Modelo para Integração de Sistemas de Detecção de Intrusão
Propaganda
Modelo para Integração de Sistemas de Detecção de Intrusão através de Grids Computacionais Paulo Fernando da Silva Carlos Becker Westphall Carla Merkle Westphall UFSC – PPGCC – LRG Sumário • • • • • • Introdução Modelo Proposto Desenvolvimento Testes Resultados Conclusão PPGCC - LRG - UFSC Introdução – Integração • Diversidade de IDSs: – Técnicas e alvos diferentes; – Pontos fortes e fracos diferentes; • Justificativas para Integração: – Ambientes heterogêneos com vários IDSs; – Ataques envolvem várias redes; – Facilidade na migração de pesquisas para produtos; PPGCC - LRG - UFSC Introdução – DIDSs x Grids • DIDSs: – Relacionam informações de diferentes origens; – Ataques envolvendo várias redes\hosts; – Necessitam de um alto grau de coordenação; • Grids: – permitem o compartilhamento coordenado de recursos sobre diferentes redes\hosts; PPGCC - LRG - UFSC Introdução – Proposta • Um modelo para integração de IDSs: – Cooperação entre IDSs heterogêneos; – IDSs integrados formam um DIDS; – Integração através de Grids; – IDSs integrados são visto como recursos; • Modelo Proposto: – DIDSoG: Sistema de Detecção de Intrusão Distribuído sobre Grids; PPGCC - LRG - UFSC Introdução - Justificativa sobre Grids • Características de Serviços sobre Grids: – Gerência de dados distribuídos; – Execução coordenada de múltiplas aplicações; – Serviços de auditoria (fraudes e intrusões); – Serviços de monitoramento (sensores e alertas); [Foster 2002] • Os DIDSs possuem características próprias de serviços sobre Grids; • Grids poderiam prover serviços de suporte aos DIDSs; PPGCC - LRG - UFSC Modelo Proposto • DIDSoG forma uma hierarquia de serviços de detecção de intrusão; • Funcionalidades dos IDSs participantes são alocadas em algum nível da hierarquia; • Organizada sob “Escopo:Complexidade”: – Ex.: Nível 1:1 (Escopo local e complexidade baixa); PPGCC - LRG - UFSC Modelo Proposto - Cenário Usuário 1 Domínio 1 Usuário 2 Domínio 1 Sensores Locais Sensores Locais Domínio 2 Analisadores Nível 1:1 Agregação Correlação Nível 2:1 Agregação Correlação Nível 3:1 Analisador Nível 2:1 Analisador Nível 3:1 Analisador Nível 2:N Analisador Nível 3:N Analisadores Nível 1:N ContraMedidas Nível 1 Monitor Nível 1 ContraMedidas Nível 2 Monitor Nível 2 ContraMedidas Nível 3 Monitor Nível 3 PPGCC - LRG - UFSC Modelo Proposto - Arquitetura • Determinado recurso do DIDSoG: – Recebe dados de outros recursos; – Realiza seu processamento; – Encaminha dados a outros recursos; • Descritor define: – As características de um recurso no Grid; – Os recursos de destino de um determinado recurso; PPGCC - LRG - UFSC Modelo Proposto - Descritor ResourceDescriptor 1 TargetResources -ident -version -description 1 1 1 Level 1 1 1 -escope -complex Feature 1 1 0..* Resource -featureType 1 -featureType -name -version DataType 1 Text 1 1 -type -version XML Binary -DTDFile PPGCC - LRG - UFSC Modelo Proposto - Arquitetura Recursos de Origem na Grade Serviço de Informações da Grade Recurso da Grade Descritor Base IDS Nativo Conector Recursos de Destino na Grade PPGCC - LRG - UFSC Desenvolvimento • Simulador GridSim Toolkit 3.3; • Componentes da Arquitetura: – Base: DIDSoG_BaseResource; – Descritor: DIDSoG_Descriptor; – Conector: derivar de DIDSoG_BaseResource; – IDS Nativo: implementado pelo IDS; PPGCC - LRG - UFSC Desenvolvimento - Simulador GridInformationService GridResource GridSim DIDSoG_GIS Simulation_User DIDSoG_BaseResource 1 * * 1 1 1 1 DIDSoG_Descriptor Simulation_DIDSoG 1 PPGCC - LRG - UFSC Testes • Foram desenvolvidos simuladores de IDSs: – coleta, análise, correlação e contra-medidas; • Foram desenvolvidos componentes conectores para cada um dos IDSs; • Foram especificados Descritores para cada um dos IDSs: – através documentos XML; PPGCC - LRG - UFSC Testes - Descritor PPGCC - LRG - UFSC Testes – Simulação TCPDump Usuário_1 Usuário_2 Sensor_1 Sensor_2 TCPDump Analisador_3 Nível 2:2 IDMEF Analisador_1 Nível 1:1 TCPDump IDMEF Agreg_ Corr_1 Nível 2:1 TCPDumpAg ContraMedidas_2 Nível 2 TCPDumpAg ContraMedidas_1 Nível 1 Analisador_2 Nível 2:1 IDMEF PPGCC - LRG - UFSC Resultados e Discussão • DIDSoG forma uma grade de serviços de detecção de intrusão; • O modelo apresenta flexibilidade: – Escopo, complexidade e descritores; • Componente Conector: – Adaptações e conversões; – Filtros e logs; PPGCC - LRG - UFSC Resultados e Discussão • Integração de informações de diferentes origens (escopo); • Integração de diferentes técnicas de detecção de intrusão (complexidade); • Organização hierárquica: – Processamento em fases; – Redução da sobrecarga dos sensores; – Facilita a expansão do DIDSoG; – Permite a gerência em níveis de escopo; PPGCC - LRG - UFSC Conclusão • GridSim possibilitou a simulação do DIDSoG; • Foram desenvolvidos os componentes da arquitetura DIDSoG; • IDSs heterogêneos cooperaram entre si formando um DIDS através de um simulador de Grids; PPGCC - LRG - UFSC Conclusão • DIDSoG demonstrou ser uma solução: – para integração de IDSs heterogêneos; – para detecção de ataques distribuídos; • Trabalhos Futuros: – desenvolver em uma plataforma de Grid e IDSs reais; – incorporar serviços de segurança; – permitir análise paralela por um mesmo IDSs Nativo; PPGCC - LRG - UFSC Obrigado! Perguntas? Contato: Paulo Fernando da Silva [email protected] PPGCC - LRG - UFSC
