Os sistemas de detecção de intrusão (Intrusion Detection System – IDS) são mecanismos de defesa destinados ao monitoramento, detecção e análise de atividades ma- liciosas na rede ou em um host. Os IDS têm como objetivo, portanto, garantir a segurança, confiabilidade e disponibilidade dos recursos monitorados, podendo agir em conjunto com outros componentes que têm o mesmo propósito. Um firewall, por exemplo, é comumente, a primeira linha defensiva em uma rede e um IDS é usado quando há evidência de uma anomalia que o firewall não conseguiu interromper ou atenuar. O IDS funciona então como a segunda linha de defesa.
Embora o termo “intrusão” seja difundido no âmbito de segurança, os IDS nem sempre são desenvolvidos com o intuito de identificar intrusos. Muitas vezes eles são capazes apenas de reconhecer evidências de uma atividade que difere do comportamento
Capítulo 2. Detecção de Anomalias em Redes de Computadores 31
normal, seja durante ou após a sua ocorrência [20, 46]. Independente da natureza de uma anomalia, maliciosa ou não intencional, é de suma importância que o IDS tenha conhe- cimento sobre ela e produza um diagnóstico preciso, a fim de que medidas de mitigação possam ser aplicadas ou que o desenvolvimento de defesas mais efetivas seja realizado [47].
Os IDS podem ser classificados de diferentes maneiras. Dependendo de onde eles são implantados, três classificações são possíveis: Network-based IDS (NIDS), Host-
based IDS (HIDS) e uma versão híbrida. Um NIDS é desenvolvido para a detecção de
atividades anômalas no tráfego para proteger todos os nós que compõem a rede. Mais especificamente, o NIDS captura o tráfego em segmentos de rede específicos por meio de sensores e, posteriormente, analisa as atividades de aplicativos e protocolos para identificar incidentes suspeitos [48]. O tipo de anomalia mais comum detectada por essa abordagem é a pontual, embora as informações do tráfego também possam ser modeladas sequenci- almente (e.g., temporalmente) para o reconhecimento de anomalias coletivas [49]. Dentre as vantagens desse tipo de IDS, destaca-se a capacidade de monitorar o tráfego de rede de entrada e saída. Além disso, permite que uma grande rede possa ser monitorada com apenas alguns sensores instalados, desde que estejam bem posicionados.
Um HIDS é configurado para operar em hosts específicos, por exemplo, compu- tadores pessoais ou servidores. Seu foco é monitorar eventos no host e detectar atividades suspeitas locais, ou seja, ataques realizados por usuários da máquina monitorada ou ame- aças que podem comprometer o host em que o IDS opera. O HIDS avalia a segurança do host utilizando informações do log do sistema ou de aplicações, detecção de estouro de buffer, monitoramento de chamadas do sistema, uso indevido ou abuso de privilégios, entre outros [23]. Uma vantagem do HIDS é a possibilidade de detectar ataques baseados em protocolos criptografados. Dependendo de onde a criptografia reside dentro da pilha de protocolos, pode deixar um NIDS negligente a certos ataques. O IDS baseado em host não possui essa limitação. No momento em que o sistema de intrusão baseado em host analisa o tráfego de entrada, o fluxo de dados já foi descriptografado.
Nos IDS híbridos o objetivo é tornar a detecção de intrusão uma atividade consistente, robusta e equilibrada quanto à eficiência e desempenho. A combinação de NIDS e HIDS caracteriza IDS híbridos, cujo monitoramento é realizado tanto no tráfego de dados da rede como em informações coletadas dos próprios terminais.
Os sistemas de detecção de intrusão ainda podem ser classificados de acordo com o tipo de detecção realizada. Sob essa perspectiva, os IDS podem ser divididos em duas categorias: baseadas em assinatura e baseado em anomalias [21]. Um sistema de detecção baseado em assinaturas possui uma base de dados com a descrição das carac- terísticas dos eventos anômalos passíveis de serem detectados. O tráfego da rede é mo- nitorado constantemente e quando uma situação semelhante a um registro desta base é
Capítulo 2. Detecção de Anomalias em Redes de Computadores 32
encontrada, uma possível ameaça é identificada [24]. Por outro lado, a detecção baseada em anomalias não necessita de conhecimento prévio sobre as características dos eventos a serem detectadas. Para tanto, essa abordagem constrói um perfil normal de tráfego, baseado em seu histórico, e as anomalias são identificadas a partir de desvios em relação a esse padrão [50, 51].
Ambas as metodologias, baseadas em assinatura e detecção de anomalia, apre- sentam suas vantagens e desvantagens. A detecção baseada em assinatura é eficiente na detecção de ameaças conhecidas e tende a gerar menor taxa de falsos positivos que as abordagens baseadas em anomalia [48, 52]. Sua principal desvantagem é a necessidade de que uma assinatura deve ser definida para cada possível investida que o atacante pode empregar contra a rede. Dessa maneira, esse método não é efetivo no reconhecimento de novos tipos de ataques ou variações de ataques conhecidos. Além disso, a base de dados contendo as assinaturas deve ser constantemente atualizada [53].
IDS que caracterizam o comportamento normal do tráfego apresentam duas grandes vantagens sobre os sistemas de detecção baseados em assinatura. A primeira diz respeito à capacidade de detectar ataques desconhecidos. Esta vantagem é devida à propriedade desses sistemas modelarem o funcionamento normal de uma rede e detectar desvios a partir dele [54]. A segunda vantagem é que os perfis de atividade normal são personalizados para cada rede, tornando difícil para um atacante saber quais as ativida- des que podem ser realizadas sem que ele seja detectado. No entanto, essa abordagem também apresenta algumas desvantagens. Aprender o comportamento normal não é uma tarefa trivial, já que a questão “normalidade” pode mudar constantemente, ainda mais em ambientes de redes. Além disso, os IDS que detectam anomalias podem apresentar altas taxas de falso positivos, bem como dificuldade de determinar qual evento específico desencadeou os indicativos de anomalias [24].