As possveis classificaes que podem aparecer em um concurso so: *Classificao Quanto ao Comportamento* *1 Deteco estatstica de anomalia*: envolve a coleta

a de dados relacionados ao *comportamento* de usurio legtimos por um perodo de tempo. Depois os testes estatsticos so aplicados ao comportamento observado para determinar com um alto nvel de confiabilidade se esse comportamento no um comportamento legitimo do usurio. a. deteco de limiar: tcnica que envolve a definio de limiares, independentes do usurio, para a freqncia de ocorrncia de vrios eventos b. deteco baseada em perfil: um perfil de atividades de cada usurio desenvolvido e usado para detectar mudanas no *comportamento* das contas individuais. Vantagens:possibilita detectar ataques desconhecidos, sendo desnecessria a manuteno de uma base de dados que armazene todos os tipos possveis de ataques e vulnerabilidades; pode ser usado para gerar informaes que daro origem a uma assinatura. Desvantagens:para usar esse mtodo de deteco, imprescindvel que o administrador conhea o comportamento da rede/sistema, o que muito difcil devido heterogeneidade e complexidade desses ambientes. devido dificuldade apresentada no item anterior, esse mtodo leva a um maior nmero de falsos positivos; os relatrios so mais difceis de serem analisados, no informando dados conclusivos da vulnerabilidade explorada. *2 Deteco baseada em regras (ou assinaturas):* envolve uma tentativa de definir um conjunto de regras que podem ser usadas para decidir se determinado comportamento o de um intruso. a. deteco de anomalia: regras so desenvolvidas para detectar o desvio dos padres anteriores. b. identificao de penetrao: uma abordagem por sistema especialista que procura por comportamento suspeito. O Sistema de Intruso Baseado em Assinatura um mtodo tambm conhecido como Sistema Preemptivo ou Sistema de Deteco por Abuso. Essa tcnica busca sequncias de aes nitidamente caracterizadas como invlidas, registradas em uma base de dados (assinaturas) que contm o conhecimento acumulado sobre ataques especficos e vulnerabilidades. Vantagens:por comparar o trfego capturado a uma assinatura, o nmero de falsos positivos menor, comparado ao mtodo anterior; devido ao fato de o nmero de falsos positivos ser menor, e tambm porque o alarme gerado pelo IDS ir mostrar a que tipo de ataque o trfego corresponde (devido assinatura a qual foi comparado), faz-se possvel a adoo de contramedida; reduo na quantidade de informao tratada, isto , o alarme mais preciso e evidente; permite diagnosticar, de maneira rpida e confivel, a utilizao de determinadas ferramentas ou tcnicas especficas de ataque, auxiliando os gerentes a verificarem as correes necessrias.

Desvantagens: como o mtodo baseado em assinaturas, a deteco s ocorre para ataques conhecidos, por isso mesmo no permite detectar variaes de um mesmo ataque, pois as assinaturas so utilizadas com muita rigidez; fazse necessria a manuteno freqente na base de dados que contm as assinaturas. *Registros de Auditoria* Ferramenta fundamental para deteco de intruso. Coletam informaes sobre as atividades continuas dos usurios. - *Registros de auditoria nativos* = vantagem: nenhum software adicional necessrio. Desvantagem: os registros podem no conter as informaes necessrias. - *Registros de auditoria especficos para deteco*= vantagem: pode ser feita independente do fornecedor e transportada para qualquer sistema. Desvantagem: overhead extra (dois pacotes de contabilizao sendo gerados) A tcnica do IDS baseada em registros de auditorias. Os registros de auditoria so examinados medida que so gerados e comparados com a base de regras. *Classificao Quanto Arquitetura* Outro aspecto importante em um IDS a sua arquitetura, pois uma arquitetura bem elaborada um dos fatores que iro determinar o cumprimento adequado de seu papel. Dois elementos influenciam diretamente na arquitetura: a localizao e o alvo. O *alvo* diz respeito ao sistema que ele ir analisar, se um *Host* ou um Segmento de Rede*. 1- Quando o Sistema de Deteco baseado em host, dizemos que ele um * HIDS* (Host Instrusion Detection System). Nele, o software IDS instalado na mesma mquina em que se deseja realizar a deteco. Seu princpio de funcionamento est baseado em verificar os: parmetros de utilizao de recursos do sistema; registros de log do sistema operacional e dos aplicativos; registros de auditoria do sistema; nveis de utilizao de CPU e memria; arquivos de sistema; chaves de Registros; portas ativas, entre outros. 2 - Aos sistemas baseados em um segmento de rede se d o nome de *NIDS*(Network Intrusion Detection System) e tm como fonte de eventos pacotes de dados trafegando pela rede, seja de cabeamento fsico ou wireless. Seu princpio de funcionamento est baseado em: verificar eventos intrusivos cujo alvo seja qualquer sistema que esteja no segmento de rede por ele analisado; aplicar mecanismos de proteo especficos para o IDS como, por exemplo, no configurar endereo IP na interface de rede utilizada pelo sensor; colocar a placa de rede do sensor em modo promscuo para capturar todo o trfego na qual ela esteja conectada.

A *localizao* diz respeito forma com que os componentes do IDS iro se relacionar, podendo ser centralizada, hierrquica ou distribuda: *Centralizado*: na arquitetura centralizada, todos os componentes do IDS esto localizados no mesmo equipamento. *Hierrquico*: nesta arquitetura os componentes encontram-se parcialmente distribudos, isto , em equipamentos separados, cada um com sua funo especfica, porm com fortes relaes de hierarquia entre eles. Nesse tipo de arquitetura, tarefas como a tomada de decises fica normalmente concentrada em um nico ponto. *Distribudo*: possui todos os seus componentes espalhados pelo sistema, com relaes mnimas de hierarquia entre eles, no existe centralizao de decises, os componentes trabalham em regime de cooperao para alcanar o objetivo comum de detectar um intruso. Geralmente utilizados na segmentao de links com grande largura de banda, de tal forma que nenhum pacote seja descartado pelos sensores. *Deteco de Intruso Distribuda* *Arquitetura geral:* -*Modulo agente host*: um modulo de coleta de auditoria operando em segundo plano em um sistema monitorado. Sua finalidade coletar dados sobre eventos relacionados segurana do host e transmiti-los para o gerenciador centrar -*Modulo agente monitor da LAN*: Operada da mesma maneira que o modulo agente host, exceto pelo fato de que analisa o trafego da LAN e informa os resultados ao gerenciador central. -*Modulo gerenciador central*: recebe relatrios do monitor da LAN e agentes do host e processa e correlaciona esses relatrios para detectar a intruso. *IDS Comportamento Ps-Deteco* Os IDS podem se comportar de duas maneiras distintas: passiva e ativa. *Passivo*: apenas detecta, mas no barra o ataque; aps deteco, um evento gerado e encaminhado ao gerente, deixando com que o administrador do sistema possa tomar a deciso; Falsos Positivos so interpretados pelo administrador, diminuindo seus efeitos na rede. *Ativo:*ao detectar um ataque, ele prprio, segundo configuraes realizadas pelo administrador do sistema, realizar contramedidas automaticamente; processos automatizados sem a interveno do administrador; Falsos Positivos podem gerar grandes problemas na rede como um todo, tornando-se muito perigoso. *Honeypots* So sistemas de armadilha, planejados para atrair um atacante em potencial para longe dos sistemas crticos. So projetados para: - desviar um atacante do acesso a sistemas crticos - coletar informaes sobre a atividade do atacante

- encorajar o atacante a permanecer no sistema por tempo suficiente para que os administradores respondam 114](Tecnologista Jr - MCT/2008 - CESPE) Na abordagem de deteco estatstica de anomalias, definem-se regras de comportamento a serem observadas para decidir se determinado comportamento corresponde ao de um intruso. ___________ ___________________________________ Minha opinio de que a resposta questo 114 seja errada pois deveria ser usada a* Deteco baseada em regras (ou assinaturas) *pois envolve uma tentativa de definir um conjunto de regras que podem ser usadas para decidir se determinado comportamento o de um intruso. Pode ser usada a deteco de anomalia onde regras so desenvolvidas para detectar o desvio dos padres anteriores ou a identificao de penetrao que uma abordagem por sistema especialista que procura por comportamento suspeito. A abordagem de detecoestatstica de anomalias envolve a coleta de dados relacionados ao *comportamento* de usurio legtimos por um perodo de tempo e no seria eficaz para determinar o comportamento de um intruso.