Comparative Study of the Effectiveness of Intrusion
Detection Systems
ANGÉLICA FLÓREZ ABRIL
ÁLVARO ERNESTO ROBLES RINCÓN
DAMIÁN FERNANDO PINTO NIÑO
Agenda
Introducción
Información de la Investigación
Parámetros de Caracterización
Pruebas y Análisis de los IDS
Conclusiones
Introducción
Adaptado de :Panda Security.(2012, Julio). Informe trimestral PandaLabs. [Online]. Available: http://prensa.pandasecurity.com/wp-content/uploads/2012/12/Informe-Trimestral-PandaLabs- Julio-Septiembre-2012.pdf
¿Son realmente los troyanos una amenaza?
78,04 6,56
6,53
5,55 3,32
Troyano Virus Gusanos Adware Otros
Información de la Investigación
• Caracterizar las respuestas de un conjunto de herramientas IDS basado en Host, ante la incidencia de un grupo de troyanos tipo backdoor.
• Definir los parámetros de caracterización para determinar la eficiencia de las herramientas IDS en la detección de ataques con troyanos.
• Comparar la forma de respuesta de diferentes tipos de IDS ante el impacto generado por un grupo de troyanos.
• Seleccionar el IDS apropiado a partir de los resultados obtenidos en la prueba de comparación.
• Encontrar los patrones comunes que tienen los troyanos detectados y no detectados por el IDS seleccionado.
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
• Son herramientas que permiten reconocer posibles intrusiones
Qué son?
• No existe una arquitectura única
Arquitectura
Herramientas IDS:
Fundamentación Teórica
Unidades de respuestas R-Boxes
Unidades de almacenamiento D-
Boxes
Generador de eventos E-boxes Motor de análisis
A-boxes
Arquitectura herramientas IDS:
Comunicación Análisis de los datos
Comunicación
Almacenamiento
Recolección de datos
Adaptado de : A. Barrera. García-orea. (2010). Presente y futuro de los IDS. [Online]. Available: http://www.neurosecurity.com/whitepapers/futureIDS.pdf
Fundamentación Teórica
IDS seleccionados:
Tomado de : http://www.snort.org/; http://sguil.sourceforge.net/; http://www.ossec.net/; http://www.prelude-technologies.com/
Fundamentación Teórica
• Son malware que intentan pasar como software legítimos
Qué son?
• Modulo de seguridad
• Modulo de daño
• Modulo de comunicación
Estructura
• Cliente servidor
Arquitectura
Troyanos:
Fundamentación Teórica
INTERNET Víctima
Servidor
Ciber-delincuente
Cliente
Conexión Directa
Conexión Inversa
Arquitectura de los troyanos:
Adaptado de : J. A. Sáez. Muñoz. (2007). Malware. Universidad de Granada. [Online]. Available: http://lsi.ugr.es/~ig1/docis/aluwork/Malware.pdf
Fundamentación Teórica
Parámetros de caracterización para los IDS:
PARÁMETRO Peso (%)
Registros en el sistema 25
Llaves de registro. 10
Conexiones exitosas hacia el
agente/cliente 15
Checksum 15
Falsos positivos 4
Ausencia de falsos negativos 9
Detección de rootkit 7
Carpetas por omisión 6
Algoritmo hash 5
Frecuencia de escaneo 4
TOTAL 100
Parámetros de Caracterización
Categorías de clasificación del IDS de acuerdo al rendimiento:
Categoría Rango de valores/puntaje Clasificación
4 76-100 EXCELENTE
3 46-75 BUENO
2 11 - 45 REGULAR
1 0-10 MALO
Parámetros de Caracterización
PARÁMETRO
4 3 2 1
Aspecto 1 Aspecto 1.1 Aspecto 1.2 Aspecto 1.3
60 45 22 0
Aspecto 2 Aspecto 2.1 Aspecto 2.2 Aspecto 2.3
40 30 23 0
Ejemplo de formato rúbrica:
Categoría
Rango de valores
Aspectos a evaluar
Parámetros de Caracterización
Rúbrica: LLAVES DE REGISTRO
4 3 2 1
Reconoce la creación y modificación
de llaves de registro.
Reconoce solo la creación de
llaves de registro
Reconoce solo la modificación
de llaves de registro
No reconoce la creación ni modificación de llaves de
registro.
100 75 45 0
CONEXIONES EXITOSAS
4 3 1
Reconoce la conexión del troyano.
Reconoce conexiones derivadas
del troyano
No reconoce conexiones del troyano ni derivadas
del troyano.
100 75 0
CHECKSUM
4 1
Reconoce el cambio o modificación del archivo mostrando su Checksum.
No reconoce el cambio o la modificación de un archivo por medio de su Checksum.
100 0
Parámetros de Caracterización
Ejecución
Computador monitorizado
Evaluación por Rúbrica Clasificación
del IDS
Pruebas y Análisis de los IDS
Proceso de ejecución de pruebas :
IDS
Dificultad en las implementaciones de los IDS:
Conocimientos de las herramientas
Conocimientos en Linux
Incompatibilidad entre distribuciones
Actualización del servidor Prelude
Pruebas y Análisis de los IDS
Inconvenientes en la conexión
del troyano
Múltiples formas de modificar un
malware
Dificultad en las implementaciones de los troyanos:
Pruebas y Análisis de los IDS
Conclusiones de OSSEC Conclusiones de Snort Conclusiones de Sguil Conclusiones Prelude
Pruebas y Análisis de los IDS
Puntaje y clasificación final de los IDS:
Categoría Puntos Herramienta IDS Clasificación
3 69,75 Prelude
BUENO
3 52,05 OSSEC
BUENO
2 32,5 Sguil
REGULAR
2 31,5 Snort
REGULAR
Pruebas y Análisis de los IDS
Modificación de malware:
Utilización de crypters
La modificación de un malware posiblemente no funciona para otro malware Generalmente se realiza en modo prueba y error
No existe un único método
Pruebas y Análisis de los IDS
Funcionamiento del crypter:
Archivo .exe Archivo cifrado y cargado en
memoriaCRYPTER
Adaptado de : J.M. Aquilina and E Casey Malware Forensics: Investigating and Analyzing Malicious Code. United States of America: Syngress, 2008, pp. 340-342
Pruebas y Análisis de los IDS
Ventajas del crypter:
• Cifra el código
• No cambia la funcionalidad del archivo .exe
• Carga el archivo .exe en memoria
• Ofusca el código
Pruebas y Análisis de los IDS
Diferencia de firmas:
Pruebas y Análisis de los IDS
Conclusiones Prelude :
Detección similar de parámetros
Mayor detección de Prelude frente al antivirus Diferencias en los puertos del los troyanos
Pruebas y Análisis de los IDS
Parámetro
Puntos obtenidos por Troyano
Darkcomet Spy-Net Poison Ivy Bifrost
Registros en el sistema 21,25 21,25 21,25 21,25
Llaves de registro 0 0 0 0
Conexiones exitosas hacia el
agente/cliente 15 15 0 15
Checksum 15 15 15 15
Falsos positivos 0 0 0 0
Ausencia de falsos negativos 4,5 4,5 0 4,5
Detección de rootkit 0 0 0 0
Carpetas por omisión 6 6 6 6
Algoritmo hash 5 5 5 5
Frecuencia de escaneo 3 3 3 3
Valores obtenidos por
Prelude 69,75 69,75 52,05 69,75
Tabla de resultados de las pruebas realizadas a Prelude con los troyanos modificados:
Pruebas y Análisis de los IDS
Conclusiones
Importancia de los IDS en la seguridad informática
Complejidad de los IDS
Integración de diversos IDS
Identificar debilidades y fortalezas de los IDS frente a los troyanos
Referencias
• Panda Security.(2011, Junio). Informe trimestral PandaLabs. [Online]. Available:
http://prensa.pandasecurity.com/wp-content/uploads/2011/07/Informe-PandaLabs-Q2-2011.pdf
• Microsoft. (2011, Junio). What Is the Security Intelligence Report. 11° vol. [Online]. Available:
http://www.microsoft.com/security/sir/default.aspx
• Statcounter. (2011). Top 5 Operating Systems from January to December 2011. [Online]. Available:
http://gs.statcounter.com/#os-ww-monthly-201101-201112
• The Information Assurance Technology Analysis Center (IATAC). (2009, Septiembre). Intrusion Detection Systems. N° 6. [Online]. Available: http://iac.dtic.mil/iatac/download/intrusion_detection.pdf
• J. A. Sáez. Muñoz. (2007). Malware. Universidad de Granada. [Online]. Available:
http://lsi.ugr.es/~ig1/docis/aluwork/Malware.pdf
• K. Lai y D. Wren. (2010, Enero). Internet Security Products Performance Benchmarking. [Online].
Available: http://www.passmark.com/ftp/antivirus_10-performance-testing-ed4.pdf
• A. Barrera. García-orea. (2010). Presente y futuro de los IDS. [Online]. Available:
http://www.neurosecurity.com/whitepapers/futureIDS.pdf
• R. Gerhards. (2009, Agosto). The BSD syslog Protocol. [Online]. Available:
http://tools.ietf.org/html/rfc5424
• Trend Micro. (2010). OSSEC Architecture. [Online]. Available: http://www.ossec.net/main/ossec- architecture