You are on page 1of 47

Captulo

3
Trfego Internet no Desejado:
Caracterizao e Solues

Conceitos,

Eduardo Feitosa1,2, Eduardo Souto2, Djamel Sadok1.


1

Centro de Informtica Grupo de Pesquisa em Redes e Telecomunicaes (GPRT)


Universidade Federal de Pernambuco
Caixa Postal 7851 Recife PE - Brasil
2

Departamento de Cincia da Computao (DCC)


Universidade Federal do Amazonas
69077000 - Manaus - AM - Brasil
{elf, jamel}@cin.ufpe.br, esouto@ufam.edu.br

Abstract
In todays Internet architecture, the unwanted traffic generated by technological trends
in network, new applications and services, and security breaches has affected a large
portion of the Internet. This chapter presents the unwanted traffic universe including
definitions, classification, and the reasons that explain its growth. It also points out the
shortcomings of the existent solutions for detection of unwanted traffic. Lastly, this
chapter presents potential solutions and a list of research topics and open problems on
unwanted Internet traffic.
Resumo
Na atual arquitetura da Internet, o trfego no desejado gerado por tendncias
tecnolgicas em redes, novas aplicaes e servios, e violaes de segurana tem
afetado uma poro cada vez maior da Internet. Este captulo apresenta o universo do
trfego no desejado incluindo definies, classificao e os motivos que explicam seu
surpreendente crescimento. Alm disso, aponta as deficincias das solues existentes e
recentes para deteco de trfego indesejado. Por fim, este captulo apresenta
potenciais solues e enumera temas de pesquisa em aberto sobre trfego no desejado
na Internet.

3.1. Introduo
Uma breve anlise do trfego Internet comprova o crescente aumento no transporte do
trfego considerado desconhecido, no solicitado, improdutivo e muitas vezes ilegtimo,
em outras palavras, trfego no desejado. Originado atravs de atividades como, por
exemplo, mensagens eletrnicas no solicitadas (spam); atividades fraudulentas como
phishing1 e pharming2; ataques de negao de servio (do ingls Distributed Denial of
Service - DDoS); proliferao de vrus e worms; backscatter3, entre outros, o trfego
no desejado pode ser considerado uma pandemia cujas conseqncias refletem-se no
crescimento dos prejuzos financeiros dos usurios da Internet.
Exemplos de perdas financeiras podem ser encontrados em todo o mundo. Em
2006, os prejuzos ocasionados por worms foram de aproximadamente US$ 245
milhes, somente entre provedores de acesso norte-americanos [Morin, 2006]. O
instituto de segurana americano CSI (Computer Security Institute) [Richardson, 2007],
depois de entrevistar 194 empresas nos Estados Unidos, contabilizou perdas superiores
a US$ 66 milhes ocasionadas pelo trfego no produtivo gerado principalmente por
fraudes, vrus, worms, spyware e intruses em 2007. No Brasil, o CERT.br (Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil) contabilizou o
nmero de incidentes relacionados s tentativas de fraude em 45.298 em 2007
[CERT.br, 2008] enquanto que, no mesmo perodo, o CAIS (Centro de Atendimento a
Incidentes de Segurana) da RNP (Rede Nacional de Pesquisa) registrou cerca de 4000
tentativas de fraudes atravs de spam e phishing.
Parte desses prejuzos se deve a ineficincia das atuais solues em identificar,
reduzir e interromper o trfego no desejado. Tipicamente, a efetividade fornecida pelas
solues existentes s percebida aps a ocorrncia de algum dano. Alm disso, a alta
taxa de alarmes falsos e a falta de cooperao com outras solues ou mesmo com a
infra-estrutura de rede so fatores considerados incentivadores do aumento do trfego
no desejado. Como mencionado em [Oliveira et al., 2007], as solues usadas para
detectar e reduzir os efeitos de ataques DDoS tais como filtragem, limitao de banda,
IP traceback e esquemas de marcao de pacotes so difceis de implementar porque
necessitam de mudanas na infra-estrutura da Internet. Ao mesmo tempo, solues
tradicionais como firewall e VPN (Virtual Private Network) so ineficazes contra
cdigos maliciosos e spam.
Outro ponto relacionado ineficcia das atuais solues a definio do que
trfego no desejado. Uma vez que normalmente parte deste tipo de trfego o
resultado de atividades recreativas como o download de msicas e vdeos e jogos online. Como exemplos de aplicaes utilizadas em atividades recreativas podem-se citar:
Emule, Bit Torrent e Kazaa na categoria de aplicaes P2P; Skype, MSN e Google Talk
como aplicaes utilizadas na comunicao instantnea; e Joost e Justin.TV4 como
aplicaes de TV via Internet (em tempo real). Muitas das solues existentes no
reconhecem ou so configuradas para no detectar o trfego gerado por essas atividades.
1

Phishing um tipo de fraude eletrnica caracterizada pela tentativa de obter informaes pessoais
privilegiadas atravs de sites falsos ou mensagens eletrnicas forjadas.
2
Pharming refere-se ao ataque de envenenamento de cache DNS cujo objetivo preparar terreno para
atividades de phishing.
3
Backscatter o trfego recebido de vtimas que esto respondendo a ataques de negao de servio.
4
http://www.justin.tv

3.1.1. Definies
O termo trfego no desejado foi introduzido na dcada de 80 e sempre esteve
relacionado com atividades maliciosas como vrus, worms, intruses e ataques em baixa
escala. J a nomenclatura que o tipifica como qualquer trfego Internet no solicitado,
no produtivo, no desejado e ilegtimo recente.
O trabalho de Pang et al. [Pang et al., 2004] define trfego no desejado como
sendo um trfego no produtivo composto por uma parte maliciosa (causada pelo
trfego de backscatter associado a atividades maliciosas como varreduras por
vulnerabilidades, worms, mensagens de spam, etc.) e uma parte benigna (causada por
m configurao de roteadores, flash crowds, etc.). Soto [Soto, 2005] complementa essa
definio, afirmando que o trfego no desejado tambm pode ser gerado pelo trfego
corrompido devido a rudo ou interferncias em linhas de transmisso da rede.
Em [Xu et al., 2005a], trfego no desejado caracterizado como aquele
malicioso ou no produtivo cuja finalidade comprometer computadores (hosts)
vulnerveis, propagar cdigos maliciosos, proliferar mensagens de spam e negar
servios. Outras nomenclaturas para definir trfego no desejado so: trfego lixo (junk
traffic), trfego de fundo (background) e trfego anormal.
Em linhas gerais, a definio mais genrica sobre trfego no desejado
qualquer tipo de trfego de rede no requisitado e/ou inesperado, cujo nico propsito
consumir recursos computacionais da rede, desperdiar tempo e dinheiro dos usurios e
empresas e que pode gerar algum tipo de vantagem ou benefcio (lucro) para seus
criadores.
Entretanto, no existe um consenso sobre o que ou no trfego indesejado.
Comumente, essa definio depende do contexto em que est localizada e/ou da
aplicao que est sendo utilizada. Por exemplo, a China trata o trfego gerado pelo
SkypeOut5 (especificamente chamadas feitas de computadores para telefones comuns)
como ilegal porque afeta a receita das operadores de telefonia. Seguindo a mesma linha
de raciocnio, provedores de servio Internet, empresas de telecomunicaes, empresas
pblicas e privadas tm limitado o uso de aplicaes peer-to-peer (P2P) alegando que
este tipo de trfego no produtivo e potencialmente empregado para proliferao de
vrus e distribuio de cdigos maliciosos, alm de ferir e quebrar as leis de direitos
autorais. Na linha de aplicaes consideradas proibidas esto IRC (Internet Relay
Chat), sites de relacionamento (Orkut, MySpace, Facebook, entre outros), mensagens
instantneas (MSN, Google Talk, ICQ) e jogos on-line.
3.1.2. Discusses
Trfego no desejado e no solicitado no nenhuma novidade na Internet. No entanto,
nos ltimos 10 anos, este tipo de trfego cresceu de forma surpreendente em volume de
informao e sofisticao, atingindo nveis considerados alarmantes. Mas como explicar
essa exploso? Fatores como a filosofia aberta da Internet (sem centros de controle), a
existncia de uma indstria ilcita por trs da produo e a proliferao de trfego
indesejado, a pouca importncia atribudas s questes de segurana, entre outros
podem ajudar a explicar o significativo aumento do trfego no desejado.

http://www.skype.com

A preocupao com este tipo de trfego tamanha que congressos e workshops


como o SRUTI (Steps to Reducing Unwanted Traffic on the Internet) [SRUTI, 2005],
que desde 2005 vem sendo realizado para discutir os problemas e apresentar novas
solues. At o momento, o evento mais importante nesta rea foi o workshop do IAB
(Internet Architecture Board) sobre trfego no desejado, realizado em Maro de 2006.
Seu objetivo foi o de promover o intercmbio de informaes e experincias entre
operadores, fabricantes, desenvolvedores e pesquisadores. Outro objetivo foi levantar
projetos e tpicos de pesquisa que provavelmente sero geridos pelo IAB, IETF
(Internet Engennering Task Force), IRTF (Internet Research Tack Force) e pela
comunidade no desenvolvimento de solues contra o trfego no desejado. O resultado
do workshop foi descrito na RFC (Request for Comments) 4948 [Anderson et al., 2007]
que relata os tipos de trfego no desejado encontrados na Internet, suas principais
causas, as solues existentes e as aes a serem tomadas para resolver o problema.
3.1.3. Organizao do Captulo
Diante do exposto, torna-se claro que o trfego no desejado apresenta-se como um dos
principais problemas de segurana e que precisa de solues que contribuam para
reduo de seu atual nvel, embora que ainda no seja trivial produzi-las. Quais os tipos
de trfego no desejado esto disponveis na Internet? Qual o objetivo de cada um?
Quais so e onde esto as principais fontes de trfego? O que precisa ser feito para
atenuar os efeitos destes tipos de trfego? Estas perguntas precisam ser respondidas
cuidadosamente se quisermos continuar a utilizar a Internet. Os autores deste minicurso
partilham da opinio de que a descoberta e interceptao precoce do trfego no
desejado o modo mais seguro de garantir danos limitados.
O restante deste captulo est organizado da seguinte forma. A seo 3.2
caracteriza o trfego no desejado apresentando as principais vulnerabilidades da
Internet que permitem sua gerao e proliferao. Alm disso, tambm so descritos os
principais tipos de ataques, atividades e aplicaes relacionados ao trfego indesejado.
Esta seo finaliza com a apresentao de algumas taxonomias. A seo 3.3 apresenta
as solues existentes contra o trfego no desejado. Tais solues so divididas em
tradicionais (por exemplo, firewall, honeypots e ferramentas de medio de trfego) e as
baseadas na anlise do trfego. Em ambos os casos, as vantagens e desvantagens de
cada soluo so comentadas. A seo 3.4 discute solues consideradas potencias e/ou
futuras. Esta seo tem o intuito de apresentar ferramentas, aplicaes e solues
disponveis (implementadas) apontadas como promissoras na conteno do trfego no
desejado, mas cuja implantao exige mudanas na infra-estrutura da Internet ou apenas
vontade e incentivo para faz-la. Alm disso, os autores deste minicurso apresentam
uma nova proposta nesta seo. Por fim, a seo 3.5 apresenta os comentrios finais
sobre o tema e aponta algumas questes em aberto.

3.2. Caracterizao de Trfego no Desejado


A atual estratgia de pesquisa sobre trfego no desejado baseada em trs passos:
i) Adquirir conhecimento sobre as origens e os diferentes tipos de trfego no
desejado;
ii) Avaliar o impacto e a efetividade das solues existentes; e
iii) Desenvolver novas contramedidas eficazes contra o trfego no desejado.

Esta seo foca no primeiro passo, descrevendo as principais vulnerabilidades da


Internet que contribuem para a gerao de anomalias de trfego e ataques a sua infraestrutura. Alm disso, os principais tipos de trfego no desejado so apresentados,
classificados e exemplificados.
3.2.1. Vulnerabilidades e Problemas Conhecidos
O trfego no desejado est presente na Internet desde seu surgimento na forma de
vrus, worms, m configurao de servios, falhas transitrias em dispositivos de rede
como roteadores, ataques DoS e intruses. Esses incidentes eram tipicamente s causados
por erros de operao ou por pessoas (jovens em sua maioria) que tentavam chamar
ateno ou provar suas habilidades para o mundo. O exemplo mais famoso foi o worm
da Internet [Eichin e Rochlis, 1989]. Com o passar dos anos, tais incidentes foram sendo
adaptados e/ou substitudos por atividades abusivas e maliciosas em larga escala (por
exemplo, spam, phishing, etc.).
Existem diversas explicaes para essa evoluo, at certo ponto natural, dos
incidentes e a conseqente massificao do trfego no desejado. Na viso deste
minicurso, os mais importantes so:
1. A natureza aberta (sem controle) da Internet
A Internet uma das poucas plataformas operacionais que funcionam sem
centros de controle. Fato este que acabou contribuindo para seu efetivo sucesso.
Contudo, essa caracterstica impe uma srie de limitaes tcnicas e problemas,
especialmente os relacionados com segurana. A identificao de um atacante
um bom exemplo. Em um ambiente distribudo e diversificado como a Internet,
a tarefa de descobrir um atacante extremamente difcil, visto que a
comunicao pode ser feita entre computadores localizados em qualquer lugar
do mundo. Alm disso, a pilha de protocolos TCP/IP que possibilita essa
comunicao no disponibiliza qualquer mecanismo de auditoria que permita o
acompanhamento das aes realizadas por um atacante. Como resultado, no
existe um limite bem definido sobre o que um computador pode fazer e tambm
no existe qualquer tipo de registro disponvel do que um computador fez
aps um incidente.
2. A veracidade dos endereos de origem
Muitos dos ataques encontrados na Internet caracterizam-se pela existncia de
endereos IP de origem forjados (falsificados). Uma vez que a falta de
controle caracterstica funcional da Internet, cabe a cada elemento da rede que
recebe pacotes com origens questionveis ou desconhecidas decidir se aceita ou
no, sob pena de bloquear trfego requisitado e legtimo ou permitir ataques de
negao de servio. Atualmente, existem Botnets ou redes zumbi que so
formadas por um conjunto de computadores infectados por cdigos maliciosos
que permitem que esses computadores sejam controlados remotamente para a
realizao de diversos ataques. Portanto, a questo vai alm da diferenciao da
veracidade dos endereos IP de origem.
3. O mau uso dos protocolos na Internet
Devido ao fato de sistemas de segurana e firewall bloquearem portas no
usadas, o protocolo HTTP (Hyper Text Tranfer Protocol), usado inicialmente

para acessar sites web, agora constantemente empregado como protocolo de


transporte genrico para aplicaes que tem pouca ou nenhuma relao com a
web como, por exemplo, comunicao VoIP e compartilhamento de arquivos. A
explicao simples, o HTTP tem caminho liberado em quase todos os
firewalls. Assim, mais fcil reaproveitar a infra-estrutura de comunicao do
HTTP em novas aplicaes ao invs de projetar aplicaes seguras e que
negociam passagem pelos filtros de segurana e firewall. O resultado que a
mesma infra-estrutura Internet utilizada para realizar tarefas cotidianas como
acessar sites web, ler mensagens de correio eletrnico, conversar com pessoas e
at fazer compras, tambm utilizada para divulgar o trfego no desejado.
4. Computadores e sistemas comprometidos
A existncia de enormes quantidades de computadores e sistemas
comprometidos capazes ou efetivamente usados em atividades maliciosas serve
como campo frtil para a proliferao do trfego no desejado. Basicamente, o
que acontece que existe uma enorme quantidade de usurios (pessoas e
empresas) novatos ingressando no ambiente da Internet, onde grande parte
desses usurios no preparada ou no est interessada em questes de
segurana. Associado a este fato, diariamente so descobertas vulnerabilidades
em sistemas operacionais, plataformas e aplicaes. A soma desses dois fatos
torna a Internet um local adequado e convidativo para o trfego no desejado.
Exemplos como, o aparecimento do grande nmero de worms que exploram
erros de programao e falhas de segurana em sistemas operacionais e
aplicativos, sites e mensagens de correio eletrnico falsificados que instalam
cdigos maliciosos no computador das vtimas e aplicaes P2P que ajudam a
disseminar vrus so noticiados quase que diariamente no mundo todo. Alm
disso, j faz um bom tempo que as atividades maliciosas no so realizadas por
iniciantes curiosos utilizando script kiddies6. Atualmente, atacantes e
criminosos contratam programadores profissionais para desenvolver ferramentas
avanadas para comprometer computadores e sistemas. O pior que muitas
dessas ferramentas esto disponveis na Internet para melhorias (cdigo aberto)
e para uso por novos atacantes.
5. Autenticao
Considere o seguinte (e cada vez mais comum) cenrio: um usurio com um
smartphone est conectado a rede sem fio da empresa onde trabalha. Ao se
deslocar para uma reunio fora da sede, o seu aparelho passa a fazer parte da
rede corporativa da operadora de telefonia celular GPRS (General Packet Radio
Service). Ao parar para tomar um caf, interligado a uma rede pblica atravs
de um hotspot. Ao chegar reunio, o aparelho novamente adicionado rede
da empresa. Apesar de existirem solues mais simplificadas que permitem
toda essa mobilidade, o atual processo de autenticao de usurios e dispositivos
conectados a redes ainda demasiadamente complexo para ser considerado
vivel ou fcil de usar. Geralmente, os mecanismos de autenticao so
vinculados ao tipo de meio fsico utilizados, onde so empregadas diferentes
credenciais, semnticas e bases de dados de autenticao (diversas tecnologias).
6

Cdigos genricos usados por atacantes iniciantes para realizar ataques e intruses

nesta verdadeira torre de babel de protocolos e servios que atacantes


investem para conseguir se infiltrar em computadores, sistemas e redes e,
conseqentemente, obter lucro.
Seja de forma isolada ou atravs da combinao, o fato que todos esses fatores
tm contribudo inevitavelmente para a proliferao do trfego no desejado tanto em
diversidade quanto em volume. Contudo, existe um aspecto mais preocupante sobre
tudo isso: a existncia de um verdadeiro mercado de submundo (um mercado negro)
fortemente estabelecido dentro da Internet responsvel por financiar grande parte das
atividades ilcitas com o nico objetivo de tentar obter ganhos financeiros. Davies
[Davies, 2007] afirma que esta economia informal est enraizada como uma espcie
de cultura dentro da Internet, sendo capaz de movimentar bilhes de dlares ao redor do
mundo e que sua erradicao praticamente impossvel. O IAB considera este mercado
como a raiz de todos os males da Internet.
A base deste mercado negro so os servidores de IRC que muitas vezes so
usados para gerenciar e executar atividades ilcitas como o roubo e a venda de nmero
de contas, senhas de bancos e nmeros de cartes de crdito e, a proliferao de cdigos
maliciosos. Parte do lucro obtido reinvestido em atividades ilcitas incluindo a
contratao de escritores profissionais para redao de mensagens de spam bem
elaboradas, programadores para o desenvolvimento de novos e mais robustos vrus,
worms e spywares, alm de especialistas em web (programadores e projetistas) para a
criao de sites mais sofisticados para atividade de phishing.
Para completar esse quadro nada animador, devido prpria arquitetura da
Internet, no existe um modo simplificado de atribuir responsabilidade ou punio para
atividades no intencionais ou maliciosas. Tomando como exemplo um ataque de
negao de servio distribudo, onde uma grande quantidade de computadores
previamente comprometidos utilizada para espalhar o ataque atravs da rede passando
por diferentes caminhos e backbones at atingir a vtima. Uma vez que existe um grande
nmero de elementos envolvidos (computadores, redes de acesso, backbones,
roteadores e vtimas) no fica claro quem tem a responsabilidade pelo problema. Alm
disso, a ausncia de um sistema legal em muitos pases, incluindo o Brasil, que fornea
proteo contra crimes na Internet ou que regule a conduta dos usurios tambm tem
contribudo para o crescimento do trfego malicioso, no produtivo e no desejado na
Internet. Mesmo quando existe alguma jurisdio sobre crimes, como o caso dos
Estados Unidos e Inglaterra, as leis geralmente penalizam as violaes somente quando
um crime tiver ocorrido.
3.2.2. Tipos de Trfego no Desejado
Para melhorar a compreenso dos leitores sobre o assunto, esta seo apresenta os
principais tipos ataques, anomalias e aplicativos relacionados com o trfego no
desejado ou no solicitado.
3.2.2.1. Ataques de Negao de Servio
De acordo com a definio do CERT (Computer Emergency Response Team) [CERT,
2008], um ataque de negao de servio consiste em tentativas de impedir usurios
legtimos de utilizarem um determinado servio de um computador ou rede. Em outras
palavras, tentar tornar indisponveis recursos ou servios oferecidos por um servidor ou

rede. No existe a tentativa de roubar ou se apropriar de dados sigilosos de usurios


como nmeros de cartes de crdito e senhas de contas, mas sim a tentativa de parar
servios que so oferecidos a usurios legtimos. Geralmente, ataques de negao de
servio consumem recursos como memria, poder de processamento, espao em disco
e, principalmente, largura de banda atravs do envio de uma quantidade de pacotes
(solicitaes) maior do que o servio pode suportar.
Os ataques de negao de servio geralmente so executados de forma
distribuda (DDoS) para aumentar ou superdimensionar sua potncia. Um ataque deste
tipo mais elaborado e utiliza uma espcie de arquitetura (classe) social composta por:
Atacante: O responsvel por coordenar o ataque.
Mestre: Computador intermedirio localizado entre o atacante e os
computadores zumbis, que recebe os parmetros (ordens) para o ataque. Cada
mestre controla certo nmero (centenas ou milhares) de zumbis.
Zumbi: Computador que efetivamente realiza o ataque.
A Figura 3.1 exemplifica a estrutura de um ataque de negao de servio
distribudo (DDoS).

Figura 3.1. Estrutura de um ataque de negao de servio distribudo.

Os principais tipos de ataque de negao de servio baseiam-se em algumas


caractersticas da pilha de protocolos TCP/IP, podendo, assim, afetar praticamente todos
os computadores. A forma mais conhecida de ataque a inundao (flooding).
Normalmente, utilizam o processo de estabelecimento de conexo do protocolo de
transporte TCP (three-way handshake), onde um pedido de conexo enviado ao
servidor atravs de um pacote TCP com a flag SYN (Synchronize) ativa. Se o servidor
atender ao pedido de conexo, responde com um pacote TCP com a flag ACK
(Acknowledgement) ativa. Desta forma, um ataque desse tipo (SYN Flooding) envia
uma grande quantidade de pedidos de conexo at que o servidor no possa mais aceitar

novos pedidos. Existem variantes do ataque de inundao para os protocolos ICMP e


UDP como, por exemplo, ICMP Unreachable, Smurf7, Fraggle e UDP Packet Storm8.
Outra modalidade so os ataques por refletores, chamados de ataques lgicos,
que tambm executam inundaes. Neste tipo de ataque, uma estao intermediria
(refletor) colocada entre o atacante e a vtima, para redirecionar o ataque diretamente
para a vtima. Para tanto, o atacante envia uma requisio para o refletor onde o
endereo de origem enviado na realidade o endereo da vtima. Um exemplo desse
tipo de ataque o Smurf.
O backscatter, trfego recebido de vtimas que esto respondendo a ataques de
negao de servio, tambm est inserido nesta categoria. Como caracterizado pelo
trfego de resposta dos ataques, alguns tipos de pacotes envolvidos no backscatter so
TCP SYN/ACK, TCP RST/ACK e certos tipos de ICMP como Echo Reply e
Destination Unreachable. Normalmente, trfego backscatter tem seu endereo IP de
origem forjado para representar espaos de endereamento no usados.
Informaes mais detalhadas sobre ataques de negao de servio e variantes
podem ser encontradas em [Laufer et al., 2005] e [Mirkovic et al., 2004].
3.2.2.2. Ataques ao DNS
O DNS (Domain Name System) uma base de dados hierrquica distribuda que fornece
informaes fundamentais para operao da Internet como a traduo de nomes dos
computadores para endereos IP. Devido a sua importncia na estrutura da Internet,
qualquer falha tem o potencial de afetar um grande nmero de usurios. Alm da
negao de servio, os ataques ao DNS esto relacionados com a falta de autenticao e
integridade dos dados.
O principal tipo de ataque relacionado ao trfego no desejado o
envenenamento de cache (do ingls cache poisoning). Basicamente consiste em
corromper a base de informao do servio DNS, alterando ou adicionando dados sobre
os endereos dos servidores. A finalidade redirecionar conexes legtimas para
servidores sobre o domnio dos atacantes (sites e endereos falsos). A principal
conseqncia desse tipo de ataque o pharming e seu principal alvo so pginas de
instituies financeiras. Segundo [Hyatt, 2006], os atacantes usam pharming por quatros
razes: identificar dados pessoais para efetuar roubos, distribuio de cdigos
maliciosos, disseminao de informaes falsas e ataques man-in-the-middle.
3.2.2.3. Ataques ao Roteamento
O roteamento da Internet baseado em um sistema distribudo composto por diversos
roteadores, agrupados em domnios de gerncia chamados sistemas autnomos (do
ingls Autonomous System - AS). Dessa forma, o roteamento ocorre de duas maneiras:
internamente (intra) ou externamente (inter) aos domnios. Em relao aos ataques
ocorridos intra-domnios, apesar de relevantes, tendem a no produzir grandes efeitos,
uma vez que a quantidade de elementos envolvidos normalmente reduzida. Ataques ao
roteamento entre domnios diferentes so mais preocupantes porque podem afetar todo
o trfego da Internet.
7
8

http://www.cert.org/advisories/CA-1998-01.html
http://www.cert.org/advisories/CA-1996-01.html

O grande alvo do trfego no desejado em relao ao roteamento o BGP


(Border Gateway Protocol), um protocolo projetado para o roteamento inter domnios.
Segundo [Arbor Networks, 2005], o BGP um dos cinco pontos mais vulnerveis da
Internet. De modo geral, ataques ao BGP interferem no roteamento modificando as
rotas do trfego Internet, mas no afetam a entrega de pacotes normais. Os principais
ataques ao BGP so:

Redirecionamento: ocorre quando o trfego destinado a um determinado


endereo, domnio ou rede forado a tomar um caminho diferente at um
destino forjado. O objetivo deste ataque personificar o verdadeiro destino para
receber dados confidenciais. Comumente, este tipo de ataque usado em
atividades de phishing e principalmente fonte de spam.

Subverso: um caso especial de redirecionamento, onde o atacante fora o


trfego a passar atravs de certos enlaces com o objetivo de escutar ou modificar
os dados. Em ataques de subverso o trfego repassado ao destino correto,
tornando o ataque mais difcil de detectar.

3.2.2.4. SPAM
Alguns autores consideram spam como sendo toda mensagem comercial no solicitada
(do ingls Unsolicited Commercial E-mail - UCE). Outros consideram spam como
sendo mensagens no solicitadas enviadas de forma massiva (do ingls Unsolicited Bulk
E-mail - UBE). De forma geral, o termo spam refere-se ao envio de mensagens no
solicitadas de correio eletrnico a um grande nmero de usurios. Uma definio mais
aprofundada sobre spam apresentada em [Taveira et al., 2006].
O spam pode ser classificado de acordo com seu contedo em:

Boatos (hoaxes) tentam impressionar os usurios atravs de estrias falsas e


assim garantir sua divulgao. Exemplos incluem mensagens do tipo roubo de
rins, desaparecimento de crianas, difamao de empresas, a Amaznia como
territrio mundial, etc.

Correntes (chain letters) so mensagens que prometem algum de tipo de lucro


financeiro ao leitor se este repassar a mensagem a um determinado nmero de
usurios.

Propagandas so as mais comuns e mais divulgadas. O melhor exemplo so os


comerciais de produtos farmacuticos para homens.

Golpes (scam) representam mensagens enganosas que afirmar que o leitor foi
agraciado com algum produto ou que tem a oportunidade de se dar bem.
Exemplos corriqueiros incluem sorteios, novos empregos, chance de ter o
prprio negcio, etc.

Estelionato (phishing) so aquelas mensagens escondidas, ou melhor, ocultas em


spams comerciais que visam obter informaes pessoais (contas de banco e
senhas, por exemplo) para serem usadas em fraudes ou compras pela Internet.
Normalmente, induzem o leitor a acessar a URL indicada na mensagem ou
preencher algum tipo de formulrio.

O tipo mais perigoso de spam aquele que contm cdigos maliciosos que
tentam enganar o leitor a executar um determinado programa enviado junto com
a mensagem. O resultado a instalao de vrus, worms e cavalos de tria,
sempre visando alguma tentativa de fraude ou ataques de negao de servio.

Alm desses tipos, existem variaes como SPIT e SPIM. SPIT (Spam via
Internet Telephony) o envio de mensagens no solicitadas a usurios de telefonia
VoIP. SPIM (Spam via Instant Messages) representa o envio de mensagens atravs de
aplicativos para troca de mensagens instantneas.
O fato que spam ou tornou-se uma verdadeira praga na Internet. O Radicati
Group [Radicati Group, 2006] estimou perdas mundiais equivalentes a US $ 198 bilhes
relacionadas s mensagens de spam em 2007. Alm disso, projetou que o nmero de
mensagens de spam atingir 79% do volume mundial de mensagens de correio
eletrnico em 2010.
3.2.2.5. Cdigos Maliciosos
Cdigos maliciosos representam o trfego empregado para causar danos, inicialmente,
em computadores e, por conseguinte, em redes sem o consentimento do usurio.
Normalmente, esses cdigos maliciosos roubam dados, permitem acesso no
autorizado, vasculham sistemas (exploits) e utilizam computadores e redes
comprometidas (botnets) para proliferar mais trfego no desejado. Os principais
exemplares de cdigos maliciosos so:

Vrus: so programas que modificam a operao normal de um computador,


sem permisso e conhecimento do usurio. Assim como um vrus biolgico, um
vrus de computador se replica e se espalha introduzindo cpias suas em outros
cdigos ou programas executveis. Tipicamente, o ciclo de vida de um vrus tem
quatro fases: (i) dormente, onde permanece desativado esperando um sinal para
acordar como, por exemplo, uma determinada data; (ii) propagao ou
replicao; (iii) ativao ( ativado para executar sua funo); e (iv) execuo
[Heidari, 2004]. Ao contrrio de um worm, um vrus no pode infectar outros
computadores sem auxlio externo.

Worms: um programa auto-replicante que capaz de se auto-propagar atravs


da rede explorando principalmente falhas de segurana em servios. A taxa de
propagao dos worms muito rpida e pode ameaar a infra-estrutura da
Internet uma vez que cada mquina infectada torna-se um potencial atacante. De
modo geral, prejudicam a rede consumindo largura de banda. A ativao de um
worm pode ser to rpida quanto sua velocidade de propagao. Entretanto,
alguns podem esperar dias ou semanas at se tornarem ativos. O processo de
ativao pode ser direto, atravs da execuo por um usurio humano,
programado ou ainda auto-ativado. Informaes mais detalhadas sobre worms
podem ser encontradas em [Weaver et al., 2003].

Cavalo de Tria (Trojan Horse): so programas que uma vez ativados,


executam funes escondidas e no desejadas como, por exemplo, varreduras de
endereos IP e porta (TCP SYN) de alta carga, envio de grande volume de spam,
ataques DDoS ou at mesmo adicionar o computador em uma botnet. Diferente
dos worms, um cavalo de tria no se auto-propaga, depende da interferncia e

curiosidade humana para se propagar. Atualmente, cavalos de tria so


conhecidos como gimme, uma gria para give me, em referncia as
mensagens de spam que prometem lucro ou contedo picante.
Spyware: so programas espies que automaticamente recolhem informaes
sobre o usurio e os transmite para seus instaladores. Geralmente, os dados
monitorados referem-se aos habtos de compras na Internet ou a informaes
confidenciais como contas bancrias e senhas pessoais. Tais dados so, ento,
vendidos para terceiros ou usados para roubos e fraudes. Os spywares so
aperfeioados constantemente de forma a dificultar sua deteco e remoo.
Alm dos prprios spywares, na categoria de programas espies tambm esto o
adware e o keylogger. Adware, tambm usado para definir spyware, um
programa que exibe automaticamente publicidade. Keylogger um programa
que captura os dados digitados no teclado e os envia ao atacante.

3.2.2.6. Aplicaes Recreativas


O trfego no desejado gerado por esta classe de aplicaes motivado pelo real
crescimento da Internet, ou seja, representa a convergncia natural entre os diversos
tipos de dados, especialmente os multimdia, associado com a demanda dos novos
usurios. Exemplos desse tipo de trfego incluem rdio e televiso via Internet,
compartilhamento de arquivos, mensagens instantneas, jogos on-line interativos e
multimdia.
A relao das aplicaes recreativas com o trfego no desejado no percebida
facilmente. Por exemplo, jogos on-line, IPTV e rdio via Internet no so relacionados
diretamente a atividades maliciosas, mas o trfego gerado pelos seu usurios espalhados
pelo mundo responsvel por um grande consumo de largura de banda em
determinadas redes, especialmente as de borda. Outro bom exemplo so as redes
sociais9 que tambm no esto diretamente relacionadas a atividades maliciosas, mas
contribuem para o trfego no desejado proliferando vrus, worms e spywares. Alm
disso, afetam a produtividade de empresas, uma vez que os funcionrios que participam
delas dedicam parte de seu tempo de trabalho para manter todos os seus contatos
atualizados.
Por outro lado, o compartilhamento de arquivos via aplicaes P2P uma fonte
reconhecida de trfego no desejado responsvel pela proliferao de cdigos
maliciosos e principal incentivador da pirataria, uma vez que fere as leis de direitos
autorais ao divulgar contedo restrito. Um fato que chama ateno o rpido
crescimento do trfego gerado por este tipo de aplicao desde 2003, o que tem exigido
cada vez mais recursos das redes. Um estudo da empresa alem Ipoque [Schulze e
Mochalski, 2007] mostra que em 2007, o trfego da Internet gerado pelo
compartilhamento de arquivos via P2P correspondeu a algo entre 49% e 83% do volume
mundial. Em certos perodos do dia, como as madrugadas, esse ndice se aproximava
dos 95%.

9
Redes sociais representam a interao entre seres humanos atravs da formao de grupos ou
relacionamentos. MySpace, Facebook e Orkut so grandes expoentes de redes sociais. Apesar de ser
classificado como mundo virtual, o Second Life tambm pode ser enquadrado nessa categoria.

3.2.3. Classificao do Trfego no Desejado


Para compreender o universo do trfego no desejado, o modo mais usual a
categorizao (classificao) dos tipos comuns. A primeira classificao formal sobre o
assunto foi especificada em [Anderson et al., 2007] que define trs categorias:

Perturbantes (do ingls nuisance): como o prprio nome diz, representa o


trfego de fundo que atrapalha o uso da largura de banda e outros recursos
como poder de processamento e espao de armazenamento. Exemplos tpicos
incluem mensagens de spam e o compartilhamento de arquivos P2P. Estes tipos
de trfego normalmente transportam cdigos maliciosos ou iludem os usurios a
acessar sites no confiveis e ferem ou quebram as leis de direitos autorais.
Nesta categoria tambm se encaixam os pop-up spams, aplicaes tipicamente
perturbadoras que exibem janelas de mensagens em sistemas operacionais
Windows tais como ocorreu um erro e mquina comprometida. Apesar de
pouco discutida, segundo [Krishnamurthy, 2006], esse tipo de aplicao
responsvel por enviar centenas de milhares de mensagens a cada hora. Ataques
DDoS tambm podem ser includos nessa categoria.

Maliciosos: representam o trfego responsvel por divulgar e espalhar cdigos


maliciosos incluindo vrus, worms, spywares, etc. Tipicamente, esta classe se
categoriza por apresentar um pequeno volume de trfego, mas tambm por
provocar altas perdas financeiras as vtimas. Normalmente, muitas empresas no
respeitam esse tipo de trfego at que algum grave incidente de segurana
acontea. neste momento, na hora de colocar a casa em ordem, que
operadores e gerentes de rede se deparam com solues custosas, especficas,
que necessitam de especialistas e consomem tempo da equipe de operao e
gerenciamento.

Desconhecido: representam todo trfego que mesmo quando pertencente a uma


das categorias acima, por algum motivo no pode ser classificado com tal
(trfego malicioso criptografado ou misturado com trfego legitimo, por
exemplo) ou que ningum conhece suas intenes ou origens. Worms silenciosos
(quiet worms) so bons exemplos. Tais malwares abrem backdoors nas vtimas e
ficam dormentes por um longo tempo.

Outra forma de caracterizao do trfego no desejado, mencionada por [Soto,


2005], a classificao de sua origem em: primrias e secundrias. Origens primrias
correspondem a toda requisio inicial de comunicao como pacotes TCP SYN, UDP e
ICMP Echo Request. Nesta categoria se encaixam aplicaes P2P, mensagens de spam,
vrus e worms, intruses e ataques massivos. J as origens secundrias correspondem ao
trfego de resposta como, por exemplo, pacotes TCP SYN/ACK, TCP RST/ACK e
ICMP Echo Response. Esta categoria inclui todo o trfego gerador por backscatter,
ataques de baixa intensidade ou baixa carga, e trfego benigno como, por exemplo,
falhas transitrias, interrupes, m configurao de equipamentos, flash crowds10,
entre outros.
10

O termo flash crowd refere-se situao quando milhares de usurios acessam simultaneamente um
site popular. Exemplos comuns incluem liquidaes em grandes empresas, divulgao de catstrofes,
eventos esportivos, entre outros. O resultado pode ser a interrupo do servio devido ao grande nmero
de acessos.

3.3. Solues Existentes


Como mencionado anteriormente, a Internet pode ser vista como uma das poucas
plataformas operacionais existentes sem centros de controle. Essa caracterstica serviu
tanto como fator de sucesso, o que ajuda a explicar o rpido e exponencial crescimento
da Internet, quanto serviu de ponto de fraco e que resultou no trfego no desejado. Na
tentativa de lidar com o lado negativo desse cenrio, vrios esquemas e solues tm
sido desenvolvidos e usados para identificar e minimizar o trfego no desejado.
Nesta seo so apresentadas as solues usadas na deteco e limitao do
trfego no desejado baseado nas vulnerabilidades mencionadas anteriormente. Para
facilitar o entendimento, primeiro so discutidas as solues consideradas tradicionais
como firewall, sistemas de deteco de intruso, honeypots, softwares anti-alguma
coisa, ferramentas de medio de trfego e controle de acesso. Em seguida, sero
apresentadas solues baseadas na anlise de trfego.
3.3.1. Solues Tradicionais
3.3.1.1. Firewall
O mecanismo para deteco e controle de trfego indesejado mais empregado no mundo
o firewall. Neste documento, o termo firewall refere se a dispositivos (hardware ou
software) que aprovam ou negam a troca de trfego entre redes. Basicamente, firewalls
utilizam regras (filtros) que definem o que deve ser feito. Desta forma, todo o trfego
que entra ou sai da rede ou mquina comparado com as regras e o resultado uma
ao, geralmente permitir ou negar o trfego.
No existe um consenso sobre a classificao dos tipos de firewall. A mais usual
considera trs tipos: filtro de pacotes, filtro de estados e filtros de aplicao (gateways).
O filtro de pacote um firewall que compara as informaes do cabealho de cada
pacote (endereos IP, portas e protocolo) com as regras definidas para decidir qual ao
tomar. Foi o primeiro tipo a ser criado e ainda hoje bastante utilizado por ser simples e
fcil de configurar. Os exemplos mais comuns so as listas de controle de acesso (do
ingls Access Control List ACL) e o ipchain (integrado ao Kernel 2.2 dos sistemas
operacionais Linux). Contudo, so vulnerveis a ataques com endereos IP forjados
(bastante usado para gerao de trfego no desejado) e ineficazes contra trfego
criptografado.
Os filtros de estado mantm registros do estado das conexes de rede (TCP e
UDP) que esto ativas. A diferena quanto ao filtro de pacotes que a filtragem pode
ser baseada na tabela de estados de conexes estabelecidas e no apenas no cabealho.
Em outras palavras, o estado das conexes monitorado a todo o momento, o que
permite que a tomada de ao seja definida de acordo com os estados anteriores
mantidos em tabela. Existem trs tipos de estados: NEW (novas conexes),
ESTABLISHED (conexes estabelecidas) e RELATED (conexes relacionadas a outras
j existentes). O iptables11 soluo mais conhecida de firewall de estados. Questes de
complexidade e custo so apontadas como desvantagem desse tipo de firewall.
Atualmente, solues de filtro de estados incorporaram a inspeo profunda de pacotes
(do ingls Deep Packet Inspection DPI) para verificar o trfego na perspectiva da
11

http://www.iptables.org

tabela de estado de conexes legtimas. Alm disso, tcnicas de identificao de trfego


tambm so utilizadas para procurar possveis ataques ou anomalias.
Os gateways de aplicao (application-level gateways) so bastante utilizados
no controle de trfego indesejado uma vez que operam na camada de aplicao
vasculhando o contedo dos pacotes a procura de indcios de anomalias como, por
exemplo, seqncias de caracteres especficos (palavras ou frases) que indicam a
presena de ataques, cdigo maliciosos e at mesmo de determinadas aplicaes como
SMTP (Simple Mail Transfer Protocol), FTP (File Transfer Protocolo), HTTP, P2P,
MSN, etc. Normalmente, funcionam como intermedirios (proxies) de um determinado
servio, recebendo solicitaes de conexo e gerando uma nova requisio para o
servidor de destino. A resposta do servio recebida pelo firewall e avaliada para
checar sua conformidade antes de ser repassada a quem originou a solicitao. Os tipos
de filtros de aplicao mais comuns so voltados para correio eletrnico (anti-spam) e
web (Squid12, por exemplo). A principal vantagem desse tipo de firewall a capacidade
de avaliar trfego bem especfico e transaes criptografadas. Por outro lado, cada novo
servio necessita de um proxy especfico. Alm disso, seu uso geralmente insere
mudanas de desempenho no trfego.
Com a proliferao do trfego no desejado nos ltimos anos, as solues de
firewall, at ento destinadas a proteger o permetro da rede, passaram a ser
desenvolvidas para uso pessoal. ZoneAlarm13 e Sygate14 so firewall conhecidos
voltados para o sistema operacional Windows. J usurios Linux podem contar com o
IPTables, inclusive para trabalhar na rede.
3.3.1.2. IDS
Os sistemas de deteco de intrusos ou simplesmente IDS (do ingls Intrusion
Detection System), como o prprio nome diz, so sistemas (hardware ou software) que
tentam descobrir quando um alvo est sob algum tipo de tentativa de acesso no
autorizado, ou seja, alguma tentativa de intruso. Normalmente, os IDS so compostos
por sensores que geram eventos e alarmes de segurana que so enviados para uma
estao de gerenciamento.
Os IDS podem ser classificados de acordo como a tecnologia de anlise
(assinaturas e anomalias) ou em relao ao local de aplicao (baseados em rede ou em
host). Tradicionalmente, as tcnicas usadas para analisar os dados coletados buscando
detectar intruses podem ser classificadas em dois grupos: deteco de assinatura e
deteco de anomalia. A estratgia baseada em assinatura identifica padres que
correspondem ao trfego de rede ou dados da aplicao e os compara com uma base de
padres (assinaturas) de ataques conhecidos. Desta forma, ataques conhecidos so
detectados com bastante rapidez e com baixa taxa de erro (falsos positivos). Por outro
lado, ataques desconhecidos no so detectados. A estratgia baseada na deteco de
anomalia funciona com base na construo de perfis de comportamento para aquilo que
considerado como atividade normal. Desvios da normalidade so ento tratados como
ameaas. Assim, os sistemas de deteco de intruso baseados em anomalia so capazes
de se adaptar a novas classes de anomalias bem com detectar ataques desconhecidos
12

http://www.squid-cache.org
http://www.zonealarm.com
14
http://www.symantec.com/norton/sygate/index.jps
13

(ataques zero-day). Uma forma de detectar intruses atravs da anlise de


seqncias de chamadas de sistema executadas pelos processos, pois estas constituem
uma rica fonte de informao sobre a atividade de um sistema.
Em relao ao local de aplicao, existem duas abordagens bsicas para a
deteco de intruso: detectores baseados em rede (do ingls Network-based IDS NIDS), que analisam o trfego de rede dos sistemas monitorados; e detectores baseados
em host (do ingls Host-based IDS - HIDS), que monitoram as atividades locais em um
computador, como processos iniciados, conexes de rede estabelecidas e chamadas de
sistema executadas. Os NIDS so geralmente empregados em pontos estratgicos da
rede para monitorar o trfego de entrada e sada de todos os dispositivos em uma rede.
Podem produzir alarmes para atividades suspeitas e atuar em conjunto com um firewall
para automaticamente bloquear o trfego analisado como malicioso ou anormal. Snort
[Snort, 2008] e Bro [Paxson, 1998] so exemplos de sistemas de deteco de intruso
baseados na anlise do trfego de rede. J os HIDS coletam dados do sistema onde esto
instalados. Assim, os sensores ficam instalados na mquina que est sendo monitorada.
A maior deficincia dos detectores baseados em host sua relativa fragilidade, uma vez
que podem ser desativados ou modificados por um intruso bem sucedido, para esconder
sua presena e suas atividades. Esse problema conhecido como subverso.
O principal problema dos IDS a preciso. Como existe uma constante mutao
seja no trfego de rede seja nos padres de assinatura, a deteco de intruso se torna
cada vez mais difcil e sujeita a erros. Segundo Kumar e Stafford [Kumar e Stafford,
1994], uma atividade intrusiva pode ser classificada como verdadeiros positivos,
verdadeiros negativos, falsos positivos e falsos negativos. A Figura 3.2 resume os
quatro casos possveis. Os dois primeiros, verdadeiro positivo e verdadeiro negativo
correspondem, respectivamente, a correta deteco de uma intruso e a correta deteco
de um evento normal. J um falso positivo ocorre quando um evento normal
classificado como anmalo. O resultado que uma atividade maliciosa pode, no futuro,
no ser detectada devido a todos os falsos positivos anteriores. O pior caso falso
negativo, onde o trfego normal classificado como anmalo.

Figura 3.2. Possveis classificaes de um evento.

Por definio, os sistemas de deteco de intruso so passivos, ou seja, apenas


detectam e registram eventos. Contudo, devido evoluo das tcnicas de intruso e a
necessidade de tomar decises de forma mais rpida e precisa, sentiu-se a necessidade
de atuar de forma reativa. Surgiram, ento, os sistemas de preveno de intruso (do
ingls Intrusion Prevention System - IPS). Um IPS um sistema com as mesmas
funcionalidades de um IDS, mas com a capacidade de automaticamente interagir com
outros elementos de segurana para bloquear ou limitar um determinado trfego
malicioso. Alm da capacidade de reao, os IPS so projetados para operar on-line e
assim permitem preveno em tempo real. Por fim, algumas implementaes de IPS
agregam mecanismos DPI para analisar protocolos da camada de aplicao e assim
fornecer resultados mais precisos. Fabricantes como Cisco15 e ISS16 possuem solues
avanadas de IPS. No mbito de ferramentas gratuitas, Snort e Untangle IPS17 so bons
exemplos.
Existem tambm os APS (Anomaly Prevention Systems) cuja idia considerar
cada tipo de anomalia separadamente atravs da criao de um perfil do comportamento
do trfego [Feroul et al., 2005]. Alm disso, APS tem caractersticas que permitem que
seja aplicado fora do permetro da rede (backbones, por exemplo) enquanto IDS e IPS
so voltados segurana interna da rede.
3.3.1.3. Honeypots
A terceira classe de sistemas tradicionais contra o trfego no desejado so os
honeypots. O termo honeypot refere-se a uma ferramenta de segurana cuja funo
principal colher informaes sobre ataques e atacantes. Em outras palavras, um
software ou sistema que possui falhas reais ou virtuais de segurana, implementadas
propositalmente, com a nica finalidade de ser invadido, sondado e atacado para que os
mecanismos utilizados na invaso possam ser estudados. Segundo [Spitzner, 2002], um
honeypot um recurso de rede cuja funo ser atacado e comprometido (invadido).
Significa dizer que poder ser testado, atacado e invadido. Os honeypots no fazem
nenhum tipo de preveno, mas fornecem informaes adicionais de valor inestimvel.
Em relao ao trfego no desejado, honeypots tm sido usados para anunciar espaos
de endereamento no alocados ou no permitidos, alm de recolher informaes sobre
os originadores do trfego de tais endereos.
Os honeypots so classificados de acordo com seu nvel de atuao em: de baixa
interatividade e de alta interatividade. Honeypots de baixa interatividade so
ferramentas instaladas para emular sistemas operacionais e servios com os quais os
atacantes iro interagir. Desta forma, o sistema operacional real deste tipo de honeypot
deve ser instalado e configurado de modo seguro, para minimizar o risco de
comprometimento. Tambm so chamados de honeypots de produo porque atuam
como elementos de distrao at que medidas efetivas possam ser tomadas. So
normalmente utilizados para proteger empresas. O exemplo mais conhecido de
honeypot de baixa interatividade conhecido o honeyd [Provos, 2004] [Provos, 2008].
Honeypots de alta interatividade so mquinas completas que implementam
sistemas operacionais e servios reais comprometidos e so utilizadas quando se deseja
15

http://www.cisco.com/
http://www.iss.net/
17
http://www.untangle.com/
16

compreender detalhadamente os mecanismos e vulnerabilidades exploradas.


Normalmente, ficam localizados no permetro externo da rede como em uma regio de
entrada ou zona desmilitarizada. Diferentemente dos honeypots de baixa interatividade,
esses oferecem um maior risco e demandam pessoal especializado, tempo e dinheiro.
So chamados de honeypots de pesquisa. As honeynets so exemplos de honeypots de
alta interatividade [Honeynet Project, 2006].
Uma honeynet uma ferramenta de pesquisa, que consiste de uma rede
projetada especificamente para ser comprometida e que contm mecanismos de controle
para prevenir que seja utilizada como base de ataques contra outras redes [Hoepers et
al., 2003]. Uma vez que projetada para ser atingida e no existem sistemas ou
aplicaes de produo em uma honeynet, todo trfego que chega presumido ser
malicioso ou resultado de uma configurao incorreta dos servios da rede. De modo
geral, uma honeynet uma rede composta por um ou mais honeypots e um honeywall
(Figura 3.3). O honeywall um gateway que separa os honeypots do resto da rede e, por
isso o elemento central de uma honeynet.
Em resumo, os honeypots podem ser usados para caracterizar o trfego no
desejado com o propsito de advertir previamente operadores e gerentes de rede (alm
de outros dispositivos tais com firewalls e NIDS) de ataques e anomalias e fornecer
tendncias que os ajudem a melhorar a segurana da rede. O trabalho de Krishnamurthy
[Krishnamurhty, 2004] prope uma soluo usando honeypots mveis que permite
detectar a origem de ataques o mais perto possvel.

Figura 3.3. Exemplo de arquitetura Honeynet.

3.3.1.4. Software Anti-*


Na categoria de solues contra o trfego no desejado esto os software e programas
desenvolvidos para detectar e eliminar potenciais ameaas aos computadores e redes
como, por exemplo, antivrus, anti-spyware, anti-phishing e anti-spam.

Antivrus so programas que detectam e removem vrus de computador. Uma


vez que novos vrus e variantes de vrus conhecidos so lanados quase que
diariamente, um software antivrus deve manter-se automaticamente ou ser mantido
sempre atualizado. Geralmente, os fabricantes de antivrus distribuem atualizaes e
vacinas para vrus especficos gratuitamente. Como existe um grande nmero de
solues antivrus, o que as diferencia so os mtodos de deteco, funcionalidades
oferecidas e o preo. Entre os exemplos de antivrus comerciais pode-se citar Norton,
McAfee e Trend Micro enquanto que Avast, AVG e Vrus Shield apresentam antivrus
gratuitos.
J os anti-spywares so usados no combate a programas e cdigos espies como
spyware, adware, keyloggers. Assim como os antivrus, tambm existem dezenas de
solues anti-spyware divididas em comerciais e gratuitas. Ad-Aware SE, Spybot e
Windows Defender so exemplos de solues no comerciais. Spyware Doctor,
HijackThis e Spy Sweeper so solues comerciais. Entretanto, algumas solues antispyware so famosas por divulgar spywares tais como Spyware Quake, Antivirus Gold,
PSGuard, Malware Alarm, entre outros.
Softwares anti-phishing visam bloquear possveis tentativas de fraude atravs de
sites web ou mensagens de correio eletrnico. Normalmente, este tipo de soluo
apresentado na forma de barras de tarefas (toolbar) integradas ou integrveis com
navegadores web (Firefox 2.0, IE 7.0, Opera, por exemplo) ou clientes de correio
eletrnico (Mozilla Thunderbird e Microsoft Mail), fornecendo informaes como o
nome real do domnio do site web ou se o SSL (Secure Sockets Layer) est ativo.
Apesar de auxiliar os usurios, existem crticas as atuais solues anti-phishing [Wu et
al., 2006] como, por exemplo, a localizao das barras de tarefas e das informaes
exibidas no ajuda os usurios, e a falta de sugestes sobre o que fazer quando uma
tentativa de phishing detectada, uma vez que hoje os indicadores apenas mostram o
que est errado.
As solues anti-spam tambm se enquadram nesta categoria. Basicamente, a
deteco de spam baseada na filtragem de mensagens no solicitadas atravs dos
campos do cabealho ou do contedo da mensagem. A filtragem de cabealho verifica o
endereo de origem, nome do remetente e assunto de uma mensagem para valid-la ou
no. Este tipo de soluo anti-spam mais simples e sujeita a erros de configurao,
uma vez que preciso definir regras do que se quer ou no receber, ou seja, quais
endereos, remetentes e assuntos so indesejados. As listas negras (blacklist) so
exemplos de filtragem de cabealho. J a filtragem baseada no contedo da mensagem
a mais utilizada. Normalmente esta tcnica realiza buscas por palavras chaves tais como
viagra no contedo das mensagens. Quando configurados corretamente, a filtragem
baseada em contedo bem eficiente, mas tambm podem cometer erros (barrar
especialista porque contm cialis, por exemplo). Alm disso, a inspeo de
contedo no verifica a origem da mensagem. Atualmente, o uso de filtros com
mecanismo de auto-aprendizagem tem sido muito utilizado.
Para finalizar, atualmente existe uma tendncia em agregar softwares pessoais
como antivrus e anti-phishing na forma de pacotes. Por exemplo, a soluo gratuita
avast! antivrus 4.x Home Edition integra antivrus, anti-spyware e anti-rootkit18 para
mquinas Windows. O google pack oferece antivrus e anti-spyware.
18

Root Kit so ferramentas que visam obter acesso de administrador em um computador ou sistema.

3.3.1.5. Ferramentas de Medio de Trfego


O monitoramento de trfego uma atividade essencial para o gerenciamento de redes e
pode ser realizado atravs da observao dos pacotes ou fluxos.
3.3.1.5.1. Medio baseada em Pacotes
A anlise baseada em pacote consiste da captura e anlise do cabealho dos pacotes.
Exemplos de informaes importantes obtidas no cabealho do pacote so o endereo
IP de origem (srcIP), o endereo IP de destino (dstIP), a porta de origem (srcPrt), a
porta de destino (dstPrt) e o nmero do protocolo.
Existem vrias ferramentas de captura de pacotes (sniffers) disponveis na
Internet. Por exemplo, o TCPdump19 uma famosa ferramenta que permite inspecionar
os pacotes da rede e fazer uma anlise estatstica de arquivos coletados (traces). Junto
com o Ethereal (Wireshark)20, que adiciona uma interface amigvel para o TCPdump,
essas ferramentas fornecem meios para identificao da aplicao baseada no contedo
do pacote (payload).
Alm da inspeo do cabealho do pacote, outra tcnica a inspeo profunda
dos pacotes (DPI) que proporciona a identificao da aplicao permitindo analisar o
contedo dos pacotes ao longo de uma srie de operaes. Como resultado, a anlise
DPI pode ser usada para encontrar protocolos no conformes, vrus, spam, invases e
assim por diante. A Figura 3.4 ilustra a inspeo de pacotes e a anlise DPI.

Figura 3.4. Inspeo de pacotes x anlise DPI

Apesar de DPI proporcionar uma melhor soluo do que filtragens, muitos


pesquisadores argumentam que esta tcnica fere a neutralidade da Internet, uma vez que
pode ser usado para monopolizar o trfego. Por exemplo, a China desenvolveu o
"Grande Firewall da China", uma ferramenta DPI, para acompanhar todas as entradas e
sadas de trfego [OpenNet, 2004]. Este mecanismo muito sofisticado e eficaz. Prova
disso sua capacidade de bloquear o trfego Skype e o acesso a diversos sites incluindo
o YouTube.
19
20

http://www.tcpdump.org/
http://www.wireshark.org/

3.3.1.5.2. Medio baseada em Fluxo


As ferramentas baseadas em fluxo tentam reduzir o volume do trfego analisado da rede
atravs da agregao de pacotes em fluxos de informao. Nesse caso, regras de
agregao so necessrias para combinar pacotes em fluxos. Comumente so utilizados
cinco campos do cabealho dos pacotes no processo de formao de um fluxo: o
endereo IP de origem (srcIP), o endereo IP de destino (dstIP), a porta de origem
(srcPrt), a porta de destino (dstPrt) e o protocolo da camada de transporte. A Figura 3.5
mostra um exemplo do processo de agregao de pacotes em fluxos baseado no srcIP e
dstPrt. Normalmente, este processo bastante empregado em ferramentas construdas
para modelar o trfego de rede. Exemplos de ferramentas que lidar com fluxos so
Cisco Netflow21 [Cisco, 2006] (o padro de facto) e Juniper JFlow22 [Juniper, 2008]

Figura 3.5. Exemplo do processo de agregao de fluxos.

3.3.1.6. Gerenciamento do Controle de Acesso


Atualmente, os produtos de segurana (antivrus, firewalls, IDS, etc.) so projetados
como peas independentes de equipamentos ou software. A idia bsica do
gerenciamento do controle de acesso coordenar os mecanismos de segurana sob um
computador ou rede. Neste cenrio, a rede ou o computador so vistos como um nico
sistema ao invs de sistemas separados.
A idia reforar a poltica de segurana regulamentando o acesso a rede pelos
computadores. Por exemplo, um computador deve fornecer informaes sobre o seu
estado de segurana como o atual estado do antivrus, o nvel de atualizao de seu
sistema operacional, etc. Atravs dessas informaes, o sistema de controle de acesso
poder decidir se o computador est seguro e em conformidade com as polticas de
segurana antes que seja permitido o acesso aos recursos da rede. Este cuidado no
controle de acesso de computadores confiveis ajuda a garantir que a sade da rede
inteira seja preservada.
O controle de acesso de rede pode ser visto como uma automao do processo
manual usado pelos administradores do sistema para identificar e isolar as
vulnerabilidades dentro de suas redes. O administrador pode manualmente inspecionar a
configurao do computador para verificar se um usurio est em conformidade com as
polticas de segurana. Os computadores tambm podem ser testados usando
ferramentas (scanners) que identificam possveis fraquezas. Contudo, a maior
21

http://www.cisco.com/warp/public/732/netflow/
http://www.juniper.net/techpubs/software/erx/junose80/swconfig-ip-services/html/ip-jflow-statsconfig2.html

22

dificuldade encontrada manter atualizados os diversos computadores da rede e os


softwares usados pelos usurios. Por esta razo, a automao deste processo altamente
desejvel, especialmente para grandes organizaes.
Neste cenrio, recentemente tm sido propostas vrias abordagens para fornecer
controle de acesso. Algumas so descritas a seguir.
Safe Access
O Safe Access (SA) [StillSecure, 2008] uma soluo de controle de acesso que visa
proteger a rede atravs de testes sistemticos de conformidade dos computadores com
as polticas de segurana definidas pela organizao. Os computadores que no esto
em conformidade so automaticamente isolados da rede. A utilizao do SA inicia com
a definio das aplicaes e servios que so permitidos aos usurios, bem como as
aes que devero ser tomadas para computadores que no esto conformes.
As polticas de acesso atualmente consistem de testes individuais para avaliar o
estado de segurana de cada computador. A ferramenta SA interroga os computadores
tentando obter acesso a rede. Diferente das outras abordagens, no necessrio instalar
um agente nos computadores. O acesso seguro verificado atravs da utilizao de
programas como antivrus e firewalls. Alm disso, SA inclui uma API (applicationprogramming interface) que permite a interao com outros programas, por exemplo,
um novo antivrus.
Testes especficos avaliam o sistema operacional verificando se as atualizaes
de hotfixes e patches foram realizadas, se aplicaes de segurana como antivrus e antispyware esto atualizadas e se existem potenciais aplicaes que podem colocar em
risco a segurana do sistema como aplicaes que compartilham arquivos. Alm disso,
detectam a presena de cdigos maliciosos (vrus, worms, cavalos de tria). Baseados
nos resultados dos testes os computadores so permitidos ou negado o acesso rede
Cisco NAC
A Cisco tem alistado companhias de antivrus como a McAfee, Symantec e a Trend
Micro para compor seu sistema de controle de admisso23 de rede denominado NAC
(Network Admission Control) [Cisco, 2008] cuja finalidade validar o acesso a rede
somente de dispositivos confiveis e em conformidade com as polticas de segurana,
visando proteger a rede de vulnerabilidades introduzidas por dispositivos que no esto
em conformidade.
Como mostrado na Figura 3.6, a arquitetura NAC formada por agentes
denominados CTA (Cisco Trust Agents), dispositivos de acesso a rede, o servidor de
controle de acesso seguro (ACS Access Control Server) e servidores especficos como
de antivrus. O agente Cisco um pequeno software programado para se comunicar
com o ACS e que atua como um IPS baseado em host e um firewall distribudo que
identifica e bloqueia o trfego com comportamento malicioso. Alm disso, o agente tem
a funo de manter o sistema operacional atualizado. Os dispositivos de acesso a rede
(roteadores, switches e pontos de acesso sem fio) intermediam a comunicao entre os
23

Apesar de empregado na soluo Cisco, o termo controle de admisso no inteiramente apropriado.


Controle de admisso tem sido usado no contexto de controle de trfego referindo-se a aceitao ou
rejeio do trfego visando prevenir o congestionamento na rede.

agentes e o ACS. Nessa comunicao, o protocolo IEEE 802.1x utilizado para


gerenciar o acesso s portas fsicas e aplicar as decises tomadas pelo ACS sobre a
admisso de um computador. Exemplos de decises tomadas por um ACS so
desconectar o computador da rede ou mud-lo para outra rede.
Para o processo de admisso, o agente coleta informaes do estado de
segurana de mltiplos programas instalados nos clientes como antivrus, firewalls e
outras aplicaes de segurana. Aps a coleta de informaes de segurana, o agente
envia suas credenciais e essas informaes para os dispositivos de acesso a rede que as
encaminharo para o ACS. Aps o servidor de polticas (ACS) tomar uma deciso sobre
a admisso de um computador, os dispositivos de acesso a rede aplicam a deciso de
controle.

Figura 3.6. Arquitetura NAC.

NAP
A Microsoft tem alistado vrios parceiros como companhias de antivrus, vendedores de
equipamentos de rede e integradores de sistema para compor uma soluo de segurana
denominada NAP (Network Access Protection) [Microsoft, 2008]. A idia bsica do
NAP detectar o estado de segurana de um computador que est tentando se conectar
a rede e restringir o acesso deste at que as polticas de requisitos para conexo da rede
sejam atendidas. O NAP realiza este objetivo atravs de um conjunto de funes:

Inspeo: sempre que um computador tenta conectar-se a rede, o seu estado de


segurana validado em funo das polticas de acesso definidas pelo
administrador do sistema.

Isolamento: computadores que no estejam em conformidade tm seu acesso


negado ou restringido, dependendo das polticas estabelecidas.

Remediao: problemas identificados so resolvidos tornando os computadores


em conformidade com as polticas de acesso.
Como mostrado na Figura 3.7, os elementos na arquitetura NAP incluem:

i) Servidores VPN que permitem conexes de acesso remoto baseada em VPN


para uma rede privada;
ii) Servidores DHCP (Dynamic Host Configuration Protocol) que fornecem
configuraes de endereo IP para os computadores;
iii) Servio de diretrio usado para armazenar as contas dos usurios e suas
credenciais;
iv) Rede de quarentena para computadores que no esto em conformidade e
necessitam ser remediados;

v) Servidor NPS (Network Policy Server) que contm recursos tais como
assinaturas de antivrus e atualizaes de software. Estes recursos so usados
para manter os computadores em conformidade com as polticas de segurana e
fornecer remediao para os computadores no conformes.

Figura 3.7. Exemplo da arquitetura NAP.

Na rede NAP, um computador age como um cliente DHCP que usa mensagens
para requisitar um endereo de IP vlido para um servidor DHCP. Neste caso, a
requisio deve incluir um indicador do seu estado atual do sistema denominado de SoH
(Statement of Health). Um computador sem um SoH automaticamente designado
como no conforme. Se o SoH vlido, o servidor DHCP atribui um endereo IP que
permite ao computador o acesso a rede. Se o SoH no vlido, o computador dito no
conforme e o servidor DHCP isola-o computador em uma rede de quarentena.
Ao ser designado para a rede de quarentena, o computador reporta ao servidor
de polticas requerendo atualizaes. O servidor de polticas fornece ao computador as
atualizaes necessrias (por exemplo, assinaturas de antivrus e atualizaes de
softwares) para torn-lo em conformidade com as polticas. Aps atualizar o seu SoH, o
computador pode enviar uma outra requisio para o servidor DHCP que encaminha o
SoH atualizado para o servidor NPS, responsvel por validar o SoH enviado. Aps essa
validao, o DHCP permite o acesso normal rede.
3.3.2. Solues Baseadas na Anlise do Trfego
3.3.2.1. Tcnicas Avanadas para Classificao de Trfego
Uma das questes desafiadoras resultante das atuais solues contra o trfego no
desejado a necessidade prvia de uma anlise manual para detectar corretamente o
trfego desconhecido e indesejado. Entretanto, considerando o rpido crescimento do
nmero de novos servios e aplicaes, esse tipo de procedimento muitas vezes
impraticvel.
Neste contexto, as abordagens de anlise de trfego tm atrado interesse
especial nos ltimos anos e apresentado resultados promissores contra este tipo de

trfego, especialmente para enlaces de alta velocidade. Tcnicas para caracterizar o


trfego Internet, mtodos para descobrir o trfego gerado por aplicaes, abordagens
para desenvolver sistemas de deteco de anomalia mais precisos e solues especficas
para lidar com certos tipos de trfego no solicitados (por exemplo, spam e P2P)
surgiram como tentativa de tornar automtica, rpida e precisa identificao e reduo
do trfego no desejado.
Esta seo apresenta algumas das mais relevantes tcnicas e metodologias
baseadas em modelos estatsticos, matemticos e na anlise comportamental do trfego
Internet e que podem ser direta ou indiretamente aplicadas na anlise do trfego no
desejado.
Modelos Estatsticos e Matemticos
Modelos estatsticos tm sido empregados para construir modelos de sries temporais
do trfego da Internet e, conseqentemente, procedimentos capazes de detectar
anomalias.
Como argumentado no trabalho proposto por Scherrer et al.[Scherrer et al.,
2007], o trfego de rede consiste de um processo de chegada de pacotes IP que pode ser
modelado usando processos pontuais no estacionrios ou processos pontuais
Markovianos. Entretanto, devido ao tamanho do volume de dados, especialmente em
enlaces de alta velocidade, tais modelos geram grandes conjuntos de dados e necessitam
de um alto poder computacional para seu processamento. Alm disso, muitas das
distribuies estatsticas no produzem bons resultados na medio das margens
(distribuio marginal). Em linhas gerais, uma distribuio marginal utilizada quando
se tem interesse em informaes de uma determinada varivel (um dado do trfego da
rede como, por exemplo, endereo IP de origem). Ela sumariza as freqncias obtidas
para cada nvel. Por exemplo, na Tabela 3.1, as distribuies marginais so observadas
nos totais das linhas e colunas (em itlico).
Tabela 3.1. Exemplo de distribuio marginal.
Y\X
0
1
P(x)

0
1/8
0
1/8

1
2/8
1/8
3/8

2
1/8
2/8
3/8

3
0
1/8
1/8

P(y)
1/2
1/2
1

por este motivo que distribuies estatsticas no Gaussianas, em especial a


distribuio Gama, vm sendo aplicadas na busca de mtodos mais rpidos e eficientes.
Por sua vez, os modelos matemticos, especialmente wavelets, tm sido
empregados na deteco de anomalias porque capturam correlaes temporais
complexas atravs de mltiplas escalas de tempo e encontram variaes no
comportamento do trfego de rede. Wavelets so funes matemticas que dividem os
dados (sinais) em diferentes componentes de acordo com uma escala de interesse,
permitindo realizar anlises locais em uma rea especfica do sinal, como mostra a
Figura 3.8.
A seguir so detalhados dois trabalhos baseados nos modelos estatsticos e
matemticos e que podem ser facilmente utilizados para identificao e caracterizao
de trfego indesejado.

Figura 3.8. Processo de decomposio do sinal usando wavelet.

Extracting Hidden Anomalies using Sketch and Non Gaussian Multiresolution


Statistical Detection Procedures
O trabalho de Dewaele et al. [Dewaele et al., 2007] introduz um procedimento
especialmente elaborado para deteco de anomalias de baixa intensidade ocultas no
trfego Internet. Essa tcnica combina o uso de Sketches e um modelo estatstico no
gaussiano (que no segue a distribuio normal) para descobrir anomalias no trfego de
dados. Sketches so estruturas de dados (geralmente tabelas hash) utilizadas para
representar (sumarizar) dados massivos de trfego em vetores bidimensionais que
requerem baixo poder de processamento. Isto possibilita a reduo do volume de
informao e a medio do comportamento do trfego. A distribuio Gama serve para
extrair a funo de distribuio marginal do trfego para cada sketch. Desta forma,
possvel capturar pequenas correlaes entre as estruturas do trfego. O processo de
deteco faz uso da distncia de Mahalanobis [Mahalanobis, 1930], uma medida
estatstica usada para determinar similaridades entre um conjunto de amostras
desconhecidas e outro de amostras conhecidas, para executar comparaes entre
sketches e assim determinar comportamentos anmalos.
O procedimento de deteco e anlise, exemplificado na Figura 3.9, consiste dos
seguintes passos: gerao dos sketches, agregao multiresoluo, modelagem no
gaussiana, referncia, distncias estatsticas e deteco de anomalias.

Figura 3.9. Processo de deteco de anlise.

1. Gerao dos sketches


Os sketches so usados para dividir os pacotes dentro de subgrupos de acordo
com uma janela de tempo deslizante. Para cada fatia de tempo, somente o tempo
de chegada, os endereos IP e as portas so analisados. Como resultado, tabelas
hash so geradas representando segmentos do trfego original, onde o endereo
IP de origem ou destino usado como chave da tabela hash.

2. Agregao multiresoluo
Na agregao multiresoluo, os segmentos de trfego gerado so colocados
juntos para formar sries temporais que so agregadas de acordo com uma
determinada escala.
3. Modelagem no gaussiana
A distribuio Gama usada para descrever as distribuies marginais das sries
temporais agregadas. Em outras palavras, para cada agregao, os parmetros
e so estimados para serem usados para calcular a referncia e a distncia
estatstica. A escolha pela distribuio Gama e sua adequao so explicadas em
[Abry et al., 2007] [Scherrer et al., 2006] [Scherrer et al., 2007].
4. Referncia
A mdia dos comportamentos e a variabilidade tpica so estimadas para cada
elemento da tabela hash usando estimadores de mdia e varincia. Apesar da
simplicidade, a juno dos sketches e referncias permite a definio dos
padres de comportamento normal e anmalo. Anomalias podem ser
encontradas observando mudanas no padro estatstico atravs da comparao
de sketches em um mesmo intervalo de tempo.
5. Distncia estatstica
A distncia de Mahalanobis usada para medir o comportamento anmalo das
referncias. Cada distncia calculada comparada com um limiar (threshold).
Se a distncia de referncia menor ou igual ao limiar, o segmento
considerado normal. Caso contrrio, classificado como anmalo.
6. Deteco de anomalias
A deteco de anomalias realizada comparando sketches (chaves da tabela
hash) com atributos (endereo IP de origem e destino e nmero das portas)
registrados em uma lista durante o processo de deteco.
A validao deste procedimento foi realizada usando o repositrio de trfego do
MAWI24. Foram investigadas duas anomalias de trfego: ataques de inundao de baixa
intensidade e varreduras curtas. Os resultados demonstram que o procedimento capaz
de descobrir anomalias como pacotes elefante, flash crowds, ataques DDoS (inundao
TCP SYN e ICMP), varreduras de IP e porta, trfego P2P, worms, entre outros.
Apesar de esse procedimento ser considerado um trabalho em progresso, os
resultados iniciais so bastante promissores. Primeiro, nenhum tipo de conhecimento
prvio do trfego e de suas caractersticas necessrio. Segundo, capaz de detectar
tanto anomalias com curto tempo de vida (curta durao) quanto as mais demoradas.
Terceiro, requer baixo poder computacional e pode ser implementado em tempo real.
Por fim, a janela de deteco pode trabalhar tanto em tempo menores (inferior a um
minuto) quanto em tempos maiores (superior a dez minutos).
Como limitaes, a tcnica pode apresentar problemas de identificao (falso
positivo). Por exemplo, o servio DNS pode ser considerado ilegtimo por apresentar
24
MAWI um repositrio de trfego, integrante do projeto WIDE, que tem armazenado colees de
pacotes desde 2001 nos enlaces trans-pacficos entre o Japo e os Estados Unidos. Maiores informaes
em http://mawi.wide.ad.jp/mawi/

um nico padro de trfego. Uma sugesto para resolver o problema a adio de


filtros para excluir padres conhecidos durante a fase de anlise.
Anomaly Detection of Network Traffic based on Wavelet Packet
Gao et al. [Gao et al, 2006] descrevem um novo mtodo de deteco de anomalias de
rede baseado em transformadas wavelet. Os autores argumentam que existem algumas
questes que precisam ser observadas para aplicao de wavelet em mtodos de
deteco de anomalias. Primeiro, a maioria dos mtodos usa anlise de multiresoluo,
que somente adequada para anomalias de baixa freqncia. Segundo, os resultados
podem ser incorretos quando somente uma escala analisada. Terceiro, as
transformadas wavelet demandam um alto poder computacional e, conseqentemente,
podem ser consideradas inapropriadas para operaes em tempo real.
Para superar estes problemas, os autores propem o uso da anlise de pacotes de
wavelet, a qual possui a capacidade de decompor o sinal oferecido uma diversa faixa de
possibilidades para anlise. Em linhas gerais, em anlises wavelet, um sinal dividido
em aproximao e detalhe. Esta aproximao ento dividida em uma aproximao de
segundo nvel e detalhe, e o processo se repete. Para uma decomposio de nvel n, h n
+1 caminhos possveis para decompor ou codificar o sinal. A Figura 3.10 ilustra esse
processo.

Figura 3.10. Processo de decomposio do sinal.

O mtodo de deteco proposto capaz de ajustar o processo de decomposio


adaptativamente e exibir a mesma capacidade de deteco para anomalias de baixa,
mdia e alta freqncia. Para alcanar este objetivo, o mtodo proposto emprega um
estgio de deteco inicial para verificar em cada escala atravs de um algoritmo de
deteco estatstico se existem anomalias indicadas pela anlise de pacotes de wavelet.
No caso onde uma anomalia percebida, uma nova decomposio de pacotes de
wavelet feita e este passo executado novamente. Os nveis de decomposio so
auto-adaptativos. Caso exista uma anomalia, a reconstruo dos pacotes de wavelet e a
confirmao do estgio de anomalia so usadas para reconstruir os sinais das escalas e
checar se a reconstruo do sinal anmala.
Metodologias baseadas na Anlise do Comportamento
Metodologias baseadas no comportamento tentam automaticamente identificar perfis de
trfego em redes de backbone. O objetivo por trs dessas abordagens fornecer um
entendimento plausvel sobre o padro de comunicao dos computadores e servios.
Na deteco de anomalias, a anlise do comportamento caracterizada atravs do
processamento de grandes volumes de trfego.

A seguir so apresentados recentes trabalhos baseados no padro de


comportamento dos computadores. Tais trabalhos foram projetados para identificar e
classificar trfegos no desejados em redes de backbones.
Traffic Classification on the Fly
A tcnica proposta em [Bernaille et al., 2006] executa a anlise do fluxo atravs da
observao dos cinco primeiros pacotes de uma conexo TCP para identificar a
aplicao. Ao contrrio de outras tcnicas, onde a classificao das aplicaes ocorre
somente aps o final do fluxo TCP, esta tcnica utiliza apenas o tamanho dos primeiros
pacotes de uma conexo para classificar o trfego. A idia da classificao "on the Fly"
identificar com preciso a aplicao associada a um fluxo TCP o mais cedo possvel.
Essa tcnica utiliza o conceito de clusters no supervisionados para descobrir grupos de
fluxos que compartilham um comportamento de comunicao comum.
De modo geral, a classificao on the Fly dividida em duas fases:
aprendizagem off-line e classificao de trfego on-line. A primeira fase utilizada para
aprender e detectar comportamentos comuns atravs de um conjunto de dados de
treinamento. No fim desta fase, os fluxos TCP so agrupados de acordo com seus
comportamentos. A fase classificao emprega estes fluxos agregados para descobrir
qual a aplicao est associada a cada fluxo TCP.
Em resumo, a classificao "on the Fly" obtm mais informao do que a
inspeo DPI sem desrespeitar a privacidade do pacote e ferir qualquer restrio legal.
Os resultados apontam uma preciso acima de 80% para aplicaes TCP bem
conhecidas. Entretanto, a tcnica tambm apresenta alguns problemas como pacotes
entregues fora de ordem mudaro a representao espacial do fluxo que ir impactar na
qualidade da classificao. Alm disso, aplicaes com comportamento inicial
semelhante podero ser classificadas com o mesmo rtulo.
BLINC: Multilevel Traffic Classification in the Dark
Karagiannis et al. [Karagiannis et al., 2005] apresentaram uma nova metodologia para
classificar fluxos de trfego de acordo com o tipo de aplicao. Diferente de outras
propostas que analisam cada fluxo separadamente, o mtodo proposto observa todos os
fluxos gerados por computadores especficos. Alm disso, o BLINC no examina o
contedo dos pacotes, no assume que portas bem conhecida representam de maneira
confivel as aplicaes e somente usa informaes obtidas pelos coletores de fluxo, o
que explica o termo in the dark.
A classificao do BLINC baseada no padro de comportamento dos
computadores na camada de transporte. Esses padres so analisados em trs nveis de
detalhamento: social, funcional e aplicao. O nvel social revela a popularidade do
computador. Neste nvel investigado o comportamento do computador em relao as
suas comunicaes com outros computadores. Assim, somente os endereos IP de
origem e destino so utilizados como mostrado na Figura 3.11.

Figura 3.11. Representao visual do nvel social atravs de grafo bipartido.

O nvel funcional investiga o que o computador faz. Neste nvel analisado se


atua como provedor ou consumidor de um servio ou se participa de comunicaes
colaborativas. So avaliados os endereos IP de origem e destino e a porta de origem.
Por ltimo, o nvel de aplicao captura a interao dos computadores na camada de
transporte para identificar aplicaes e suas origens. De acordo com Karagiannis
[Karagiannis et al., 2005], um graphlet pode ser usado para representar as
caractersticas dos fluxos correspondentes a diferentes aplicaes pela captura do
relacionamento entre o uso das portas de origem e destino. A Figura 3.12 mostra
graphlets usados para identificar os fluxos de ataques DDoS a partir de respostas das
vtimas.

(a)

(b)
Figura 3.12. Representao visual das interaes no nvel social atravs de
graphlets.

Profiling Internet backbone Traffic: Behavior Models and Applications


A metodologia proposta por Xu et al. [Xu et al., 2005a] objetiva identificar anomalias
de trfego. O mtodo usa minerao de dados e tcnicas de informao terica para
automaticamente descobrir padres de comportamento significantes no trfego de
dados. A metodologia (aqui denominada de profiling) automaticamente descobre
comportamentos do trfego massivo e fornece meios plausveis para entender e
rapidamente reconhecer trfego anmalo. A metodologia trabalha examinando os
padres de comunicao dos computadores (endereos e portas) que so responsveis
por um significativo nmero de fluxos em um determinado perodo de tempo.
O processo do profiling basicamente inclui a extrao de clusters significativos e
a classificao do comportamento deles baseado no relacionamento entre os clusters.
Por exemplo, para um dado endereo IP (srcIP) i, o processo do profiling inclui a
extrao dos fluxos com srcIP i dentro de um cluster (denominado de cluster srcIP) e a
caracterizao do padres de comunicao (ou seja, comportamento) usando medies
de teoria da informao (entropia) sobre as trs dimenses de fluxos restantes, ou seja,
endereo IP de destino (dstIP), porta de origem (srcPrt) e porta de destino (dstPrt). A
Figura 3.13 ilustra os passos da metodologia.

Figura 3.13. Etapas do mtodo Profiling

O primeiro passo da metodologia analisar um conjunto de fluxos baseado nas


tuplas bem conhecidas para decidir sobre um espao caracterstico de interesse. O
objetivo extrair os clusters significativos de dimenses especficas, isto , endereos
IP de origem e destino e portas de origem e destino. Ento, os clusters mais
significativos so extrados de uma dimenso fixa (por exemplo, endereo IP de origem)
e o conceito de entropia usado para medir a quantidade de incerteza relativa (do ingls
Relative Uncertainly RU) contida nos dados.

Com os clusters extrados, o segundo passo descobrir ligaes entre os


clusters, ou seja, encontrar modelos de comportamento comuns para o perfil do trfego.
Para alcanar este objetivo, a metodologia prope uma classificao do comportamento
baseado nos padres de comunicao dos computadores de usurios finais e servios.
Desta forma, para cada cluster, uma RU computada e usada como mtrica para criar
classes de comportamento (do ingls Behavior Classes BC). Entre essas classes
possvel identificar qual delas representa trfego anmalo ou indesejado.
Em resumo, esta metodologia uma ferramenta muito poderosa para detectar
anomalias, exploits de segurana no conhecidas, criar o perfil do trfego no desejado,
registrar o crescimento de novos servios e aplicaes. Tambm flexvel e capaz de
automaticamente descobrir outros padres de comportamento significantes. O trabalho
em [Xu et al., 2005b] demonstra a habilidade para detectar as mais variadas anomalias
massivas tais como varreduras de IP e portas, ataques DoS e DDoS, entre outros. O
aspecto negativo que esta metodologia no apropriada para o trfego amplo de rede
e sim para enlaces nicos. Alm disso, os resultados apresentados no so encorajadores
para ataques de baixa intensidade.
Mining Anomalies Using Traffic Feature Distributions
Lahkina et al. [Lakhina et al., 2005] propem uma metodologia baseada na distribuio
caractersticas dos pacotes capaz de detectar anomalias de alto e baixo volume. Os
autores argumentam que a anlise dos fluxos de origem e destino (OD) pode revelar um
conjunto geral e diversificado de anomalias, especialmente as maliciosas. O mtodo
proposto utiliza o conceito de entropia para fazer observaes e extrair informaes
teis em relao a disperses na distribuio do trfego. A metodologia mining est
organizada em duas etapas: a distribuio do trfego e a metodologia de diagnstico.
Na primeira etapa so extrados os campos dos cabealhos dos pacotes para
procurar por eventuais anomalias causadas por mudanas (disperses) na distribuio
endereos ou portas observadas. Por exemplo, durante uma varredura de portas, a
distribuio das portas de destino ser bem mais dispersa do que durante uma condio
normal de trfego. So analisados quatro campos do cabealho IP dos pacotes: os
endereos IP origem e destino e as portas de origem e destino (srcIP, dstIP, srcPrt, e
dstPrt). Os autores afirmam que possvel capturar o grau de disperso ou concentrao
de uma distribuio usando entropia, uma vez que anomalias como, por exemplo,
varreduras de portas podem ser vistas claramente em termos de entropia, em
comparao com o volume de trfego.
A segunda etapa, denominada de diagnstico, usa os resultados da aplicao da
entropia sobre a distribuio para fazer um diagnstico e classificar anomalias. Em
seguida, um mtodo chamado Multiway Subspace usado para detectar anomalias,
oferecendo uma estratgia de classificao no supervisionada. O mtodo Multiway
Subspace derivado do mtodo de subespao proposto em [Dunia e Qin, 1998], e cujos
resultados na anlise de trfego podem ser encontrados em [Lakhina et al., 2004]. A
idia por trs deste mtodo identificar as variaes correlacionadas com mltiplas
caractersticas de trfego (no caso os campos do cabealho IP), o que provavelmente
pode indicar uma anomalia. A classificao no supervisionada utiliza uma abordagem
para a construo de grupos (clusters), onde os dados so analisados para detectar
anomalias. A operao ocorre em duas fases. Primeiro, as anomalias bem conhecidas
so agregadas de forma a adquirir conhecimento sobre suas origens. Assim, os grupos

so rotulados com base em seus tipos. Em seguida, a classificao feita pela agregao
das anomalias desconhecidas.
Como resultado, a metodologia mining capaz de detectar ataques DoS e DDoS,
flash crowds, varreduras de endereos e porta, worms, interrupes e anomalias
desconhecidas. Alm disso, o mtodo Multiway Subspace proposto tambm demonstra
adequao a manipular enormes volumes de fluxo OD e, conseqentemente, para
descobrir anomalias.
Em resumo, o uso da entropia na deteco de variaes do trfego de rede
causados pelas mais diversas anomalias a principal vantagem desta metodologia. A
complexidade e o alto poder computacional para implementar a metodologia so a
principal desvantagem. Alm disso, o tempo de construir sries temporais (fluxos OD)
grande, podendo ser da ordem de alguns minutos.
3.3.3. Consideraes
Apesar dos avanos na deteco do trfego no desejado, especialmente sobre
backbones de alta velocidade, estas abordagens ou apresentam um caro custo
computacional (complexidade) e mudanas na infra-estrutura ou resultados imprecisos.
No entanto, possvel perceber tendncias para futuras solues. Em primeiro
lugar, anlise gerada atravs da agregao do trfego em fluxos permite a exibio dos
pontos de penetrao (origem) e sada (destino) do trfego de forma simples, sem a
perda de dados. Em segundo lugar, apesar de no apresentar uma preciso superior,
tcnicas de deteco baseadas no comportamento obtm mais tipos de trfego
indesejado e extraem mais dados correlacionados sobre o trfego. Por ltimo, esta seo
capta a essncia do debate e anlise sobre tcnicas de deteco de trfego no desejado,
mostrando que possvel ver uma "luz no fim do tnel" no que diz respeito a solues
automticas, rpidas e precisas.

3.4. Potenciais Solues


O tema trfego no desejado vem ganhando destaque no mundo todo. A principal prova
deste fato o nmero de pesquisas e trabalhos publicados nos ltimos anos, alguns
deles apresentados neste minicurso. No entanto, a prpria evoluo tecnolgica e a
filosofia aberta da Internet tem imposto novos desafios a atividade de controle do
trfego no desejado.
Nesta seo sero apresentadas algumas abordagens e solues consideradas
pelos autores deste minicurso como potenciais e futuras.
3.4.1. Filtragem avanada
Como visto na seo 3.3.1.1, o uso de filtros de trfego no suficiente para lidar com o
atual estgio do trfego indesejado. A fim de resolver este problema, pesquisadores tm
proposto mecanismos e sistemas avanados de filtragem. Atualmente, as melhores
prticas nesta rea esto descritas em dois documentos: BCP 38 (RFC 2827) [Ferguson
e Senie, 2000] e BCP 84 (RFC 3704) [Baker e Savola, 2004].
Basicamente, o BCP 38 (Best Current Pratice) recomenda que os provedores de
Internet filtrem pacotes IP, na entrada de suas redes, provenientes de seus clientes e que
descartem aqueles pacotes cujo endereo IP no tenha sido alocado a esses clientes. Na

verdade, muitos provedores de acesso possuem roteadores que suportam as medidas


citadas no BCP 38.
O BCP 84 apresenta outras implementaes de filtragem na entrada da rede
como, por exemplo, Strict Reverse Path Forwarding (SRPF), Feasible Path Reverse
Path Forwarding (Feasible FPR), Loose Reverse Path Forwarding (Loose FPR) e
Loose Reverse Path Forwarding Ignoring Default Routes, que oferecem configurao
automtica e dinmica de filtros de entrada ao ncleo e borda das redes.
Pesquisadores e especialistas defendem que a implantao global do BCP 38 e
BCP 84 permitir efetivamente bloquear ataques DDoS baseados em endereos IP de
origem forjados. Contudo, a implantao deste tipo de proteo tem sido bastante
questionada, especialmente por provedores de acesso Internet. Primeiro, o custo
financeiro aumentaria devido necessidade de pessoal tcnico especializado. Segundo,
para essa soluo ser efetiva, necessita da implantao em todas as redes existentes.
Alm disso, qualquer eventual bloqueio de trfego legtimo devido a erros acidentais na
configurao desses filtros seria problemtico e esse temor usado com motivo
(desculpa) para o BCP 38 e o BPC 84 no serem divulgados hoje em dia. Para finalizar,
devido alta versatilidade de alguns tipos de trfego no desejado especificamente
aqueles que trafegam sobre o protocolo HTTP, essas solues podem apresentar uma
baixa taxa de efetividade na luta contra o trfego indesejado.
3.4.2. Investigao do Espao de Endereos IP
Alguns tipos de trfego indesejado usam espaos de endereo IP no atribudos (no
utilizados) para executar atividades como varredura de vulnerabilidades, ataques DoS e
DDoS, divulgao de vrus e worms, entre outras. Neste contexto, algumas solues tm
sido apresentadas com o objetivo de monitorar o trfego considerado no esperado.
Internet Motion Sensor (IMS)25 [Cooke et al., 2004] [Bailey et al., 2005] um
sistema de vigilncia distribuda, de nvel mundial, cujo objetivo identificar e
monitorar o trfego proveniente de espaos de endereamento IP roteveis no
atribudos e no anunciados comumente chamados de darknets. De acordo com
[Anderson et al., 2006], atualmente a IMS controla cerca de 17 milhes de prefixos (/8,
/16 e /24), cerca de 1.2% do espao do endereo IPv4 espalhados ao redor do mundo em
provedores de acesso Internet, organizaes, empresas e universidades. A Figura 3.14
ilustra a arquitetura da rede IMS. Apesar de no ser considerada uma soluo contra o
trfego no desejado, IMS uma ferramenta eficaz para auxlio que pode ser emprega
para combater este tipo de trfego, seja atravs da identificao das origens quanto da
compreenso dos mecanismos utilizados.
Outra soluo semelhante so as Redes Telescpio (Network Telescopes)
[Moore, 2002] [Moore et al., 2004]. Estas redes so compostas por monitores que
observam o trfego encaminhado para espaos de endereos IP no utilizados e
registram eventos como a propagao de vrus na Internet. A idia manter os sensores
ativos para escutar todo o trfego enviado para estes espaos de endereamento. Desta
forma, possvel ver exatamente todos os eventos em seu "estado bruto", ou seja, sem
quaisquer interferncias de trfego.

25

http://ims.eecs.umich.edu.

Figura 3.14. Arquitetura da rede IMS.

3.4.3. Lightweight Internet Permit System


Uma questo chave em relao ao trfego no desejado falsificao do endereo IP.
Solues como IPSec, SSL, VPN e esquemas de filtragem mais rgidos no apresentam
qualquer tratamento para lidar com a falsificao de endereos IP. Solues mais
robustas tm sido propostas, mas dependem de mudanas, algumas profundas, na infraestrutura da Internet. Como se sabe que tais mudanas no so desejveis e dificilmente
no ocorrero rapidamente.
neste contexto o mtodo LIPS (Lightweight Internet Permit System) [Choi et
al., 2005] se prope a identificar e bloquear o trfego no desejado. LIPS fornece um
mecanismo que permite a responsabilizao do trfego atravs da rpida autenticao de
pacotes (fast packet authentication), ou seja, pacotes de trfego no desejados so
bloqueados e suas origens identificadas.
LIPS funciona como um mecanismo eficiente de filtragem de trfego. Quando
um computador origem quer se comunicar com um computador destino, primeiro deve
requisitar uma autorizao de acesso ao destino. Se a autorizao for concedida, um
passaporte enviado ao computador origem que o utiliza para enviar dados ao
computador destino. Apenas pacotes com autorizaes de acesso sero aceitos at ao
destino. Esta arquitetura simples escalvel e fornece uma possibilidade de estabelecer
responsabilizao ao trfego entre redes e computadores, alm de garantir o melhor
aprovisionamento dos recursos Internet sem sacrificar a sua natureza dinmica e aberta.
Alm disso, LIPS tambm simplifica e facilita deteco precoce de ataques e intruses
a rede, uma vez que exige autorizaes de acesso vlidas antes de permitir quaisquer
pacotes possam ser aceitos e processados.
LIPS opera de dois modos. A base do LIPS modo Host, onde um computador
se comunica diretamente com outro. Esse modo aplicvel para comunicaes em

pequena escala, mas tambm usado em grande escala (inmeros computadores) na


presena de um gateway LIPS. O outro modo o de Gateway, onde os computadores
LIPS so organizados em zonas de segurana com base em domnios administrativos. O
uso de zonas de autorizao permite autenticar o acesso de pacotes entre zonas. Cada
zona tem um servidor de licenas (Permit Server) para gerenciar as licenas entre zonas
e um gateway de segurana (Security Gateway) para validar os pacotes entre zonas
baseado nos pacotes permitidos dentro da zona (internos). Uma vez que uma zona de
inter-licenciamento estabelecida entre duas zonas, as comunicaes subseqentes
seguiro a autenticao entre elas. Desta forma, haver uma reduo no overhead de
licenciamento.
Os autores argumentam que a soluo LIPS escalvel e flexvel, visto que
pode ser implantada de forma incremental (no necessrio que ambos os lados de uma
conexo tenham LIPS). Alm disso, nenhuma modificao nos programas ou na
arquitetura Internet necessria e no h necessidade de chaves criptogrficas pesadas
porque no h troca de chaves.
3.4.4. SHRED
Atualmente, as diversas solues para lidar com o envio e a recepo de mensagens de
spam so baseadas no uso de esquemas de filtragem, anlise de trfego e
comportamento [Gomes et al., 2005], uso de honeypots [Andreolini et al., 2005] e at
mesmo em mudanas no protocolo SMTP [Duan et al., 2005]. Uma idia, no muito
inovadora, o uso de mtodos que permitam punir os spammers atravs de cobranas
financeiras. Nesta linha de solues, uma proposta interessante SHRED.
Spam Harassment Reduction via Economic Disincentives (SHRED)
[Krishnamurthy e Blackmond, 2003] um esquema que visa diminuir o volume do
trfego de spam atravs da punio monetria dos spammers. A idia central utilizar
selos ou marcas (stamp) para inserir desincentivos econmicos para usurios que geram
ou propagam spam.
O esquema proposto utiliza dois conceitos econmicos: passivo contingente com
tempo de expirao e limite de crdito. O primeiro se refere ao fato de que uma dvida
possa ser gerada baseada em uma ao externa dentro de um tempo limite. O segundo
conceito refere-se ao limite de crdito pr-definido para cada usurio. No esquema
SHRED, os selos representam o endividamento e possuem um valor monetrio
associado. Os selos so pr-alocados para os provedores de acesso atravs de um dos
muitas autoridades de marcao eletrnica (do ingls Eletronic Stamp Authorities
ESA) que participam do servio SHRED. Os selos so colados automaticamente a cada
mensagem enviada pelo provedor de acesso, de forma transparente e em nome do
remetente.
A arquitetura SHRED formada pelo remetente, seu provedor de acesso, uma
ou mais ESA, provedor de acesso do destinatrio e o destinatrio. A Figura 3.15 ilustra
a arquitetura.

Figura 3.15. Arquitetura SHRED.

O processo de funcionamento descrito a seguir. Quando o remetente envia um


e-mail, seu provedor de acesso adicionar um selo como uma espcie de cabealho
SMTP e reduzir o crdito a sua disposio. Os selos tm um tempo de expirao
associado a eles e incluem identificaes do provedor de acesso de origem e do ESA
que emitiu o selo. O provedor de acesso manter o estado de todos os selos adicionados
at que expirem. Quando o provedor de acesso do destinatrio recebe o e-mail, verifica
se o destinatrio recebe mensagens com selo. Em caso negativo, a mensagem
processada e entregue de forma tradicional. Em caso positivo, o provedor de acesso do
destinatrio valida o selo localmente e o repassa ao destinatrio. Podem ser tomadas
duas aes:

Se ao ler a mensagem, o destinatrio consider-la indesejada, o selo pode ser


cancelado se ainda estiver dentro do tempo de expirao. O cancelamento do
selo pode ser feito atravs de uma interface de usurio, acessando uma URL
anexada mensagem ou enviando um e-mail para o administrador. Tambm
podem ser utilizados filtros para realizar esta tarefa de maneira automtica. Em
seguida, o provedor de acesso do destinatrio transmite mensagens canceladas
para o ESA atravs de um canal privado e seguro. O provedor de acesso de
remetente recebe as mensagens com selo cancelado e cobra do remetente por
cada selo.

Se a mensagem recebida pelo destinatrio estiver em conformidade ou o selo


no for cancelado antes que o seu tempo de expirao seja atingido, o provedor
de acesso do remetente incrementa seu limite de crdito.

Em resumo, SHRED pode ser utilizado para complementar os mais variados


tipos de filtros de mensagens de correio eletrnico existentes. Contudo, no existe um
resultado sobre a efetividade da soluo visto que a mesma no foi colocada em
operao.
3.4.5. OADS
Os servios Internet funcionaram por um longo tempo atravs de um acordo informal e
da boa f dos usurios. Embora exista a falta de controle centralizado ou dono, a
Internet uma das poucas, se no for a nica, infra-estrutura auto governada que
funciona razoavelmente bem sobre esse paradigma. Hoje, este modelo de confiana est
sobre intenso ataque como resultado da diversidade de comunidades que formam a
Internet. Ser possvel manter esse estilo de vida? A qual preo? O que precisa ser
feito? A proposta apresentada aqui, pelos autores deste minicurso, chamada de
sistemas de deteco de anomalias orientado a orquestrao (Orchestration oriented
Anomaly Detection System OADS)
A orquestrao no mais uma metfora moderna que descreve uma atividade
de gerenciamento de segurana bem conhecida. Analogamente a um maestro que
mantm o ritmo, conduzindo os diferentes msicos, gerentes de segurana organizam a
harmonia e ritmo de vrios instrumentos (sistemas) de deteco de anomalia (sistemas
de remediao, firewall, antivrus, aplicaes de anlise de trfego, etc.) para atingir o
efeito desejado, tornando a rede cada vez mais segura.
Esta proposta empresta o conceito introduzido na arquitetura orientada a
servios (do ingles Service-Oriented Architecture - SOA) [Erl, 2004], especificamente o
de orquestrao de servios, e introduz uma nova metodologia para deteco de
anomalias baseada na orquestrao dos servios de segurana.
A idia por trs da orquestrao o gerenciamento automtico da execuo de
diferentes detectores de anomalia. Em outras palavras, permite a colaborao e
harmonizao entre as diferentes tcnicas e mecanismos contra atividades maliciosas.
Colaborao permite que dois ou mais processos trabalhem em conjunto em direo a
um objetivo comum sem um lder. Na msica, isso ocorre quando msicos trabalham no
mesmo lbum ou msica. No contexto de segurana, a colaborao vista como um
facilitador de relaes entre os diferentes detectores de anomalia. Por exemplo, dois ou
mais detectores podem compartilhar a mesma base de trfego para realizar anlises ou o
resultado elaborado por um detector pode ser usado como entrada para outro. A
harmonia significa que dois ou mais sons diferentes esto prximos. Estendendo o
conceito a rea de segurana de rede, pode se dizer que a harmonia permitir que um
servio de qualquer origem, empregando qualquer tecnologia, trabalhe bem como em
uma orquestra.
Em comparao com as atuais metodologias, orquestrao destaca-se por tornar
possveis interaes entre os mais diversificados sistemas de deteco de anomalias. A
metodologia OADS harmoniza bases de informao de trfego, sistemas detectores de
anomalia (ADS) e um mecanismo (engine) de orquestrao. A Figura 3.16 ilustra a
organizao da metodologia OADS.

Figura 3.16. Modelo OADS.

Bases de trfego: armazena o trfego processado pelos detectores de anomalia.


A idia por trs deste componente permitir que o mecanismo de orquestrao
possa obter informaes para ajud-lo a decidir se existe um evento anmalo
acontecendo e qual tratamento deve ser dado a este evento. A base de trfego
deve ser malevel para suportar diferentes tipos de trfego (processado ou no)
tais como fluxos OD, pacotes completos, sketches, nveis de agregao, clusters,
etc.

Sistemas detectores de anomalia (ADS): atuam como sensores abastecendo o


mecanismo de orquestrao com informaes relevantes (alarmes e
diagnsticos), ajudando-o a tomar decises corretas. Em OADS, os ADS podem
e devem colaborar entre si. Por exemplo, a tcnica Profiling [Xu et al., 2005a]
somente reconhece anomalias que geram um grande volume de trfego. Deste
modo, esta tcnica pode ser empregada para disponibilizar seus fluxos
processados do trfego para outro detector capaz de encontrar ataques de baixa
carga, aumentando assim a probabilidade de descobrir anomalias no percebidas
e, conseqentemente, expandir o nvel de segurana da rede.

Mecanismo de orquestrao: responsvel por tomar decises sobre eventos


suspeitos ou anmalos baseado principalmente em alarmes disparados pelos
diferentes sistemas de deteco de anomalias. Em linhas gerais, a avaliao
realizada pelo mecanismo de orquestrao leva em considerao as
caractersticas como a preciso, o tempo de deteco e o grau de sensibilidade
de cada elemento. Alm dos alarmes, o conhecimento prvio obtido da
observao de anomalias anteriores e dos sinais registrados na base de
informao do trfego tambm pode ser usado para tomar decises. A
implementao do mecanismo de orquestrao pode utilizar desde simples
esquemas como um algoritmo de votao ou nveis de prioridade at solues

mais elaboradas e complexas tais como redes neurais e lgica fuzzy [Zhi-tang et
al., 2005] [Xiang et al., 2006]. Como benefcio, o mecanismo de orquestrao
auxilia o administrador da rede nas tarefas repetitivas e rotineiras de
configurao e avaliao.
Para resumir, a orquestrao consiste na captura de regras e seqncias de como
e quando as diferentes tcnicas iro colaborar entre si para fornecer um servio mais
seguro. Em outras palavras, orquestrao consiste em criar um modelo de processos
executvel que implementa um novo servio atravs da harmonizao de servios prexistentes. Os autores deste minicurso acreditam que o estilo de comunicao
colaborativa entre os servios de segurana representa um significativo passo em
direo a desenvolvimento de sistema de autodefesa.

3.5. Concluses
O trfego no desejado pode ser considerado a verdadeira pedra no sapato da Internet.
Embora os tipos e suas conseqncias sejam conhecidos, questes como a definio e as
formas de minimizar seus efeitos ainda so motivos de discusso. A existncia de uma
indstria do mal motivada e evoluda, aliada ao surgimento de novos servios e
aplicaes, a constante evoluo tecnolgica e ao boom populacional de novos (e
freqentemente despreparados) usurios impe novos desafios na atividade de detectar
e limitar o trfego no desejado.
Este captulo procurou introduzir o leitor no universo do trfego Internet no
desejado. Em primeiro lugar, o problema foi contextualizado e foram apresentadas
definies e discusses sobre o assunto. As causas foram explicadas e os principais
tipos de trfego no desejado foram exemplificados. Em seguida foram discutidas as
principais solues desenvolvidas para lidar com o trfego no desejado. Por ltimo,
foram apresenta algumas potencias e futuras solues que esto espera de serem
implantadas ou ainda no esto em uso. Para estimular ainda mais o leitor, sero
discutidas algumas questes em aberto e, por fim, sero feitas as observaes finais.
3.5.1. Questes de pesquisa em aberto
At o momento, a batalha com o trfego no desejado tem apresentado solues apenas
reativas. Recentemente, o uso de anlise de trfego para identificar anomalias
(principalmente ataques) tem recebido grande estmulo. Entretanto, um grande esforo
ainda se faz necessrio para encontrar alternativas inteligentes que no somente
identifiquem, mas que tambm ajudem a reduzir este tipo de trfego.
Algumas questes sobre o trfego no desejado que ainda esto em aberto sero
discutidas a seguir:

Algumas vezes, novas aplicaes e servios impem mudanas no


gerenciamento e na capacidade dos enlaces das redes como, por exemplo, VoIP,
IPTV, jogos em redes, entre outros. Contudo, as redes no esto preparadas para
atender imediatamente todos os novos requisitos exigidos por estes servios. A
soluo atual no fazer nada e deixar que essas novas aplicaes sejam
penalizadas com o no atendimento de seus requisitos ou mesmo com seu total
bloqueio at que seu perfil de trfego seja entendido e criado. A soluo ideal
a construo rpida e precisa dos perfis de trfego dessas novas aplicaes e
servios.

Muitas das recentes tecnologias de rede proporcionam alta largura de banda. Se


por um lado, isso permite o aumento da capacidade de trfego da rede, por outro
impem uma alta carga sobre o gerenciamento da rede. Solues como
amostragens no atingem um nvel de preciso adequado. As atuais pesquisas
nesta rea tm proposto o uso do trfego agregado tais como anlise fluxos de
origem e destino (OD) [Lahkina et al., 2004a], a anlise do componente
principal (Principal Component Analysis PCA) [Crovella e Krishnamurthy,
2006] e o uso de sketches [Li et al., 2006] [Abry et al., 2007]. Entretanto, os
resultados ainda podem ser melhorados

Uma vez que as solues baseadas na anlise do trfego podem levar minutos ou
at mesmo dias para descobrir indcios de trfego no desejado, o tempo de
deteco muito importante. Tempos curtos indicam uma melhor preciso, mas
anomalias de baixa carga tendem a no serem detectados. A soluo usual
observar estatsticas de perodos de tempo maiores, mesmo que isso implique
em grandes latncias. Juntamente com as medidas de tomada de aes (por
exemplo, aplicao de novas regras ao firewall), o tempo total resultante pode
ser relativamente longo a ponto de permitir danos irreversveis.

Embora a diversidade de novas aplicaes e servios s aumente e


conseqentemente estimule o trfego no desejado, a quantidade de solues de
deteco existentes no acompanha esse crescimento. Primeiro porque existem
diferentes tipos ou classes de trfego no desejado. Segundo, esses trfegos
diferem em termos de durao, objetivo e gravidade. Em resumo, as solues
so obrigadas a recorrer a uma variedade de metodologias e tcnicas para
resolver todas essas questes.

Uma vez que os usurios (clientes) de banda larga permanecem longos perodos
de tempo conectados, importante conhecer o perfil do trfego normal para
esses usurios. Ser que existe uma tendncia em direo ao uso maior de
trfego para determinadas aplicaes? Como que estas aplicaes iro se
comportar? Como se comportam hoje com o nmero crescente de usurios?

Com o aumento do nmero de usurios e computadores ligados na Internet,


importante conhecer quais so os computadores vulnerveis na rede. Ser que
simplesmente notificar os usurios que seus computadores tm vulnerabilidades
e ameaas de segurana suficiente e eficiente? Porque solues automatizadas
que permitem adequar esses computadores comprometidos tais como NAC
[Cisco, 2008] e NAP [Microsoft, 2008] no so muito utilizadas?

3.5.2. Observaes Finais


Hoje em dia, a Internet transporta uma grande quantidade de trfego indesejado. Seja
atravs da deturpao da filosofia aberta da Internet ou mesmo da explorao de
diversas vulnerabilidades, o fato que as conseqncias so altamente prejudiciais. A
capacidade de causar danos financeiros tamanha que esse tipo de trfego encontrado
at em redes 3G [Ricciato, 2006] e [Ricciato et al., 2006].
A existncia de uma economia de submundo financiando e lucrando com esse
tipo de trfego, a falta de normas e leis que responsabilizem e punam os culpados e as

limitadas ferramentas empregadas contribuem para a proliferao e perpetuao do


trfego no desejado.
Atualmente, no existe uma lmpada mgica que fornea a resposta definitiva
contra o trfego Internet no desejado, mas algumas aes podem e devem ser tomadas:

Aumentar o nmero de pesquisas nessa rea visando, inicialmente, resolver


problemas especficos. O apoio de agncias governamentais, rgos de fomento
pesquisa e a prpria iniciativa privada devem servir de fontes financiadoras.

Estimular a realizao de eventos, workshops, conferncias sobre o trfego no


desejado. Tais encontros servem como ponto de partida para troca de
conhecimentos e o surgimento de novas parcerias.

Desenvolver um modelo jurdico de alcance global para facilitar a captura, o


julgamento e a punio aos criadores e incentivadores do trfego indesejado.
Este trabalho deve ser conduzido por especialistas de modo a garantir da melhor
forma a flexibilidade da Internet.

Aumentar o desenvolvimento e uso de solues contra o trfego no desejado,


uma vez que mesmo que no encerrem o problema, podem diminuir seu volume.

Por fim, educar os usurios Internet para torn-los mais conscientes dos riscos
existentes para seus computadores e sistemas, e torn-los clientes mais exigentes
na questo de segurana junto a suas operadoras.

Referncias
[Abry et al., 2007] Abry, P., Borgnat, P., e Dewaele, G. (2007) Sketch based anomaly
detection, identification and performance evaluation. IEEE/IPSJ SAINT
Measurement Workshop, pginas 80-84.
[Anderson et al., 2007] Anderson, L., Davies, E., and Zhang, L. (2007) Report from the
IAB workshop on Unwanted Traffic March 9-10 2006. RFC 4948. Internet
Engineering Task Force.
[Andreolini et al., 2005] Andreolini, M., Bulgarelli, A., Colajanni, M., e Mazzoni, F.
(2005) HoneySpam: Honeypots Fighting Spam at the Source. Em International
Workshop on Steps to Reducing Unwanted Traffic on the Internet (SRUTI05),
pginas 77-83.
[Arbor Networks, 2005] Arbor Networks. (2005) Worldwide ISP Security Report.
http://www.arbornetworks.com.
[Bailey et al., 2005] Bailey, M., Cooke, E., Jahanian, F., Nazario, J., Watson, D. (2005)
The Internet Motion Sensor: A Distributed Blackhole Monitoring System. Em 12th
Annual Network and Distributed System Security Symposium.
[Baker e Savola, 2004] Baker, F., e Savola, P. (2004) Ingress Filtering for Multihomed
Networks. BCP 84. RFC 3704. Internet Engineering Task Force.
[Bernaille et al., 2006] Bernaille, L., Teixeira, R., Akodjenou, I., Soule, A., e
Salamatian, K. (2006) Traffic Classification on the Fly. ACM SIGCOMM Computer.
Communication Review, 36(2), pginas 23-26, Abril. ACM Press.

[CERT, 2008] CERT Computer Emergency Response Team. (2008) Denial of Service
Attacks. http://www.cert.org/tech_tips/denail_of_service.html
[CERT.br, 2008] CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes
de
Segurana
no
Brasil.
(2008)
Estatsticas
do
CERT.br.
http://www.cert.br/stats/incidentes/
[Choi et al., 2005] Choi, C., Dong, Y., e Zhang, Z. (2005) LIPS: Lightweight Internet
Permit System for Stopping Unwanted Packets. Lecture Notes in Computer Science,
pginas 178-190. Springer.
[Cisco, 2006] Cisco Systems. (2006) Introduction to Cisco IOS NetFlow - A Technical
Overview. White
Paper.http://www.cisco.com/en/US/products/ps6601/products_white_paper0900aecd
80406232.shtml.
[Cisco,
2008]
Cisco
Systems.
(2008)
Network
Admission
Control.
http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html
[Cooke et al., 2004] Cooke, E., Bailey, M., Watson, D., Jahanian, F., e Nazario, J. The
Internet Motion Sensor: A Distributed Blackhole Monitoring System. Technical
Report CSE-TR-491-04, University of Michigan, Eletrical Engineering and
Computer Science.
[Crovella e Krishnamurthy, 2006] Crovella, M., e Krishnamurthy, B. (2006) Internet
Measurement: Infrastructure, Traffic and Applications. John Wiley & Sons, Inc.,
Nova Yorque, NY, USA.
[Davies, 2007] Davies, E. (2007) Unwanted Traffic. IETF Journal, volume 3,
Dezembro. http://www.isoc.org/tools/blogs/ietfjournal/?p=172
[Dewaele et al., 2007] Dewaele, G., Fukuda, K., Borgnat, P., Abry, P., e Cho, K. (2007)
Extracting Hidden Anomalies using Sketch and Non Gaussian Multiresolution
Statistical Detection Procedures. ACM SIGCOMM Workshop on Large-Scale Attack
Defense (LSAD), pginas 145-152.
[Duan et al., 2005] Duan, Z., Gopalan, K., e Dong, Y. (2005) Push vs. Pull:
Implications of Protocol Design on Controlling Unwanted Traffic. Em International
Workshop on Steps to Reducing Unwanted Traffic on the Internet (SRUTI05).
[Dunia e Qin, 1998] Dunia, R., e Qin, S. J. (1998) A subspace approach to
multidimensional fault identification and reconstruction. American Institute of
Chemical Engineers (AIChE) Journal, pginas 18131831.
[Eichin e Rochlis, 1989] Eichin, M. e Rochlis, J. (1988) With Microscope and
Tweezers: An Analysis of the Internet Virus of November 1988. Em IEEE Computer
Society Symposium on Security and Privacy.
[Erl, 2004] Erl, T. (2004) Service-Oriented Architecture: A Field Guide to Integrating
XML and Web Services. Prentice Hall PTR, Upper Saddle River, NJ, USA.
[Ferguson e Senie, 2000] Ferguson, P., e Senie, D. (2000) Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing. BCP
38. RFC 2827. Internet Engineering Task Force.

[Feroul et al., 2005] Feroul, M., Roth, M., McGibney, J., Scheffler, T., e Waller, A.
(2005)
Anomaly
Detection
System
Study.
SEINIT
Project.
http://www.seinit.org/documents/Deliverables/SEINIT_D2.5_PU.pdf.
[Gao et al., 2006] Gao, J., Hu, G., Yao, X., e Chang, R. (2006) Anomaly Detection of
Network Traffic Based on Wavelet Packet. Em Asia-Pacific Conference on
Communications (APPC06).
[Gomes et al., 2005] Gomes, L. H., Castro, F., Almeida, V., Almeida, J., e Almeida, R.
(2005) Improving Spam Detection Based on Structural Similarity. Em International
Workshop on Steps to Reducing Unwanted Traffic on the Internet (SRUTI05),
pginas 89-95.
[Heidari,
2004]
Heidari,
M.
http://www.securitydocs.com.

(2004)

Malicious

Codes

in

Depth.

[Hoepers et al., 2003] Hoepers, C., Stending-Jenssen, K. e Montes, A. (2003) Honeynets


Applied to the CSIRT Scenario. http://www.honeynet.org.br/papers/hnbrfirst2003.pdf
[Honeynet Project, 2006] The Honeynet Project. (2006) Know Your Enemy: Honeynets.
http://www.honeynet.org/papers/honeynet/index.html.
[Hyatt, 2006] Hyatt, R. (2006). Keeping DNS trustworthy. The ISSA Journal, pginas.
37-38.
[Juniper,
2008]
Juniper.
(2008)
Juniper
JFlow.
http://www.juniper.net/techpubs/software/erx/junose80/swconfig-ip-services/html/ipjflow-stats-config2.html
[Karagiannis et al., 2005] Karagiannis, T., Papagiannaki, K., e Faloutsos, M. (2005)
BLINC: Multilevel traffic classification in the dark. ACM SIGCOMM Computer
Communication Review, 35(4), pginas 229-240. ACM Press.
[Kumar e Spaffor, 1994] Kumar, S., e Spafford, E.H. (1994) An application of pattern
matching in intrusion detection. The COAST Project, Department of Computer
Sciences, Purdue University, West Lafayette, IN, USA, Technical Report CSD-TR94-013.
[Krishnamurthy, 2006] Krishnamurthy, B. (2006) Unwanted traffic: Important
problems,
research
approaches.
IAB
Workshop.
http://www.research.att.com/~bala/papers
[Krishnamurthy e Blackmond, 2003] Krishnamurthy, B., e Blackmond, E. (2003)
SHRED: Spam Harassment Reduction via Economic Disincentives. White Papers.
AT&T. http://www.research.att.com/~bala/papers/
[Lakhina et al., 2004] Lakhina, A., Crovella, M., e Diot, C. (2004) Diagnosing
Network-Wide Traffic Anomalies. Em ACM SIGCOMM, pginas 219-230.
[Lakhina et al., 2005] Lakhina, A., Crovella, M., e Diot, C. (2005) Mining anomalies
using traffic feature distributions. ACM SIGCOMM Computer Communication
Review, 35(4), pginas 217-228. ACM Press.
[Laufer et al., 2005] Laufer, R., Moraes, I., Velloso, P., Bicudo, M., Campista, M.,
Cunha, D., Costa, L., e Duarte, O. (2005) Negao de Servio: Ataques e

Contramedidas. Livro Texto dos Mini-cursos do V Simpsio Brasileiro de Segurana


da Informao e de Sistemas Computacionais (SBSeg'2005). Florianpolis, Brasil.
[Li et al., 2006] Li, X., Bian, F., Crovella, M., Diot, C., Govindan, R., Iannaccone, G., e
Lahkina, A. (2006) Detection and Identification of Network Anomalies using Sketch
Subspaces. Em 6th ACM SIGCOMM on Internet Measurement Conference
(IMC06), pginas 147-152. Rio de Janeiro, Brasil. ACM Press.
[Mahalanobis, 1930] Mahalanobis, P. C. (1930) On tests and measures of groups
divergence. Journal of the Asiatic Society of Bengal, volume 26.
[Microsoft,
2008]
Microsoft.
(2008)
Network
http://technet.microsoft.com/en-us/network/bb545879.aspx

Access

Protection.

[Mirkovic et al., 2004] Mirkovic, J., Martin, J., e Reiher, P. (2004) A Taxonomy of
DDoS Attacks and DDoS Defense Mechanisms. ACM SIGCOMM Computer
Communications Review, 34(2), pginas 3953. ACM Press.
[Moore, 2002] Moore, D. (2002) Network Telescopes: Observing Small or Distant
Security Events. Em 11th USENIX Security Symposium.
[Moore et al., 2004] Moore, D., Shannon, C., Voelkery, G. M., e Savagey, S. (2004)
Network Telescopes: Technical Report. Cooperative Association for Internet Data
Analysis.CAIDA. http://www.caida.org/outreach/papers/2004/tr-2004-04
[Morin, 2006] Morin, M. (2006) The Financial Impact of Attack Traffic on Broadband
Networks. IEC Annual Review of Broadband Communications, pginas 1114.
[Oliveira et al., 2007] Oliveira, E. L., Aschoff, R., Lins, B., Feitosa, E., Sadok, D.
(2007) Avaliao de Proteo contra Ataques de Negao de Servio Distribudos
(DDoS) utilizando Lista de IPs Confiveis. VII Simpsio Brasileiro em Segurana da
Informao e de Sistemas Computacionais (VII SBSEG). Rio de Janeiro, Brasil.
[OpenNet, 2004] OpenNet. (2004) Internet Filtering in China in 2004-2005: A County
Study.
http://www.opennetinitiative.net/studies/china/ONI_China_Country_Study.pdf
[Pang et al., 2004] Pang, R., Yegneswaran, V., Barford, P., Paxon, V., e Peterson, L.
(2004) Characteristics of Internet Background Radiation. Em 4th ACM SIGCOMM
on Internet Measurement Conference (IMC 04). ACM Press.
[Paxson, 1998] Paxson, V. (1998) Bro: A System for Detecting Network Intruders in
Real-Time. Em 8th USENIX Security Symposium.
[Provos, 2004] Provos, N. (2004) A Virtual Honeypot Framework. Em 13th USENIX
Security Symposium.
[Provos, 2008] Provos, N. (2008) Honeyd. http://www.honeyd.org.
[Radicati Group, 2006 ] Radicati Group. (2006) Corporate Email Market 2006-2010.
http://www.radicati.com.
[Ricciato, 2006] Ricciato, F. (2006) Unwanted traffic in 3G networks. ACM SIGCOMM
Computer Communications Review, 36(2), pginas 53 5l. ACM Press.
[Ricciato et al., 2006] Ricciato, F., Hasenleithner, E., Svoboda, P., and Fleischer, W.
(2006) On the impact of unwanted traffic onto a 3G network. Em Second

International Workshop on Security, Privacy and Trust in Pervasive and Ubiquitous


Computing (SecPerU 2006).
[Richardson, 2007] Richardson, R. (2007) CSI/FBI Computer Crime Survey. Em
Twelfth Annual Computer Crime and Security, pginas 1-30.
[Scherrer et al., 2006] Scherrer, A., Larrieu, N., Borgnat, P., Owezarski, P., e Abry, P.
(2006) Non Gaussian and Long Memory Statistical Modeling of Internet Traffic. Em
4th International Workshop on Internet Performance, Simulation, Monitoring and
Measurement (IPS-MoMe).
[Scherrer et al., 2007] Scherrer, A., Larrieu, N., Owezarski, P., Borgnat, P., e Abry, P.
(2007) Non-Gaussian and Long Memory Statistical Characterizations for Internet
Traffic with Anomalies. IEEE Transactions on Dependable and Secure Computing,
volume 4, pginas 56-70.
[Schulze e Mochalski, 2007] Schulze, H. e Mochalski, K. (2007) Internet Study 2007.
Ipoque. http://www.ipoque.com/userfiles/file/internet_study_2007.pdf
[Snort, 2008] Snort. (2008) Snort IDS. http://www.snort.org.
[Soto, 2005] Soto, P. (2005) Identifying and Modeling Unwanted Traffic on the
Internet. Dissertao de Mestrador. Departamento de Engenharia Eltrica e Cincia
da Computao, Massachusetts Institute of Technology (MIT).
[Spitzner, 2002] Spitzner, L. (2002) Honeypots: Tracking Hackers. Addison-Wesley
Professional.
[SRUTI, 2005] USENIX. (2005) International Workshop on Steps to Reducing
Unwanted Traffic on the Internet. http://www.usenix.org/events/sruti05/
[StillSecure, 2008] StillSecure. (2008) Safe Access Network access control solution.
http://www.stillsecure.com/safeaccess.
[Taveira et al., 2006] Taveira, D., Moraes, I., Rubinstein, M. e Duarte, O. (2006)
Tcnicas de Defesa Contra Spam. Livro Texto dos Mini-cursos do VI Simpsio
Brasileiro de Segurana da Informao e de Sistemas Computacionais
(SBSeg'2006). Santos, Brasil.
[Weaver et al., 2003] Weaver, N., Paxson, V., Staniford, S., e Cunningham. R. (2003) A
Taxonomy of Computer Worms. Em ACM Workshop on Rapid Malcode.
[Wu et al, 2006] Wu, M., Miller, R.C., Little, G. (2006) Web Wallet: Preventing
Phishing Attacks by Revealing User Intentions. Em Symposium On Usable Privacy
and Security (SOUPS), pginas 102-113.
[Xiang et al., 2006] Xiang, G., Min, W., e Rongchun, Z. (2006) Application of Fuzzy
ART for Unsupervised Anomaly Detection System. Em International Conference on
Computational Intelligence and Security, volume 1, pginas 621-624.
[Xu et al., 2005a] Xu, K., Zhang, Z-L., e Bhattacharrya, S. (2005) Profiling internet
backbone traffic: Behavior models and applications. ACM SIGCOMM Computer
Communication Review, 35(4), pginas 169-180. ACM Press.
[Xu et al., 2005b] Xu, K., Zhang, Z-L., e Bhattacharrya, S. (2005) Reducing unwanted
traffic in a backbone Network. Em International Workshop on Steps of Reducing
Unwanted Traffic on the Internet (SRUTI05).

[Zhi-tang et al., 2005] Zhi-tang, L., Yao, L., e Li, W. (2005) A Novel Fuzzy Anomaly
Detection Algorithm Based on Artificial Immune System. Em 8th International
Conference on High-Performance Computing in Asia-Pacific Region
(HPCASIA05), pginas 479-483.

You might also like