Construção de modelos baseados em n-gramas para detecção de anomalias em sistemas distribuídos

Abstract

Resumo: A segurança é fundamental em sistemas distribuídos. Contudo, a implementação de sistemas seguros para proteger informações têm sido uma meta dificilmente alcançada. Além dos mecanismos de prevenção, o monitoramento desses sistemas e de seus componentes, no intuito de identificar comportamentos de natureza suspeita, é uma abordagem amplamente adotada. Para isso, sistemas de detecção de intrusão (Intrusion Detection System - IDS) são implantados em diversos pontos do sistema monitorado, configurados para supervisionar ações locais, bem como comunicar ocorrências de eventos. Para que um IDS exerça suas funções, é necessário que seja capaz de reconhecer comportamentos benignos e maliciosos. Diferentes técnicas de detecção podem ser aplicadas ao projetar um IDS. A técnica considerada mais simples é a detecção por assinatura, que reconhece as estratégias padrões de uma ameaça. Para isso, é necessária uma base de execuções desses ataques, extraindo suas principais características que resultará em uma assinatura. Sendo assim, apenas ataques previamente conhecidos são detectados. A técnica de detecção por anomalias não requer o conhecimento prévio dos padrões de ataques, já que o comportamento normal do ambiente monitorado é utilizado como base para detecção. Neste caso, um modelo de comportamento normal do sistema é construído e utilizado pelo sistema de detecção para checar desvios no comportamento do ambiente monitorado. Este trabalho propõe uma técnica de modelagem comportamental para aplicações distribuídas através dos traços de operações dos seus nós. A abordagem descrita neste trabalho permite a elaboração de uma estratégia para a identificação de anomalias em um sistema distribuído. A estratégia escolhida consiste na construção de modelos de comportamento normal do sistema sob estudo, que são dispostos em conjuntos de ??-gramas de eventos (sequências de ?? eventos consecutivos envolvendo um ou mais nós). O objetivo da proposta é construir modelos funcionais e eficazes, que possibilitem detecções de anomalias no sistema, com taxas reduzidas de falsos positivos. Toda a investigação é realizada com base em traços de uma aplicação distribuída real. São apresentados os procedimentos realizados para a construção de modelos parciais, incluindo as abordagens utilizadas para a ordenação dos eventos que ocorreram no sistema e o cálculo dos ??-gramas. Os resultados obtidos através da avaliação dos modelos destacam a viabilidade do uso de ??-gramas para representar atividades corretas de um sistema, com resultados propícios na taxa de falso positivo e também em termos de acurácia. Palavras-chave: Modelos. Sistemas de detecção de intrusão. Detecção de anomalias.

Abstract: Security is critical in distributed systems. However, the implementation of secure systems to protect sensitive information has been a difficult goal to achieve. In addition to the prevention mechanisms, the monitoring of these systems and their components to identify suspicious behaviors is an adopted approach. For this purpose, Intrusion Detection System (IDS) are deployed at different points of the monitored system, configured to supervise local actions, as well as report event occurrences. For an IDS to perform its functions, it must be able to recognize benign and malicious behavior. Different detection techniques can be applied when designing an IDS. The technique considered simplest is signature detection, which recognizes the standard strategies of a threat. For that, it is necessary to have a database of executions of these attacks, extracting their main characteristics that will result in a signature. Therefore, only previously known attacks are detected. Anomaly detection does not require prior knowledge of attack patterns, as the normal behavior of the monitored environment is used as a basis for detection. In this case, a model of the normal behavior of the system is constructed and used by the detection system to check for deviations in the behavior of the monitored environment. This work proposes a behavioral modeling technique for distributed applications through the traces of operations of its nodes. The approach described in this work allows the development of a strategy for the identification of anomalies in a distributed system. The chosen strategy consists of building models of the normal behavior of the system under study, which is arranged in sets of ??-grams of events (sequences of ?? consecutive events involving one or more nodes). The objective of the work is to build adequate and effective models, which make it possible to detect anomalies in the system, with reduced rates of false positives. All research is carried out based on traces of a real distributed application. The procedures performed for the construction of partial models are presented, including the approaches used for the ordering of the events that occurred in the system and the calculation of the ??-grams. The results obtained through the evaluation of the models highlight the feasibility of using ??-grams to represent correct activities of a system, with favorable results in the false positive rate and also accuracy. Keywords: Models. Intrusion Detection System. Anomaly detection