A Graph Based Toward. Pilar Holgado Ortiz

Transcripción

1 A Graph Based Toward Network Forensics Analysis Pilar Holgado Ortiz

2 Objetivo Mecanismo de análisis Lograr buena cobertura y precisión en grupos de ataque Extracción de escenarios con menos dependencia del conocimiento exhaustivo de vulnerabilidades Modelo de grafo de evidencias Facilitar la presentación de evidencias Razonamiento automático 1

3 Introducción Evidencias primarias información de ataques violaciones de seguridad Datos recogidos por un IDS Evidencias secundarias Representan eventos maliciosos en ciertos contextos Registros de flujo de red 2

4 Arquitectura 3

5 Preprocesamiento: Normalización Formato uniforme de los datos recogidos de sensores heterogéneos Plantillas predefinidas Atributos comunes ID Subject Object Action Time Alertas de intrusión Derivación de IDMEF {AlertID, Classification, SrcIP, DesIP, DetectTime, HyperID} Formato Cisco netflow {FlowID, SrcIP, DesIP, SrcPort, Desport, StartTime, EndTime, Protocol, ByteCount, ServiceType} 4

6 Preprocesamiento: Agregación Reducir redundancia Alertas duplicadas Combinar alertas con el mismo origen-destino Mismo tipo de ataque Dentro de una ventana de tiempo Formato Límite del intervalo T. {HyperID, Classification, SrcIP, DesIP, StartTime, EndTime, Count}. Variaciones Nivel de abstracción: Evaluación de la clasificación del ataque Coger clasificaciones conocidas como CVE Agregación adaptativa de contexto. 5

7 Modelo del grafo de evidencias Cada nodo representa una subject u object. Etiquetas nodos (LN) ID Estados ={Attacker, Victim, Stepping Stone, Affiliated} Marcas de tiempo Valor del activo que representa Etiquetas arcos Peso (gravedad alerta) w(e) [0,1] Relevancia r(e) 0 falsos positivos y no relevantes positivos. 0,5 No capaz de verificar 1 positivos relevantes Importancia h(e) = max(v src, V dst ), V src -> nodo origen, V dst->nodo destino Prioridad del arco p(e) = w(e) r(e) h(e). 6

8 Razonador jerárquico Razonamiento local: Análisis funcional Inferir en los estados funcionales de una entidad Información del nodo y vecinos Rule-Based Fuzzy Cognitive Maps (RBFCM) Estados Reglas if-then Influencia total en el intervalo [0,1] Ejemplo If Back Orifice is detected on host n Then Victim state of n is highly activated. If attack of weight w initiates from host n Then Attacker state value of n is increased by w. C constante 7

9 Razonador jerárquico Razonamiento global: Análisis estructural Seed Generation Nodos iniciales perspectiva funcional host externos con estado Attacker a nivel alto (búsqueda hacia delante) Host dentro del dominio con estado Stepping Stone nivel alto (búsqueda hacia atrás) Perspectiva estructural Medir la importancia del nodo eigenvector centrality metric» Número de aristas y su importancia - A matriz de adyacencia del grafo de evidencia - lamba una constante. 8

10 Razonador jerárquico Razonamiento global: Análisis estructural Expansión del grupo Correlación de los vecinos con el nodo inicial» s= nodo inicial» t= nodo vecino» E(s,t) = arcos entre los nodos Sólo vecinos que difieran en: Fase de ataque: Reconocimiento, intrusión, Vulnerabilidad: Distintos tipos de ataque con el mismo objetivo. Grafo de correlación con peso 9

11 Razonador jerárquico Prueba interactiva de hipótesis Construcción del grafo de evidencias a partir de evidencias secundarias basadas en Asociación: actividades benignas junto con maliciosas pueden ser sospechosas Clasificación: Dar más importancia a ciertas clases de eventos que otros Tiempo: Limitaciones temporales 10

12 Resultados Snort (sensor IDS) Softflowd (trazas TCPDUMP) y OSU Formato NetFlow Base de datos MySQL Razonador global y local desarrollado en Perl Interfaz basada en LEDA Conjuntos públicos de intrusiones MIT Lincoln Lab DARPA Proporcionado por ARDA Metricas de evaluación -Correlación falsa -Incluir host no relacionados en el ataque -Rol mal clasificado -Falta de correlación -Host implicado en el ataque no se correlaciona dentro del grupo. 11

13 Escenario de ataque Attacker: Stepping Stone 1: Stepping Stone 2: Victim: Ftp Relay: Attacker Stepping stone 1 Resultados 2. Herramienta de ataque cargada desde FTP Relay a Stepping stone 1 3. Stepping Stone1 Stepping Stone 2 Herramienta de ataque cargada desde FTP Relay a Stepping stone 2 4. Stepping stone 2 buffer overflow Victima Herramienta backdoor es cargada desde FTP Relay a la Victima 12

14 Preproceso Agregación T=60s. Resultados 13

15 Resultados Razonamiento local Razonamiento Global 14

16 Conclusiones El modelo de grafo de evidencias proporciona un soporte integrado para presentación de evidencias, manipulación y análisis semiautomático El procedimiento de prueba de hipótesis ayuda a reconocer actividades de atacantes desde evidencias secundarias. 15