Embed Size (px)
Citation preview
ALISSAR ALI MOUSSA
MODELO DE PÓS-CORRELAÇÃO DE ALERTAS DEINTRUSÃO BASEADO EM TÉCNICAS DE
CLUSTERIZAÇÃO
LONDRINA–PR
2016
ALISSAR ALI MOUSSA
MODELO DE PÓS-CORRELAÇÃO DE ALERTAS DEINTRUSÃO BASEADO EM TÉCNICAS DE
CLUSTERIZAÇÃO
Versão Preliminar de Trabalho de Conclusãode Curso apresentado ao curso de Bachare-lado em Ciência da Computação da Univer-sidade Estadual de Londrina para obtençãodo título de Bacharela em Ciência da Com-putação.
Orientador: Prof. Dr. Bruno Bogaz Zarpelão
LONDRINA–PR
2016
Alissar Ali MoussaModelo de Pós-Correlação de Alertas de Intrusão Baseado em Técnicas de
Clusterização/ Alissar Ali Moussa. – Londrina–PR, 2016-23 p. : il. (algumas color.) ; 30 cm.
Orientador: Prof. Dr. Bruno Bogaz Zarpelão
– Universidade Estadual de Londrina, 2016.
1. Palavra-chave1. 2. Palavra-chave2. I. Orientador. II. Universidade xxx. III.Faculdade de xxx. IV. Título
CDU 02:141:005.7
MOUSSA, ALISSAR ALI. Modelo de Pós-Correlação de Alertas de Intrusão Ba-seado em Técnicas de Clusterização. 23 p. Trabalho de Conclusão de Curso – VersãoPreliminar (Bacharelado em Ciência da Computação) – Universidade Estadual de Lon-drina, Londrina–PR, 2016.
RESUMO
A informação tem um papel vital na sociedade, portanto a segurança dos dados é fun-damental. Diversas organizações utilizam Sistemas de Detecção de Intrusão (IntrusionDetection Systems - IDS) para monitorar e identificar comportamentos anômalos em suasredes que possam significar ameaças, gerando alertas que os descrevem. Contudo, a aná-lise desses eventos pode tornar-se extremamente dispendiosa, devido ao grande volumede dados produzido. As técnicas de correlação e clusterização de alertas facilitam a inter-pretação dos resultados mostrados pelos IDSs, por meio da criação de meta-alertas quereúnem as características em comum dos eventos reportados. Através da clusterização dosmeta-alertas, é possível visualizar melhor o cenário, identificando atacantes e seus alvos.
Palavras-chave: Correlação de Alertas. Sistemas de Detecção de Intrusão. Segurança daInformação.
MOUSSA, ALISSAR ALI. Alert Post Correlation Model Based on Clustering Te-chniques. 23 p. Final Project – Draft Version (Bachelor of Science in Computer Science) –State University of Londrina, Londrina–PR, 2016.
ABSTRACT
Information performs an important role in society, therefore data security is fundamental.Several organizations make use of Intrusion Detection Systems (IDS) to monitor andidentify anomalous behaviour that could be threatening to their networks, creating alerts.However, analyzing those alerts may become an extremely exhautisve task, due to thelarge volume of produced events. Alert correlation and clustering techniques ease theinterpretation of results shown by IDSs through meta-alerts generation, gathering commoninformation among the alerts. By clustering meta-alerts, it is possible to acknowledgeattackers and their targets.
Keywords: Alert Correlation. Intrusion Detection Systems. Information Security.
LISTA DE ILUSTRAÇÕES
Figura 1 – Localização de um IDS em rede local . . . . . . . . . . . . . . . . . . . 17Figura 2 – Esquema de funcionamento do Método de Shittu et al. . . . . . . . . . 21
LISTA DE TABELAS
Tabela 1 – Alertas de exemplo da base do iCTF 2008 . . . . . . . . . . . . . . . . 19Tabela 2 – Alertas de exemplo da base de Maryland . . . . . . . . . . . . . . . . . 19
LISTA DE ABREVIATURAS E SIGLAS
ASN Autonomous System Number
DBSCAN Density-based spatial clustering of applications with noise
iCTF Capture The Flag
IDS Intrusion Detection System
IPS Intrusion Prevention System
SUMÁRIO
1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2 FUNDAMENTAÇÃO TEÓRICA E ESTADO DA ARTE . . . 172.1 Conceitos iniciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.1 Sistemas de Detecção de Intrusão (IDS) . . . . . . . . . . . . . 172.1.2 Alerta de intrusão . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.1.2.1 Exemplos reais de alertas de intrusão . . . . . . . . . . . . . . . . . . . 19
2.1.3 Correlação de alertas . . . . . . . . . . . . . . . . . . . . . . . . . . 192.2 Trabalhos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . 20
3 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.1 Método de Shittu et al. . . . . . . . . . . . . . . . . . . . . . . . . 21
REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
15
1 INTRODUÇÃO
No contexto atual, a informação desempenha papel importante para organizaçõesde diversos tamanhos e diferentes naturezas. Por isto, a segurança em redes é vital paragarantir a disponibilidade de serviços e a proteção de dados sensíveis. Para prevenir e mi-tigar ataques e roubos de informação, as empresas contam com ferramentas que realizammonitoramento de tráfego, análise de pacotes e arquivos, auditoria de usuários e preven-ção de incidentes, como firewalls, anti-vírus, sistemas de prevenção de intrusão (IntrusionPrevention Systems - IPS) e sistemas de detecção de intrusão Intrusion Detection Systems- IDS). [1]
Os IDSs são parte fundamental para que a organização possa monitorar o fluxode dados e detectar ataques, intrusões e modificações não-autorizadas no sistema ou narede em tempo real. Com esse sistema, é possível identificar os pontos vulneráveis doambiente, além de reunir informações sobre a origem dos ataques e seus destinos. Sempreque um comportamento anômalo é detectado, é gerado um alerta que contém informaçõesimportantes como endereço IP e porta de origem, endereço IP e porta de destino e tipo deincidente. Desta forma, seria supostamente simples analisar como invasões são executadase que caminho os atacantes seguem até conseguir obter dados da organização ou tornarserviços indisponíveis.
Entretanto, o volume de alertas gerado por um IDS pode ser gigantesco, depen-dendo da proporção da rede. Como exemplo, em 2012 na Universidade de Maryland1
foram registrados 62 milhões de alertas, sendo 40 milhões destes apenas no mês de no-vembro [2]. Então, percebe-se que em redes muito grandes, com intenso volume de dadostrafegando e múltiplos acessos de usuários ao mesmo tempo, a análise dos alertas de intru-são torna-se uma tarefa não-trivial. Além disso, é bastante comum que ocorram situaçõesonde o IDS interpreta erroneamente algumas atividades normais na rede como ataques,gerando eventos conhecidos como falsos positivos.
As técnicas de correlação e clusterização de alertas permitem que a interpretaçãode eventos de segurança seja facilitada, pois a partir delas são extraídas todas as carac-terísticas em comum que os alertas reportados têm. Com isso, outras estruturas maissimplificadas podem ser originadas, reunindo todas as informações relevantes para aná-lise. O artigo de Shittu et al. [3] propõe um método de correlação estatística, onde sãogerados meta-alertas. A pós-correlação é executada nos meta-alertas, sendo que o métodoescolhido para isso é a clusterização. Dessa forma, é possível compreender melhor a ori-gem e os alvos comuns dos ataques, quais são os seus objetivos e que decisões tomar parapreveni-los.1 <http://www.umd.edu/>
16
Porém, os resultados obtidos por Shittu et al. são fundamentados em testes produ-zidos sobre uma base de dados experimental, concebida em laboratório. Por conta disso, aintenção deste trabalho aqui apresentado é verificar o comportamento da técnica descritapor Shittu et al. quando aplicada em uma base de dados ampla, com eventos reais.
17
2 FUNDAMENTAÇÃO TEÓRICA E ESTADO DA ARTE
Neste capítulo serão apresentados os conceitos iniciais necessários para o entendi-mento do problema abordado e as soluções propostas por trabalhos relacionados.
2.1 Conceitos iniciais
2.1.1 Sistemas de Detecção de Intrusão (IDS)
Um IDS é utilizado para monitorar e gerar alertas de incidentes na rede e noshosts onde ele está inserido (vide Figura 1). É responsável por analisar o tráfego de dadose alterações nos sistemas de informação, buscando sinais de comportamentos anômalos eatividades suspeitas que possam significar ataques e/ou invasões.
Internet
RoteadorFirewall
Sistema de Detecção de Intrusão - IDS
Hosts
Servidores
Switch
Figura 1 – Localização de um IDS em rede local
Basicamente, o IDS pode ser de dois tipos: o baseado em host (Host-Based Intru-sion Detection System - HIDS) e o baseado em rede (Network-Based Intrusion DetectionSystem - NIDS). O HIDS é instalado diretamente em um host e assim monitora o sistema,verificando a integridade de arquivos, fluxo e privilégios de usuário, processos, uso dos re-cursos computacionais e até mesmo detecção de port scanning. Porém, ele está limitadoapenas ao nó da rede onde está implantado, então não consegue analisar o ambiente comoum todo. [1] [4].
18
Já o NIDS monitora o tráfego na rede onde está instalado, capturando e anali-sando os pacotes, à procura de comportamento anormal. Ele busca detectar tentativas deexploração de vulnerabilidades, ataques de negação de serviço e malwares. Diferentementeda maioria dos HIDSs, o NIDS gera alertas em tempo real. Um dos maiores problemasrelacionados a este tipo de IDS é justamente o número de alertas que ele pode gerar, quedificulta a interpretação dos eventos de segurança.
Em relação ao método de detecção, um IDS pode gerar alertas de duas formas:baseada em assinaturas e baseada em anomalias. Quando baseado em assinaturas, o sis-tema irá procurar por padrões de ataque em sua base de dados (semelhante ao que fazum anti-vírus), que são definidos por uma assinatura. A detecção baseada em anoma-lias, por sua vez, irá buscar comportamentos adversos ao conjunto de regras vigente. Ouseja, enquanto o método de assinaturas tenta detectar ataques a partir de seu conheci-mento sobre técnicas e caminhos conhecidos, o método de anomalias irá reportar todaconduta não-autorizada. Neste trabalho, serão analisados os alertas gerados por IDSs quetrabalham com assinaturas. [1]
2.1.2 Alerta de intrusão
Um alerta de intrusão é o dado gerado pelo IDS, sendo que seu formato pode variarde acordo com cada fabricante do sistema. Geralmente, ele contém o tipo de ataquedetectado, que é descrito pela assinatura, endereço IP e porta de origem do atacante,endereço IP e porta de destino e timestamp. Por exemplo, um alerta produzido pelaferramenta Snort1 segue o formato abaixo:
timestamp [**] [116:56:1] (snort_decoder): T/TCP Detected [**] [classification][priority] <protocol> source_ip → destination_ip
∙ timestamp: a data e hora em que o alerta foi gerado;
∙ 116:56:1: são três números distintos, separados por dois pontos. O primeiro número éo Generator ID (ID do Gerador), correspondente à sub-rotina do Snort que detectouo alerta. O segundo número é o Signature ID (ID de Assinatura), é um identificadorúnico correspondente ao tipo do alerta detectado. O terceiro número é o Revision,correspondente à versão da assinatura;
∙ (snort_decoder): T/TCP Detected: texto de descrição do alerta detectado;
∙ classification: referente a uma regra que categoriza diversos tipos de alertas em umtipo mais geral;
∙ priority: define o nível de severidade deste tipo de alerta;1 Snort é um sistema open source de detecção e prevenção de intrusão. <https://www.snort.org/>
19
∙ protocol: referente ao protocolo de rede relacionado ao evento detectado;
∙ source_ip: endereço IP de origem do pacote que gerou o alerta;
∙ destination_ip: endereço IP de destino do pacote que gerou o alerta.
2.1.2.1 Exemplos reais de alertas de intrusão
Os alertas na base de dados da competição em segurança da informação CaptureThe Flag2 (iCTF) 2008 têm os campos descritos como mostra a Tabela 1.
Tabela 1 – Alertas de exemplo da base do iCTF 2008.Timestamp Porta
origemPortadestino
IP ori-gem
IP destino Assinatura Classificação
2008-12-0415:25:20
38694 162 10.100.1.1 10.100.102.77 13463 1
2008-12-0415:25:21
38694 162 10.100.1.1 10.100.102.77 13463 1
Já os alertas da base de dados gerados pelo Snort na Universidade de Marylandno ano de 2012 têm os campos descritos como mostra a Tabela 2.
Tabela 2 – Alertas de exemplo da base de Maryland.Timestamp Porta
ori-gem
Portades-tino
IP ori-gem
IP des-tino
Paísori-gem
Paísdes-tino
ASNori-gem
ASNdes-tino
Assinatura
2012-08-0100:04:06
51484 80 omitido omitido 1 1 450 1 2237
2012-08-0100:09:50
52351 80 omitido omitido 1 1 450 1 2237
2.1.3 Correlação de alertas
Correlação é um termo estatístico utilizado para medir o grau de relacionamentoentre duas ou mais variáveis. [5]. Ghorbani e Tavallaee [6] definem a correlação de alertascomo um processo de múltiplos componentes, com o propósito de analisar alertas deintrusão e prover informações sobre o estado de segurança da rede onde ela foi aplicada.Ela pode ser divida em três estágios principais: pré-correlação, processo de correlação epós-correlação.
A pré-correlação preocupa-se em tratar os dados a serem analisados. Já o processode correlação define a técnica a ser empregada, que pode ser baseada em similaridade doseventos, cenários conhecidos ou relacionamento de pré-requisito e consequência. Por fim,a pós-correlação é referente à análise que será executada com os resultados da correlação,que pode ser a priorização de alertas e/ou reconhecimento de padrões.2 <https://ictf.cs.ucsb.edu/>
20
A clusterização pode se encaixar tanto na pré-correlação, para agrupar diferentestipos de eventos a serem relacionados, ou na pós-correlação, para gerar outras estru-turas que facilitem a análise dos dados. Neste trabalho, ela será utilizada na fase depós-correlação.
2.2 Trabalhos relacionados
Xuewei [7] e Ramaki et al. [8] trabalham com um modelo de correlação baseadono conhecimento do cenário do ataque, que é dado através das relações mais comunsentre os alertas. Xuewei define a clusterização antes da correlação, pois no método proposoé necessário separar as informações que compõem o cenário antes de correlacionar oseventos. O dado utilizado para agrupar os eventos de segurança é, geralmente, o endereçoIP. A correlação é baseada em cadeias de Marvok. Ramaki et al. correlacionam alertas emtempo real, buscando por episódios que possam estar relacionados a cenários de multi-ataque.
Ahmadinedjad et al. [9] e Friedberg [10] baseiam-se na correlação por similari-dade. A partir da correlação, Ahmadinedjad et al. criam grafos de hiper-alertas, conceitosemelhante ao meta-alerta definido por Shittu et al. Já foco de Friedberg está nos IDSscom detecção baseada em anomalias. A correlação acontece através da busca por padrõesentre os comportamentos anômalos analisados.
Alguns trabalhos utilizam técnicas de inteligência artificial para atingir seusobjetivos. Em Vaarandi [11], o objetivo é classificar alertas da forma mais automatizadapossível. Para tal, são utilizados conceitos de mineração de dados para executar a corre-lação, assim como Shittu et al., e a clusterização dos dados serve para reconhecer padrõesnos alertas. Alsubhi et al. [12] dão ênfase na pós-correlação, propondo uma técnica depriorização de alertas baseada em lógica fuzzy.
21
3 METODOLOGIA
Neste capítulo será explicado detalhadamente o método que será utilizado duranteo desenvolvimento deste trabalho.
3.1 Método de Shittu et al.
Shittu et al. propõem que os alertas sejam correlacionados por suas característicasem comum, gerando uma estrutura chamada meta-alertas. O meta-alerta é composto deum ou mais alertas que ao serem agrupados dão origem a um grafo de correlação.
Histórico de Alertas
Alertas em Tempo Real
Correlação Offline
Correlação Online
Transferência dos Graus e Condições de Correlação
Repositório de Conhecimento
Atualização dos Graus
de Correlação
Geração de Meta-alertas
Graus e Condições de Correlação
Figura 2 – Esquema de funcionamento do Método de Shittu et al.
No cenário mostrado na Figura 2, o histórico de alertas é o conjunto de todosos eventos de segurança gerados por um IDS dentro de um determinado período. Seusdados são processados pela correlação offline, para que sejam encontradas os graus eas condições de correlação. O grau de correlação é um valor numérico que indica aprobabilidade de um alerta do tipo 𝑇𝑏 ocorrer depois de um do tipo 𝑇𝑎 dado um atributoC. Este atributo é chamado de condição de correlação e é ele que define o grau decorrelação entre dois tipos distintos de eventos. O grau de correlação entre 𝑇𝑎 e 𝑇𝑏 é dadopela equação
22
𝐿(𝑇𝑎, 𝑇𝑏) = 𝑃 (𝑇𝑎 → 𝑇𝑏|𝐶) (3.1)
Quando há mais de uma condição a ser analisada, utiliza-se a equação
𝐿(𝑇𝑎, 𝑇𝑏) = 𝑚𝑖𝑛{𝑃 (𝑇𝑎 → 𝑇𝑏|𝐶𝑖)}|𝑛𝑖=1 (3.2)
sendo que o grau de correlação entre 𝑇𝑎 e 𝑇𝑏 é dado pela condição 𝐶𝑖 cujo valorde probabilidade é o mais baixo.
Todos os graus e condições gerados pelo processo da correlação offline formam orepositório de conhecimento que alimenta a correlação online. Esta etapa executaa análise em tempo real dos alertas. Um alerta 𝑎𝑗 recém-detectado é comparado a umconjunto de alertas S que ocorreram em um dado instante 𝑇0 antes dele. Então, determina-se se 𝑎𝑗 está correlacionado a algum 𝑎𝑖 em S, verificando se os tipos deles possuem umcoeficiente de correlação relevante na tabela de probabilidades. Cada alerta analisado éarmazenado como um nó. Se a correlação for verdadeira, 𝑎𝑗 é adicionado ao meta-alertado qual a 𝑎𝑖 pertence. É também adicionada uma aresta partindo do nó gerado ao meta-alerta, com o coeficiente sendo o peso dela e o repositório de conhecimento recebe osvalores dessa nova correlação.
Em seguida, os meta-alertas passam pelo processo de clusterização, realizado peloalgoritmo de Density-based spatial clustering of applications with noise (DBSCAN).
23
REFERÊNCIAS
[1] NAKAMURA, E. T.; GEUS, P. L. de. Segurança de redes em ambientes cooperativos.[S.l.]: Novatec, 2007. 483 p.
[2] Sean Carlisto de Alvarenga. Análise de alertas de intrusão baseada em mineraçãode processos. Dissertação (Mestrado) — Universidade Estadual de Londrina, 2016.
[3] SHITTU, R. et al. Intrusion alert prioritisation and attack detection usingpost-correlation analysis. Computers and Security, Elsevier Ltd, v. 50, p. 1–15, 2015.
[4] VACCA, J. R. Computer and Information Security Handbook. Elsevier, 2009.605–625 p. Disponível em: <http://www.sciencedirect.com/science/article/pii/B9780123743541000352>.
[5] SALAH, S.; MACIÁ-FERNÁNDEZ, G.; DÍAZ-VERDEJO, J. E. A model-basedsurvey of alert correlation techniques. Computer Networks, Elsevier B.V., v. 57, n. 5,p. 1289–1317, 2013.
[6] GHORBANI, W. L. A. A.; TAVALLAEE, M. Advances in information security:Concepts and techniques. In: Network Intrusion Detection and Prevention. 1. ed.[S.l.]: Springler US, 2010, (47).
[7] XUEWEI, F. et al. An approach of discovering causal knowledge for alertcorrelating based on data mining. In: Proceedings - 2014 World Ubiquitous ScienceCongress: 2014 IEEE 12th International Conference on Dependable, Autonomicand Secure Computing, DASC 2014. IEEE, 2014. p. 57–62. Disponível em:<http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=6945304>.
[8] RAMAKI, A. A.; AMINI, M.; Ebrahimi Atani, R. RTECA: Real time episodecorrelation algorithm for multi-step attack scenarios detection. Computers &Security, v. 49, p. 206–219, 2015.
[9] AHMADINEJAD, S. H.; JALILI, S.; ABADI, M. A hybrid model for correlatingalerts of known and unknown attack scenarios and updating attack graphs.Computer Networks, v. 55, n. 9, p. 2221–2240, 2011.
[10] FRIEDBERG, I. et al. Combating advanced persistent threats: From network eventcorrelation to incident detection. Computers and Security, Elsevier Ltd, v. 48, p.35–57, 2015.
[11] VAARANDI, R.; PODI, K. Network IDS Alert Classification with Frequent ItemsetMining and Data Clustering Network IDS Alert Classification with Frequent ItemsetMining and Data Clustering. Service Management, p. 451–456, 2010.
[12] ALSUBHI, K.; AL-SHAER, E.; BOUTABA, R. Alert prioritization in IntrusionDetection Systems. In: NOMS 2008 - IEEE/IFIP Network Operations andManagement Symposium: Pervasive Management for Ubiquitous Networks andServices. [S.l.: s.n.], 2008. p. 33–40.
