Rozproszony audyt systemów unixowych

Transkrypt

Piotr Sasak, Wojciech Śronek
prowadzący: prof. dr. hab. inż. Jerzy Brzeziński
1. System wykrywania włamań (Intrusion Detection System)
2. Architektury rozproszonych IDS
3. Układ immunologiczny, odpornościowy
4. Model sztucznego układu immunologicznego ( Kim, Bentley )
5. Model sztucznego układu immunologicznego ( Homfrey, Forrest )
6. AIIDS (Artificial Immune Intrusion Detection System)
7. Technologia i narzędzia
Seminarium 2004 – PP, SKiSR
1
System wykrywania włamań
Mechanizmy audytu monitorują, rejestrują zdarzenia, dokonują ich
przeglądu, oceny w celu wykrycia ewentualnych zagrożeń, ataków.
„Wykrywanie włamań jest to proces identyfikowania i reagowania na
szkodliwą działalność skierowaną przeciw zasobom informatycznym i
sieciowym.”
Edward Amoroso “Wykrywanie intruzów”
2
Podział systemów wykrywania włamań
- sieciowe systemy wykrywania włamań ( network-based IDS )
- monitorowanie, analizowanie pakietów sieciowych
- monitorowanie, analizowanie natężenia ruchu
- monitorowanie, analizowanie wykorzystania usług, protokołów
sieciowych
- itp...
- komputerowe systemy wykrywania włamań ( host-based IDS )
- monitorowanie, analizowanie połączeń, logowań do systemu
- monitorowanie, analizowanie działania użytkowników ( super
użytkownika )
- monitorowanie, analizowanie stanu plików, rejestrów
- itp...
3
Metody wykrywania włamań
- przetwarzanie raportu audytu
- przetwarzanie na bieżąco
- profile normalnego zachowania
- sygnatury nienormalnego zachowania
4
Problemy wykrywania włamań
- poprawne alarmy ( ang. true positives )
- fałszywe alarmy ( ang. false positive )
- brak wykrycia ( ang. false negative )
5
Dlaczego rozproszony IDS?
- monitorowanie bezpieczeństwa w wielu segmentach sieci
( np: sieci całej korporacji )
- agregowanie informacji pochodzących z różnych elementów IDS
- globalna analiza bezpieczeństwa
- łatwiejsza korelacja danych rozproszonych
( np: intruz zgaduje hasła na większości chronionych komputerów )
- przyspieszona reakcja
( np: zatrzymanie propagacji robaka w sieci )
6
Podział architektur rozproszonych IDS
1. Monolityczna
- centralny punkt
- skalowalność
2. Hierarchiczna
+ kilka centralnych punktów (hierarchia)
+ podział pracy
- zmiana topologi oznacza zmiana hierarchi
3. Kooperatywna
+ brak centralnych punktów
- wysokie obciążenie sieci
- wiele elementów analizujących
7
AAFID ( Autonomous Agents For Intrusion Detection )
8
Agent
- jest to niezależny proces
- monitoruje określony aspekt bezpieczeństwa na chronionym
węźle
- raportuje o nadzwyczajnych sytuacjach przekaźnikowi
- agent może wymagać informacji od innych agentów
( komunikacja )
- nie komunikuje się bezpośrednio z innymi
( przekazuje jedynie wszystkie informacje do przekaźnika )
- ich praca może być wstrzymywana, uruchamiana
- nie generuje alarmu
9
Przekaźnik
- kontroluje działanie agentów na danym węźle, w tym
( rozpoczyna i kończy pracę odpowiednich agentów )
- utrzymuje ścieżki między agentami na węźle
- otrzymuje raporty generowane przez agentów na węźle
- przetwarza informacje z raportów, dokonuje ich analiz
- rozprasza informacje do różnych agentów lub monitora
- jest interfejsem wewnętrznym dla każdego węzła
- odpowiada na żądania monitora dostarczając mu
odpowiednich informacji
10
Monitor
- stanowi interfejs dla grupy agentów umieszczonych na
różnych węzłach
- otrzymuje i przetwarza raporty ( przeanalizowane i
zredukowane lub nie ) od przekaźników
- kontroluje przekaźniki
- wykonuje korelacje zdarzeń pochodzących z różnych węzłów
- posiada funkcje umożliwiające komunikacje z interfejsem
użytkownika
- stanowi punkt dostępu do części lub całego systemu AAFID
11
AAFID (Autonomous Agents For Intrusion Detection)
The Center for Education and Research in Information Assurance
and Security (CERIAS)
Purdue University ( http://www.cerias.purdue.edu/ )
12
Inne przykłady architektury
DIDS – Distributed Intrusion Detection System
- architektura monolityczna
- punkt centralny ( system analizujący rekordy audytu )
- host monitor
( śledzenie sesji użytkownika, agregowanie anormalnych
zachowań, ... )
- LAN monitor
( obserwacja ruchu sieciowego, stosuje profile oczekiwanego
ruchu, ... )
GrIDS – Graph-based Intrusion Detection System
- architektura hierarchiczna
- graf aktywności sieciowej
13
Twoj system odpornościowy – niedościgniony wzór
- po co nam system odpornościowy(immunologiczny)?
Ludzie mający zespół AIDS doskonale znają odpowiedź na to pytanie :(
System ten umożliwia wykrywanie i niszczenie obcych ciał atakujących organizm. Odporność zależy od
zdolności rozpoznawania elementów własnego organizmu i elementów obcych. Immunolodzy określają to mianem
rozróżniania miedzy “swoim” a “obcym” (ang. self i nonself). Możliwość takiego właśnie rozróżniania jest możliwa
dzięki biochemicznej niepowtarzalności każdego organizmu. Na powierzchni wszystkich komórek znajdują się
makrocząsteczki o charakterystycznej konfiguracji, unikalnej dla każdego gatunku ale i dla każdego osobnika.
Organizm “zna” swoje makrocząsteczki i “rozpoznaje” cząsteczki pochodzące z zewnątrz jako obce. Gdy bakteria
atakuje organizm zwierzęcy, owe makrocząsteczki pobudzją mechanizmy obronne. Sybstancja, która wyzwala
odpowiedź immunologiczną, nazywa jest antygenem. Przykładem antygenów mogą być białka, RNA, DNA.
“Biologia” Villee
14
- co to jest antygen i przeciwciało?
Antygen - jest to każda substancja, która ma zdolność wywoływania odpowiedzi odpornościowej
(immunologicznej) organizmu i reagowania z produktem tej odpowiedzi – przeciwciałem .Zdolność
wywoływania odpowiedzi immunologicznej antygenu nazywa się immunogennością. Może ona być
odmienna dla różnych rodzajów antygenów. W normalnych warunkach układ odpornościowy człowieka
rozpoznaje jako antygeny tylko substancje obce, czyli takie, które nie są składnikami strukturalnymi jego
tkanek.
Przeciwciała (immunoglobuliny) - są to substancje białkowe wytworzone przez organizm człowieka pod
wpływem antygenów. Mają one zdolność reagowania z antygenem – tzn. że poszczególne przeciwciała
łączą się jedynie ze ściśle określonym antygenem. Przeciwciała są wydzielane przez limfocyty (tzw.limfocyty
B) i znajdują się w osoczu krwi.
15
- rodzaje odporności: swoista, nieswoista
Odporność nieswoista (niespecyficzna lub wrodzona) zapobiega wnikaniu patogenów (czynników
chorobotwórczych) do wnętrza ustroju i szybko niszczy te, które pokonały bariery obrony zewnętrznej.
Odporność nieswoista obejmuje mechaniczne i chemiczne bariery przeciwko patogenom. Np fagocytowanie
atakujących bakterii, pot, łój zawierające bakteriobójcze związki chemiczne wobec niektórych rodzajów
bakterii, lizozym, enzym atakujący ściany niektórych komórek bakteryjnych, kwaśne wydzieliny i enzymy
żołądka.
Odporność swoista (specyficzna lub nabyta) jest bardzo precyzyjna i wydajna. Jej zadaniem jest
rozpoznawanie i zwalczanie specyficznych antygenów związanych z określonymi patogenami. Mechanizmy
odporności swoistej nazywane są wspólnie odpowiedziami immunologicznymi. Dwa zasadnicze rodzaje
odporności swoistej to odporność komórkowa warunkowana przez komórki) oraz odporność humoralna
(warunkowana przez przeciwciała). U wyższych zwierząt odporność organizmu obejmuje również tzw pamięć
immunologiczną, która polega na wzroście efektywności niszczenia patogenów w razie ich powtórnej inwazji.
16
17
Najważniejsze komórki
układu odponościowego.
- limfocyty i fagocyty:
Istnieją dwa główne rodzaje limfocytów: limfocyty T(komórki T) i limfocyty B(komórki B). Limfocyty
T podobnie jak makrofagi i limfocyty T pochodzą z pierwotnych komórek macierzystych szpiku kostnego, tzw
komórek pnia. Komórki T dojrzewają w grasicy; stąd też ich nazwa (łac. thymus – grasica). W grasicy
dochodzi do różnicowania się limfocytów i tam też stają się one immunologicznie kompetentne czyli zdolne
do odpowiedzi immunologicznej. Limfocyty T warunkują odporność komórkową. Reagują one na specyficzne
antygeny na powierzchni komórek zaatakowanych przez wirusy lub inne patogeny. Limfocyty B
odpowiedzialne są za odporność humoralną, warunkowaną przez przeciwciała. U większości ssaków komórki
B dojrzewają w szpiku kostnym. Każdy z milionów powstających limfocytów B ma specyficzną zdolność do
wiązania określonych antygenów.
Makrofagi niszczą komórki bakteryjne, lecz na powierzchni komórki makrofaga pozostają fragmenty
bakteryjnych antygenów. Ten fragment jest konieczny do aktywacji limfocytów T. Makrofagi pełnią funkcję
komórek prezentujących antygen, które “eksponują” bakteryjne antygeny.
18
Główny układ zgodności tkankowej. (I)
- główny układ zgodności tkankowej umożliwia rozpoznanie
elementów własnego organizmu:
Czynnikiem, który pozwala kręgowcom rozróżniać miedzy elementami własnego organizmu a
organizmami chorobotwórczymi jest grupa markerów białkowych znanych jako główny układ zgodności
tkankowej (MHC, od ang. major histocompatibility complex). Markery te znajdują się na powierzchni każdej
komórki i różnią się nieznacznie u różnych osobników. U człowieka zespół tych markerów nosi nazwę układu
zgodności tkankowej człowieka lub grupy ludzkich antygenów zgodności tkankowej (HLA od ang. human
leukocyte antigen). Skład ludzkiego MHC jest cechą dziedziczną. Wyróżnia się trzy klasy MHC.
19
Główny układ zgodności tkankowej . (II)
- odporność humoralna - broń chemiczna:
Makrofagi prezentują na swej powierzchni fragmenty antygenu komórki patogennej. Obcy antygen
tworzy kompleks z druga klasą MHC i ten właśnie kompleks jest rozpoznawany przez limfocyty B.
Uaktywnione limfocyty B rosną, a gdy osiągną dostateczne rozmiary następuje seria podziałów mitotycznych
i powstaje klon identycznych komórek. Ta seria podziałów komórkowych w odpowiedzi na specyficzny antygen
nazywana jest selekcją klonalną. Niektóre nowe powstałe komórki tworzą komórki plazmatyczne, które
wydzielają przeciwciała. Niektóre spośród uaktywnionych limfocytów B nie różnicują się w komórki
plazmatyczne, lecz stają się komórkami pamięci immunologicznej. Produkują one przeciwciała długo po
pokonaniu infekcji. Gdy te same patogenny zaatakują ponownie to krążące przeciwciała w krwi gotowe są do
podjęcia obrony.
20
Główny układ zgodności tkankowej . (III)
Rycina 43-7 Prezentuje schemat produkcji przeciwciał.
21
Kompleks antygen -przeciwciało.
- Kompleks antygen -przeciwciało aktywuje inne mechanizmy
obronne:
Przeciwciała rozpoznają patogeny jako elementy obce, po wiązaniu się z antygenem na powierzchni patogena.
Często kilka przeciwciał wiąże się z kilkoma antygenami tworząc zbitą masę kompleksów antygenprzeciwciało. Kompleksy te aktywują kilka mechanizmów obronnych:
- kompleks może unieczynnić patogeny lub neutralizować ich działanie toksyczne,
- kompleks stymuluje proces fagocytozy komórek patogennych przez makrofagi i leukocyty
obojętnochłonne.
- niektóre przeciwciała mają białka dopełniacza, które czynnie będą niszczyły patogeny.
22
Kompleks antygen -przeciwciało.(II)
23
Ogromna różnorodność przeciwciał.
Układ odpornościowy rozpoznaje każdy antygen, nawet taki który nigdy dotąd w dziejach
ewolucji gatunku nie był rozpoznany. Taka sytuacja jest możliwa dzięki temu, że w limfocytach B
podczas ich dojrzewania tworzone są geny kodujące przeciwciała. Geny te tworzone są z fragmentów
genów składających się na całe DNA. Dzięki takiemu podejściu możliwa jest ogromna liczba
kombinacji. Dodatkowym czynnikiem zwiększającym różnorodność przeciwciał jest ogromna częstość
mutacji w obrębie zmiennych segmentów DNA. Te somatyczne hipermutacje dają początek genom,
które kodują podobne przeciwciała, lecz nieznacznie różniące się powinowactwem wobec antygenów.
Patrz rycina 43-10.
24
Pierwotna i wtórna odpowiedź immunologiczna.
Pierwszy kontakt z antygenem wywołuje pierwotną odpowiedź immunologiczną.W osoczu krwi zwierzęcia
przeciwciała pojawiają się w ciągu od 3 do 14 dni. Powtórne podanie tego samego antygenu nawet po latach wywołuje
wtórną odpowiedź immunologiczną.Ż ywot komórek pamięci, które noszą informacje o spotkaniu tego antygenu
trwa tak długo jak długo trwa żywot organizmu.
25
Model sztucznego układu immunologicznego ( Kim, Bentley )
- architektura całkowicie rozproszona
- samoorganizowanie się systemu
- efektywność
26
- ewolucja biblioteki genów
- negatywna selekcja
- selekcja klonalna
27
28
Gen
- pole profilu ruchu sieciowego
- typ protokołu
- zakres portów
- liczba pakietów danego typu
- czas pomiędzy pakietami
- czas trwania połączenia
- zależności statystyczne
- stosunek natężenie ruchu do pory dnia
- stosunek pakietów SYN i FIN dla połączenia TCP
Detektor
- zbudowane z genów, z biblioteki genów
29
Biblioteka genów
- zawiera wszystkie możliwe geny
- zbudowana z klastrów
30
Ewolucja biblioteki genów
- gen z biblioteki genów posiada wartość “fitness”
- geny mutują
( np: zmiana zakresów, scalanie wartości, itd... )
- detektor budujemy na zasadzie losowania odpowiednich genów
z poszczególnych klastrów
- problem: odpowiednie dobranie najtrafniejszych genów
31
Negatywna selekcja
- tworzony jest profil poprawnego ruchu ( automated profiler )
- pre-detektor pasujący do profilu normalnego ruchu odpada
- pre-detektor nie pasujący staje się detektorem dojrzałym
- uaktualnienie biblioteki genów z wykorzystaniem genów
dojrzałego detektora
( ewolucja biblioteki genów )
- dojrzałe detektory trafiają na odpowiednie węzły
32
Selekcja klonalna
- detektory, które się nigdy nie dopasowały zanikają
- detektory, które się dopasowały stają się detektorami
pamięciowymi
- klonowanie detektorów pamięciowych
- przesłanie klonów na inne węzły
33
Reakcja
- poziom ryzyka na każdym węźle
- przykroczenie pewnego poziomu ( tylko, w krótkim odstępie
czasu ), sygnalizacja wystąpienia sytuacji anormalnej
34
Podsumowanie
- błąd węzła, nie przyczyni się do awari całego systemu IDS
- w razie awari primary IDS, możliwa odbudowa biblioteki genów
- intruz nie pozna do końca opisu anomali przez detektory
- jeden detektor może opisywać wiele anomali, nadużyć
- dodanie nowego węzła ( nowy proces, nowy zestaw detektorów )
- z czasem detektory stają się coraz sprawniejsze
- samoorganizacja ( ewolucja biblioteki genów )
35
Model sztucznego układu immunologicznego ( Hofmeyr, Forrest )
- pomysł Stevena A. Hofmeyr'a i S. Forrest (Uniwersytet Nowy
Meksyk)
- wprowadzenie: rozrożnianie self i nonself
- model negatywnej detekcji
- zastosowanie modelu do problemu wykrywania włamań
36
- wzorowanie się na ludzkim systemie odpornościowym:
używanie sygnatur i wykrywania anomalii
- pożadane cechy systemu ID:
rozproszona ochrona,
różnorodność systemów ID,
trwałość,
możliwość adaptacji,
zdolność pamięci,
empirycznie wyznaczana polityka bezpieczeństwa,
elastyczność,
skalowalność,
wykrywanie anomalii
37
Detekcja jako konsekwencja dopasowania:
38
Problem: false positives i false negative
39
Pojedyńczy detektor jest modelem limfocytu a wiązanie jest
modelowane jako częściowe dopasowanie stringów, detektor to
binarny string o określonej długości l:
- stosowanie odległości Hamminga
40
- algorytm negatywnej selekcji (I):
41
- algorytm negatywnej selekcji (II), cykl życia detektora:
42
- algorytm negatywnej selekcji (IV) – problem dziur
- brak dopasowań tworzy dziury:
- ilość dziur zależna od r i l
43
- jedno z rozwiązań problemu dziur to tzw. substring hashing.
Polega to na podziale detektota na podstringi, przetasowaniu ich i
złożeniu w jeden string.
44
- założenie dla działającego systemu:
l=49, analiza pakietów tcp SYN i modelowanie ruch sieciowego w
trójki( adres źródłowy i docelowy, numer portu docelowego)
podstawowa reprezentacja:
45
Podsumowanie:
- ciekawy ale i wymagający pomysł
- dobry temat na pracę magisterską a może i doktorat ;)
- wady: dużo niejasności w modelu teoretycznym, duże
wymagania co do skuteczności działania, problemy w
efektywnej realizacji pomysłu :(
46
AIIDS ( Artificial Immune Intrusion Detection System )
Architektura systemu
47
Technologie i narzędzia
1. Przechwytywanie pakietów
– biblioteka Libpcap ( www.tcpdump.org )
2. Komunikacja między węzłami
- IDMEF ( Intrusion Detection Message Exchange Format )
(http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-11.txt)
- biblioteka Libidmef ( http://sourceforge.net/projects/libidmef )
- IDXP ( Intrusion Detection Exchange Protocol )
(http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt)
- biblioteka RoadRunner ( http://rr.codefactory.se )
48
Bibliografia
[1] J. Stokłosa, T. Bilski, T. Pankowski “Bezpieczeństwo danych w systemach informatycznych” PWN
[2] Edward Amoroso „Wykrywanie Intruzów” SIECI
[3] Solomon, Berg, Martin, Villee „Biologia” Multico
[4] Jai sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David Isacoff, Eugene Spafford, Diego Zamboni „An
architecture for Intrusion Detection using Autonomous Agent” Center for Education and Research in Information
Assurance and Security.
[5] Steven R. Snapp, James Brentano, Gihan V. Dias, Terrance L. Goan, L.Todd Heberlein, Che-Lin Ho,Karl N.Levitt,
Biswanath Mukherjee, Stephen E. Smaha, Tim Grance, Daniel M.Teal and Doug Mansur „DIDS ( Distributed Intrusion
Detection System ) - Motivation, Architecture and An Early Prototype” Computer Security Labolatory Division of
Computer Science Univeristy of California, Davis.
[6] S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip, D. Zerkle
„GrIDS Graph based intrusion detection system for large networks” Department of Computer Science, University of
California, Davis
[7] Jungwon Kim, Peter Bentley „An Artificial Immune Model for Network Intrusion Detection” Department of
Computer Science, University Collge London
[8] Jungwon Kim, Peter Bentley „Towards an Artificial Immune System for Network Intrusion Detection: An
Investigation of Clonal Selection with Negative Selection Operator” Department of Computer Science, University
Collge London
[9] Stephanie Forrest, Steven A. Hofmeyr, Anil Somayaji „Computer Immulogy” Department of Computer Science,
University of New Mexico
[10] Stephanie Forrest, Steven A. Hofmeyr „Architecture for an Artificial Immune System” Department of Computer
Science, UNM, Albuquerque.
49

Rozproszony audyt systemów unixowych

Transkrypt

Podobne dokumenty

ISO 14001, EMAS III - Główny Instytut Górnictwa

„Ochrona środowiska w przedsiębiorstwie na przykładzie Linde Gaz

jak zarządzać firmą, aby odnieść sukces na szybko

Regionalna oferta wspierania innowacyjności przedsiębiorstw

Jak prowadzić kronikę szkolną, żeby była cennym

Formularz zgłoszeniowy

Promocja polskich technologii IT w Tokio

zaproszenie na seminarium 19 maja po zmianach ci2

zaproszenie

Zaproszenie - „WOM” w Katowicach