Comprehensive Review: Intrusion Detection System and Techniques

Autores: Sheenam,Sanjeev Dhiman

Necessidade de um IDS: Devido a ataques ocorridos em sistemas por intrusos,

causando perdas financeiras, sociais e quebras de confidencialidade, integridade e
disponibilidade. Ent�o existe a necessidade do uso de um IDS para gerenciar esses
problemas previnindo esses tipos de perdas. Firewalls previnem o sistema de ser
acessodos por ataques malicios, por�m atualmente existem ataques mais sofisticados
que passam pelo firewall, ent�o IDS's s�o usados para detectar todos os tipos de
ataque acontecendo na rede.

Intrusion Detection System : Sistema de detecc�o de intrus�o � usado para alertar

administradores do sistema sobre os sinais de uma possivel intrus�o. Entrega
informa��es sobre alguma quebra de confidencialidade, integridade e disponibilidade
para algum recurso critico da organiza��o. Firewalls s�o usados para previnir o
acesso n�o autorizado ao sistma, mas firewalls n�o s�o eficientes quando o ataque
j� ocorreu. Esses ataques podem ser feitos por proprios funcionarios insatisfeitos
que tenham acesso a rede e queiram causar algum prejuizo ao sistema. Hoje,
tecnologias wireless s�o usadas em todos os lugares
tornando os ataques mais faceis dos que feitos para redes wired (cabeadas). Exitem
dois tipos de IDS:
-> Host based IDS:
Em HIDS, se monitora o comportamento do host. Se examina todas as atividades da
rede onde aquele host se encontra. HIDS detectam se os recursos est�o sendo usados
e quais programas est�o acessando tais recursos. Se alguma modifica��o acontecer na
rede, alertas sao enviados para o administrador da rede.
-> Network based IDS:Nos NIDS, os pacotes verificados s�o todos que passam pela
rede. NIDS possuem alguns modulos que s�o: forma��o de atributos, estagio de
observa��o, estagio de espionagem. No FORMA��O DE ATRIBUTOS: o sistema alvo �
inspecionado com maneiras pr�-definidas. No ESTAGIO DE OBERSAVA��O: dependendo do
NIDS pode ser feito de formas diferentes, automaticamente ou manualmente. No
ESTAGIO DE ESPIONAGEM o sistema � modelado com um trafego esperimental.
* Categorias de detec��o:
** ASSINATURA: � uma tecnica que detecta intrus�es predefinidas, padr�es aprendidos
de ataques passados. Atrav�s de ataques conhecidos ou dados compartilhados a
assinatura do tipo de ataque pode ser indentificado. Um exemplo � considerarmos um
guarda que verifica as credenciais antes de deixar alguem em entrar em certo local,
esse guarda possue tamb�m uma base de dados com pessoas em que ele n�o pode deixar
entrar, por�m se a foto de alguma pessoa m� intencionada n�o estiver em sua base de
dados ele a deixar� entrar. A desvantagem de uma detec��o por assinatura � que n�o
� capaz de detectar novos tipos de ataque.
** ANOMALIA: detecta comportamentos estranhos e anormais no sistema. Primeiramente
cria um perfil de atividades normais. Se uma atividade normal excede os seus
limites entao � considerado um tipo de intrus�o. Qualquer desvio ou ultrapasse de
limites que demonstrem um comportamento anormal. Usando o mesmo exemplo do guarda
seria uma pessoa que n�o tem sua foto na base de dados do guarda ent�o ele n�o a
deixa entrar por n�o a conhecer. A vantagem da detec��o por anomalia � que est� �
capaz de detectar ataques maliciosos desconhecidos. E dentro desse tipo de detec��o
existem alguns alertas:
*** Falso Negativo: IDS falha no atividade de examina��o, os resultados s�o
negativos, mas eles realmente n�o s�o. � uma intrus�o, mas n�o anormal.
*** Falso positivo: IDS traz resultados positivos, mas na verdade eles n�o s�o. �
uma intrus�o, mas n�o anormal.
*** Positivo falso: IDS traz resultados negativos. N�o existe nenhuma intrus�o e
n�o � anormal.
*** Positivo verdadeiro: IDS traz resultados positivos. � uma intrus�o e � anormal.

------- Link do documento completo em ingl�s: http://www.iosrjournals.org/iosr-

jce/papers/Vol18-issue4/Version-3/C1804032025.pdf