MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS
77
0
0
Texto
(2) MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS. por. Giani Petri. Dissertação apresentada ao Programa de Pós-Graduação em Informática da Universidade Federal de Santa Maria (UFSM, RS), como requisito parcial para a obtenção do grau de Mestre em Ciência da Computação. Orientador: Prof. Dr. Raul Ceretta Nunes (UFSM). Santa Maria, RS, Brasil 2013.
(3) Universidade Federal de Santa Maria Centro de Tecnologia Programa de Pós-Graduação em Informática. A Comissão Examinadora, abaixo assinada, aprova a Dissertação de Mestrado. MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS elaborada por Giani Petri como requisito parcial para obtenção do grau de Mestre em Ciência da Computação. COMISSÃO EXAMINADORA:. Raul Ceretta Nunes (UFSM), Dr. (Presidente/Orientador). Altair Olivo Santin, Prof. Dr. (PUCPR). Roseclea Duarte Medina, Profa . Dra . (UFSM). Santa Maria, 4 de Março de 2013..
(4) Ao meu pai Erineu Petri e à minha mãe Noemi Petri, pelo carinho e compreensão..
(5) AGRADECIMENTOS. Em primeiro lugar a gradeço à Deus, pelo companheirismo nos momentos bons e pela força nos momentos não tão bons. Agradeço aos meus pais Erineu Petri e Noemi Petri, pela educação, investimento e compreensão. Somente com o amor vindo de vocês foi possível realizar mais este sonho. Também agradeço a minha irmã e melhor amiga Giovana Petri, seu carinho, sua preocupação e suas sábias palavras, sempre nos momentos exatos, contribuíram muito nesta jornada. Obrigado Gio! Um agradecimento em especial ao amigo, professor e orientador Dr. Raul Ceretta Nunes. Um exemplo de profissional, sempre disposto a auxiliar e resolver todos os obstáculos encontrados. Suas palavras e orientações foram fundamentais para a concretização deste trabalho.. Agradeço também aos colegas e amigos dos grupos de pesquisa GTSeg e GRECA: Bruno Augusti Mozzaquatro, Tarcisio Ceolin Junior, Ricardo Tombesi Macedo, Victor Machado Alves, Victor Orozco, Renato Preigschadt de Azevedo, Taciano Balardin de Oliveira, Gleizer Voss, Felipe Becker Nunes e Andreia Mühlbeier, pelo aprendizado e conhecimento compartilhado e também pelos vários momentos de descontração, em almoços, churrascos, eventos e viagens. Aos demais amigos de Santa Maria que se tornaram minha segunda família, em especial ao pessoal do GFG Immer Lustig. Agradeço ao amigo e professor Gerson Antunes Soares, pessoa fundamental na minha qualificação acadêmica e profissional. À Capes, pelo apoio financeiro essencial para a realização deste trabalho.. Muito obrigado!.
(6) “É muito melhor arriscar coisas grandiosas, alcançar triunfos e glórias, mesmo expondo-se a derrota, do que formar fila com os pobres de espírito que nem gozam muito nem sofrem muito, porque vivem nessa penumbra cinzenta que não conhece vitória nem derrota.” — T HEODORE ROOSEVELT.
(7) RESUMO. Dissertação de Mestrado Programa de Pós-Graduação em Informática Universidade Federal de Santa Maria MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS AUTOR: GIANI PETRI ORIENTADOR: RAUL CERETTA NUNES (UFSM) Local da Defesa e Data: Santa Maria, 4 de Março de 2013. A popularização da Internet tem proporcionado um aumento no número de aplicações web que trabalham com informações críticas. Em paralelo a isso, os ataques que exploram as vulnerabilidades dessas aplicações também tem crescido. Esse cenário tem estimulado as empresas a investir em ferramentas para monitorar sua infraestrutura de rede, visando a detecção de atividades mal-intencionadas. Uma das principais ferramentas utilizadas pelas empresas para o monitoramento de suas infraestruturas de redes e identificação de ataques são os Sistemas de Detecção de Intrusão. No entanto, devido a expansão do volume de dados que trafegam nas redes de computadores, estes sistemas estão tornando-se limitados. Em contrapartida, pesquisadores têm explorado a construção de Internet Early Warning Systems para o monitoramento de atividades maliciosas na Internet. Este trabalho propõe a modelagem de dados de uma base de conhecimento para Internet Early Warning Systems. O modelo representa os dados de diferentes aspectos da rede com foco em eventos relacionados a detecção de intrusão, tais como: dados de alertas gerados por sistemas de detecção de intrusão, informações sobre medidas de respostas, estatísticas do tráfego e assinaturas de ataques já conhecidos. Um estudo de caso em uma infraestrutura de rede real demonstra a aplicabilidade do modelo de dados da base de conhecimento e permite identificar as vantagens de sua utilização. Além disso, os dados armazenados na base de conhecimento potencializam a construção de uma consciência situacional do ambiente monitorado, direcionando as atividades da equipe de segurança e auxiliando no processo de decisão de respostas a ataques em potencial.. Palavras-chave: Segurança. Base de Conhecimento. Internet Early Warning Systems. Consciência Situacional..
(8) ABSTRACT. Master’s Dissertation Graduate Program in Computer Science Federal University of Santa Maria DATA MODEL OF A KNOWLEDGE BASE FOR INTERNET EARLY WARNING SYSTEMS AUTHOR: GIANI PETRI ADVISOR: RAUL CERETTA NUNES (UFSM) Defense Place and Date: Santa Maria, March 4th , 2013. The popularization of the Internet has provided an increase in the number of web applications that work with critical information. Parallel to this, attacks that exploit the vulnerabilities of these applications has also grown. This scenario has stimulated companies to invest in tools to monitor their network infrastructure in order to detect malicious activity. One of the main tools used by companies to monitor their network infrastructures and identifying attacks are Intrusion Detection Systems. However, due to expansion of the volume of data in computer networks, these systems are becoming limited. In contrast, researchers have explored the construction of Internet Early Warning Systems to monitor malicious activities on the Internet. This work proposes a data model of a knowledge base for Internet Early Warning Systems. The model represents the data of different aspects of the network with a focus on events related to intrusion detection, such as data of alerts generated by intrusion detection systems, information on response measures, traffic statistics and signatures of known attacks. A case study on a real network infrastructure demonstrates the applicability of the data model of knowledge base and identifies the advantages of its use. Furthermore, the data stored in the knowledge base potentializes the construction of situational awareness of monitored environment, directing the activities of the security team and helping in the decision process responses to potential attacks.. Keywords: Security. Knowledge Base. Internet Early Warning Systems. Situational Awareness..
(9) LISTA DE FIGURAS. 1.1. Notificações de ataques entre os meses de Setembro de 2011 e Agosto de 2012 (adaptado de (CERT.BR, 2012)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14. 2.1. 2.3 2.4. Elementos de um Internet Early Warning System (adaptado de (BASTKE; DEML; SCHMIDT, 2010)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modelo de consciência situacional em três níveis (adaptado de (LIU et al., 2007)). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visão geral do formato IDMEF (adaptado de (SÁ BRANDÃO, 2007)). . . . . . Visão geral do formato IDREF (adaptado de (SILVA, 2004)). . . . . . . . . . . . . . . .. 21 25 27. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14. Aspectos representados na base de conhecimento KBAM. . . . . . . . . . . . . . . . . . . Principais entidades que representam os alertas de detecção. . . . . . . . . . . . . . . . . Relacionamentos da entidade Assessment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Analyzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Process. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Source. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Target. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos das entidades ToolAlert e Classification. . . . . . . . . . . . . . . . . . . Principais entidades que representam as medidas de respostas. . . . . . . . . . . . . . . Relacionamentos da entidade Response. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade React.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacionamentos da entidade Config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entidades que representam a quantificação do tráfego da rede. . . . . . . . . . . . . . .. 36 37 38 39 40 41 42 42 43 44 45 46 47 47. 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17. Arquitetura implementada para a integração dos IDSs. . . . . . . . . . . . . . . . . . . . . . Estados dos sensores utilizados no estudo de caso. . . . . . . . . . . . . . . . . . . . . . . . . . Arquitetura do estudo de caso realizado na rede de computadores da UFSM. Lista de alertas na tela principal do Componente IDREF. . . . . . . . . . . . . . . . . . . . Lista de alertas detectados na rede da UFSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tráfego do protocolo TCP na rede da Coperves. . . . . . . . . . . . . . . . . . . . . . . . . . . . Tráfego do protocolo TCP na rede do CPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tráfego do protocolo UDP na rede da Coperves. . . . . . . . . . . . . . . . . . . . . . . . . . . . Tráfego do protocolo UDP na rede do CPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tráfego das Flags TCP SYN e TCP SYN-ACK coletados na rede da Coperves. Rotina para identificar os principais alertas detectados. . . . . . . . . . . . . . . . . . . . . . Detalhamento de um alerta na interface Prewikka. . . . . . . . . . . . . . . . . . . . . . . . . . Rotina para identificar as principais origens dos alertas. . . . . . . . . . . . . . . . . . . . . Rotina para identificar os principais alvos dos alertas. . . . . . . . . . . . . . . . . . . . . . . Rotina de recuperação de históricos de medidas de respostas. . . . . . . . . . . . . . . . Criação de uma mensagem de resposta do tipo React no Componente IDREF. Adicionando um Node na medida de resposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 52 52 53 54 57 58 59 59 59 59 61 62 63 64 66 68 69. 2.2. 20.
(10) LISTA DE TABELAS. 2.1. Resumo dos níveis do modelo de Endsley e extensão de McGuiness e Foy. . . 22. 3.1. Parâmetros de rede representados na Base de Conhecimento KBAM. . . . . . . . 34. 4.1 4.2 4.3 4.4 4.5. Resultados da quantificação do tráfego da rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alertas mais frequentes no estudo de caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Principais origens dos alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Principais alvos dos alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Levantamento de medidas de respostas a alertas com mesma assinatura.. . . . .. 58 61 64 65 67.
(11) LISTA DE ABREVIATURAS E SIGLAS. ATM. Asynchronous Transfer Mode. CGI. Common Gateway Interface. Coperves. Comissão Permanente do Vestibular. CPD. Centro de Processamento de Dados. DoS. Denial of Service. HIDS. Host Intrusion Detection System. HTTP. Hypertext Transfer Protocol. HTTPS. Hypertext Transfer Protocol Secure. IAS. Internet Analysis System. ICMP. Internet Control Message Protocol. IDS. Intrusion Detection System. IDMEF. Intrusion Detection Message Exchange Format. IDREF. Intrusion Detection Response Exchange Format. IDWG. Instrusion Detection Work Group. IETF. Internet Engineering Task Force. IP. Internet Protocol. KBAM. Knowledge Base Attack Monitoring. MAC. Media Access Control. NIDS. Network Intrusion Detection System. SA. Situational Awareness. SIP. Session Initiation Protocol. SMTP. Simple Mail Transfer Protocol. SMTPS. Simple Mail Transfer Protocol Secure. SNMP. Simple Network Management Procotol. TCP. Transmission Control Protocol. UDP. User Datagram Protocol. UFSM. Universidade Federal de Santa Maria. URL. Uniform Resource Locator. VM. Virtual Machine. XML. Extensible Markup Language.
(12) SUMÁRIO. 1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Objetivos e Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Organização do Texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 14 15 16 17. 2 FUNDAMENTAÇÃO TEÓRICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Internet Early Warning Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Componentes Técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Consciência Situacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Sistemas de Detecção de Intrusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Sistemas de Detecção de Intrusão baseados em Assinatura . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Sistemas de Detecção de Intrusão baseados em Anomalia . . . . . . . . . . . . . . . . . . . . . . 2.3 Padrões de Formatação de Dados para Sistemas de Detecção de Intrusão . . . . . 2.3.1 O Formato IDMEF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2 O Formato IDREF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Base de Conhecimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Base de Conhecimento Legível por Máquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Base de Conhecimento Destinada ao uso Humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Considerações Parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 18 18 19 20 22 23 24 24 24 26 28 28 29 29. 3. MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Proposta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Aspectos Representados na Base de Conhecimento KBAM . . . . . . . . . . . . . . . . . . . . 3.2.1 Alertas de Detecção de Intrusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Medidas de Respostas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Tráfego da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.4 Assinaturas de Ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Modelagem de Dados da Base de Conhecimento KBAM . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Entidades que Representam os Alertas de Detecção de Intrusão . . . . . . . . . . . . . . . . . 3.3.2 Entidades que Representam as Mensagens de Respostas . . . . . . . . . . . . . . . . . . . . . . . . 3.3.3 Entidades que Representam a Quantificação do Tráfego da Rede . . . . . . . . . . . . . . . . 3.4 Trabalhos Relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Considerações Parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONSTRUINDO UMA CONSCIÊNCIA SITUACIONAL COM A BASE DE CONHECIMENTO KBAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Inserindo a Base de Conhecimento KBAM em uma Arquitetura de Redes . . . . . 4.2 Aplicando um Modelo de Consciência Situacional na Base de Conhecimento KBAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 Percepção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2 Compreensão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.3 Projeção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.4 Resolução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Considerações Parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 31 31 32 33 33 34 35 36 37 44 47 48 49. 4. 50 50 55 56 60 65 67 69.
(13) 5 CONCLUSÕES E CONSIDERAÇÕES FINAIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5.1 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 APÊNDICE A. PUBLICAÇÕES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77.
(14) 14. 1. INTRODUÇÃO. A popularização da Internet está em constante evolução, na medida em que provê diversos serviços que auxiliam na comunicação, na efetivação de negócios, transações comerciais, além da realização de tarefas pessoais. Esses serviços, geralmente, são realizados através de aplicações web que, normalmente, trabalham com informações críticas e que são estratégicas para as organizações. No entanto, o número de ataques que visam explorar as vulnerabilidades encontradas nessas aplicações web tem crescido gradativamente nos últimos anos (SYMANTEC, 2012). De mesmo modo, conforme o Centro de Estudos, Resposta e Tratamento de Incidentes no Brasil (CERT.BR, 2012), o número acumulado de ataques notificados no ano de 2011 é de 399.515. E, em 2012 as notificações de ataques tendem a aumentar, até o mês de agosto tem-se um montante de 303.445, como pode ser observado na Figura 1.1.. Figura 1.1: Notificações de ataques entre os meses de Setembro de 2011 e Agosto de 2012 (adaptado de (CERT.BR, 2012)). Diante desta ascensão no número de ataques, as empresas e organizações estão se conscientizando e estimulando a investir em técnicas e ferramentas que as auxiliem a monitorar seus sistemas de informações e sua infraestrutura de redes de computadores. Estas ferramentas são utilizadas para a identificação de atividades maliciosas, objetivando manter as informações íntegras, com um alto nível de confidencialidade e disponibilidade. Uma das principais ferramentas utilizadas pelas empresas para o monitoramento de suas infraestruturas de redes e identificação de ataques são os Sistemas de Detecção de Intrusão (IDS). Um IDS é um sistema responsável por identificar possíveis tentativas de ataques em.
(15) 15. redes de computadores ou em um computador em específico (KIZZA, 2005). Na medida em que a Internet tem se popularizado, há também um acréscimo significativo no número de dados que trafegam nas redes de computadores. Conforme (GOGULF, 2012), em 60 segundos o mecanismo de busca do Google1 atende a mais de 600 mil consultas e um montante superior a 168 milhões de e-mails são enviados. Diante desse cenário, Golling e Stelte (2011) citam que os IDSs tradicionais estão tornando-se limitados. A quantidade de dispositivos conectados à rede, petabytes de dados, gigabytes de informações transferidas já não estão mais sendo suportadas pelos IDSs tradicionais (GOLLING; STELTE, 2011). No entanto, para suprir a necessidade de monitorar a Internet perante esse novo cenário, a construção de Internet Early Warning Systems tem sido explorada (HESSE; POHLMANN, 2008) (BASTKE; DEML; SCHMIDT, 2010). Estes sistemas objetivam detectar ameaças precocemente, visando proteger as funcionalidades da Internet, antes que as ameaças causam qualquer perigo, ou antes que elas possam causar o máximo de perigo. Além disso, permitem obter uma consciência situacional (percepção da situação de segurança dos recursos de rede) que possibilita uma reação precoce a um evento malicioso, um maior controle e monitoramento dos recursos envolvidos, auxiliando em tomadas de decisões (GOLLING; STELTE, 2011). Diante deste cenário, as tarefas de monitorar infraestruturas de redes e obter um conhecimento dos eventos maliciosos que estão ocorrendo tornam-se imprescindíveis para as empresas e organizações. Assim sendo, este trabalho propõe um modelo de dados de uma base de conhecimento que representa os dados de diferentes aspectos de uma rede de computadores e que potencializa as equipes de segurança na compreensão das atividades ocorridas no ambiente monitorado.. 1.1. Motivação. Uma base de conhecimento é um dos principais componentes técnicos de um Internet Early Warning System, por manter informações que possibilitam ações mais efetivas no monitoramento de ataques. Deste modo, Bastke et al. (2010) definem os aspectos que uma base de conhecimento deve armazenar. Estes aspectos correspondem aos dados sobre o comportamento da rede, informações sobre assinaturas de ameaças, incidentes e medidas de respostas (BASTKE; DEML; SCHMIDT, 2010). No entanto, os trabalhos existentes na literatura não englobam todos os aspectos de uma 1. http://www.google.com.
(16) 16. base de conhecimento para Internet Early Warning Systems, dificultando a construção de uma consciência situacional do ambiente monitorado. Em (LIMA; DEGASPARI; SOBRAL, 2008) é proposto uma abordagem para detecção de intrusão utilizando redes neurais artificiais como mecanismo de detecção e uma base de conhecimento contendo assinaturas de ataques conhecidos para a fase de treinamento e aprendizagem, desconsiderando informações sobre medidas de respostas. Em (FLIOR et al., 2010) é apresentado um sistema que captura e analisa o tráfego de rede com o objetivo de criar uma base de conhecimento com regras que permita a tomada de decisões, porém esta proposta desconsidera o armazenamento de registros de incidentes. Em (MORE; MATTHEWS; A. JOSHI, 2012) é proposta uma abordagem baseada em conhecimento para a modelagem de detecção de intrusão, mas essa abordagem também não engloba medidas de respostas. Em síntese, existem diversos trabalhos que envolvem bases de conhecimento na literatura, entretanto, os mesmos não abordam os aspectos necessários de uma base de conhecimento para Internet Early Warning Systems. No entanto, a motivação deste trabalho visa explorar um modelo de dados de uma base de conhecimento para Internet Early Warning Systems, que armazene informações que possibilitam a construção da consciência situacional do ambiente monitorado e auxilie no processo de decisão de medidas de respostas a ataques.. 1.2. Objetivos e Contribuições. O objetivo deste trabalho é apresentar um modelo de dados de uma base de conhecimento chamada KBAM (Knowledge Base Attack Monitoring), que engloba os diferentes aspectos de uma base de conhecimento para Internet Early Warning Systems. A base de conhecimento KBAM representa os dados de eventos de detecção de intrusão explorando o padrão de formatação de dados Intrusion Detection Message Exchange Format (IDMEF) (DEBAR; CURRY; FEINSTEIN, 2007) para as mensagens de detecção de intrusão e o formato Intrusion Detection Response Exchange Format (IDREF) (SILVA; WESTPHALL, 2006) para as mensagens de respostas. A representação dos dados contidos na base de conhecimento KBAM contempla os seguintes aspectos: dados de alertas gerados por sistemas de detecção de intrusão, informações sobre as medidas aplicadas em resposta a um alerta, além dos parâmetros para captura do tráfego da rede, conforme destacados em (RICCI, 2008)..
(17) 17. A principal contribuição deste trabalho é o modelo de dados da base de conhecimento KBAM que ao representar os dados de diferentes aspectos de uma rede, explorando padrões utilizados por sistemas de detecção de intrusão, permite a construção de uma consciência situacional do ambiente de rede monitorado. A prova de conceito foi realizada através de um estudo de caso implementado na rede da Universidade Federal de Santa Maria que demonstra que o uso da base KBAM permite a obtenção de uma consciência situacional do ambiente de rede da instituição, pois fornece informações que possibilitam um conhecimento da atual situação de segurança da rede, direcionando as atividades da equipe de segurança e auxiliando no processo de decisão de respostas a ataques em potencial.. 1.3. Organização do Texto. O texto da dissertação está organizado da seguinte forma. O Capítulo 2 apresenta uma fundamentação teórica que aborda os conceitos importantes para a compreensão do trabalho. O Capítulo 3 apresenta a proposta do modelo de dados da base de conhecimento KBAM, destacando as principais entidades e atributos, além de apresentar os trabalhos relacionados encontrados na literatura. No Capítulo 4 é apresentado um estudo de caso que demonstra a inserção da base de conhecimento KBAM em uma infraestrutura de redes e a construção da consciência situacional do ambiente de rede da instituição a partir dos dados armazenados na base de conhecimento KBAM. Por fim, o Capítulo 5 apresenta as conclusões do trabalho e sugestões de trabalhos futuros..
(18) 18. 2. FUNDAMENTAÇÃO TEÓRICA. O acréscimo no número de notificações de ataques registrados nos últimos anos (CERT.BR, 2012) têm conscientizado as empresas a implantar ferramentas de monitoramento que permitam a identificação de atividades maliciosas em suas infraestruturas de redes. Nesse contexto, este capítulo apresenta conceitos importantes para a compreensão deste trabalho. A Seção 2.1 apresenta uma conceituação sobre as características dos Internet Early Warning Systems e seus componentes técnicos. Na sequência, a Seção 2.2 apresenta uma breve descrição sobre os tradicionais Sistemas de Detecção de Intrusão. Na Seção 2.3 é descrito alguns padrões de formatação de dados para sistemas de detecção de intrusão. Na Seção 2.4 é apresentado os conceitos sobre bases de conhecimento e a Seção 2.5 destaca as considerações parciais do capítulo.. 2.1. Internet Early Warning Systems. Um Internet Early Warning System visa a detecção precoce de eventos que ameaçam as funcionalidades da Internet (BASTKE; DEML; SCHMIDT, 2010). Devido a grande complexidade das redes de computadores atuais, esses sistemas integram sensores distribuídos em uma rede e trabalham no monitoramento e detecção de eventos que possam causar algum perigo. Conforme Bastke et al. (2010), o objetivo desses sistemas é construir uma consciência situacional e gerar contramedidas para ameaças atuais com base nas informações adquiridas na consciência situacional do ambiente monitorado. Além disso, esses sistemas também objetivam coletar e analisar informações para suportar a criação de medidas de segurança. Em resumo, a definição de um Internet Early Warning System é representado pela fórmula que segue:. F = (N, P, O, L, G, C) Onde: • N = Rede monitorada. • P = Organizações que fazem parte do sistema. • O = Definição das estruturas e processos organizacionais. • L = Enquadramento jurídico.. (2.1).
(19) 19. • G = Objetivos a serem alcançados por um Internet Early Warning System. • C = Componentes Técnicos de um Internet Early Warning System. O elemento (N) descreve a rede monitorada, no caso de um Internet Early Warning System, a Internet. O segundo elemento representado por (P) refere-se ao conjunto de organizações e pessoas ativamente ou passivamente envolvidas com o sistema. O componente (O) representa a organização de um Internet Early Warning System, que pode ser dividida em estrutura organizacional e estrutura operacional. A estrutura organizacional define as unidades organizacionais de um Internet Early Warning System e seus relacionamentos entre si. Já a estrutura operacional define os processos necessários para a operação de um Internet Early Warning System. O elemento representado por (L), refere-se ao enquadramento jurídico onde destacam até que ponto as leis existentes apoiam a operação de um Internet Early Warning System. O elemento (G) representa os objetivos a serem alcançados na operação de um Internet Early Warning System. Por fim, o elemento (C) identifica os componentes técnicos que compõem a arquitetura e estão descritos na Seção 2.1.1. 2.1.1. Componentes Técnicos. Um Internet Early Warning System é formado por diversos componentes técnicos: sensores, componente de detecção, base de conhecimento, componente de reação e gerenciamento de incidentes, componente de perpetuação de evidências e componente de distribuição das informações (BASTKE; DEML; SCHMIDT, 2010). Os sensores são utilizados para a geração da visão da atual situação do ambiente monitorando, criando a consciência situacional. Além disso, são responsáveis pela detecção dos eventos de segurança e identificação de novas ameaças. O componente de detecção é dividido em duas camadas: a camada de sinal, onde os dados da rede ou os logs são analisados por métodos de detecção por anomalia ou assinaturas, e a camada de eventos, onde ocorre o relacionamento dos eventos da camada de sinal com eventos reportados por órgãos externos. A base de conhecimento é um dos principais componentes de um Internet Early Warning System, pois armazena informações de diferentes aspectos da rede. As assinaturas de ameaças, o comportamento da rede, as informações sobre os incidentes e suas medidas de respostas estão armazenadas na base de conhecimento e dão suporte a construção da consciência situacional do ambiente monitorado. O componente de reação e gerenciamento de incidentes é conectado a base de conhecimento.
(20) 20. e dá suporte aos usuários ao processo de tomada de decisão, sugerindo etapas para a análise da situação do incidente e tipo da contramedida a ser aplicada. Por sua vez, o componente de perpetuação de evidências objetiva o armazenamento de informações que podem ser usadas em processos criminais. O componente de distribuição de informações é responsável por distribuir os dados de incidentes, contramedidas e alertas a todos os usuários do sistema, de forma rápida e precisa (BASTKE; DEML; SCHMIDT, 2010). A Figura 2.1 apresenta graficamente os elementos que compõem um Internet Early Warning System e seus relacionamentos.. Figura 2.1: Elementos de um Internet Early Warning System (adaptado de (BASTKE; DEML; SCHMIDT, 2010)).. 2.1.2. Consciência Situacional. A consciência situacional (Situational Awareness - SA) é um termo antigo, que se originou de pesquisas em fatores humanos nas áreas de espaço aéreo, aviação e operações militares (LIU et al., 2007). Diversos autores conceituam o termo consciência situacional relacionando-o a áreas específicas. De uma perspectiva militar, a consciência situacional significa o conhecimento do nível.
(21) 21. de ameaça e o status atual dos ativos de rede que suportam operações militares (GREGOIRE; BEAUDOIN, 2005). O conceito de consciência situacional foi introduzido na área de segurança de redes por Bass (1999). Bass relaciona o termo em combinação com a integração de dados de sistemas de detecção de intrusão distribuídos (BASS, 1999). Nos últimos anos, a aplicação de consciência situacional tem sido revolucionária, principalmente nas áreas de defesa do espaço e controle do tráfego aéreo. Em contrapartida, a aplicação do termo na área de segurança de redes ainda está em estágios iniciais (ONWUBIKO, 2009). A definição de consciência situacional mais utilizada foi escrita por Endsley (1995), que a define informalmente, como um entendimento do que está acontecendo. E, formalmente, como a percepção dos elementos do ambiente considerando o tempo e o espaço, a compreensão de seus significados e a projeção de medidas futuras (WICKENS, 2008). Um modelo proposto por Endsley (1995) define a consciência situacional em três níveis hierárquicos, conforme apresenta a Figura 2.2.. Figura 2.2: Modelo de consciência situacional em três níveis (adaptado de (LIU et al., 2007)). O primeiro nível do modelo de Endsley refere-se a percepção. De acordo com Salerno et al. (2004), a percepção fornece informações sobre o status e atributos dos elementos do ambiente. A percepção é adquirida através de alertas reportados por sistemas de detecção de intrusão, logs de firewalls ou ainda através de evidências de segurança que reportaram alertas ou geraram logs (ONWUBIKO, 2009). O segundo nível refere-se a compreensão dos eventos que estão ocorrendo no ambiente. Conforme Onwubiko (2009), a compreensão é adquirida através de metodologias, técnicas, processos e procedimentos que a equipe de segurança utiliza para analisar, sintetizar e agregar evidências percebidas nos elementos de rede. Além disso, a compreensão consiste na criação de uma imagem da situação de segurança do ambiente e quando novas evidências são capturadas deve-se atualizar a base de conhecimento para refletir as mudanças (SALERNO; HINMAN;.
(22) 22. BOULWARE, 2004). A projeção é o terceiro nível do modelo de Endsley (1995) e corresponde a capacidade de fazer futuras predições ou previsões baseada no conhecimento extraído do ambiente monitorado. Nesta etapa os analistas de segurança realizam a criação de padrões de ocorrência de eventos, além da criação de controles preventivos para conter situações em potencial. Uma extensão ao modelo de Endsley (1995) foi proposta por McGuiness e Foy (2000), adicionando um quarto nível ao modelo original. O nível adicionado refere-se a resolução e corresponde a implementação de contramedidas necessárias para tratar os riscos identificados. A Tabela 2.1 apresenta um resumo dos níveis do modelo de Endsley (1995) com a extensão proposta por McGuiness e Foy (2000). Tabela 2.1: Resumo dos níveis do modelo de Endsley e extensão de McGuiness e Foy. Nível O quê? Como? Percepção - Nível 1 Eventos, estados, valores Detecção, identificação Compreensão - Nível 2 Significados, tipos de situação Interpretação, sínteses Projeção - Nível 3 Projeto Predição, dados históricos Resolução - Nível 4 Implementação Aplicação prática De modo que as redes de computadores são ambientes dinâmicos, a aplicação de cada etapa do modelo de consciência situacional deve ocorrer em paralelo com os outros níveis (SALERNO et al., 2003), ou seja, enquanto a equipe de segurança está trabalhando em uma determinada etapa, os outros níveis devem estar ocorrendo em paralelo, identificando novos eventos. Esta característica potencializa a construção da consciência situacional do ambiente que se está monitorando, através da atualização contínua com os novos eventos detectados.. 2.2. Sistemas de Detecção de Intrusão. A detecção de intrusão refere-se a técnicas utilizadas para a identificação de intrusões e ataques em computadores específicos ou em redes de computadores. Kizza (2005) define uma intrusão como uma tentativa ilegal e deliberada, bem sucedida ou não, de manipulação, quebra ou rompimento do funcionamento de um sistema. Um Sistema de Detecção de Intrusão (IDS) é constituído por três componentes funcionais (NORTHCUTT; NOVAK, 2002): fonte de informação, análise e resposta. A fonte de informação é composta por um coletor de dados, responsável por capturar informações do tráfego da rede para serem utilizadas pelo analisador. A análise é o componente responsável por verificar os dados advindos da fonte de informação, objetivando encontrar sinais que indiquem a tentativa.
(23) 23. ou ocorrência de uma intrusão, utilizando para isso mecanismos de comparação. O componente de resposta é responsável por executar medidas de reações a intrusões com base nos resultados da análise, essas medidas podem ser através de contra-ataques, bloqueio de recursos ou então, simplesmente gerando alarmes e relatórios para uma intervenção de um administrador de rede. Um IDS é classificado em duas categorias conforme a sua fonte de informações (NORTHCUTT; NOVAK, 2002): Sistemas de Detecção de Intrusão baseados em Host (HIDS) e Sistemas de Detecção de Intrusão baseados em Rede (NIDS). Um Sistema de Detecção de Intrusão baseado em Host é uma ferramenta de segurança utilizada para a identificação de atividades maliciosas em um computador específico (KIZZA, 2005). Um HIDS é responsável por monitorar as atividades do sistema operacional e dos programas de um único computador. O sistema compara as alterações em arquivos ou parâmetros monitorados com as assinaturas predefinidas e em caso de similaridade gera um alerta indicando uma atividade maliciosa. Diferentemente de um HIDS, um Sistema de Detecção de Intrusão baseado em Rede trabalha no monitoramento de toda uma rede, objetivando a detecção de anomalias, ataques e atividades ilegais (KIZZA, 2005). Um NIDS trabalha com a análise de informações capturadas por um coletor em uma rede. A análise é realizada a partir do volume do tráfego, da quantidade de conexões além do número de pacotes perdidos. Além da classificação conforme a fonte de informação, os IDSs também são classificados em duas categorias conforme seu método de detecção: Sistemas de Detecção de Intrusão baseados em Assinatura e Sistemas de Detecção de Intrusão baseados em Anomalias. Estas duas classificações são apresentadas, respectivamente, nas Seções 2.2.1 e 2.2.2. 2.2.1. Sistemas de Detecção de Intrusão baseados em Assinatura. Um Sistema de Detecção de Intrusão baseado em Assinatura trabalha com a comparação dos dados coletados em uma determinada rede com a base de dados de assinaturas conhecidas. Um alerta é gerado pelo IDS quando os dados coletados são compatíveis com alguma regra predefinida (KIZZA, 2005). Entre os IDSs baseados em assinaturas destacam-se o Snort (SNORT, 2012a), Bro (BRO, 2012) e Suricata (SURICATA, 2012). Uma das principais desvantagens de um IDS baseado em assinatura refere-se a necessidade de constante atualização da base de dados de assinaturas, devido ao surgimento de novas variações de ataques. Além disso, estes sistemas tem dificuldade na detecção de ataques desco-.
(24) 24. nhecidos. A principal vantagem de um IDS baseado em assinatura refere-se a sua alta taxa de detecção. Ao utilizar uma base de dados de assinaturas atualizadas os IDSs tornam-se bastante precisos em suas detecções, apresentando um baixo número de falsos positivos (KIZZA, 2005). 2.2.2. Sistemas de Detecção de Intrusão baseados em Anomalia. A detecção de intrusão baseada em anomalias trabalha com a ideia de que um ataque cria um comportamento diferente do padrão definido para o sistema (KRUEGEL; VALEUR; VIGNA, 2004). O perfil do sistema é criado com base em informações históricas e quando o comportamento observado desvia do padrão é então detectado um ataque e disparado um alerta. Uma das principais características na detecção baseada em anomalias corresponde a detecção de ataques desconhecidos, diferentemente da abordagem por assinaturas. Porém, o tráfego de rede apresenta alta variabilidade e, muitas vezes, pode erroneamente ser identificado como uma anomalia, gerando um alerta falso (KIZZA, 2005). A detecção baseada em assinatura é adequada para a detecção de ataques definidos. No entanto, a abordagem por anomalias destaca-se pela detecção de ataques sem conhecimento prévio. Levando em consideração a constante variação de ataques existentes e o rápido surgindo de novos ataques, destaca-se a utilização de IDSs híbridos, que trabalham com as duas abordagens de detecção, integrando as vantagens na utilização de ambas as tecnologias.. 2.3. Padrões de Formatação de Dados para Sistemas de Detecção de Intrusão. Na área de detecção de intrusão existem alguns padrões para interoperabilidade de mensagens de detecção e de respostas a intrusões. Estes padrões definem uma formatação dos dados a serem compartilhados entre os componentes de um sistema ou reportados a entidades externas. 2.3.1. O Formato IDMEF. Criado pelo grupo IDWG (Intrusion Detection Work Group) do IETF (Internet Engineering Task Force), o IDMEF (Intrusion Detection Message Exchange Format) (DEBAR; CURRY; FEINSTEIN, 2007) é um formato de dados padrão que sistemas de detecção de intrusão utilizam para reportar e compartilhar alertas sobre eventos considerados suspeitos. O principal objetivo do formato IDMEF é definir uma formatação de dados e procedimentos para a interoperabilidade entre sistemas de detecção de intrusão..
(25) 25. Umas das principais aplicações do formato IDMEF é para a comunicação de alertas entre o componente de análise e o gerenciador de um IDS. Além disso, o formato IDMEF também pode ser usado para a troca de informações e correlação de alertas, além da possibilidade de padronização de informações em um banco de dados. O formato IDMEF possui uma classe que é base para todo o modelo (IDMEF-Message) e todas as outras classes derivam desta classe base. A classe IDMEF-Message possui duas classes especializadas que agregam uma série de classes, são elas: Alert e Heartbeat. O relacionamento entre as classes principais e as classes agregadas é sumariamente representado na Figura 2.3.. Figura 2.3: Visão geral do formato IDMEF (adaptado de (SÁ BRANDÃO, 2007)). Conforme apresenta a Figura 2.3, as classes Alert e Heartbeat são subordinadas a classe base IDMEF-Message. Uma mensagem de Heartbeat é utilizada pelos analisadores para indicar seu estado de funcionamento atual para os gerenciadores. Uma mensagem enviada em um período.
(26) 26. de tempo regular indica que o analisador está instalado e funcionando corretamente, por outro lado, a falta de uma ou mais mensagem(ns) de heartbeat indica que o analisador, ou sua conexão de rede, falhou. A mensagem Alert representa um evento de segurança disparado por um IDS. A mensagem deve conter a descrição do analisador, representado pela classe Analyzer, o instante de criação da mensagem pelo analisador, classe CreateTime e uma possível classificação para o evento, determinada na classe nomeada Classification. Algumas informações das mensagens de detecção de intrusão não se encaixam no formato original do IDMEF, assim sendo, tais informações são representadas na classe AdditionalData. O momento em que o evento que gerou o alerta foi detectado, representado na classe DetectTime, o momento de envio da mensagem de alerta pelo analisador, classe AnalyzerTime, a possível origem do evento (Source) e a identificação do possível alvo do evento (Target), também fazem parte da mensagem de alerta. O formato também representa, através da classe Assessment, informações que permitem uma avaliação do evento que gerou o alerta. Além disso, é possível determinar o impacto do evento, ou seja, se o mesmo teve um impacto alto, médio ou baixo sobre o sistema, além de representar as ações realizadas pelo analisador em resposta ao evento e determinar o nível de confiança na avaliação das informações fornecidas pelo analisador. A classe ToolAlert representa informações referentes a ataques realizados por programas ou ferramentas. Já a classe CorrelationAlert adiciona informações para agrupar alertas relacionados. A Classe OverflowAlert representa as informações de um ataque específico do tipo overflow. A classe Alert ainda possui outras classes agregadas, conforme apresenta a Figura 2.3. Deste modo, possibilita uma flexibilidade do formato IDMEF para a inserção de novas especificações conforme a necessidade do alerta. 2.3.2. O Formato IDREF. Outro formato de dados que objetiva dar continuidade nos trabalhos desenvolvidos pelo grupo IDWG, criando mecanismos de envio de respostas aos alertas identificados, é o formato IDREF (Intrusion Detection Response Exchange Format) (SILVA; WESTPHALL, 2006). O IDREF é compatível com o formato de alertas IDMEF, possibilitando assim, a integração dos dois formatos. De forma similar ao formato IDMEF, o IDREF também é representado em classes. A Figura.
(27) 27. 2.4 apresenta as principais classes do formato IDREF.. Figura 2.4: Visão geral do formato IDREF (adaptado de (SILVA, 2004)). A classe base do padrão IDREF é nomeada IDREF-Message, ela possui três classes derivadas (Response, React e Config), representando os tipos de respostas que o modelo IDREF suporta. Além disso, possui algumas classes agregadas, AdditionalData, Description e Manager. A classe AdditionalData possui a mesma função do formato IDMEF, ou seja, armazenar informações adicionais que não estão representadas no modelo. A classe Description armazena uma simples descrição da resposta que está sendo aplicada. E a classe Manager contém informações sobre o gerenciador que enviou a resposta. O primeiro tipo de resposta está representado pela classe Response, que representa o envio de informações cujo objetivo é avisar ou controlar um ataque. Esta classe possui três classes especializadas, são elas (TCP, ICMP e notify) e uma classe agregada (Address). As classes TCP e ICMP representam, respectivamente, o envio de pacotes TCP e mensagem ICMP em resposta a um alerta ocorrido. Por sua vez, a classe notify armazena uma string que contém informações referentes ao ataque, podendo conter o próprio alerta no formato IDMEF que gerou a resposta, além disso, é responsável por comunicar interfaces externas sobre a existência de um ataque..
(28) 28. A classe agregada Address representa as informações referentes ao endereço de destino que a resposta será aplicada, o tipo do endereço é representado no atributo type. Outro tipo de resposta suportado pelo formato IDREF é representado pela classe Config. A classe Config possibilita a alteração de configurações de um recurso do ambiente para conter um ataque. A classe possui duas classes agregadas: Command e Resource. A classe Command representa o(s) comando(s) a ser(em) executado(s) pelo recurso a ser configurado e a classe Resource determina o recurso a ser configurado. Além de permitir o envio de informações e a alteração de configurações, o formato IDREF também permite a reação do ambiente contra um ataque. Este tipo de resposta é representado pela classe React que possui duas classes agregadas, são elas: Block e Shutdown. A classe Block representa o bloqueio de algum recurso. Já a classe Shutdown determina o fechamento de algum recurso. Um recurso bloqueado não pode ser utilizado por um determinado período de tempo, já um recurso fechado só poderá ser utilizado após ser aberto novamente. A classe Resource está agregada as classes Block e Shutdown e representa um recurso ao qual a resposta será aplicada. Um recurso pode ser um nó ou um serviço da rede, uma lista de usuário, uma lista de arquivos ou um processo do sistema operacional. Estes recursos são representados, respectivamente, pelas classes: Node, Service, UserList, FileList e Process.. 2.4. Base de Conhecimento. Uma base de conhecimento é um repositório centralizado de informações relacionadas a um assunto em específico de um sistema de informação ou de uma organização (RUSSEL; NORVING, 2003). Sendo parte integrante de um sistema de gestão do conhecimento, uma base de conhecimento é utilizada para o agrupamento de informações relativas a uma determinada área e que auxilia pessoas e organizações no acesso facilitado a essas informações. Uma base de conhecimento fornece um meio das informações serem coletadas, organizadas, compartilhadas e utilizadas, podendo ser legível por máquina (Seção 2.4.1) ou destinada ao uso humano (Seção 2.4.2) (RUSSEL; NORVING, 2003). 2.4.1. Base de Conhecimento Legível por Máquina. Uma base de conhecimento legível por máquina é formada por um conjunto de regras definidas que descrevem o conhecimento de uma forma lógica e consistente possuindo um raciocínio dedutivo automatizado. Este tipo de base de conhecimento normalmente é utilizado na área de.
(29) 29. inteligência artificial, integradas a um sistema especialista concentrado em um domínio específico (RUSSEL; NORVING, 2003). Geralmente na construção de uma base de conhecimento legível por máquina é aplicada uma ontologia que é utilizada para definir a estrutura dos dados que serão armazenados na base de conhecimento. A ontologia deve conter as definições dos tipos de entidades que serão armazenadas, além de seus atributos e relacionamentos (GRUBER, 1995). 2.4.2. Base de Conhecimento Destinada ao uso Humano. Uma base de conhecimento destinada ao uso humano é projetada para auxiliar na recuperação e no uso do conhecimento nela armazenado. Normalmente é utilizada em sistemas de help desk, ou no compartilhamento de informações empresariais, armazenando informações sobre resolução de problemas, artigos, manuais, dados históricos e até mesmo respostas a perguntas frequentes (RUSSEL; NORVING, 2003). Este tipo de base de conhecimento é interativa, onde os usuários buscam as soluções para os problemas existentes, mas dependem da inserção de informações através da interação humana, que posteriormente é utilizada na resoluções de novos problemas.. 2.5. Considerações Parciais. Esse capítulo apresentou os conceitos importantes para a compreensão do trabalho, onde foram descritas as características e os elementos que compõem um Internet Early Warning System. Como observado, um Internet Early Warning System é formado por diversos elementos e componentes técnicos que juntos trabalham no monitoramento de atividades maliciosas e na construção da consciência situacional do ambiente monitorado. Como foi destacado, a base de conhecimento é um dos principais componentes técnicos de um Internet Early Warning System, pois guarda informações essenciais para criar a consciência situacional, que corresponde a percepção e compreensão dos eventos ocorridos no ambiente monitorado. Além disso, foram detalhados os sistemas de detecção de intrusão, apresentando as características e classificação dos IDSs quanto a fonte de informação e conforme o método de detecção. Do mesmo modo, foram descritos os padrões de formatação de dados de mensagens de detecção de intrusão e de respostas, destacando as principais classes que integram os formatos. Os padrões de formatação de dados são utilizados para a interoperabilidade entre os componentes e também para serem reportados a entidades externas. Por fim, foi apresentada uma classificação.
(30) 30. de uma base de conhecimento, podendo ser legíveis por máquina, onde possui uma ontologia que define a estruturação dos dados, ou destinada ao uso humano, armazenando dados úteis de áreas específicas..
(31) 31. 3. MODELO DE DADOS DE UMA BASE DE CONHECIMENTO PARA INTERNET EARLY WARNING SYSTEMS. Neste capítulo é apresentado o modelo de dados da base de conhecimento KBAM, que engloba os diferentes aspectos de uma base de conhecimento para Internet Early Warning Systems. A Seção 3.1 apresenta a proposição do modelo de dados da base de conhecimento KBAM e destaca sumariamente os aspectos que a compõem. Na Seção 3.2 é descrita a forma em que os aspectos estão representados na base de conhecimento. A Seção 3.3 apresenta detalhadamente a modelagem dos dados que compõem a base de conhecimento KBAM, destacando as entidades, atributos e os relacionamentos. Por fim, a Seção 3.4 apresenta os trabalhos relacionados encontrados na literatura.. 3.1. Proposta. O cenário atual da Internet tem demandado um esforço dos cientistas para a criação de novas ferramentas que permitam monitorar as atividades maliciosas que ocorrem nas redes de computadores, buscando um aumento no nível de segurança. Neste contexto, a construção de Internet Early Warning Systems tem sido investigada. De modo a manter as funcionalidades da Internet operando corretamente, através da geração de alertas precocemente utilizando sensores distribuídos, estes sistemas trabalham com diversos componentes técnicos que juntos realizam um efetivo monitoramento e permitem a construção da consciência situacional do ambiente. Um dos principais componentes técnicos de um Internet Early Warning System é a base de conhecimento, por manter informações que possibilitam ações mais efetivas, pois o objetivo é detectar ameaças precocemente, antes que elas possam causar qualquer dano. Logo, criar uma consciência situacional, que corresponde a uma imagem da situação de segurança, depende das informações contidas na base de conhecimento. Diante disso, este trabalho propõe a modelagem de dados de uma base de conhecimento para Internet Early Warning Systems. Os dados modelados na base de conhecimento chamada KBAM, representam os aspectos necessários para a construção de uma base de conhecimento para Internet Early Warning Systems e estão inicialmente apresentados em (PETRI et al., 2012) e (PETRI et al., 2013a). Com foco em eventos relacionados a detecção de intrusão, a base de conhecimento KBAM representa os seguintes aspectos: dados dos alertas gerados por sistemas de detecção de intrusão, informações sobre as medidas aplicadas em resposta a um alerta e os.
(32) 32. parâmetros necessários para a quantificação dos pacotes que trafegam na rede. A modelagem dos dados dos alertas gerados pelos IDSs e das medidas de respostas exploram os padrões de formatação de dados IDMEF e IDREF. Desta forma, possibilita a inserção da base de conhecimento KBAM em arquiteturas de redes que trabalham com IDSs que suportam estes formatos padrões. Além disso, a base de conhecimento KBAM também representa os parâmetros que armazenam a quantificação dos pacotes que trafegam na rede. A definição dos parâmetros utilizados está em acordo com o trabalho de (RICCI, 2008), que destaca os parâmetros necessários para a construção de uma consciência situacional. A inserção de dados na base de conhecimento KBAM é realizada a partir de sua implantação em uma arquitetura de redes de computadores. Esta arquitetura deve conter IDSs baseados em assinaturas e que suportam o formato IDMEF para a geração dos alertas, além de conter um sniffer que seja responsável pela captura e armazenamento dos contadores do tráfego da rede. Para a criação das medidas de respostas é necessário integrar a arquitetura o Componente IDREF, este componente é responsável por modelar a resposta em acordo com o padrão de formatação de dados IDREF. O processo de criação da medida de resposta realizado através do Componente IDREF exige a interação humana, geralmente da equipe de segurança. Nesta etapa é onde concentra-se o registro do conhecimento na base KBAM, pois o processo de geração de medidas de respostas é cíclico, onde a equipe de segurança seleciona um alerta e cria a medida de resposta ao alerta inserindo-a na base de conhecimento KBAM. Desta forma, a medida de resposta é refinada continuamente a cada ciclo em que a mesma é utilizada para ser aplicada em resposta a um novo alerta. Assim sendo, a KBAM classifica-se como uma base de conhecimento destinada ao uso humano, pois todos os dados armazenados nela estão disponíveis para dar suporte e direcionar as equipes de segurança.. 3.2. Aspectos Representados na Base de Conhecimento KBAM. Conforme Bastke et al. (2010), as informações que devem ser armazenadas em uma base de conhecimento de Internet Early Warning Systems correspondem aos seguintes aspectos: dados sobre o comportamento da rede, informações sobre assinaturas de ameaças, incidentes e medidas de respostas. Fundamentado nesses parâmetros e com foco em eventos relacionados a detecção de intrusão, a base de conhecimento KBAM representa os seguintes aspectos: dados dos alertas gerados por sistemas de detecção de intrusão, informações sobre as medidas de.
(33) 33. respostas e os parâmetros necessários para a quantificação dos pacotes que trafegam na rede. As subseções que seguem apresentam como os aspectos de uma base de conhecimento para Internet Early Warning Systems estão representados na base de conhecimento KBAM. 3.2.1. Alertas de Detecção de Intrusão. Com foco em eventos específicos da área de detecção de intrusão, os dados dos alertas gerados pelos IDSs correspondem ao aspecto de incidentes de segurança conforme destacado por Bastke et al. (2010). Deste modo, os dados dos alertas dos sistemas de detecção de intrusão estão representados na base de conhecimento KBAM em conformidade com as classes e atributos do formato IDMEF. Por ser um formato padronizado e de possível expansão, o IDMEF permite uma flexibilidade na extensão de informações dos alertas de ataques. Desta forma, as classes e atributos originais do formato IDMEF estão representados no modelo de dados da base de conhecimento KBAM para armazenar as informações dos alertas gerados pelos IDSs. 3.2.2. Medidas de Respostas. A representação das respostas aplicadas aos eventos detectados está em acordo com as classes e atributos contidos no formato de dados para troca de respostas de detecção de intrusão IDREF. O IDREF é um formato padrão similar ao IDMEF, os modelos possuem um forte relacionamento. Além disso, da mesma forma que o IDMEF, o formato IDREF também permite uma flexibilização na extensão de informações das medidas de respostas. O formato representa as informações de três tipos de respostas aos eventos, as que correspondem ao envio de informações cujo objetivo é avisar ou controlar um ataque; as de alteração de configurações de um recurso do ambiente para conter um ataque; e as que possibilitam a reação do ambiente contra um ataque. O processo de armazenamento das medidas de respostas na base de conhecimento KBAM não é automatizado, deste modo, é preciso a interação humana da equipe de segurança para inserir as informações que serão aplicadas em resposta a um evento específico. Desta forma, a cada criação de uma nova resposta, as medidas de respostas históricas e contidas na base de conhecimento KBAM podem ser refinadas, agregando conhecimento continuamente as medidas de respostas armazenadas na base de conhecimento KBAM..
(34) 34. 3.2.3. Tráfego da Rede. O tráfego da rede é determinado através da quantificação dos pacotes que trafegam na rede. A quantificação é realizada através de um coletor, também conhecido como sniffer, que é responsável pela escuta e captura do que está acontecendo na rede e também pelo armazenamento desses dados. A base de conhecimento KBAM representa os parâmetros quantificados a partir do tráfego da rede fundamentado nos descritores usados pela sonda do sistema IAS (Internet Analysis System) apresentado em (HESSE; POHLMANN, 2008) e detalhados em (RICCI, 2008). A sonda de um IAS trabalha de forma similar a um sniffer, realizando a captura de dados do tráfego de uma rede. Os parâmetros considerados neste trabalho e que estão representados na base de conhecimento KBAM estão apresentados na Tabela 3.1. Tabela 3.1: Parâmetros de rede representados na Base de Conhecimento KBAM. Parâmetros IP UDP TCP TCP Flag SYN TCP Flag SYN-ACK TCP Flag ACK TCP Flag PSH-URG-ACK TCP Flag RST-ACK TCP Flag SYN-FIN SCAN TCP Flag URG-PSH-FIN HTTP TCP (Porta Origem 80) TCP (Porta Destino 80) HTTPS TCP (Porta Origem 443) TCP (Porta Destino 443) HTTP Post HTTP Get HTTP Head HTTP Response Code 400 HTTP Response Code 500 SMTP TCP (Porta Origem 25) TCP (Porta Destino 25) Envio SMTP (TCP Porta Destino 587) Envio SMTP (TCP Porta Destino 587) SMTP Response Code 400 continua na próxima página.
(35) 35. Tabela 3.1: Parâmetros de rede representados na Base de Conhecimento KBAM (continuação). Parâmetros SMTP Response Code 500 SMTPS TCP (Porta Origem 465) TCP (Porta Destino 465) IMAP / POP TCP (Porta Origem 110) TCP (Porta Destino 110) TCP (Porta Origem 143 TCP (Porta Destino 143) TCP (Porta Origem 993) TCP (Porta Destino 993) TCP (Porta Origem 995) TCP (Porta Destino 995) SIP TCP (Porta Origem 5060 TCP (Porta Destino 5060) UDP (Porta Origem 5060) UDP (Porta Destino 5060) ICMP ICMP (Type 0) ICMP (Type 3) ICMP (Type 4) ICMP (Type 5) ICMP (Type 6) ICMP (Type 8) ICMP (Type 11) A seleção dos parâmetros apresentados na Tabela 3.1 tem como base o trabalho de Ricci (2008) onde é destacado os parâmetros considerados essenciais para a criação de uma visão global, que permita a construção de uma consciência situacional para detectar possíveis eventos maliciosos. Além de considerar o tráfego dos já conhecidos protocolos TCP, IP, UDP, SMTP, ICMP, HTTP e suas ramificações, é também coletado o tráfego do protocolo SIP, que é amplamente utilizado no controle de sessões de comunicação, tais como voz e vídeo. 3.2.4. Assinaturas de Ameaças. As assinaturas de eventos maliciosos já conhecidos e aceitos pela comunidade científica e pela indústria estão representadas em arquivos de regras padronizadas, conforme utiliza o IDS Snort (SNORT, 2012a). A utilização de regras definidas possibilita um aumento na precisão da confirmação de atividades maliciosas já consolidadas..
(36) 36. No escopo deste trabalho, assume-se que não há uma representação formal das assinaturas das ameaças na base de conhecimento KBAM. Por se tratar de regras já consolidadas e amplamente utilizadas pelos IDSs na indústria, não há necessidade de uma nova representação dessas assinaturas. No entanto, no ambiente em que se está monitorando deve estar instalado um IDS baseado em assinatura para a geração de alertas quando um evento é compatível com alguma assinatura de ameaça. Desta forma, a base de conhecimento KBAM é alimentada com os dados dos alertas gerados pelos IDSs quando algum evento da rede é compatível com as assinaturas dos ataques existentes.. 3.3. Modelagem de Dados da Base de Conhecimento KBAM. Esta seção apresenta o modelo de dados da base de conhecimento KBAM, destacando as entidades, atributos, e relacionamentos, em acordo com os aspectos descritos na Seção 3.2. O modelo de dados da base KBAM representa os aspectos necessários para uma base de conhecimento de Internet Early Warning Systems, tais aspectos correspondem aos dados de alertas de detecção de intrusão gerados quando da compatibilidade das assinaturas de ameaças dos IDSs, medidas de respostas e o fluxo do tráfego da rede através da quantificação dos pacotes. A Figura 3.1 apresenta graficamente os aspectos que estão representados na base de conhecimento KBAM.. Figura 3.1: Aspectos representados na base de conhecimento KBAM. O modelo de dados da base de conhecimento KBAM é composto por 50 entidades que.
(37) 37. representam as classes e atributos dos formatos IDMEF, IDREF e os parâmetros para quantificar o tráfego da rede. As subseções que seguem apresentam detalhadamente as principais entidades e atributos do modelo de dados. 3.3.1. Entidades que Representam os Alertas de Detecção de Intrusão. Conforme destacado na Seção 3.2, os alertas de detecção de intrusão são representados através do modelo IDMEF. A Figura 3.2 apresenta as principais entidades que representam os dados dos alertas gerados pelos sistemas de detecção de intrusão.. Figura 3.2: Principais entidades que representam os alertas de detecção. Conforme mostra a Figura 3.2, a entidade que registra as informações referentes aos alertas disparados pelos detectores é a entidade Alert. O atributo ident armazena um identificador para o alerta, o instante da criação do alerta é armazenado no atributo create-time, o atributo analyzer-time armazena o momento em que o alerta foi disparado, já o instante em que o evento foi detectado está no atributo detect-time. A entidade Alert relaciona-se com as entidades Assessment, Analyzer, Target, Source, ToolAlert, Classification, OverflowAlert e AdditionalData, além da entidade IDMEF-Message que armazena a versão do formato IDMEF que o alerta foi gerado. A entidade AdditionalData com o atributo meaning armazena as informações que não se.
Documentos relacionados