Escolar Documentos
Profissional Documentos
Cultura Documentos
^
SURVEY INTRODUÇÃO À GERENCIA DE REDES E
DETECÇÃO DE ANOMALIAS
LONDRINA–PR
2017
SUMÁRIO
1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 ^
ÁREAS FUNCIONAIS DA GERENCIA DE REDES . . . . . 7
5 CONSIDERAÇÕES FINAIS . . . . . . . . . . . . . . . . . . . . 21
^
REFERENCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3
1 INTRODUÇÃO
Entre os principais problemas que podem ocorrer em uma rede podemos listar 37
problemas principais, separando-os de acordo com a camada OSI na qual um determinado
problema ocorre, isto pode ser verificado na Tabela 2.
Tabela 2: Lista dos principais problemas que podem ocorrer em uma rede.
2. Sintomas: são os reflexos do problema que são visı́veis aos usuários, como por exem-
plo, a rede está lenta, a rede não está funcionando;
3. Sinais: são os reflexos internos do problema, isto é, não são visı́veis ao usuário final,
mas visı́veis ao administrador da rede;
4. Testes confirmatórios: indicam os passos que devem ser seguidos para confirmar ou
negar a exist^encia do problema de rede que está sendo apresentado;
∙ Analisador de protocolos
∙ IfConfig e NetStat
Dentro da ger^encia de redes existe a área de segurança, que será foco desta pes-
quisa, mas antes, serão introduzidos alguns conceitos importantes sobre ger^encia de redes.
7
^
2 ÁREAS FUNCIONAIS DA GERENCIA DE REDES
A ger^encia de Redes possui cinco áreas funcionais definidas pela ISO, que são: [1]
∙ 2.1) O primeiro passo ocorre quando algum usuário contata o help desk e reportam
sintomas de um problema. Não é interessante que problemas graves sejam desco-
bertos por usuários da rede, então, o suporte de rede deve sempre se preocupar
10
∙ 2.4) Nesta etapa as hipóteses são levantadas, levando em conta as etapas 2.3. e 2.2.,
a partir dessas hipóteses será possı́vel testá-las e por fim identificar o problema.
∙ 2.5) Nesta etapa, a lista de hipóteses deve ser organizada, separada por camada OSI,
isto é, separada por camada: fı́sica, de enlace, de rede, de transporte e de aplicação. A
ideia dessa organização é identificar uma ordem para testar cada uma das hipóteses.
As hipóteses de problemas da camada fı́sica devem ser testadas primeiro, pois se a
camada fı́sica realmente apresentar um problema, provavelmente as camadas acima
também apresentarão e portanto, se testarmos as outras camadas antes, o resultado
poderá ser falso. Também vale destacar que problemas de uma mesma camada
também devem ser avaliados quanto a ordem de verificação, por exemplo: alguns
testes de verificação de dispositivo de placa de rede envolvem testes de comunicação
com o equipamento remoto, é portanto, mais interessante que o cabo de rede ligado
a esta placa seja testado antes da placa.
∙ 2.6) O teste das hipóteses levantadas consiste em testar cada uma das hipóteses
para descobrir se de fato aquele problema existe ou não. Por exemplo: suponhamos
que uma das hipóteses seja a exist^encia de um cabo rompido que liga um determi-
nado equipamento, basta então realizar a troca desse cabo por outro que funcione e
verificar se o problema foi solucionado. Outro exemplo seria a utilização de alguma
ferramenta de diagnóstico de algo especı́fico da rede, caso seja diagnosticado um
problema em um determinado elemento ou configuração da rede, a etapa seguinte
será realizada.
∙ 2.7) Esta etapa consiste na resolução do problema, como citado no exemplo anterior,
se um cabo estiver rompido, ou algum equipamento estiver queimado, a solução será
trocá-lo, isto é, nesta etapa, todas as medidas necessárias para solucionar o problema
detectado na etapa anterior são tomadas.
11
∙ 2.8) Depois de solucionado o problema, cabe ao gerente da rede testar esta solução,
para verificar se foi feita de maneira correta, se é a mais eficiente, e também para
torná-la efetiva, quando a solução tem caráter paliativo, apenas para “apressar” o
restabelecimento de algum serviço da rede.
Como visto no capı́tulo anterior, existe um processo geral para detecção e resolução
de um problema. Dentro da rede Alguns destes problemas podem causar anomalias ao
tráfego da rede, e cabe ao gerente da rede identificar se estas anomalias foram causadas
por falhas mec^anicas, de configuração, humanas, ou ainda por intrusões (malwares).
As causas por falha mec^anicas consistem na queima ou desgaste de algum equipa-
mento da rede. As de configuração ocorrem devido a algum equipamento mal configurado,
ou modificação na configuração. As falhas humanas, neste contexto, consistem em falhas
causadas pelo uso inadequado da rede, ou por excesso de usuários em uma rede (flash
crowd). E por fim, as falhas causadas por intrusões, que ocorrem quando uma anomalia
é causada por um agente malicioso, como malwares, ataques DoS ou DDoS.
Quando falhas ocorrem por causa de intrusões, é então necessário o acionamento de
uma das cinco áreas funcionais de um sistema de ger^encia de rede: a segurança. Para que
toda a estrutura da rede, bem como os dados e informações que circulam nela continuem
seguros e ı́ntegros, é necessário que exista um sistema de detecção de anomalia, para
verificar se esta anomalia provém de uma intrusão ou não, para que desta forma, as
devidas provid^encias sejam tomadas para resolver o problema.
Como já foi explicado, a detecção de anomalias em uma rede é primordial para
tratar problemas decorrentes de falhas, de más configurações, ou ainda de anomalias
causadas por agentes maliciosos. Para tanto, sistemas de detecção de anomalias foram
criados, a fim de monitorar e tratar possı́veis anomalias na rede.
De uma maneira mais restrita, podemos citar os sistemas de detecção de intrusões
(IPS – Intrusion Prevention System), que nada mais é que um sistema que detecta e trata
apenas anomalias causadas por agentes maliciosos. Com base nisto, podemos diferenciar
anomalia de intrusão. Anomalia é qualquer trecho de tráfego que foge de um padrão
esperado, enquanto que intrusões são anomalias causadas por agentes maliciosos, ou seja,
toda intrusão é uma anomalia, mas nem toda anomalia é uma intrusão.
Os sistemas de detecção de anomalia possuem uma arquitetura geral, que pode ser
visualizada na Figura 2.
14
Como visto anteriormente, as anomalias podem ou não ser causadas por agentes
maliciosos. A seguir serão apresentados os principais tipos de anomalias causadas ou não
por agentes maliciosos.
Anomalias que não possuem agentes maliciosos: [3]
15
∙ Flash Crowd: quando, de forma súbita, uma grande quantidade de usuários, passa
a enviar (não maliciosamente) requisições para um determinado servidor, podendo
fazer com que este interrompa suas operações.
∙ Babbling Node: um nó da rede entra em falha por tempo indeterminado, enviando
pacotes de maneira indiscriminada para vários pontos da rede.
∙ Bugs nos softwares de roteamento: esses bugs ocorrem quando os softwares con-
tidos nos equipamentos de roteamento não foram preparados para tratar pacotes
corrompidos, ou com má formações.
∙ DoS e DDoS: a anomalia do tipo DDoS trata de um ataque realizado por um com-
putador mestre, que escraviza até milhões de computadores (chamados zumbis), a
fim de “derrubar” um determinado alvo e torná-lo indisponı́vel ou inacessı́vel por
um determinado tempo [4], como pode ser visualizado na Figura 3.
Os alvos mais comuns são os servidores web. O objetivo destes “ataques” não é
invadir ou coletar informações de um sistema, mas sim exaurir e causar indisponi-
bilidades ao alvo. Muitas vezes, os donos de computadores escravizados nem tem
16
Para que seja realizada a detecção de uma anomalia existe duas vertentes em que
os sistemas de detecção de intrusões se baseiam: os sistemas baseados em assinatura e os
baseados em anomalias.
A detecção de intrusões baseada em assinaturas compara uma base de dados de
assinaturas de ataques conhecidos e, quando há semelhança entre alguma assinatura e o
dado coletado do tráfego da rede, o alarme é disparado. Um sistema de detecção base-
ado em assinaturas deve ser constantemente atualizado, devido ao surgimento de novas
anomalias. Um sistema baseado em assinaturas apresenta um número baixo de falsos posi-
tivos, porém, pode apresentar uma taxa considerável de falsos negativos, ou seja, sinalizar
tráfego normal quando na verdade há uma anomalia, podendo representar uma brecha na
segurança da rede [6].
A detecção de intrusões baseada em anomalias considera uma anomalia como uma
alteração do tráfego padrão da rede. O sistema constrói uma predição do comportamento
normal da rede (perfil) e utiliza ferramentas, que podem ser matemáticas, estatı́sticas,
17
de intelig^encia artificial, ou outras, para detectar a anomalia [6]. Esta descrição do perfil
normal da rede (predição) é nomeado como DSNSF (Digital Signature of Network Segment
Using Flow Analysis) e é importante para a detecção de anomalias, pois quanto melhor
a predição, mais precisa é a detecção de anomalias, isto é, menor o número de falsos
positivos, e maior a taxa de verdadeiras anomalias detectadas [7].
Os sistemas de detecção de intrusões baseados em anomalias se utilizam de algumas
técnicas para geração de um padrão do tráfego (baseline, DSNSF). Estas técnicas podem
ser divididas nas áreas apresentadas pela Figura 4.
4.3.1.3 Rule-based
Os algoritmos genéticos são algoritmos inspirados pela teoria da evolução, que são:
estratégia evolutiva, que tem ^enfase na auto-adaptação, programação genética, indivı́duos
são armazenados em árvores sintáticas, e programação evolutiva, baseia-se somente em
seleção e mutação. Hamamoto [9] desenvolveu uma técnica de detecção de anomalias em
rede utilizando algoritmos genéticos (GA).
Eskin apud [8] prop^os um modelo misto (Mixture Model), para a detecção de
ruı́dos em dados. Os modelos mistos, de forma geral, dividem os dados em duas classes:
os de pequena probabilidade 𝛼, e os elementos majoritários, de probabilidade 1−𝛼. Ambas
classes possuem uma distribuição de probabilidade, considerando que a distribuição geral
de um conjunto de dados é representada pela letra 𝐷, o grupo de probabilidade alfa
(an^omalo) pela letra 𝐴 e o grupo majoritário (normal) pela letra 𝑀 , temos:
𝐷 = (1 − 𝛼) * 𝑀 + 𝛼 * 𝐴 (4.1)
Segundo afirma Lima [10], wavelets podem ser vistas como mecanismos para de-
compor ou quebrar sinais nas suas partes constituintes, permitindo analisar os dados em
diferentes domı́nios de frequ^encias com a resolução de cada componente amarrada à sua
escala. Alguns dos trabalhos da área foram desenvolvidos por: Azevedo [11], em sua tese
de mestrado, desenvolveu um sistema para detecção de ataques DoS, utilizando trans-
formadas wavelets 2D, Dalmazo et al. [12] desenvolveram um sistema utilizando a teoria
20
de wavelets para a redução de falsos positivos em um sistema inicial que utiliza séries
temporais para a caracterização do tráfego e detecção de anomalia., Gao et al. [13] de-
senvolveram um sistema de detecção de anomalia utilizando wavelets packets, que é uma
generalização do algoritmo piramidal da transformada wavelet tradicional, Dainotti et al.
[14] utilizaram as wavelets de Morlet combinadas com o algoritmo de Somas Cumulativas,
Limthong et al. [15] desenvolveram um sistema para detecção de anomalias utillizando
wavelets com arquitetura dividida em quatro etapas: geração e filtros de séries tempo-
rais, transformada wavelet discreta, verificação se existe ou não anomalia e cálculo de
estatı́sticas.
5 CONSIDERAÇÕES FINAIS
Esta pesquisa trata dos conceitos principais dos Sistemas de detecção de anomalias,
abordando desde os conceitos iniciais de administração de redes, como as técnicas e o
passo a passo para a resolução de problemas em redes, que podem ter origens na área de
segurança, isto é, podem ser problemas derivados de ações de agentes maliciosos, até as
principais técnicas utilizadas nos sistemas de detecção de anomalias, seja para a geração de
baselines (DSNSF) ou para a detecção propriamente dita, em que um tráfego é comparado
ao baseline, e por meio de alguma técnica é realizada a decisão, se há ou não anomalia.
23
^
REFERENCIAS