EXTRAÇÃO DE REGRAS DE IDS

Existem diversos sistemas de detecção de intrusão no mercado e cada um tem especificidades e características para a geração de regras de IDS personalizadas. Nesta dissertação é utilizada como exemplo a geração de regras para o sistema de detecção de intrusão Snort (Roesch, 1999). A escolha desse sistema é devido ao fato do Snort possuir um módulo capaz de processar infor- mações DCERPC, que são as principais informações obtidas no conjunto de dados analisados. Isso não impede que as árvores aqui apresentadas sejam utilizadas para gerar regras para outros sistemas, como firewalls ou um IPS.

A análise dos quatro conjuntos de dados revelou semelhanças na ramificação das árvores de decisão da Figura 5.a, Figura 5.b, Figura 5.c, Figura 6.c, Figura 6.b, Figura 8.a, Figura 8.b e Figura 8.c, mudando, em alguns casos, somente a classe alvo ou a folha da árvore e, em outros casos, a interface de conexão DCERPC. Tendo sido identificada tal característica optou-se por utilizar essa ramificação para exemplificar a extração de uma regra exemplo para o sistema de IDS. Essa árvore exemplo pode ser observada na Figura 9.

Figura 9: Árvore exemplo, obtida por meio das árvores geradas nos quatro conjuntos de da- dos.

Ao se analisar a árvore modelo obtém-se a seguinte leitura: Vulnerabilidade Explorada (atributo dcerpcserviceop_vul): MS08-67 e Não_Identificado; Protocolo utilizado: SMBD; In- terface DCERPC (atributo dcerpcbind_uuid): 4b324fc8-1670-01d3-1278-5a47bf6ee188; Sin- taxe de transferência (Atributo dcerpcbind_transfersyntax): 8a885d04-1ceb-11c9-9fe8- 08002b104860; Serviço Utilizado (Atributo dcerpcservice_name): SRVSVC. Chamada do ser- viço utilizado (atributo dcerpcserviceop_name): NetPathCanonicalize e NetShareEnum.

alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445,593,1024:] \ (msg:"Ataque da Vunerabilidade MS08-67"; flow:established,to_server; \

dce_iface: 4b324fc8-1670-01d3-1278-5a47bf6ee188; dce_opnum:32,15; dce_stub_data; \ byte_jump:4,-,relative,align,dce;byte_test:4,>,256,4,relative,dce; reference:\

bugtraq,20081026;reference: CVE,2008-4250; classtype:attempted-admin; sid:1000068;) Regra 1: Um exemplo de regra que pode ser gerada pelo sistema de IDS Snort.

A regra gerada possui as seguintes informações obtidas através da árvore de decisão:

alert tcp: O protocolo SMBD trabalha com o protocolo TCP.

[135,139,445,593,1024:]: São as portas utilizadas pelo protocolo SMBD.

(msg:"Ataque da Vunerabilidade MS08-67"): Mensagem a ser registrada nos logs do IDS

baseada na vulnerabilidade identificada pelo Honeypot.

dce_iface: 4b324fc8-1670-01d3-1278-5a47bf6ee188: Informação obtida através do atributo

dcerpcbind_uuid.

dce_opnum: 32,15: Informação obtida depois de uma pesquisa sobre a interface dcerpc, a sin-

taxe de transferência, o serviço utilizado e a chamada do serviço utilizado. É Necessário pes- quisar essa informação, pois cada chamada dcerpc tem um conjunto de sintaxe de transferência e essa sintaxe de transferência tem um conjunto de chamadas e consequentemente de serviços disponíveis, a cada serviço é dado um numero de operação (opnum) (Microsoft Corporation, 2014).

reference:bugtraq,20081026: Informação para registro nos logs oriunda do registro da vulne-

rabilidade MS08-67 no sistema BugTraq.

reference: CVE,2008-4250: Informação para registro nos logs, oriunda do registro da vulnera-

Os demais parâmetros utilizados na criação da regra são parâmetros padrões e podem ser alterados de acordo com a necessidade do administrador de rede baseado na arquitetura de seu sistema.

No caso do exemplo citado os únicos parâmetros que seriam alterados ao se gerar as regras para as árvores de decisão das Figuras 4.a, 4.b, 4.c, 5.c, 6.b, 7.a, 7.b e 7.c são os parâmentros dce_opnum e dce_iface. Essa alteração ocorre devido aos ataques registrados utilizarem outra interface de conexão DCERPC (atributo dcerpcbind_uuid) ou a modificação da classe alvo pa- râmetro dce_opnum (atributo dcerpcserviceop_name).

As árvores apresentadas nas Figuras 5.a e 5.b não podem ser utilizadas para extração de regras para um sistema de IDS, pois os valores nos nós e nos ramos é VAZIO. Já as árvores apresentadas nas Figuras 6.a e 6.c não podem ser utilizadas devido a serem árvores simples com apenas um nó e as folhas.

Em contrapartida, as árvores apresentadas na Figura 7.a e 7.b podem gerar mais de uma regra, pois ao se analisar os caminhos a serem percorridos verifica-se que o atributo dcerpcbind_transfersyntax se ramifica em dois novos caminhos (Figura 7.a) e em três novos caminhos (Figura 7.b).

A árvore apresentada na Figura 4.c requer uma modificação no parâmetro das portas utili- zadas, uma vez que o algoritmo destacou que os ataques que utilizaram o seviço SRVSVC não utilizaram portas padrões, sendo que as chamadas à função NetShareEnumAll tiveram como alvo as portas locais com valor inferior a 290. Já as chamadas à função RemoteCreateInstance tiveram como alvo as portas locais com valor maior ou igual a 290.

A Regra 2 apresenta uma possível regra utilizando as informações obtidas da árvore de decisão apresentada na Figura 4.c para a ramificação onde as portas são inferiores a 290. Já a Regra 3 apresenta uma possível regra para a ramificação onde as portas são iguais ou superiores a 290. Os dados que foram alterados estão em negrito em cada regra.

alert tcp $EXTERNAL_NET any -> $HOME_NET [:290] \

(msg:"Ataque a uma Vunerabilidade Não Identificada"; flow:established,to_server; \ dce_iface: 4b324fc8-1670-01d3-1278-5a47bf6ee188; dce_opnum:15; dce_stub_data; \ byte_jump:4,-,relative,align,dce;byte_test:4,>,256,4,relative,dce;; classtype:attempted-admin; sid:1000068;)

Regra 2: Um exemplo de regra do sistema de IDS Snort utilizando a árvore de decisão ilustrada na Figura 4.c com portas inferiores a 290 e opnum = 15.

alert tcp $EXTERNAL_NET any -> $HOME_NET [290:] \

(msg:"Ataque a uma Vunerabilidade Não Identificada"; flow:established,to_server; \ dce_iface: 4b324fc8-1670-01d3-1278-5a47bf6ee188; dce_opnum:4; dce_stub_data; \

byte_jump:4,-,relative,align,dce;byte_test:4,>,256,4,relative,dce;; classtype:attempted-admin; sid:1000068;)

Regra 3: Um exemplo de regra do sistema de IDS Snort utilizando a árvore de decisão ilustrada na Figura 4.c., com portas iguais ou superiores a 290 e opnum = 4