Dissertação
de Mestrado
Proposta
de um agente de detecção,
análise e contenção de ataques em
ambientes computacionais (ADACA)
Resumo:
Canais seguros, como
os gerados pelos protocolos SSL e TLS, são cada vez mais
utilizados nos serviços
de rede para propiciar autenticação de parceiro,
integridade e sigilo dos
dados. Porém, sua utilização impede
que um sistema de detecção de intrusão
de
rede possa observar o conteúdo dos pacotes, impossibilitando
a análise das
mensagens.
Como alternativa de
contorno deste problema é proposta a arquitetura de um
agente de detecção,
prevenção e contenção de
ataques baseado em aplicação, que possibilite
interceptar fluxos de mensagens diretamente na
aplicação, inserido no contexto
de uma arquitetura de detecção
distribuída e padronizada. O ADACA (Agente de
Detecção, Análise e
Contenção de Ataques) é um agente IDS (Intrusion Detection System)
híbrido capaz de operar tanto no modo
ativo quanto passivo. Dessa forma, permite realizar a
análise do conteúdo de
mensagens que estejam protegidos por protocolos seguros, como o SSL e
TLS, e
adotar uma medida pré-definida antes que a
aplicação alvo processe um conteúdo
malicioso.
Além disso, o padrão
de formato de mensagens de alertas IDMEF (Intrusion
Detection Message Exchange Format), proposto pelo IDWG,
é adotado para
notificação de eventos do agente ADACA a um IDS
central.
Os
resultados obtidos mostraram a viabilidade da
utilização de agentes de
aplicação, acoplados diretamente à
aplicação, como complemento aos sistemas IDS
de rede.