aperfeiçoamentos do modelo para respostas de detecção de intrusão compatível com o modelo idwg...
TRANSCRIPT
Aperfeiçoamentos do Modelo para Respostas de Detecção de Intrusão Compatível com o Modelo IDWG
Paulo Fernando da Silva
Carlos Becker Westphall
UFSC – CPGCC – LRG
CPGCC - LRG - UFSC
Sumário
• Introdução;
• Modelo IDREF;
• Alterações na Arquitetura Proposta;
• Desenvolvimento e Testes;
• Conclusão;
CPGCC - LRG - UFSC
Introdução
• Padronização de IDSs:– Modelo IDMEF do grupo IDWG;
• IDWG não define respostas;
• Propor um modelo para interoperabilidade de respostas;
• Modelo deve ser compatível com arquitetura IDWG;
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Visão Geral
-ident : String-version : String
IDREF-Message
Response
Config
React
11..*
-analyzerid : Stringalertident
AdditionalData
1
0..*
Manager
11
CreateTime
1
1
description
10..1
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Response
Response
-source : Integer-targer : Integer-flags : Byte
TCP
-type : Byte-code : Byte
ICMP
-type : IntegerAddress
11..*
notify
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – React
React-ident : String-unblock : String-time : Integer
Block
-ident : StringShutdown10..*
Resource1
1
1
1
1 0..*
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Config
ConfigResource command
1 1..*
11
CPGCC - LRG - UFSC
Modelo IDREFModelo de Dados – Resource
Resource UserListNode
Process Service FileList
CPGCC - LRG - UFSC
Alterações na arquitetura IDWG
Fonte deDados Sensor
Sensor Analisador
Operador
Gerenciador
Administrador Política de Segurança
Evento
Atividade
Atividade
EventoNotificação
Alerta
Recurso Contra-MedidasAção Resposta
Resposta
CPGCC - LRG - UFSC
Desenvolvimento e Teste do Modelo
IDSAna
ArquivoIDMEF
IDSMan
IDSRes
BEEP/IDXPIDMEF
BEEP/IDXPIDREF
IDS Snot
Ambiente de domínio do IDSLog
IDREF
CPGCC - LRG - UFSC
Teste do Modelo
• Configurada regra Snort:– Alerta ao protocolo ICMP;
• Executado ping na rede;
• Alertas foram apresentados no IDSMan;
• Respostas foram geradas no IDSMan– Bloqueio de 30 minutos do recurso node;
CPGCC - LRG - UFSC
Teste do Modelo Transmissão IDREF
CPGCC - LRG - UFSC
Conclusão
• Modelo de ambiente de detecção:– utiliza informações do modelo IDMEF;– aumenta cooperação entre IDSs;– contribui com a segurança dos ambientes;
• Trabalhos Futuros:– Analisar outros tipos de repostas;– Avaliação do modelo junto a outros IDSs;