Um esquema para agregação e priorização de alertas de múltiplas origens

Lins, Bruno Filipe de Oliveira

31 January 2011

Made available in DSpace on 2014-06-12T15:58:23Z (GMT). No. of bitstreams: 2 arquivo4093_1.pdf: 1486697 bytes, checksum: b62751beaa6e40cb6534872688a8a88a (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2011 / Conselho Nacional de Desenvolvimento Científico e Tecnológico / O uso de soluções colaborativas tem se tornado cada vez mais comum e eficiente na detecção de ataques, intrusões e anomalias. Entretanto, devido a sua aplicabilidade, tipicamente em enlaces de alta velocidade, grandes backbones, entre outros, essas soluções se deparam com a obrigatoriedade de processar enormes quantidades de alertas, produzidos pelos mais diferentes tipos de detectores. O objetivo deste trabalho é avaliar o problema da agregação e priorização de alertas em sistemas de detecção colaborativa e propor uma solução capaz de manipular grandes volumes de dados (alertas) gerados no processo de detecção de ataques, intrusões e anomalias, e extrair os mais significantes, de acordo com uma heurística estabelecida, para análise e processamentos, minimizando os custos computacionais, sem que haja perdas relevantes na precisão da detecção. Visando avaliar o desempenho e eficiência da solução proposta, foram executados testes em ambiente controlado com uso da base de dados DARPA 2000 e trafego real e seus resultados discutidos e comparados com soluções semelhantes

Alertas

Agregação

Priorização

Soluções colaborativas

IDMEF

Proposta de um agente de aplicação para detecção, prevenção e contenção de ataques em ambientes computacionais. / Proposal of an application-based agent for detection, prevention and containment of attacks in computational environment.

Militelli, Leonardo Cavallari

09 June 2006

Canais seguros, como os gerados pelos protocolos SSL e TLS, são cada vez mais utilizados nos serviços de rede para propiciar autenticação de parceiro, integridade e sigilo dos dados. Porém, sua utilização impede que um sistema de detecção de intrusão de rede possa observar o conteúdo dos pacotes, impossibilitando a análise das mensagens. Como alternativa de contorno deste problema é proposta a arquitetura de um agente de detecção, prevenção e contenção de ataques baseado em aplicação, que possibilite interceptar fluxos de mensagens diretamente na aplicação, inserido no contexto de uma arquitetura de detecção distribuída e padronizada. O ADACA (Agente de Detecção, Análise e Contenção de Ataques) é um agente IDS (Intrusion Detection System) híbrido capaz de operar tanto no modo ativo quanto passivo. Dessa forma, permite realizar a análise do conteúdo de mensagens que estejam protegidos por protocolos seguros, como o SSL e TLS, e adotar uma medida predefinida antes que a aplicação alvo processe um conteúdo malicioso. Além disso, o padrão de formato de mensagens de alertas IDMEF (Intrusion Detection Message Exchange Format), proposto pelo IDWG, é adotado para notificação de eventos do agente ADACA a um IDS central. Os resultados obtidos mostraram a viabilidade da utilização de agentes de aplicação, acoplados diretamente à aplicação, como complemento aos sistemas IDS de rede. / Secure channel, as the one generated by protocols like SSL and TLS, has been used on network services to provide partner authentication, integrity and confidentiality. However, its utilization prevents a network intrusion detection system to observe and analyze packets content. As an alternative to circumvent this problem, the present work proposes an agent-based intrusion detection, prevention and containment architecture capable to capture messages flows directly at the host application and introduce it on a distributed intrusion detection framework. The ADACA (Attack Detection, Analysis and Containment Agent) is a hybrid agent that can operate on active and passive mode. In this context, it is able to detect attacks where the application payload is encrypted by secure protocols, like SSL and TLS, and take some predefined measure before the host application process a malicious content. Further that, Intrusion Detection Message Exchange Format (IDMEF) standard proposed by IDWG is considered to send alerts between agent ADACA and an IDS central. The results shown that is practicable to use an application agent attached to an application as a complement of network intrusion detection systems.

Agent

Agente

Ataque

Attack

Detecção de intrusos

IDMEF

IDMEF

Intrusion detection

Network

Prevenção

Prevention

Rede de computadores

Security

Segurança

SSL

SSL

Proposta de um agente de aplicação para detecção, prevenção e contenção de ataques em ambientes computacionais. / Proposal of an application-based agent for detection, prevention and containment of attacks in computational environment.

Leonardo Cavallari Militelli

09 June 2006

Canais seguros, como os gerados pelos protocolos SSL e TLS, são cada vez mais utilizados nos serviços de rede para propiciar autenticação de parceiro, integridade e sigilo dos dados. Porém, sua utilização impede que um sistema de detecção de intrusão de rede possa observar o conteúdo dos pacotes, impossibilitando a análise das mensagens. Como alternativa de contorno deste problema é proposta a arquitetura de um agente de detecção, prevenção e contenção de ataques baseado em aplicação, que possibilite interceptar fluxos de mensagens diretamente na aplicação, inserido no contexto de uma arquitetura de detecção distribuída e padronizada. O ADACA (Agente de Detecção, Análise e Contenção de Ataques) é um agente IDS (Intrusion Detection System) híbrido capaz de operar tanto no modo ativo quanto passivo. Dessa forma, permite realizar a análise do conteúdo de mensagens que estejam protegidos por protocolos seguros, como o SSL e TLS, e adotar uma medida predefinida antes que a aplicação alvo processe um conteúdo malicioso. Além disso, o padrão de formato de mensagens de alertas IDMEF (Intrusion Detection Message Exchange Format), proposto pelo IDWG, é adotado para notificação de eventos do agente ADACA a um IDS central. Os resultados obtidos mostraram a viabilidade da utilização de agentes de aplicação, acoplados diretamente à aplicação, como complemento aos sistemas IDS de rede. / Secure channel, as the one generated by protocols like SSL and TLS, has been used on network services to provide partner authentication, integrity and confidentiality. However, its utilization prevents a network intrusion detection system to observe and analyze packets content. As an alternative to circumvent this problem, the present work proposes an agent-based intrusion detection, prevention and containment architecture capable to capture messages flows directly at the host application and introduce it on a distributed intrusion detection framework. The ADACA (Attack Detection, Analysis and Containment Agent) is a hybrid agent that can operate on active and passive mode. In this context, it is able to detect attacks where the application payload is encrypted by secure protocols, like SSL and TLS, and take some predefined measure before the host application process a malicious content. Further that, Intrusion Detection Message Exchange Format (IDMEF) standard proposed by IDWG is considered to send alerts between agent ADACA and an IDS central. The results shown that is practicable to use an application agent attached to an application as a complement of network intrusion detection systems.

Agente

Ataque

Detecção de intrusos

IDMEF

Prevenção

Rede de computadores

Segurança

SSL

Agent

Attack

IDMEF

Intrusion detection

Network

Prevention

Security

SSL