Técnicas de detecção de Sniffers

A área de Detecção de Intrusão, apesar de muito pesquisada, não responde a alguns problemas reais como níveis de ataques, dim ensão e complexidade de redes, tolerância a falhas, autenticação e privacidade, interoperabilidade e padronização. Uma pesquisa no Instituto de Informática da UFRGS, mais especificamente no Grupo de Segurança (GSEG), visa desenvolver um Sistema de Detecção de Intrusão Distribuído e com características de tolerância a falhas. Este projeto, denominado Asgaard, é a idealização de um sistema cujo objetivo não se restringe apenas a ser mais uma ferramenta de Detecção de Intrusão, mas uma plataforma que possibilite agregar novos módulos e técnicas, sendo um avanço em relação a outros Sistemas de Detecção atualmente em desenvolvimento. Um tópico ainda não abordado neste projeto seria a detecção de sniffers na rede, vindo a ser uma forma de prevenir que um ataque prossiga em outras estações ou redes interconectadas, desde que um intruso normalmente instala um sniffer após um ataque bem sucedido. Este trabalho discute as técnicas de detecção de sniffers, seus cenários, bem como avalia o uso destas técnicas em uma rede local. As técnicas conhecidas são testadas em um ambiente com diferentes sistemas operacionais, como linux e windows, mapeando os resultados sobre a eficiência das mesmas em condições diversas.

Uma Proposta de uso da Arquitetura Trace como um sistema de detecção de intrusão

Este trabalho propõe a utilização da arquitetura Trace como um sistema de detecção de intrusão. A arquitetura Trace oferece suporte ao gerenciamento de protocolos de alto nível, serviços e aplicações através de uma abordagem baseada na observação passiva de interações de protocolos (traços) no tráfego de rede. Para descrever os cenários a serem monitorados, é utilizada uma linguagem baseada em máquinas de estado. Esta linguagem permite caracterizar aspectos observáveis do tráfego capturado com vistas a sua associação com formas de ataque. O trabalho mostra, através de exemplos, que esta linguagem é adequada para a modelagem de assinaturas de ataques e propõe extensões para permitir a especificação de um número maior de cenários ligados ao gerenciamento de segurançaa. Em seguida, é descrita a implementação do agente de monitoração, componente-chave da arquitetura Trace, e sua utilização para detectar intrusões. Esse agente (a) captura o tráfego da rede, (b) observa a ocorrência dos traços programados e (c) armazena estatísticas sobre a sua ocorrência em uma base de informações de gerenciamento (MIB { Management Information Base). O uso de SNMP permite a recuperação destas informações relativas µa ocorrências dos ataques. A solução apresentada mostrou ser apropriada para resolver duas classes de problemas dos sistemas de detecção de intrusão: o excesso de falsos positivos e a dificuldade em se modelar certos ataques.

Sistema de detecção de intrusão baseado em métodos estatísticos para análise de comportamento

A segurança no ambiente de redes de computadores é um elemento essencial para a proteção dos recursos da rede, dos sistemas e das informações. Os mecanismos de segurança normalmente empregados são criptografia de dados, firewalls, mecanismos de controle de acesso e sistemas de detecção de intrusão. Os sistemas de detecção de intrusão têm sido alvo de várias pesquisas, pois é um mecanismo muito importante para monitoração e detecção de eventos suspeitos em um ambiente de redes de computadores. As pesquisas nessa área visam aprimorar os mecanismos de detecção de forma a aumentar a sua eficiência. Este trabalho está focado na área de detecção de anomalias baseada na utilização de métodos estatísticos para identificar desvios de comportamento e controlar o acesso aos recursos da rede. O principal objetivo é criar um mecanismo de controle de usuários da rede, de forma a reconhecer a legitimidade do usuário através de suas ações. O sistema proposto utilizou média e desvio padrão para detecção de desvios no comportamento dos usuários. Os resultados obtidos através da monitoração do comportamento dos usuários e aplicação das medidas estatísticas, permitiram verificar a sua validade para o reconhecimento dos desvios de comportamento dos usuários. Portanto, confirmou-se a hipótese de que estas medidas podem ser utilizadas para determinar a legitimidade de um usuário, bem como detectar anomalias de comportamento. As análises dos resultados de média e desvio padrão permitiram concluir que, além de observar os seus valores estanques, é necessário observar o seu comportamento, ou seja, verificar se os valores de média e desvio crescem ou decrescem. Além da média e do desvio padrão, identificou-se também a necessidade de utilização de outra medida para refletir o quanto não se sabe sobre o comportamento de um usuário. Esta medida é necessária, pois a média e o desvio padrão são calculados com base apenas nas informações conhecidas, ou seja, informações registradas no perfil do usuário. Quando o usuário faz acessos a hosts e serviços desconhecidos, ou seja, não registrados, eles não são representados através destas medidas. Assim sendo, este trabalho propõe a utilização de uma medida denominada de grau de desconhecimento, utilizada para medir quantos acessos diferentes do seu perfil o usuário está realizando. O sistema de detecção de anomalias necessita combinar as medidas acima descritas e decidir se deve tomar uma ação no sistema. Pra este fim, propõe-se a utilização de sistemas de regras de produção e lógica fuzzy, que permitem a análise das medidas resultantes e execução do processo de decisão que irá desencadear uma ação no sistema. O trabalho também discute a integração do sistema de detecção de intrusão proposto à aplicação de gerenciamento SNMP e ao gerenciamento baseado em políticas.

Eletroforese capilar de zona

A aplicação de uma diferença de potencial entre os extremos de um capilar de material dielétrico, preenchido com solução aquosa, provoca um fluxo eletroosmótico através deste. As moléculas, de um pequeno volume de uma amostra injetada neste fluxo, se separam umas das outras devido a diferença entre suas mobilidades eletroforéticas. Este método de separação é conhecido como Eletroforese Capilar. Ele tem se mostrado muito eficiente na separação de moléculas orgânicas complexas e é um método complementar à Cromatografia Líquida. Os sistemas de detecção mais comumente utilizados são do tipo eletroquímico ou ópticos, estes últimos podem ser de absorção ou fluorimétricos. Alta sensibilidade tem sido obtida com sistemas de detecção com fluorescência induzida a lazer, como o de Argônio, Hélio-Cádmio e de semicondutor. Neste trabalho testamos o desempenho de um laser ultravioleta pulsado, usando o mini-laser de N2 (337 nm), para induzir a fluorescência em moléculas marcadas com marcadores moleculares fluorogênicos apropriados. Para aminoácidos obtivemos limites de detecção da ordem de alguns attomóis(10-18 mol).Em condições otimizadas a quantidade mínima detectável de melatonina e serotonina, usando o marcador molecular fluorogênico isotiocianato de fluoresceÍna, foi de 150 attomóis, que corresponde a um limite de detecção em concentração de 50 nM. Os peptídeos bradicinina, lisil-bradicinina e metionil-lisil-bradicinina foram separados entre si e detectados no limite de detecção em concentração de 1,2 fmóis quando marcados com fluorescamina e a 90 attomóis quando com orto"ftaldialdeído. Do nosso conhecimento, esta é a primeira vez que um laser pulsado (N2) é usado num sistema de detecção de eletroforese capilar.

Ferramenta de injeção de falhas para avaliação de segurança

Nos ultimos anos, com a crescente popularização das redes de computadores baseadas no protocolo IP, desde pequenas redes até metropolitanas começaram a se agrupar e a fazer do que hoje se conhece como a rede mundial de computadores.Apesar dos benefícios de comunicação e troca de informação da Internet, esse feômeno global também trouxe problemas de segurança, pois a origem e estrutura dos protocolos utilizados na comunicação entre as diversas máquinas limitam as possibilidades de prevenir, identificar ou detectar possíveis ataques ou intrusos. Assim, várias ferramentas surgiram para prevenir e auxiliar na tarefa de identicar problemas de segurança nas redes como firewalls, sniffers e sistemas de detecção de intrusão. Apesar dos benefícios trazidos por essas novas tecnologias, surgiram muitas dúvidas referentes a segurança que esses recursos proporcionam. Afinal, o desenvolvimento e validação desses sistemas são procedimentos bastante complexos e, freqüentemente, esses sitemas têm se tornado o alvo primário de um atacante. O resultado disso, não raramente, é uma falsa noção de segurança devido à utilização inadequada desses mecanismos, o que é, normalmente, mais prejudicial do que a simples inexistência de segurança em uma organização, mas cujas falhas são conhecidas por seus administradores. A realização de testes para verificação da segurança de uma organização é uma atividade fundamental a fim de alcançar um ambiente operacional seguro e de verificar a correta aplicação dos requisitos de segurança de uma organização.O uso de testes permite a uma empresa verificar com precisão a postura de segurança utilizada em seus sistemas ao mesmo tempo em que permite visualizar a sua rede da mesma maneira que um atacante a visualizaria. Ao visualizar a rede como atacante, pode-se verificar com que facilidade obtém-se informações da rede, quais suas fragilidades e a dificuldade que se tem para invadí-la. Assim, obtém-se uma visão mais realista da segurança de uma organização. Além de técnicas para a avaliação, é muito importante que se possua ferramentas para a realização desses testes. Assim, é possível automotizar a realização de testes e verificar com maior facilidade a existência de problemas em uma rede. A existência de ferramentas que testem sistemas de segurnaça é extremamente importante e necessária, pois, afinal, a segurança de toda uma rede pode depender fortemente de algum desses sistemas. Este trabalho apresenta as técncias existentes para a injecção de falhas visando verificar as que são mais eficientes para a valiação de sistemas de segurança de rede. Adicionalmente são apresentadas algumas técnicas para o teste de mecanismos de segurança e algumas ferramentas existentes para a realizão de tais testes. A partir desses estudos, é apresentado um modelo de ferramenta adequando as funções de um sistema de injeção de falhas ao teste de mecanismos de segurança em rede. Um protótipo essa ferramenta foi desenvolvido e é apresentado neste trabalho. Esse protótipo permite o envio e o recebimento de pacotes da pilha TCP/IP, podendo testar problemas em protocolos e sistemas utilizados na rede. E, através da utilização de plug-ins, permite que diversos tipos de ataque mais sofisticados possam ser realizados.

Uma experiência didática de inserção do microcomputador como instrumento de medida no laboratório de física do ensino médio

Neste trabalho elaboramos cinco atividades experimentais que envolvem o uso do microcomputador como instrumento de medida no laboratório didático de Física. As atividades são do tipo aberto, de modo que os alunos tenham a oportunidade de explorar, testar e discutir soluções para todo o processo de medida, desde o uso de sensores nos sistemas de detecção, à conversão analógica/digital, passando pelos softwares. Somente depois de medidas manuais, o aluno passa à aquisição automática. Há guias impressos para alunos, com questões, desafios e sugestões de tarefas a serem executadas, e um texto de apoio para professores, contendo embasamento teórico e técnico indispensáveis para a compreensão do processo de aquisição automática. Os tópicos tratados são: sensores, medidas de tempo, e ondas mecânicas transversais (em cordas) e longitudinais (sonoras). O embasamento teórico para o desenvolvimento da proposta está apoiado na teoria sócio-interacionista de Vigotsky, na qual o desenvolvimento cognitivo não pode ser entendido sem referência ao contexto social, seus signos e instrumentos. Todas atividades foram testadas em condições de sala de aula em turmas de ensino médio e tecnológico da Unidade de Ensino do CEFET/RS, em 2003, e no curso de extensão Física para o Ensino Médio II, do Instituto de Física da UFRGS, em 2004. O produto educacional deste trabalho consiste em um texto de apoio para professores do ensino médio sobre o uso do microcomputador como um instrumento de medida, guias para alunos das cinco atividades experimentais envolvendo aquisição automática de dados e um hipertexto, disponível na web, baseado em animações do tipo Java Applet (Physlet).

Correlação de alarmes e diagnóstico no gerenciamento de sistemas supervisionados por computador

Este trabalho investiga a aplicação de métodos e técnicas de correlação de alarmes na detecção e diagnóstico de falhas em sistemas supervisionados por computador. Atualmente, alguns centros de supervisão ainda não se utilizam destas técnicas para o tratamento das informações recebidas de suas redes de supervisão, ficando para os operadores a responsabilidade de identificar estas correlações. Com o crescente volume de informações recebidas pelos centros de supervisão, devido ao aumento da heterogeneidade e do número de equipamentos supervisionados, torna a identificação manual da correlação dos alarmes lenta e pouco precisa. Objetivando melhorar a qualidade do serviços prestados pelos centros de supervisões, este trabalho propõe o uso de uma rede Bayesiana como método de correlação de alarmes e uma técnica de limitação de escopo para atingir uma melhor performance na propagação desta correlação. Através dos conceitos desenvolvidos neste trabalho, foi implementado um protótipo de correlação de alarmes para um sistema de supervisão existente no mercado, neste protótipo modela-se a rede Bayesiana em um banco de dados relacional e, como resultado desta implementação apresenta-se a interface desenvolvida para a supervisão.

Injeção distribuída de falhas para validação de dependabilidade de sistemas distribuídos de larga escala

Uma etapa fundamental no desenvolvimento de sistemas tolerantes a falhas é a fase de validação, onde é verificado se o sistema está reagindo de maneira correta à ocorrência de falhas. Uma das técnicas usadas para validar experimentalmente um sistema é injeção de falhas. O recente uso de sistemas largamente distribuídos para execução dos mais diversos tipos de aplicações, faz com que novas técnicas para validação de mecanismos de tolerância a falhas sejam desenvolvidas considerando este novo cenário. Injeção de falhas no sistema de comunicação do nodo é uma técnica tradicional para a validação de aplicações distribuídas, para forçar a ativação dos mecanismos de detecção e recuperação de erros relacionados à troca de mensagens. A condução de experimentos com injetores de comunicação tradicionais é feita pelo uso do injetor em uma máquina do sistema distribuído. Se o cenário desejado é de múltiplas falhas, o injetor deve ser instanciado independentemente nas n máquinas que as falhas serão injetadas. O controle de cada injetor é individual, o que dificulta a realização do experimento. Esta dificuldade aumenta significativamente se o cenário for um sistema distribuído de larga escala. Outro problema a considerar é a ausência de ferramentas apropriadas para a emulação de determinados cenários de falhas. Em aplicações distribuídas de larga escala, um tipo comum de falha é o particionamento de rede. Não há ferramentas que permitam diretamente a validação ou a verificação do processo de defeito de aplicações distribuídas quando ocorre um particionamento de rede Este trabalho apresenta o estudo de uma abordagem para injeção de falhas que permita o teste de atributos de dependabilidade de aplicações distribuídas de pequena e larga escala implementadas em Java. A abordagem considera a não obrigatoriedade da alteração do código da aplicação sob teste; a emulação de um cenário de falhas múltiplas que ocorrem em diferentes nodos, permitindo o controle centralizado do experimento; a validação de aplicações que executem em sistemas distribuídos de larga escala e consideram um modelo de falhas realista deste tipo de ambiente, incluindo particionamentos de rede. A viabilidade da abordagem proposta é mostrada através do desenvolvimento do protótipo chamado FIONA (Fault Injector Oriented to Network Applications), o qual atualmente injeta falhas em aplicações desenvolvidas sob o protocolo UDP.

Detecção de movimento, acompanhamento e extração de informações de objetos móveis

O tráfego de veículos, principalmente nas vias públicas de regiões densamente povoadas, tem sido objeto de preocupação por diversos aspectos: segurança no trânsito, supervisão da frota, controle de poluição, prevenção, registro de irregularidades, etc. Sistemas eletrônicos tradicionais são apontados como limitados pelas dificuldades apresentadas na instalação dos sensores e poucos recursos para extração de informações. Este trabalho propõe um sistema baseado no processamento digital de imagens em vídeo para detectar, acompanhar e extrair informações de um veículo em movimento, tais como: posição, velocidade e dimensões. Embora técnicas de pré-processamento sejam empregadas para minimizar problemas iluminação e trepidação, informações obtidas nas etapas finais do processamento, tendem a distorcer em função destes fatores. Algoritmos baseados em análise probabilística no domínio espaço temporal de imagens 2-D são propostos para segmentar o objeto mesmo na presença destes fatores. A fim de tornar o acompanhamento mais robusto a oclusões e pixels espúrio s, é proposto um método que detecta e rejeita posições inconsistentes do objeto de acordo com a estimativa de sua próxima posição.

Um estudo sobre detecção de desvios: aplicação em bancos de dados da Secretaria da Saúde do Rio Grande do Sul

A mineração de dados é o núcleo do processo de descoberta de conhecimento em base de dados. Durante a mineração podem ser aplicadas diversas técnicas para a extração de conhecimento. Cada técnica disponível visa à realização de um objetivo e é executada de uma forma em particular. O foco desta dissertação é uma destas técnicas conhecida como detecção de desvios. A detecção de desvios é baseada no reconhecimento do padrão existente nos dados avaliados e a capacidade de identificar valores que não suportem o padrão identificado. Este trabalho propõe uma sistemática de avaliação dos dados, com o objetivo de identificar os registros que destoam do padrão encontrado. Para este estudo são aplicadas algumas técnicas de avaliação estatística. Inicialmente é apresentada uma revisão bibliográfica sobre descoberta de conhecimento em base de dados (DCBD) e mineração de dados (MD). Na seqüência, são apresentados os principais conceitos que auxiliam na definição do que é um desvio, quais as técnicas utilizadas para a detecção e a forma de avaliação do mesmo. Dando continuidade ao trabalho, a sistemática CRISP_DM é descrita por ser aplicada aos estudos de casos realizados. A seguir, são descritos os estudos de casos realizados que utilizaram as bases da Secretaria da Saúde do Rio Grande do Sul (SES). Finalmente, são apresentados as conclusões do estudo e possíveis trabalhos futuros.