Baixe Inteligente Sistemas de Controle de Tráfego: Reduzindo Falsos Positivos e Negativos e outras Trabalhos em PDF para Informática, somente na Docsity!
Sistema Inteligente de Detecção de Intrusão em Redes de
Computadores
Cleyton Stang^1 , Paulo João Martins^1 , Priscyla Waleska Targino de Azevedo Simões^1 , Kristian Madeira^1 , Merisandra Cortes Mattos^1 (^1) Curso de Ciência da Computação – Unidade Acadêmica de Ciência, Engenharias e Tecnologias – Universidade do Extremo Sul Catarinense (UNESC) – Criciúma – SC
cleytonsl@hotmail.com, {pjm,pri,kma,mem}@unesc.net
Abstract. The design of network security often cover a good policy security which included firewalls, antivirus, blocks of other doors, but only they can not be sufficient, because if they fail, the protected system may be exposed to the agent attacker. To resolve this question, were created intrusion detection systems (IDS), they have the same function to find invaders that have past the perimeter security. These systems are based in signatures that identify an attack, if very restricted can cause false negative or false positive With the objective to minimize these errors, was developed in search based on an IDS system of intelligent agents. In modeling of the agent used the theory of certainty factors (FC) to reduce the uncertainty in this situation generated.
Keywords: Artificial Intelligence, Network Security, Intelligent Agents, Certainty Factors, Intrusion Detection Intelligent System.
Resumo. O projeto de segurança de redes costuma abranger uma boa política de segurança onde entram firewalls , antivírus, bloqueios de portas entre outros, porém somente estes podem não ser suficientes, pois caso venham a falhar, o sistema protegido poderá ficar exposto ao agente invasor. Para solucionar esta questão, foram criados os sistemas de detecção de intrusão (IDS), que possuem a função de encontrar invasores mesmo que tenham passados pelo perímetro de segurança. Estes sistemas são baseados em assinaturas que identificam um ataque, caso sejam muito restritas podendo ocasionar falsos negativos ou falsos positivos Com o objetivo de minimizar estes erros, foi desenvolvido nesta pesquisa um sistema IDS baseado em de agentes inteligentes. Na modelagem do agente utilizou-se a teoria dos fatores de certeza (FC) para redução da incerteza presente nas situações geradas.
Palavras-chave : Inteligência Artificial, Segurança de Redes, Agentes Inteligentes, Fatores de Certeza, Sistema de Detecção de Intrusão Inteligente.
1. Introdução
Segurança é um fator importante em uma rede, porém, mesmo que esta possua uma boa política, com ferramentas de firewall e antivírus, não está imune a um ataque bem sucedido de pacotes invasores, devido aos inúmeros tipos que podem ocorrer e das mais diversificadas formas. Se a rede de computadores interna não possuir um software que monitore e alerte sobre o tráfego de pacotes indesejados, a mesma pode ficar vulnerável
aos mesmos, que podem por conseqüência chegar a um host específico, a um conjunto deles ou até mesmo ao servidor, acessando desta forma suas informações e comprometendo a integridade do ambiente.
Atualmente existem alguns softwares para o controle de tráfego, chamados de Intrusion Detection System (IDS), contudo estes softwares não satisfazem integralmente este determinado tipo de controle, pois como dependem de regras e caso estas não sejam criadas de forma correta o sistema pode gerar alertas falsos.
Segundo Northcutt (2002) algumas ferramentas utilizam a filtragem de pacotes com regras genéricas e fazem vários alertas de pacotes inofensivos que são identificados como falsos positivos, outras possuem esta regra de forma muito específica diminuindo o número de falsos positivos, mas aumentando o número de falsos negativos, quando um pacote infectado não é localizado.
Neste sentido, este trabalho propõe uma ferramenta que utilize técnica de agentes inteligentes e Fatores de Certeza integradas a um sistema de detecção de intrusão. Esta ferramenta inteligente tem por objetivo armazenar em sua base de conhecimento os eventos gerados pelos IDS, que poderão ser utilizados para a análise de eventos futuros melhorando a performance na detecção de invasões e conseqüentemente eliminando alguns problemas de tráfego de pacotes, como os supracitados.
2. Sistemas de Deteção de Intrusão para Redes de Computadores
Os sistemas de detecção de intrusão são sistemas que nos auxiliam na monitoração do ambiente que estamos inseridos, estes procuram os ataques ou pacotes invasores que estão tentando invadir ou que já conseguiram passar pela segurança do Firewall ou qualquer outro software de segurança inserido. Os IDS não têm a função de somente monitorar as ameaças externas, eles podem também se utilizadas para o monitoramento de ameaças internas como, por exemplo, de host tentando violar algum privilégio atribuído a ele. Tais sistemas buscam informações de diversas fontes e de diversos pontos da rede, analisam estas informações no intuito de encontrar alguma anomalia ou sinal de tentativa de intrusão [Northcutt 2002].
São sistemas projetados para a monitoração de ambientes computacionais, examinam o tráfego com o intuito de identificar ameaças como scans , sondas e ataques. Seu objetivo principal é auxiliar-nos identificando os ataques que podem estar sendo direcionados ao seu ambiente ou às ameaças que o seu próprio host possa estar passando para o ambiente que esteja inserido. Para que, por meio destas informações, ou avisos, possamos iniciar as ações necessárias para eliminar as ameaças antes que elas atinjam seus objetivos [Northcutt 2002].
Um sistema de detecção de intrusão é uma união de capacidades para descobrir e responder às ameaças, e suas principais funções são [Proctor, 2001, tradução nossa]:
a) analisar logs anteriores para verificação de ataques conhecidos; b) analisar o perímetro da rede para verificar se existe alguma ameaça; c) administrar a configuração da rede; d) verificar a integridade dos arquivos. Um sistema pode estar provido de diversos IDS nos quais são posicionados em
tempo, devido a sua capacidade de aprendizagem, diferentemente dos programas computacionais tradicionais que somente executam uma seqüência pré-determinada de comandos [Russell e Norvig 2004].
Uma agente é uma entidade virtual, capaz de agir sobre o ambiente que está inserido, podendo comunicar-se com outros agentes inseridos no mesmo ambiente. É capaz de perceber de modo limitado seu ambiente e age, através de recursos próprios, sobre o mesmo para que possa atingir seus objetivos levando em conta os resultados de suas funções de percepção e comunicação [Rezende 2005].
Com base nas definições, desenvolveu-se a modelagem do agente. Nesta escolheu- se os fatores de certeza para agregar inteligência em sua concepção, que tem por objetivo auxiliar ao processo de tomada de decisão em sistemas com incertezas associadas. Tal modelo foi escolhido em virtude de ser bastante utilizado em sistemas que possuem graus de incertezas consideráveis que é o caso do sistema desenvolvido que possui um pequeno conjunto de regras necessitando desta forma de tal técnica para o tratamento das incertezas encontradas além da eficiência do mesmo relatada na literatura.
Com o objetivo de melhor fixar o entendimento da modelagem, a Figura 1 apresenta um esquema da mesma. Podemos observar por meio desta que o agente possui um módulo de percepção que é ativado quando uma regra do IDS é ativada, após isto o agente realiza as buscas das informações do pacote suspeito encontrado. Estas informações são então enviadas para a base de regras do agente onde serão tratadas e geraram cinco hipóteses onde serão analisadas pelo FC. O resultado final desta análise será um valor entre o intervalo de -1 a 1, onde dependendo deste o sistema identificará o tipo de ação a ser tomada. Estas ações podem ocorrer de três formas distintas, a suspeita de invasão é confirmada automaticamente, a suspeita é anulada automaticamente ou o sistema gera um alerta quando o grau de certeza para resposta automática não é atingido.
Figura 1. Esquema de representação do agente
5. Fatores de certeza
O desenvolvimento deste método teve início em 1970, onde foi projetado para a utilização em um sistema para diagnóstico medico baseado em regras chamado de MYCIN. Por meio deste novo método atribuía-se a cada uma das regras do sistema um Fator de Certeza (FC), no qual ao final da análise quantificavam-se os graus de certeza que cada uma das regras, concluindo desta forma o grau de certeza da resposta [Costa e Simões 2004].
FC é uma maneira simples de combinar crença e descrença em um único número
que fica geralmente entre o intervalo -1 e 1. Um FC positivo significa que a evidência suporta a hipótese caso a média de crença seja maior que a média da descrença, já um FC negativo significa que a evidência favorece a negação da hipótese caso a média de crença seja menor que a de descrença [Barreto 2001].
Uma forma de melhor compreender o funcionamento do calculo do fator de certeza é através da realização de exemplos. A seguir iremos verificar passa a passo este cálculo, desde a geração dos fatores de confiança das regras até os resultados finais.
O sistema define previamente seu objetivo (invasão) que em um primeiro momento é desacreditado, recebendo então valor zero, ou seja, como não foi definida nenhuma evidência que valida-se este objetivo, sua crença (P(H)) é zero conforme Quadro 1.
Objetivo P(H)
invasao 0,
Quadro 1. Probabilidades a priori dos ataques
Supondo uma situação hipotética: O sistema de detecção de intrusão inteligente capturou um pacote e ativou o módulo do agente que disparou cinco regras como podemos verificar na Figura 2.
Figura 2. Regras ativadas
O conjunto de regras apresentada o domínio do sistema especialista em relação ao cada evento gerado, onde cada conhecimento possui um grau de confiabilidade representado pelo FC. A partir de cada evidencia que é confirmada é ativado o conseqüente (ENTÃO) que sempre resultará em um objetivo do sistema, ou seja, em uma resposta. Contudo, a partir das entradas e saídas geradas pelo sistema, o calculo do fator de certeza é realizado chegando desta forma em um resultado.
Tendo em mente os resultados da consulta realizada pelo sistema, verifica-se que IP de origem consta na lista negra, através desta informação o agente ativou a regra. Assim a probabilidade de invasão representada por p(H) é comparada com a probabilidade da hipótese de ter invasão dada à evidência possui na lista negra representada por p(H|E). Nota-se que houve um aumento na crença de zero, valor inicial, para 0,75, FC da regra que atingiu o objetivo.
Com o aumento da crença na hipótese invasão representada pela regra 1 da Figura 2 calcula-se de a nova MC. Tendo que a probabilidade de invasão p(H) é definida inicialmente por 0 e a probabilidade de invasão dado que possui na lista negra p(H|E) é de 0,75 conforme FC da regra 1.
desta forma um novo aumento na crença da invasão, pois o p(H) da mesma foi anteriormente definido -0,6875 pela regra 6. Desta forma calcula-se a nova MC da hipótese de invasão.
0 , 5259 1 , 6875
0 , 8875 1 ( 0 , 6875 )
0 , 20 ( 0 , 6875 ) 1 ( )
( |Pr Re ) ( ) 1 ( )
( | ) ( ) = = −− = −^ − − =^ − − = − pInvasao
pInvasao ioridade gra pInvasao PH MC PH E PH
Como houve duas evidências que aumentaram a crença de uma mesma hipótese o grau de crença delas é combinado gerando uma nova MC.
[ ] [ ] ( [ ]) ( 1 [ , ]) 0 , 1466 0 , 5259 *( 1 0 , 1466 ) 0 , 5954
, 1 , 2 1 , 1 [ , ] [ ,Pr Re ]* − = + − =
= + ∗ − = + pInvasaoMediaAtaquesConfirma dos
MC MCHE MCHE PHE MCInvasaoMediaAtaquesConfirmados MCInvasao ioridade gra
Após o calculo da nova MC, calcula-se o novo FC a partir da hipótese de ser invasão.
0 , 3408 0 , 4046
0 , 1379 1 0 , 5954
0 , 5954 0 , 7333 1 min[ , ] =− − = −
−
−
−
NaoInvasao NaoInvasao
NaoInvasao NaoInvasao MC MD
MC MD FC
Por fim o sistema realiza o calculo da quinta evidencia gerada que é a média do tempo entre os pacotes nos últimos cinco segundos. Esta média conforme informada no exemplo é de 0,01 segundos ativando desta forma a regra 13 do sistema que tem o FC de 0,60 para a hipótese de invasão. Como a hipótese de invasão p(H) passou a ser de -0, (gerada pela regra 12), e a nova hipótese de invasão dado a média de segundos entre pacotes p(H|E) é de 0,60, confirmou-se um novo aumento da crença de invasão calculando- se desta forma a nova MC.
MC = P (^ H 1 |− EP )(^ − HP )( H ) = p ( Invasao | MediaSegun 1 − p ( InvasaodosPa cot) es )^ − p ( Invasao ) =^01 ,^6 −−(−(^ − 0 ,^03408 ,^3408 ))= 0 , 7016
Como houve novamente duas evidências que aumentaram a crença de uma mesma hipótese o grau de crença delas é combinado gerando uma nova MC.
[ ] [ ] ( [ ]) ( 1 [ ,Pr Re ]) 0 , 5954 0 , 7016 *( 1 0 , 5954 ) 0 , 8792
, 1 , 2 1 , 1 [ ,Pr Re ] [ , cot ]* − = + − =
= + ∗ − = + pInvasao ioridade gra
MC MCHE MCHE PHE MCInvasao ioridade gra MCInvasaoMediaSegundosPa es
Com a nova MC de invasão calculada, calcula-se também o novo FC.
0 , 5470 0 , 2667
0 , 1459 1 0 , 7333
0 , 8792 0 , 7333 1 min[ , ]
= = −
= − −
−
NaoInvasao NaoInvasao
NaoInvasao NaoInvasao MC MD
MC MD FC
O resultado final do sistema é o último FC gerado representando o fator de certeza da invasão. O evento gerado nesta análise é a geração de um alerta ao administrador, pois o valor do FC da invasão é menor que o índice o grau de confiança definido para que o sistema possa gerar respostas automáticas que é de 0,75, caso fosse maior a resposta á invasão seria gerada de forma automática.
6. Definição das regras
As regras foram elaboradas a partir de cinco cenários baseados em algumas das possíveis maneiradas de detectar ataques sem utilização das assinaturas do IDS, onde cada um destes possui um conjunto de regras e uma variável final. Cada um destes cenários pode ativar
somente uma regra que possui o fator de confiança que será atribuído à variável final e este valor por sua vez, representa a confiança de que a regra que ativou encontrou uma invasão. Os valores utilizados nas regras são gerados por meio de cruzamento de informações existentes no banco de dados, como o registro de tráfego, registros de análises anteriores, os dados da lista negra e os dados da regra do IDS.
O primeiro cenário é o da lista negra, é o mais simples, pois somente verifica se existe ou não um determinado IP na lista, a variável final deste cenário é a lista_negra_fc que receberá o fator de confiança da regra a ser ativada
Outro cenário utilizado é o padrão de acesso, este por sua vez realiza uma consulta nos registros do banco de dados em busca do padrão de acesso do pacote. Primeiramente é realizada a média ponderada dos acessos realizados pelo suspeito, retornando o horário médio de acesso, posteriormente é verificada qual a média de acesso do pacote analisado no horário do tráfego e por fim é feita uma média entre estas duas médias para chegar no percentual de igualdade, onde este é analisado nas regras do cenário gerando então um FC para a variável final que é chamada de padrao_trafego_fc.
Registros anteriores referentes às análises e conclusões realizadas nos pacotes são usados no terceiro cenário, as regras deste verificam o percentual de invasões confirmadas, ou seja, é verificada a quantidade de alertas gerados por um determinado pacote e posteriormente a quantidade de invasões confirmadas dentro destes alertas, gerando desta maneira um percentual de invasão. Este percentual então é tratado pelas regras que irão “alimentar” a variável analises_anteriores_fc que é a variável resposta deste cenário.
Já o quarto cenário representa uma verificação bastante simples, pois nele é tratado o grau de prioridade da regra ativada pelo IDS. Neste é pego o numero da prioridade da regra, e verificado o intervalo que ele pertence, caindo então em uma das regras do agente inteligente. As regras deste cenário que tem como resultado final a variável chamada de prioridade_regra_fc.
Por fim o ultimo cenário utilizado é o que busca o tempo médio de envido dos pacotes de um determinado IP nos últimos cinco segundos. Este cenário foi desenvolvido com o intuito de encontrar possíveis tentativas de estouros de buffer. A média gerada por este cenário é analisada pelas regras deste e gerado o FC da variável final media_tempo_trafego_fc.
7. Resultados
Após a realização de testes, verificamos que os resultados do sistema de detecção de intrusão inteligente denominado foram satisfatórios, onde conseguiu diminuir consideravelmente o número de alertas gerados para o administrador, além de conseguir identificar automaticamente os falsos positivos. No Quadro 2 podemos verificar mais detalhadamente a realização dos testes e os resultados deste sistema em cada momento do testes diferenciando também o número de respostas automáticas e manuais.
Primeiramente podemos visualizar que todas as invasões realizadas foram identificadas onde obtiveram na primeira invasão um grau de detecção automática bastante razoável conseguindo identificar pouco mais do que a metade, porém após a contínua repetição do ataque este grau de acerto foi melhorando conseguindo a partir da quarta invasão, identificar automaticamente todos os ataques. As análises resultaram em um total de 250 identificações onde 214 foram feitas de forma automática pelo sistema e 36 foram realizadas pelo administrador da rede.
geradas pelo agente inteligente no momento de sua análise abrangendo-se desta forma sua utilização na construção do sistema inteligente.
Aliado as técnicas do FC fez-se necessário a utilização de um exemplo fictício para a modelagem matemática que buscou auxiliar na compreensão das etapas envolvidas na utilização de tal técnica.
Por meio das análises podemos verificar que o sistema inteligente demonstrou um bom desempenho, onde a principio gerou uma quantidade de alertas razoáveis, porém com o passar do tempo, começou a identificar as respostas dadas pelo administrador e agir de forma automática podendo identificar tanto ataques reais quanto ataques falsos.
Com estes resultados também podemos dizer que os objetivos do sistema foram alcançados, onde houve uma diminuição no número de análises realizadas pelo administrador e também minimizar o numero de falsos positivos que o sistema tradicional gerar.
9. Referências
BARRETO, Jorge Muniz. Inteligência artificial no limiar do século XXXI. 3.ed Florianópolis: Duplic, 2001. 392 p.
CASWELL, Brian et al. Snort 2: Sistema de detecção de intrusão. Rio de Janeiro: Alta Books, 2003.
COSTA, Ernesto; SIMÕES, Anabela. Inteligência artificial: fundamentos e aplicações. Lisboa: FCA, 2004. 582 p.
NORTHCUTT, Stephen et al. Desvendando: segurança em redes. Rio de Janeiro: Campus,
- 650 p.
PROCTOR, Paul E. Practical intrusion detection handbook. Rio de Janeiro: Prentice Hall,
- 359 p.
REZENDE, Solange Oliveira. Sistemas inteligentes: fundamentos e aplicações. Barueri, SP: Manole, 2005. 525 p.
RUSSELL, Stuart J.; NORVIG, Peter. Inteligência artificial. Rio de Janeiro: Elsevier, 2004
