tráfico da rede vindo de uma fonte suspeita, tanto autonomamente como através do comando de um operador.
[topo]