Detecção de Intrusão em Máquinas Virtuais

Diversas ferramentas contribuem para aumentar a segurança de um sistema computacional. Dentre elas, destacam-se os sistemas de detecção de intrusão. Tais sistemas monitoram continuamente a atividade em uma rede ou servidor, buscando evidências de intrusão. Entretanto, detectores de intrusão baseados em host são particularmente vulneráveis, pois devem ser instalados nas próprias máquinas a monitorar e podem ser desativados ou modificados por invasores bem sucedidos. Este trabalho propõe e implementa uma arquitetura para a aplicação confiável e robusta de detectores de intrusão baseados em host, através da utilização do conceito de máquina virtual. A utilização de máquinas virtuais vem se tornando uma alternativa interessante para vários sistemas de computação, por suas vantagens em custos e portabilidade. O conceito de máquina virtual também pode ser empregado para melhorar a segurança de um sistema computacional contras ataques a seus serviços. A proposta aqui apresentada faz uso da separação de espaços de execução provida por um ambiente de máquinas virtuais para separar o sistema de detecção de intrusão do sistema a monitorar. Com isso, o detector de intrusão se torna invisível e inacessível a eventuais invasores. A implementação da arquitetura proposta e os testes realizados demonstraram a viabilidade dessa solução.

Características da proposta:

• Detecção de Intrusão em processos através da análise de chamadas de sistema;
• Controle de acesso no sistema virtual através da utilização de ACL (Acess Control List);

Como a proposta foi implementada:

• Utilizando o User Mode Linux;
• Os algoritmos de detecção de intrusão e controle de registros não estão otimizados;

Título da Dissertação: Uma Abordagem para a Proteção de Detectores de Intrusão Baseada em Máquinas Virtuais.

Artigos Publicados:

• Marcos Laureano, Carlos Maziero e Edgard Jamhour. Detecção de Intrusão em Máquinas Virtuais. 5º Simpósio de Segurança em Informática – SSI. ITA – São José dos Campos, 2003.
• Marcos Laureano, Carlos Maziero e Edgard Jamhour. Proteção de detectores de intrusão através de máquinas virtuais. IV Workshop em Segurança de Sistemas Computacionais – XXII Simpósio Brasileiro de Redes de Computadores (SBRC 2004). P. 63-74.
• Marcos Laureano, Carlos Maziero e Edgard Jamhour. Detectando Intrusões na Máquina Virtual User-Mode Linux. 5º Workshop sobre Software Livre – WLS. Sessão Paralela – Fórum Internacional Software Livre, 2004.
• Marcos Laureano, Carlos Maziero e Edgard Jamhour. Intrusion Detection in Virtual Machine Environments. 30th EUROMICRO Conference – SPECIAL SESSION ON “Different Aspects of Security”, 2004, Rennes – França.
• Marcos Laureano, Carlos Maziero e Edgard Jamhour. Protecting host-based intrusion detectors through virtual machines in Computer Networks, v. 51, p. 1275-1283, 2007