Comparative Study of the Effectiveness of Intrusion Detection Systems

Transcripción

1 Comparative Study of the Effectiveness of Intrusion Detection Systems ANGÉLICA FLÓREZ ABRIL ÁLVARO ERNESTO ROBLES RINCÓN DAMIÁN FERNANDO PINTO NIÑO

2 Agenda Introducción Información de la Investigación Parámetros de Caracterización Pruebas y Análisis de los IDS Conclusiones

3 Introducción Son realmente los troyanos una amenaza? 5,55 3,32 6,56 6,53 Troyano Virus Gusanos 78,04 Adware Otros Adaptado de :Panda Security.(2012, Julio). Informe trimestral PandaLabs. [Online]. Available: Julio-Septiembre-2012.pdf

4 Información de la Investigación OBJETIVO GENERAL Caracterizar las respuestas de un conjunto de herramientas IDS basado en Host, ante la incidencia de un grupo de troyanos tipo backdoor. OBJETIVOS ESPECÍFICOS Definir los parámetros de caracterización para determinar la eficiencia de las herramientas IDS en la detección de ataques con troyanos. Comparar la forma de respuesta de diferentes tipos de IDS ante el impacto generado por un grupo de troyanos. Seleccionar el IDS apropiado a partir de los resultados obtenidos en la prueba de comparación. Encontrar los patrones comunes que tienen los troyanos detectados y no detectados por el IDS seleccionado.

5 Fundamentación Teórica Herramientas IDS: Qué son? Son herramientas que permiten reconocer posibles intrusiones Arquitectura No existe una arquitectura única

6 Fundamentación Teórica Arquitectura herramientas IDS: Comunicación Unidades de respuestas R-Boxes Análisis de los datos Motor de análisis A-boxes Unidades de almacenamiento D- Boxes Comunicación Generador de eventos E-boxes Recolección de datos Almacenamiento Adaptado de : A. Barrera. García-orea. (2010). Presente y futuro de los IDS. [Online]. Available:

7 Fundamentación Teórica IDS seleccionados: Tomado de :

8 Fundamentación Teórica Troyanos: Qué son? Son malware que intentan pasar como software legítimos Estructura Modulo de seguridad Modulo de daño Modulo de comunicación Arquitectura Cliente servidor

9 Fundamentación Teórica Arquitectura de los troyanos: Víctima Conexión Directa Servidor INTERNET Ciber-delincuente Conexión Inversa Cliente Adaptado de : J. A. Sáez. Muñoz. (2007). Malware. Universidad de Granada. [Online]. Available:

10 Parámetros de Caracterización Parámetros de caracterización para los IDS: PARÁMETRO Peso (%) Registros en el sistema 25 Llaves de registro. 10 Conexiones exitosas hacia el agente/cliente 15 Checksum 15 Falsos positivos 4 Ausencia de falsos negativos 9 Detección de rootkit 7 Carpetas por omisión 6 Algoritmo hash 5 Frecuencia de escaneo 4 TOTAL 100

11 Parámetros de Caracterización Categorías de clasificación del IDS de acuerdo al rendimiento: Categoría Rango de valores/puntaje Clasificación EXCELENTE BUENO REGULAR MALO

12 Parámetros de Caracterización Ejemplo de formato rúbrica: Categoría PARÁMETRO Aspecto 1 Aspecto 1.1 Aspecto 1.2 Aspecto Rango de valores Aspecto 2 Aspecto 2.1 Aspecto 2.2 Aspecto Aspectos a evaluar

13 Parámetros de Caracterización Rúbrica: LLAVES DE REGISTRO Reconoce solo Reconoce solo la la creación de modificación llaves de de llaves de registro registro Reconoce la creación y modificación de llaves de registro. No reconoce la creación ni modificación de llaves de registro CONEXIONES EXITOSAS No reconoce Reconoce Reconoce la conexión conexiones del conexiones derivadas del troyano. troyano ni derivadas del troyano del troyano CHECKSUM 4 1 Reconoce el cambio o modificación del archivo mostrando su Checksum. No reconoce el cambio o la modificación de un archivo por medio de su Checksum

14 Pruebas y Análisis de los IDS Proceso de ejecución de pruebas : Ejecución Clasificación del IDS IDS Computador monitorizado Evaluación por Rúbrica

15 Pruebas y Análisis de los IDS Dificultad en las implementaciones de los IDS: Conocimientos de las herramientas Conocimientos en Linux Incompatibilidad entre distribuciones Actualización del servidor Prelude

16 Pruebas y Análisis de los IDS Dificultad en las implementaciones de los troyanos: Inconvenientes en la conexión del troyano Múltiples formas de modificar un malware

17 Pruebas y Análisis de los IDS Conclusiones de OSSEC Conclusiones de Snort Conclusiones de Sguil Conclusiones Prelude

18 Pruebas y Análisis de los IDS Puntaje y clasificación final de los IDS: Categoría Puntos Herramienta IDS Clasificación 3 69, , ,5 2 31,5 Prelude OSSEC Sguil Snort BUENO BUENO REGULAR REGULAR

19 Pruebas y Análisis de los IDS Modificación de malware: No existe un único método Generalmente se realiza en modo prueba y error La modificación de un malware posiblemente no funciona para otro malware Utilización de crypters

20 Pruebas y Análisis de los IDS Funcionamiento del crypter: Archivo.exe Archivo cifrado y cargado CRYPTER en memoria Adaptado de : J.M. Aquilina and E Casey Malware Forensics: Investigating and Analyzing Malicious Code. United States of America: Syngress, 2008, pp

21 Pruebas y Análisis de los IDS Ventajas del crypter: Cifra el código No cambia la funcionalidad del archivo.exe Carga el archivo.exe en memoria Ofusca el código

22 Pruebas y Análisis de los IDS Diferencia de firmas:

23 Pruebas y Análisis de los IDS Conclusiones Prelude : Detección similar de parámetros Mayor detección de Prelude frente al antivirus Diferencias en los puertos del los troyanos

24 Pruebas y Análisis de los IDS Tabla de resultados de las pruebas realizadas a Prelude con los troyanos modificados: Parámetro Puntos obtenidos por Troyano Darkcomet Spy-Net Poison Ivy Bifrost Registros en el sistema 21,25 21,25 21,25 21,25 Llaves de registro Conexiones exitosas hacia el agente/cliente Checksum Falsos positivos Ausencia de falsos negativos 4,5 4,5 0 4,5 Detección de rootkit Carpetas por omisión Algoritmo hash Frecuencia de escaneo Valores obtenidos por Prelude 69,75 69,75 52,05 69,75

25 Conclusiones Importancia de los IDS en la seguridad informática Complejidad de los IDS Integración de diversos IDS Identificar debilidades y fortalezas de los IDS frente a los troyanos

26 Referencias Panda Security.(2011, Junio). Informe trimestral PandaLabs. [Online]. Available: Microsoft. (2011, Junio). What Is the Security Intelligence Report. 11 vol. [Online]. Available: Statcounter. (2011). Top 5 Operating Systems from January to December [Online]. Available: The Information Assurance Technology Analysis Center (IATAC). (2009, Septiembre). Intrusion Detection Systems. N 6. [Online]. Available: J. A. Sáez. Muñoz. (2007). Malware. Universidad de Granada. [Online]. Available: K. Lai y D. Wren. (2010, Enero). Internet Security Products Performance Benchmarking. [Online]. Available: A. Barrera. García-orea. (2010). Presente y futuro de los IDS. [Online]. Available: R. Gerhards. (2009, Agosto). The BSD syslog Protocol. [Online]. Available: Trend Micro. (2010). OSSEC Architecture. [Online]. Available: