O método de detecção de intrusão por anomalia

O método de detecção de intrusão por anomalia é baseado na observação de desvios de comportamentos esperados em atividades relevantes dos usuários ou processos do sistema monitorado. Os detectores de anomalia constroem perfis que representam o comportamento normal dos usuários, servidores ou conexões de rede. Estes perfis são gerados por intermédio de dados históricos coletados durante um período normal de operação. Os sistemas de detecção de intrusos por anomalia baseiam-se na premissa de que um ataque difere da atividade normal, podendo, dessa forma, ser identificado.

Contudo, nem sempre uma atividade anômala corresponde a uma atividade intrusiva. Por exemplo, um usuário que sempre trabalhou com determinada carga de uso de UCP (Unidade Central de Processamento) pode necessitar de mais poder de processamento e, mesmo assim, o usuário não pode ser considerado um intruso. Em [51], são apresentadas as seguintes definições de comportamento:

• intrusivo e anômalo: a intrusão coincide com a anormalidade. São os verdadeiros posi- tivos.

• não intrusivo e não anômalo: não há intrusão, nem anormalidade. São os verdadeiros negativos.

• intrusivo, mas não anômalo: há intrusão sem que haja comportamento anormal. São os falsos negativos.

• não intrusivo, mas anômalo: não há intrusão, mas há comportamento anormal. São os falsos positivos.

A ocorrência de um grande número de falsos negativos e falsos positivos pode se tornar um problema dos SDI baseados em detecção por anomalia. Para reduzi-los, é preciso a definição dos limites que apontam a anormalidade.

Vários métodos foram propostos para implementar SDI baseados na detecção por anoma- lia [52–56], sendo os mais comuns: o método estatístico, o gerador de prognósticos de padrões e o uso de modelos baseados em técnicas de Aprendizado de Máquina.

Detecção de Intrusão em Redes de Computadores 15 • Método estatístico

No método estatístico [52], inicialmente, os perfis de comportamento dos usuários são criados. Isto é feito após um período de treinamento em que os usuários são monitorados em suas atividades cotidianas. O comportamento padrão é, então, mantido num perfil particular ou mesmo em perfis de grupos. À medida que o sistema continua a operar normalmente, o detector cria o perfil atual e em intervalos regulares, o compara com o perfil padrão que foi armazenado na fase de treinamento. Assim, se o desvio entre os dois for demasiadamente grande, pode-se inferir que há sinais de anormalidade, o que poderia implicar em uma provável intrusão.

Um assunto ainda em constante pesquisa, relacionado com o modelo estatístico na de- tecção por anomalia, é a escolha do que deve ser monitorado [52]. As métricas que afetam o perfil de comportamento podem ser as mais diversas, como: quantidade de arquivos abertos, tempo de uso da Unidade Central de Processamento (UCP), número de conexões de rede em um período, operações de E/S. Não é conhecido, de fato, qual subconjunto de todas as medidas possíveis, consegue predizer melhor as atividades intrusivas. Portanto, uma análise criteriosa do conjunto de medidas utilizadas pode contribuir bastante para o sucesso do método estatístico.

As principais vantagens deste método são que ele pode ser baseado em técnicas estatís- ticas bem conhecidas e aprender o comportamento dos usuários, adequando-se a mudanças no perfil. O uso de medidas estatísticas na detecção também pode revelar atividades suspeitas, levando à descoberta de vulnerabilidades.

É justamente devido a essa adaptabilidade, que ocorre a principal fragilidade do método estatístico, já que os sistemas baseados em estatística podem gradualmente ser treinados por intrusos de tal forma que eventualmente as intrusões sejam consideradas como normais. Outra desvantagem desse método está relacionada à dificuldade encontrada para efetuar a análise em tempo real, ocasionada pela quantidade de memória requerida para armazenar os perfis de com- portamento.

Além disso, a análise estatística não permite estabelecer uma ordem sequencial de ativi- dades, mas somente comparar a atividade atual com perfis construídos. Um problema encon- trado no método estatístico é a dificuldade em se determinar um grau de tolerância adequado para que um perfil não seja considerado intrusivo (threshold). Se ele for muito alto ou muito baixo, então poderá haver um grande número de falsos negativos ou falsos positivos, respecti- vamente, levando alguns usuários a ignorar ou desabilitar o SDI.

Alguns problemas associados ao método estatístico foram remediados por outras abor- dagens, incluindo o método conhecido como gerador de prognósticos de padrões, que leva em consideração a ordem das atividade passadas em sua análise.

• Método gerador de prognósticos de padrões

No gerador de prognósticos de padrões, tenta-se predizer as atividades futuras com base em atividades que já ocorreram, conforme descrito em [53]. Portanto, pode-se ter uma regra do

Detecção de Intrusão em Redes de Computadores 16 tipo: E1 → E2 → (E3 = 80%, E4 = 15%, E5 = 5%). Isto significa que dadas as atividades E1 e E2, com E2 ocorrendo depois de E1 (lado esquerdo da regra), existe 80% de chance de que a atividade E3 ocorra em seguida, 15% de chance que E4 seja a próxima e 5% que E5 ocorra (lado direito da regra). Assim, na ocorrência de uma determinada atividade, ou uma série de atividades, é possível predizer quais as possíveis atividades subsequentes.

Da mesma forma que no método estatístico, aqui é necessário primeiro haver um período de treinamento. Por meio do acompanhamento dos usuários em suas atividades diárias, as regras temporais que caracterizam os padrões de comportamento podem ser geradas. Essas regras se modificam ao longo do período de aprendizado. Porém, somente são mantidas no sistema aquelas que apresentarem um desempenho ótimo no prognóstico, ou seja, só as regras que conseguem predizer a próxima atividade de forma correta são aceitas.

Há algumas vantagens em utilizar o método gerador de prognósticos de padrões, apre- sentadas a seguir:

• padrões sequenciais, baseados em regras, podem detectar atividades anômalas que são difíceis nos outros métodos;

• sistemas construídos usando esse modelo são bastante adaptativos a mudanças. Isto se deve ao fato de que padrões de má qualidade são continuamente eliminados, conservando- se os padrões de alta qualidade;

• atividades anômalas podem ser detectadas muito rapidamente a partir do recebimento dos registros de auditoria.

Um problema do método gerador de prognósticos de padrões, é que determinados padrões de comportamento podem não ser detectados como anômalos, simplesmente porque não é possível combiná-los em nenhuma regra. Essa deficiência pode ser parcialmente resolvida acusando-se todas as atividades desconhecidas como intrusivas, correndo o risco de aumen- tar o número de falsos positivos ou como não intrusivas, aumentando-se a probabilidade de falsos negativos.

Como uma possível solução para este problema, o uso de Aprendizado de Máquina tem sido pesquisado [54–56].

• Aprendizado de Máquina

A ideia básica para se obter um modelo baseado em técnicas de aprendizado de máquina, é submetê-lo a um processo de treinamento com o conjunto das ações representativas. O modelo gerado deverá ser capaz de predizer a próxima ação do usuário, dado o conjunto de suas ações anteriores [57].

Qualquer ação que não corresponda à realidade, pode medir um desvio no perfil nor- mal do usuário. Algumas vantagens são que as técnicas de Aprendizado de Máquina têm a capacidade de inferir dados com ruídos. O sucesso desta abordagem não depende de nenhuma

Detecção de Intrusão em Redes de Computadores 17 suposição sobre a natureza dos dados e são mais fáceis de se modificar para uma nova comu- nidade de usuários.

Entretanto, o uso de modelos baseados em técnicas de Aprendizado de Máquina tem al- guns problemas, pois, ao se dispor de um pequeno conjunto de informações para o treinamento, a tendência é que aumente a incidência de falsos positivos gerados pelo modelo. Da mesma forma, um conjunto grande de treinamento, mas com informações irrelevantes, irá aumentar as chances do modelo gerar mais falsos negativos.

Em síntese, o ponto forte do método de detecção por anomalia é a capacidade de reco- nhecer tipos de ataques que não foram previamente conhecidos, baseado apenas nos desvios de comportamento, enquanto que os pontos fracos podem ser o grande número de alarmes falsos gerados para uma rede treinada insuficientemente e a necessidade de um grande período de treinamento para se construir os perfis dos usuários.