Sistemas de Detecção e Intrusão
Autores:
Existem basicamente duas metodologias utilizados pelos IDSs, cada uma tem vantagens respectivas e ambas estão disponíveis para os sistemas baseados em hosts e/ou redes, são elas:
Globalmente conhecida como “Knowledge-Based Intrusion Detection” é o modelo mais utilizado pelos IDSs. Neste paradigma o sistema busca por assinaturas de ataques, que são em geral sequências de eventos previamente conhecidas pela comunidade como recorrentes nos ataques antigos, por exemplo uma série exata de comandos passados através do terminal (keyboard attack).
Um ponto forte é que há poucos falsos positivos, que ocorrem por exemplo quando um tráfego legítimo é acusado como intrusivo pelo sistema, ou seja tem uma boa chance de acertos.
A desvantagem é justamente sua premissa, ele compara os dados analisados apenas com as assinaturas armazenadas em um banco de dados, portanto novos ataques e variações de ataques conhecidos dificilmente são detectados.
Com isso há uma necessidade da constante atualização do banco, inclusive uma parte dos IDSs do mercado permite que o próprio administrador crie novas assinaturas, tornando o programa mais flexível.
Este modelo exige consideráveis recursos do sistema, entretanto tem uma bom desempenho, que decai a medida que mais assinaturas são adicionadas. A facilidade da manutenção também é um ponto relevante.
Conhecida como “Behavior-Based Intrusion Detection”, é uma metodologia em que se analisa estatisticamente o comportamento da rede ou do usuário. Este não utiliza um banco de dados, mas sim um padrão de conduta do usuário.
Ele inicialmente carece ser treinado por um determinado tempo afim de aprender o funcionamento normal daquele cenário, só é necessário ter cuidado para que um ataque não ocorra durante esse período de instrução.
Após concluído seu aprendizado ele responderá a qualquer série de ações que julgue incomum como um possível ataque, a premissa é que um ataque é diferente do usual o suficiente para ser perceptível.
Com isso ele pode detectar até mesmo novos ataques, variações de antigos, é como um inspetor que pensa por si só. Entretanto tentativas de ataques que não transpassem o comportamento normal não são detectadas.
Devido à volatilidade das ações dos usuários, ele constantemente gera falsos positivos. Imagine que um dado usuário nunca acessa determinadas pastas importantes para o sistemas, mas em algum momento ele necessita fazer isso, o IDSs poderia a partir daí gerar logs de comportamento suspeito.
Esta alta taxa de falsos positivos limita assintoticamente seu uso, pois, para o modo passivo, gera o problema em que o administrador tem de decidir quais casos foram ataques de fato, e devido a um mal julgamento, ele pode classificar uma dezena de alertas como falsas, quando na verdade uma era um ataque.
Há pesquisas para se melhorar este modelo, geralmente baseadas em redes neurais, inteligência artificial, etc.
