Embed Size (px)
Citation preview
Abordagem Autonômica Para MitigarCiberataques em LANs
Autores: Rodrigo Campiolo (USP/UTFPR); Wagner A. Monteverde (UTFPR); Daniel Macêdo Batista (USP); Luiz Arthur F. Santos (USP/UTFPR – Apresentador).
Salvador, 01 de junho de 2016.
2
Introdução
Problemas de pesquisa:
Crescimento do número de ataques contra redes locais; Surgimento de novos desafios, tal como, BYOD; Aumento na complexidade dos ataques à segurança; Ineficácia das ferramentas/administradores em deter ataques.
Possíveis soluções para nossa proposta: Computação Autonômica – CA, interagindo/combinada com:
Novas tecnologias, tal como Redes Definidas por Software (SDN); Tecnologias legadas (ex. iptables, PF, IDS, etc);
Uso de fontes de informações distribuídas e heterogêneas.
3
Objetivos
Unir métodos de CA com os conceitos de SDN para desenvolver uma arquitetura de rede local capaz de detectar e reagir dinamicamente a problemas de segurança que afetem redes de computadores. Isso com o mínimo de intervenção humana!
4
Contribuições Desenvolvimento de método que emprega algoritmos
de análise de associação para processar históricos de uso da rede e alertas de segurança, para gerar regras de segurança que são aplicadas na rede via SDN;
Criação de método inspirado na estrutura da memória humana, que permite gerar regras de segurança que:
Mitigam problemas de segurança em redes; Previnem contra ameaças futuras; Evitam que hosts e/ou serviços de redes sejam
prejudicados por ataques e pela defesa autonômica.
5
Método de Pesquisa
6
Método de Pesquisa
Of-IDPS – Implementação da arquitetura.
7
Método de Pesquisa
Of-IDPS – Monitoramento e Detecção.
8
Método de Pesquisa
Of-IDPS – Análise e Planejamento.
9
Método de Pesquisa
Alertas a serem analisados:
Endereço IPProtocolo
Portas de Rede Alertas de segurançaOrigem Destino Origem Destino Identificação Prioridade
1 20.0.0.1 30.0.0.10 TCP 50000 22 SSH01 média2 20.0.0.1 30.0.0.20 TCP 50001 22 SSH02 média3 20.0.0.1 30.0.0.30 TCP 50002 22 SSH03 média4 20.0.0.1 30.0.0.40 TCP 50003 22 SSH01 média5 20.0.0.1 30.0.0.50 TCP 50004 22 SSH01 média6 20.0.0.1 30.0.0.60 TCP 50005 22 SSH01 média7 20.0.0.2 30.0.0.70 UDP 50006 53 DNS01 Alta8 20.0.0.2 30.0.0.80 UDP 50007 53 DNS01 Alta9 20.0.0.2 30.0.0.90 UDP 50008 53 DNS01 Alta
10 20.0.0.1 30.0.0.10 ICMP 0 1 ICMP01 Baixa
N°
10
Método de Pesquisa
Analisar histórico da rede e gerar regras de segurança:
Algoritmo gerarRegrasDeSegurançaAutonômicas() Entrada: listaAlertasSegurança Saída: Lista com regras de segurança
01. listaConjuntoRegras ← ∅02. listaRegrasSegurança ← ∅ 03. listaConjuntoRegras ← processaAlertasComFPGrowth(listaAlertasSegurança)04. listaConjuntoRegras ← removerRegrasInvalidas(listaConjuntoRegras)05. para cada regra em listaConjuntoRegras faça06. suporte ← regra.obterSuporte()07. NumeroItens ← regra.obterNumeroItensDaRegra()08. PercentualSuporte ← 100 20 * numeroItens09. Se suporte ⩾ percentualSuporte então10. listaRegrasSegurança.adiciona(regra)11. retorna listaRegrasSegurança
11
Método de Pesquisa
Alertas analisados pelo algoritmo:
Regras de segurança:
Endereço IPProtocolo
Portas de Rede Alertas de segurançaOrigem Destino Origem Destino Identificação Prioridade
1 20.0.0.1 30.0.0.10 TCP 50000 22 SSH01 média2 20.0.0.1 30.0.0.20 TCP 50001 22 SSH02 média3 20.0.0.1 30.0.0.30 TCP 50002 22 SSH03 média4 20.0.0.1 30.0.0.40 TCP 50003 22 SSH01 média5 20.0.0.1 30.0.0.50 TCP 50004 22 SSH01 média6 20.0.0.1 30.0.0.60 TCP 50005 22 SSH01 média7 20.0.0.2 30.0.0.70 UDP 50006 53 DNS01 Alta8 20.0.0.2 30.0.0.80 UDP 50007 53 DNS01 Alta9 20.0.0.2 30.0.0.90 UDP 50008 53 DNS01 Alta
10 20.0.0.1 30.0.0.10 ICMP 0 1 ICMP01 Baixa
N°
Endereço IPProtocolo
Portas de Rede Alertas de segurança SuporteOrigem Destino Origem Destino Identificação Prioridade Exigido Atingido
1 20.0.0.1 * TCP * 22 * média 5 62 20.0.0.1 * TCP * * * média 7 63 20.0.0.1 * * * * * média 9 74 * * TCP * 22 * média 7 65 * * TCP * * * média 9 6
N°
12
Método de Pesquisa
Então, o algoritmo anterior permite: Analisar o histórico da rede; Gerar um padrão de problemas Criar regras de segurança para mitigar ataques à rede.
13
Método de Pesquisa
Então, o algoritmo anterior permite: Analisar o histórico da rede; Gerar um padrão de problemas Criar regras de segurança para mitigar ataques à rede.
Mas ainda há um problema!!!(Quantidade de Alertas x Tempo)
14
Método de Pesquisa
Considere as cores/letras como problemas de segurança que ocorreram na rede! Qual é o problema mais comum?
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
15
Método de Pesquisa
Considere as cores/letras como problemas de segurança que ocorreram na rede! Qual é o problema mais comum?
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
O vermelho é o que mais ocorre!
O vermelho é o que mais ocorre!
16
Método de Pesquisa
Analisando o tempo recente!
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
Há mais azuis (z)do que vermelhos (y)
Há mais azuis (z)do que vermelhos (y)
17
Método de Pesquisa
Analisando o tempo agora!
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
Neste exato momentoestá ocorrendo um ataque
verde (x)
Neste exato momentoestá ocorrendo um ataque
verde (x)
18
Método de Pesquisa
Possível solução! Processar tal como na memória humana:
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
Sensorial Curta Longa
19
Método de Pesquisa
Possível solução! Processar tal como na memória humana:
x
1
y
2
z
3
z
4
z
5
y
6
y
7
y
8
y
9
y
10
y
11
y
12
y
13
y
14
y
15
y
16
w
17
y
18
x
19
y
20
Linha de Tempo
Agora Recente Passado
Alertas de segurança
Sensorial Curta Longa
Subdividida em Longa boa eLonga ruim
20
Método de Pesquisa
Of-IDPS – Colocando em prática as regras geradas.
21
Experimentos e Resultados LAN simulada – Experimento com DDoS:
22
Experimentos e Resultados Ataques DDoS :
23
Experimentos e Resultados Ataques DDoS:
24
Experimentos e Resultados Ataques DDoS:
LAN Controle LAN com Of-IDPS
Atacante Vítima Atacante Vítima5.000 5.020 9.965 5.017 957 90,4
10.000 10.019 19.908 10.200 1.008 94,920.000 20.069 39.886 20.323 1.080 97,3
# Pacotes Maliciosos
Comparação vítimas
com/sem (%)
25
Experimentos e Resultados Experimento com LAN real em produção – GT-EWS:
26
Experimentos e Resultados Interface do Of-IDPS no site do GT-EWS:
Análise da memória longa ruim.
27
Experimentos e Resultados Interface do Of-IDPS no site do GT-EWS:
Análise da memória longa boa.
28
Considerações Finais Conclusões:
Os experimentos nas LANs simulada e real demonstram a efetividade da abordagem proposta em mitigar problemas de segurança.
A reação autonômica proposta não influencia negativamente os serviços legítimos de rede, principalmente devido ao uso da memória longa boa.
Trabalhos Futuros: Pretende-se correlacionar o histórico de LANs com
informações externas a respeito de ciberameaças.
Abordagem Autonômica Para Mitigar Ciberataques em LANs
Rodrigo [email protected]
Daniel Macêdo Batista [email protected]
Obrigado pela presença e atenção.
Luiz Arthur Feitosa dos [email protected]
Wagner Aparecido [email protected]
![Abordagem autonomica para mitigar ciberataques em LANsˆ2.1. Arquitetura Base Em [Santos et al. 2014], propomos uma arquitetura autonomica para proteger LANs con-ˆ tra ciberataques](https://img.document.onl/doc/110x75/5f0273b07e708231d40454dc/abordagem-autonomica-para-mitigar-ciberataques-em-lans-21-arquitetura-base-em.jpg)
