BRPI0318587B1 - Method and system for preventing intrusion in communication traffic with a set of machines in a network, and, telecommunications network - Google Patents

Method and system for preventing intrusion in communication traffic with a set of machines in a network, and, telecommunications network Download PDF

Info

Publication number
BRPI0318587B1
BRPI0318587B1 BRPI0318587B1 BR PI0318587 B1 BRPI0318587 B1 BR PI0318587B1 BR PI0318587 B1 BRPI0318587 B1 BR PI0318587B1
Authority
BR
Brazil
Prior art keywords
communication
traffic
machines
adverse effect
database
Prior art date
Application number
Other languages
Portuguese (pt)
Publication date

Links

Description

“MÉTODO E SISTEMA PARA EVITAR INTRUSÃO EM TRÁFEGO DE COMUNICAÇÃO COM UM CONJUNTO DE MÁQUINAS NUMA REDE, E, REDE DE TELECOMUNICAÇÕES" Campo da Invenção [0001] A presente invenção diz respeito a técnicas para prevenção de intrusão e deflexão.Field of the Invention [0001] The present invention relates to techniques for preventing intrusion and deflection.

[0002] A presente invenção foi concebida dando-se atenção específica à possível aplicação em assegurar segurança de redes de telecomunicações. Descrição da Técnica Relacionada [0003] Tipicamente» hã dois tipos de sistemas de detecção de intrusão existentes atualmente.[0002] The present invention has been designed with particular attention paid to the possible application in securing telecommunications networks. Description of Related Art Typically »there are two types of intrusion detection systems currently in existence.

[0004] Um primeiro tipo de sistema de detecção de intrusão (referido, usual mente, aqui como um sistema de detecção de intrusão ou “IDS” de rede) monitora, essencial mente, tráfego em um dado segmento de rede; um segundo tipo de sistema de detecção de intrusão (frequentemente referido como IDS dc computador principal) está adaptado para monitorar eventos que ocorrem num sisterna específico.[0004] A first type of intrusion detection system (commonly referred to herein as a network intrusion detection system or “IDS”) essentially monitors traffic on a given network segment; A second type of intrusion detection system (often referred to as the main computer's IDS) is adapted to monitor events that occur in a specific system.

[0005] Ambos os sistemas analisam dados enquanto buscando ataques ou atos de violação de política. Isto é feito explorando-se o conhecimento e os algoritmos de reconhecimento disponíveis com o intuito de emitir um sinal ou um alarme quando se encontra uma coincidência. Ambas abordagens possuem vantagens e deficiências.Both systems analyze data while seeking attacks or acts of policy violation. This is done by exploiting the knowledge and recognition algorithms available to signal or alarm when a match is found. Both approaches have advantages and shortcomings.

[00061 O arranjo divulgado no documento US-A-6 279 113 é exemplar de um IDS de rede.The arrangement disclosed in US-A-6 279 113 is exemplary of a network IDS.

[0007] Como mostrado na Figura l, num arranjo deste tipo» uma rede interna ou interior 130, que inclui um conjunto de “máquinas”, tais como» por exemplo» servidores internos» está protegida por um sistema de detecção de intrusão incluindo um sensor 121. O sensor 121 está adaptado para monitorar, através de uma interface 122a, o tráfego para e a partir da rede interna 130 e uma rede externa 110. O sistema monitora dentro do fluxo de dados aquelas configurações de ataque que são conhecidas e estão contidas em uma base de dados 123. No caso de tal ocorrência, um alarme correspondente é emitido. Um sistema de controle 124 da arquitetura de detecção de intrusão é também provido e cuida de coletar alarmes e apresentá-los ao operador final, enquanto também gerencia o sistema inteiro. No arranjo mostrado na Figura 1, somente um sensor é mostrado. Isto é uma representação puramente exemplificadora, pelo fato de uma rede de detecção de intrusão incluir tipicamente vários sensores localizados nos pontos críticos da rede. Também, em arquiteturas mais complexas incluindo um grande número de sensores, aquele sistema de gerenciamento 124 pode ser de fato “hospedado” em diversas máquinas.As shown in Figure 1, in such an arrangement »an internal or internal network 130 including a set of" machines "such as» for example »internal servers» is protected by an intrusion detection system including a sensor 121. Sensor 121 is adapted to monitor, via an interface 122a, traffic to and from internal network 130 and an external network 110. The system monitors within the data stream those attack configurations that are known and are contained in a database 123. In the event of such an occurrence, a corresponding alarm is issued. A control system 124 of the intrusion detection architecture is also provided and takes care of collecting alarms and presenting them to the end operator, while also managing the entire system. In the arrangement shown in Figure 1, only one sensor is shown. This is a purely exemplary representation in that an intrusion detection network typically includes several sensors located at critical points in the network. Also, on more complex architectures including a large number of sensors, that management system 124 can actually be "hosted" on multiple machines.

[0008] No arranjo conforme ilustrado na Figura 1, o papel de detecção é atribuído a um sensor de rede 121, usualmente hospedado em aparelho que pode ser um computador genérico ou uma aplicação especializada. O sensor intercepta o tráfego em uma seção da rede. Usualmente, este analisa o tráfego por uma comparação por um conjunto de assinaturas coletadas numa base de dados 123. Estes precisam de ser periodicamente atualizados, e esta operação precisa de ser efetuada a tempo pelo fabrícante/operador, todas as vezes que novos tipos de ataques se tomam conhecidos. Caso contrário, o sistema de detecção perderá a sua efetividade. As assinaturas em discussão, usualmente, incluem uma configuração de ataque: portanto, mesmo havendo uma mudança relativamente insignificante na configuração, isto faz com que seja impossível o reconhecimento. Por tal razão, os tipos de sensor mais sofisticados executam usualmente uma operação de normalização do fluxo daqueles protocolos mais comuns, no sentido de criar as melhores condições para a verificação. Certos tipos de IDS de rede combinam tal coincidência da configuração com certos mecanismos para analisar as anomalias, a saber, as variações com respeito ao comportamento esperado de um dado protocolo. Estas técnicas seguem a abordagem correntemente referida como detecção de anomalia de protocolo.In the arrangement as illustrated in Figure 1, the detection role is assigned to a network sensor 121, usually hosted on apparatus which may be a generic computer or a specialized application. The sensor intercepts traffic on a section of the network. This usually analyzes traffic against a set of signatures collected from a 123 database. These need to be updated periodically, and this operation needs to be done on time by the manufacturer / operator whenever new types of attacks occur. become known. Otherwise, the detection system will lose its effectiveness. The signatures under discussion usually include an attack configuration: so even though there is a relatively minor change in configuration, this makes recognition impossible. For this reason, the most sophisticated sensor types usually perform a flow normalization operation of those most common protocols in order to create the best conditions for verification. Certain types of network IDS combine such a configuration match with certain mechanisms for analyzing anomalies, namely variations with respect to the expected behavior of a given protocol. These techniques follow the approach commonly referred to as protocol anomaly detection.

[0009] Tal sistema tem um número de vantagens.Such a system has a number of advantages.

[00010] Como o primeiro ponto, uma rede grande pode ser monitorada por meio de poucos sensores de rede adequadamente localizados.As the first point, a large network can be monitored through a few properly located network sensors.

[00011] Adicionalmente, tal sistema tem um impacto mínimo na rede. Os sensores estão localizados em pontos críticos na rede, onde monitoram o tráfego sem afetar negativamente o desempenho.Additionally, such a system has minimal impact on the network. The sensors are located at critical points in the network where they monitor traffic without negatively affecting performance.

[00012] O esforço de implementação é mínimo. Os ditos sensores são entidades separadas com relação a máquinas monitoradas e consequentemente são também independentes destas. O mesmo sensor está então adaptado para proteger máquinas com sistemas operacionais diferentes, provendo diferentes serviços, e assim por diante.[00012] Implementation effort is minimal. Said sensors are separate entities with respect to monitored machines and therefore are also independent of them. The same sensor is then adapted to protect machines with different operating systems, providing different services, and so on.

[00013] Adicionalmente, ditos sensores podem ser tomados totalmente não detectáveis com respeito àquela rede sendo monitorada, com base no que é correntemente referido como uma configuração secreta. Usualmente, o sensor de rede é provido de duas interfaces de comunicação: uma primeira (122a -ver novamente Figura 1) é configurada de uma maneira mista para interceptar o tráfego; já a segunda (122b) é configurada de uma maneira tradicional no sentido de permitir operações de gerenciamento. A interface de monitoração não é provida com um endereço IP, e, portanto, não poderá ser endereçada. A ausência de um dito endereço IP a toma praticamente invisível a um possível intmso.Additionally, said sensors may be made totally undetectable with respect to that network being monitored, based on what is commonly referred to as a covert configuration. Usually, the network sensor is provided with two communication interfaces: a first one (122a-see again Figure 1) is configured in a mixed manner to intercept traffic; the second (122b) is traditionally configured to allow management operations. The monitoring interface is not provided with an IP address, and therefore cannot be addressed. The absence of such an IP address makes it practically invisible to a possible end.

[00014] A desvantagem principal de tal IDS baseado em rede reside no fato de que o mesmo não possui um conhecimento preciso do estado (serviços oferecidos, software usado, vulnerabilidade real, e assim por diante) daquelas máquinas, proveniente do segmento de rede 130 sendo controlado. A referida atividade daquele sistema está limitada a monitoração de tráfego buscando a configuração de ataque, sem saber se estas representam uma ameaça real para os sistemas a serem protegidos.[00014] The major disadvantage of such network-based IDS is that it does not have an accurate knowledge of the state (services offered, software used, actual vulnerability, and so forth) of those machines from network segment 130. being controlled. Said activity of that system is limited to monitoring traffic for attack configuration, not knowing whether they pose a real threat to the systems to be protected.

[00015] Isto acarreta numa eficácia reduzida na detecção, e aumenta o número de alarmes falsos. Em qualquer instante no qual uma configuração de ataque é detectada, tal sistema emite um alarme, possuindo tipicamente um grau variável de seriedade, dependendo do tipo de ataque. Esta abordagem produz uma grande quantidade de sinalização (numa grande rede, um sensor único pode gerar mil alarmes destes por dia), tomando muito difícil, se não impossível, gerenciar tal ferramenta. Adicionalmente, uma boa quantidade de alarmes é, de fato, alarmes falsos: na realidade, o sensor de rede não opera de uma forma inteligente e emite alarmes também quando o pacote perigoso está endereçado a uma máquina não existente (esta última sendo uma situação típica gerada por ferramentas adaptadas para gerar automaticamente ataques) ou quando a máquina não é vulnerável a um dado ataque porque não provê um serviço específico ou está equipada com uma versão de software atualizada e protegida. Esta situação conduz ao processamento de grandes quantidades de dados altamente irrelevantes, o que pode, entretanto, ser relatado com um alto grau de gravidade, com o risco de ocultar de algum modo alarmes reais e desviar tempo e recursos da tarefa de atacar problemas reais.This results in reduced detection efficiency and increases the number of false alarms. Any time an attack configuration is detected, such a system sounds an alarm, typically having a varying degree of seriousness, depending on the type of attack. This approach produces a large amount of signaling (on a large network, a single sensor can generate a thousand such alarms per day), making it very difficult, if not impossible, to manage such a tool. Additionally, a good number of alarms are indeed false alarms: in reality, the network sensor does not operate intelligently and also alarms when the dangerous packet is addressed to a non-existent machine (the latter being a typical situation generated by tools adapted to automatically generate attacks) or when the machine is not vulnerable to a given attack because it does not provide a specific service or is equipped with an updated and protected software version. This leads to the processing of large amounts of highly irrelevant data, which can, however, be reported with a high degree of severity, with the risk of somehow hiding real alarms and diverting time and resources from tackling real problems.

[00016] Uma outra limitação intrínseca de um sistema IDS baseado em rede é relacionada com processos de inserção e evasão conforme descrito, por exemplo, por T. H. Ptacek e T. N. Newsham em “Insertion, evasion and denial of Service: eluding network intrusion detection”, Secure NetWork Inc., Janeiro de 1998, este sendo um texto de referência com vistas a sistemas de detecção de intrusão.Another intrinsic limitation of a network-based IDS system is related to insertion and evasion processes as described, for example, by TH Ptacek and TN Newsham in "Insertion, evasion and denial of Service: eluding network intrusion detection", Secure NetWork Inc., January 1998, this being a reference text for intrusion detection systems.

[00017] De fato, o protocolo IP provê a possibilidade de certos pacotes serem fragmentados, isto é, fracionados em pacotes menores antes de serem enviados através da rede. O tamanho máximo de um pacote IP sendo 65.546 bytes (aproximadamente 64 KB) é pobremente adaptado para ser transmitido através de diferentes redes. Por exemplo, o tamanho máximo de um quadro Ethernet é 1.500 bytes; no caso de uma rede “Token-Ring” tal tamanho é 4KB. Em geral, a unidade máxima de transmissão (MTU), a saber o tamanho de pacote mínimo que pode ser transmitido no nível do enlace de dados, pode variar significativamente de rede para rede. Por conseguinte, é evidente que tal parâmetro deveria limitar a dimensão máxima do pacote IP a ser transmitido. A fragmentação é, portanto, provida no protocolo IP, no sentido de permitir que dados sejam levados através de diferentes tipos de redes, de uma maneira transparente direta com respeito aos protocolos de nível superior e usuário final.In fact, the IP protocol provides the possibility for certain packets to be fragmented, that is, split into smaller packets before being sent over the network. The maximum size of an IP packet being 65,546 bytes (approximately 64 KB) is poorly adapted to be transmitted over different networks. For example, the maximum size of an Ethernet frame is 1,500 bytes; In case of a Token-Ring network such size is 4KB. In general, the maximum transmission unit (MTU), namely the minimum packet size that can be transmitted at the data link level, can vary significantly from network to network. Therefore, it is clear that such a parameter should limit the maximum size of the IP packet to be transmitted. Fragmentation is therefore provided in the IP protocol, in order to allow data to be carried across different types of networks in a direct transparent manner with respect to higher level and end user protocols.

[00018] Dentro de um cabeçalho de um pacote IP, há essencialmente dois campos para uma fragmentação de gerenciamento correta: o campo Desvio de Fragmento e a Marcação de Mais Fragmento (MF). O campo de desvio identifica a posição do pacote transmitido dentro do fluxo de dados, tomando então possível reconstmir a ordem correta dos pacotes, enquanto a marcação MF distingue o último fragmento dos outros. Os pacotes são, portanto, remontados pelo usuário final usando esta informação.Within a header of an IP packet, there are essentially two fields for proper management fragmentation: the Fragment Offset field and the More Fragment Marking (MF) field. The offset field identifies the position of the transmitted packet within the data stream, making it possible to reconstruct the correct order of the packets, while the MF mark distinguishes the last fragment from the others. Packages are therefore reassembled by the end user using this information.

[00019] É, portanto, de suma importância para o sistema de detecção de intmsão e máquinas protegidas apresentar o mesmo comportamento com respeito a pacotes IP fragmentados recebidos. Deste modo, é possível evitar o assim chamado fenômeno de inserção e evasão que pode comprometer fortemente a efetividade de um sistema de detecção de intmsão.It is therefore of utmost importance for the intrusion detection system and protected machines to exhibit the same behavior with respect to incoming fragmented IP packets. In this way, it is possible to avoid the so-called insertion and avoidance phenomenon that can strongly compromise the effectiveness of an intmsion detection system.

[00020] Uma inserção tem lugar quando o IDS aceita e considera como válidos certos pacotes que deveríam ter sido dispensados pelo sistema final ao qual são enviados, enquanto a evasão ocorre quando os IDS não levam em conta pacotes que seriam aceitos pelo sistema final. De fato, se a detecção de intmsão e o sistema final ao qual os dados são endereçados são expostos a diferentes fluxos de tráfego, existe o risco de que um ataque possa não ser observado pelo sistema de detecção, enquanto alcança o alvo final.[00020] An insertion takes place when IDS accepts and considers as valid certain packets that should have been dropped by the end system to which they are sent, while evasion occurs when IDS does not take into account packets that would be accepted by the end system. In fact, if intmsion detection and the final system to which data is addressed are exposed to different traffic flows, there is a risk that an attack may not be observed by the detection system while reaching the final target.

[00021] Os mesmos problemas de tempo surgem quando da existência da necessidade de reconstmir os fluxos de dados de nível TCP (Protocolo de Controle de Transmissão). TCP não implementa uma função de fragmentação, mas provê à camada superior uma abstração que é similar a um fluxo contínuo de caracteres provenientes de um arquivo, enquanto que assegura a ordem e a integridade destes dados. Estas funções são implementadas por meio de um mecanismo de interrupção e retransmissão.The same timing issues arise when there is a need to rebuild Transmission Control Protocol (TCP) level data streams. TCP does not implement a fragmentation function, but provides the upper layer with an abstraction that is similar to a continuous stream of characters from a file, while ensuring the order and integrity of this data. These functions are implemented through an interrupt and relay mechanism.

[00022j Cada conexão TCP é identificada por meio de um número de sequência. Aquele número é escolhido com base num critério dependente do sistema operacional do aparelho iniciando-se a conexão e é incrementado de uma quantidade igual ao número de bytes recebidos e reconhecidos por meio de um indicador de reconhecimento (ACK). O número de sequência contido no cabeçalho TCP é o único item de dados que toma possível identificar o status de uma dada conexão e identificar e ordenar os dados dentro do fluxo sendo transmitido.[00022j Each TCP connection is identified by a sequence number. That number is chosen based on the operating system-dependent criterion of the device starting the connection and is incremented by an amount equal to the number of bytes received and acknowledged by means of an acknowledgment indicator (ACK). The sequence number contained in the TCP header is the only data item that makes it possible to identify the status of a given connection and identify and sort the data within the stream being transmitted.

[000231 Entretanto, é possível para um pacote ser retransmitido quando o pacote ACK não for recebido dentro de um certo tempo, ou se um erro tiver ocorrido durante a transmissão. A retransmissão faz a reconstrução do fluxo de tráfego por um sistema de detecção de intrusão mais complexo, porque um pacote sendo reenviado é interceptado pelo IDS mais de uma vez. O sistema de detecção de intrusão vê dois pacotes idênticos sendo transmitidos, sem, entretanto, estar em uma posição de dizer qual dos dois foi realmente aceito pelo destinatário.However, it is possible for a packet to be retransmitted when the ACK packet is not received within a certain time, or if an error has occurred during transmission. Relaying reconstructs traffic flow through a more complex intrusion detection system because a packet being resent is intercepted by IDS more than once. The intrusion detection system sees two identical packets being transmitted without, however, being in a position to say which one was actually accepted by the recipient.

[00024] Um sistema de detecção de intrusão com base na rede, de fato, não possui qualquer garantia e nenhum modo para verificar se um dado pacote foi aceito ou dispensado pelo sistema final sendo monitorado. Novamente, o fenômeno de inserção (o IDS aceita e considera como válidos pacotes que são dispensados pelo sistema final) e de evasão (o IDS não leva em conta pacotes que são aceitos pelo sistema final) resulta numa forte limitação na efetividade de detecção dos sistemas.[00024] A network-based intrusion detection system, in fact, has no guarantee and no way to verify whether a given packet has been accepted or waived by the final system being monitored. Again, the phenomenon of insertion (IDS accepts and considers valid packets that are waived by the end system) and evasion (IDS does not take into account packets that are accepted by the end system) results in a strong limitation on the detection effectiveness of systems. .

[00025] Em ambos os protocolos IP e TCP existem outros campos que podem ser manipulados para fins de inserção e evasão (a esse respeito, pode ser feita novamente referência ao artigo de Ptacek já citado anteriormente), portanto, aniquilando a eficiência de um IDS baseado em rede.[00025] In both IP and TCP protocols there are other fields that can be manipulated for insertion and evasion purposes (in this respect reference can be made again to the Ptacek article already cited above), thus annihilating the efficiency of an IDS. network based.

[00026] Resumidamente, o problema básico que torna um IDS baseado em rede vulnerável a inserção e evasão reside em que o IDS e o sistema final poderão, em certos contextos, ser expostos a dois fluxos de dados diferentes, pois são máquinas separadas, com sistemas operacionais distintos, assim como implementações da pilha TCP/IP, Um atacante pode então tirar uma vantagem desta situação para desencadear um ataque que é invisível para o sistema de proteção.Briefly, the basic problem that makes a network-based IDS vulnerable to insertion and evasion is that the IDS and the end system may, in certain contexts, be exposed to two different data streams as they are separate machines with distinct operating systems as well as TCP / IP stack implementations. An attacker can then take advantage of this situation to trigger an attack that is invisible to the protection system.

[00027] Essa limitação, e as deficiências citadas anteriormente limitam a capacidade de detecção de um ÍDS baseado em rede e derivam essencial mente do conhecimento reduzido disponível para o sistema de detecção de intrusão com respeito ao estado e configuração (sistema operacional, software utilizado, serviços oferecidos, real vulnerabilidade, e assim por diante) das máquinas, proveniente do segmento de rede sendo controlado.This limitation, and the aforementioned shortcomings, limit the detection capability of a network-based IDS and derive essentially from the limited knowledge available to the intrusion detection system regarding state and configuration (operating system, software used, services offered, real vulnerability, and so on) of the machines, coming from the network segment being controlled.

[00028] Uma abordagem substancialmente diferente, que prescinde de tais limitações, é representada por um IDS baseado em computador principal, conforme mostrado na Figura 2. Um exemplo de tal sistema de detecção de intrusão do tipo com base em computador principal é descrito no documento US-A-5 557 742.A substantially different approach, which dispenses with such limitations, is represented by a master computer-based IDS as shown in Figure 2. An example of such a master computer-based intrusion detection system is described in the document. US-A-5,557,742.

[00029] Neste caso, as facilidades de detecção de intrusão não são mais uma entidade separada das máquinas sendo protegidas. Especificamente, em cada máquina 131 daquela rede interna 130 a ser protegida,um sensor 132 fica instalado, o qual controla o estado da máquina associada, monitorando, por exemplo, o sistema de arquivo, a atividade de rede e o nível ou utilização de recursos. Tipicamente, uma base de dados 133 é provida contendo assinaturas dos ataques conhecidos e as respectivas políticas, assim como um sistema de controle 134 que cuida de coletar e processar os alarmes gerados por meio dos sensores individuais,enquanto que também gerencia o referido sistema inteiro.In this case, intrusion detection facilities are no longer a separate entity from the machines being protected. Specifically, on each machine 131 of that internal network 130 to be protected, a sensor 132 is installed which controls the state of the associated machine, for example monitoring the file system, network activity and resource level or utilization. . Typically, a database 133 is provided containing known attack signatures and their policies, as well as a control system 134 which takes care of collecting and processing the alarms generated by the individual sensors, while also managing said entire system.

Novamente, a solução real pode haver baseada em arquiteturas mais complexas.Again, the real solution may be based on more complex architectures.

[00030] Técnicas de detecção de intrusão baseadas em um computador principal provêm de fato o uso de programas especiais 132a, 132b,..., que são instalados e executados diretamente nos sistemas sendo monitorados 131 e são adaptados para operar no núcleo ou nível de aplicação, por exemplo, para interceptar as chamadas de sistema.Intrusion detection techniques based on a main computer do indeed come from the use of special programs 132a, 132b, ..., which are installed and run directly on the systems being monitored 131 and are adapted to operate at the core or security level. application, for example, to intercept system calls.

[00031] Essencialmente, um IDS com base num computador principal tem uma visão “local” e controla o estado da máquina no qual é “hospedado”, monitorando por exemplo, o sistema de arquivo, a atividade de rede, e o nível de utilização de recursos. O mencionado sistema provê assim um desempenho definidamente melhorado ao detectar ataques, tendo um impacto ou deixando um traço no sistema. Adicionalmente, este pode detectar ataques que não vêm via rede, tais como, por exemplo, aquelas intrusões realizadas através de um console, adquirindo privilégios mais altos por um usuário, tipicamente uma pessoa íntima da organização, ou ataques a aplicações.Essentially, a main computer-based IDS has a “local” view and controls the state of the machine on which it is “hosted”, for example by monitoring file system, network activity, and usage level. of resources. Said system thus provides definitely improved performance when detecting attacks, having an impact or leaving a trace on the system. Additionally, it can detect non-network attacks such as, for example, intrusions through a console, acquiring higher privileges by a user, typically an organization person, or application attacks.

[00032] No sentido de fornecer um sistema de detecção de intrusão, de fato, efetivo do tipo computador principal, o componente de detecção precisa ser instalado nos sistemas sendo protegidos. Consequentemente, o software é especializado para os tipos de sistemas operacionais nos quais precisam de ser instalados; existem, portanto, soluções especializadas para sistemas Microsoft, Solaris, Unix, e assim por diante.In order to provide a truly effective main computer-type intrusion detection system, the detection component needs to be installed on the systems being protected. Consequently, the software is specialized for the types of operating systems on which it needs to be installed; There are therefore specialized solutions for Microsoft, Solaris, Unix, and so on.

[00033] Estando diretamente hospedado naquele sistema controlado, um sistema baseado em um computador principal (HIDS) está aberto a ataques e corre o risco de ser desabilitado como é o caso de quaisquer outros programas em execução na mesma máquina. Um sistema de detecção de intrusão com base em computador principal pode então ser desabilitado por meio de certos ataques de negativa de serviço. Deveras, tal sensor é sensível a tais comandos exatamente como o sistema que o hospeda.[00033] Being directly hosted on that controlled system, a host computer based system (HIDS) is open to attack and risks being disabled as is the case with any other programs running on the same machine. A host computer-based intrusion detection system can then be disabled through certain denial of service attacks. Indeed, such a sensor is sensitive to such commands just like the host system.

[00034] A limitação básica do referido sistema está, consequentemente, relacionada a seu caráter altamente invasivo. No sentido de prover um sistema de detecção de intrusão baseado em computador principal, um componente de software específico precisa ser instalado em cada máquina monitorada, o qual pode também ser um software de trabalho de baixo nível (por exemplo, um módulo de núcleo em um sistema Unix). Isto pode levar a uma redução de desempenho na máquina ou pior ainda entrar em conflito com outras aplicações já instaladas. Adicionalmente, configurações específicas para cada máquina são requeridas, no sentido de ajustar a detecção e melhorar a efetividade da mesma. Esta consequência toma-se ainda mais crítica, quando as máquinas de “produção” são consideradas, oferecendo serviços críticos, cuja configuração não pode ser modificada no sentido de evitar o risco de tomá-las instáveis.[00034] The basic limitation of this system is consequently related to its highly invasive character. In order to provide a main computer-based intrusion detection system, a specific software component needs to be installed on each monitored machine, which may also be low level working software (for example, a core module in a Unix system). This can lead to reduced machine performance or even worse conflict with other applications already installed. Additionally, machine-specific settings are required to adjust detection and improve detection effectiveness. This consequence becomes even more critical when "production" machines are considered, offering critical services whose configuration cannot be changed to avoid the risk of making them unstable.

[00035] Adicionalmente, um bom sistema de proteção contra intmsão precisa de estar em uma posição para bloquear ataques detectados, antes que estes produzam um dano nos sistemas protegidos. A maioria de tais sistemas tradicionais não são capazes de prover respostas ativas em face de um ataque detectado; eles meramente desempenham seu papel provendo um alarme mais ou menos detalhado (dependendo das especificações dadas pelo administrador e da capacidade de bloqueio da ferramenta) por meio de canais de comunicação diferentes (começando a partir do sinal de cintilação em um console para uma mensagem de e-mail pessoal).Additionally, a good protection system needs to be in a position to block detected attacks before they can damage the protected systems. Most of these traditional systems are not able to provide active responses in the face of a detected attack; they merely perform their role by providing a more or less detailed alarm (depending on the administrator's specifications and tool lockability) through different communication channels (starting from the flickering signal on a console for an e-mail message). personal email).

[00036] Existem, portanto, técnicas convencionais que também provêm uma resposta ativa, a saber, implicam numa ação real dirigida a interromper o fluxo de tráfego perigoso na direção daqueles sistemas de rede interiores. Estes incluem sessões de eliminação e de atualização imediata de regras de barreira de proteção.Thus there are conventional techniques which also provide an active response, namely, implying a real action aimed at stopping the flow of dangerous traffic towards those interior network systems. These include elimination and immediate update of protective barrier rules sessions.

[00037] A eliminação de sessão é o modo mais comum e mais simples de reagir a uma intrusão detectada: uma mensagem de erro na rede (tal como um pacote ICMP de destino não alcançável ou um reinicio de protocolo TCP incluído na marcação RST) recebido pela pilha TCP/IP faz com que a referida comunicação seja fechada. Face a um ataque detectado, o sistema IDS envia pacotes TCP, RST ou ICMP adequadamente “spoofed” no sentido de tomar a máquina que está sendo atacada inalcançável pelo próprio ataque, bloqueando então a sessão perigosa.Session deletion is the most common and simplest way to react to a detected intrusion: a network error message (such as an unreachable destination ICMP packet or a TCP protocol restart included in the RST tag) received by the TCP / IP stack causes said communication to be closed. In the event of a detected attack, the IDS system sends properly spoofed TCP, RST, or ICMP packets to make the machine being attacked unreachable by the attack itself, thereby blocking the dangerous session.

[00038] Tal técnica precisa ser implementada de tal modo a ser rápida: se o sistema não reage prontamente, pode não ser capaz de bloquear o fluxo de tráfego perigoso ou pode, eventualmente, intervir quando um dano já tenha ocorrido. Simplesmente deve-se pensar em um ataque cujo conteúdo perigoso esteja limitado a um único pacote: isto é um caso limite onde é totalmente inútil uma contramedida conforme descrita.Such a technique needs to be implemented in such a way as to be rapid: if the system does not react promptly, it may not be able to block the flow of dangerous traffic or may eventually intervene when damage has already occurred. One should simply think of an attack whose dangerous content is limited to a single packet: this is a borderline case where a countermeasure as described is totally useless.

[00039] Um arranjo de que é feito uso em certos sistemas de detecção de intmsão para reagir a um ataque, provê então a cooperação com uma barreira de proteção modificando em tempo real as regras desta. Deste modo, o sistema de detecção de intrusão “ensina” a barreira de proteção no sentido de fazer com que esta interrompa todas aquelas conexões provenientes o endereço IP de um atacante detectado, no sentido de bloquear o fluxo de tráfego perigoso. Dependendo das diferentes implementações a(s) regra(s) adicionada(s) pode(m) ser cancelada(s) após um dado período de tempo ou vários ataques são requeridos para isolar um certo endereço IP.[00039] An arrangement that is made use of in some intrusion detection systems to react to an attack then provides cooperation with a protective barrier by modifying its rules in real time. In this way, the intrusion detection system “teaches” the protective barrier to break all connections coming from a detected attacker's IP address to block the flow of dangerous traffic. Depending on the different implementations the added rule (s) may be canceled after a given period of time or several attacks are required to isolate a certain IP address.

[00040] Entretanto, esta técnica pode não ser isenta das mesmas limitações afetando as outras técnicas consideradas anteriormente. É efetivo no caso de ataques explorando um “shell” obtida por meio de um “exploit” (em cujo caso o exploit é executado, mas a concha obtida não é mais alcançável) porém toma-se inútil no caso daqueles ataques, tais como ataques de negação de serviço (DOS) que exaurem seus conteúdos em poucos pacotes ou mesmo em apenas um pacote.However, this technique may not be exempt from the same limitations affecting the other techniques previously considered. It is effective for attacks exploiting a shell obtained through an exploit (in which case the exploit is executed, but the shell obtained is no longer reachable) but becomes useless for those attacks such as attacks (DOS) services that exhaust their contents in a few packages or even in only one package.

[00041] Uma limitação intrínseca destas técnicas é que estas não são técnicas de prevenção, posto que não atuam antes do pacote alcançar o alvo. De fato, estas reagem apenas após um evento ocorrido e a reação mesmo rápida, sempre segue a ocorrência de um evento suspeito, tal como o trânsito de um dado pacote. O único modo aceitável de superar esta limitação é integrar ao sistema de detecção de intrusão uma função de barreira de proteção, realizando um sistema de detecção de intrusão em “linha”.An intrinsic limitation of these techniques is that they are not prevention techniques, as they do not act before the package reaches the target. In fact, they react only after an event has occurred and the even quick reaction always follows the occurrence of a suspicious event, such as the transit of a given packet. The only acceptable way to overcome this limitation is to integrate a protective barrier function into the intrusion detection system by performing a "line" intrusion detection system.

[00042] Tal arranjo é descrito, por exemplo, em US-A-6 513 122 e é retratado em geral no diagrama em blocos da Figura 3.Such an arrangement is described, for example, in US-A-6 513 122 and is generally depicted in the block diagram of Figure 3.

[00043] Especificamente, o diagrama em blocos da Figura 3 mostra a arquitetura de um sistema de detecção de intrusão em linha 310, onde a rede interna 130 é separada da rede externa 110. Tal sistema pode ser visto como uma evolução do sistema baseado em rede mostrado na Figura 1, onde o sensor de rede se toma uma ponte separando a rede a ser protegida da rede externa.Specifically, the block diagram of Figure 3 shows the architecture of an inline intrusion detection system 310, where the internal network 130 is separated from the external network 110. Such a system can be seen as an evolution of the system based on network shown in Figure 1, where the network sensor becomes a bridge separating the network to be protected from the external network.

[00044] O sistema inclui tipicamente três interfaces de rede, duas das quais (311a e 311b) operam no segundo nível (“nível 2”) da pilha TCP/IP, habilitando o dispositivo a atuar como uma ponte, enquanto mantém invisibilidade ao nível da rede. Estas interfaces monitoram todo o tráfego em trânsito a partir de e na direção da rede interna 130. Uma terceira interface 311c gerencia o sistema. O dispositivo coleta todo o tráfego a partir de e na direção da rede interna 130 e detecta, via componentes de detecção de intmsão 312b as configurações de ataque conhecidas, contidas na base de dados 313. Na presença de um ataque, via componente de barreira de proteção 312a, o sistema pode evitar que os pacotes perigosos únicos atravessem o dispositivo e alcancem o alvo, implementando deste modo uma ação de prevenção de intmsão. Referência 314 designa um módulo de gerenciamento do sistema.The system typically includes three network interfaces, two of which (311a and 311b) operate at the second level (“level 2”) of the TCP / IP stack, enabling the device to act as a bridge while maintaining invisibility at the level. from the Web. These interfaces monitor all traffic in transit from and towards internal network 130. A third interface 311c manages the system. The device collects all traffic to and from internal network 130 and detects via known intrusion detection components 312b the known attack configurations contained in database 313. In the presence of an attack via the intrusion barrier component protection 312a, the system can prevent single dangerous packets from traversing the device and reaching the target, thereby implementing an intmsion prevention action. Reference 314 designates a system management module.

[00045] Novamente, o diagrama em blocos típico mostrado na Figura 3 corresponde a uma arquitetura simplificada: situações reais podem de fato envolver soluções de arquitetura mais complexas.Again, the typical block diagram shown in Figure 3 corresponds to a simplified architecture: real situations may in fact involve more complex architectural solutions.

[00046] Em comparação com os arranjos mais tradicionais previamente discutidos, o arranjo mostrado na Figura 3 opera como uma espécie de ponte entre a rede externa 110 e a rede a ser protegida 130, atuando como um ponto doe conexão para a rede interna. Operando no nível 2 com as interfaces 311, este mantém a invisibilidade do IP típica de um sistema baseado em rede. Adicional mente, o sistema de detecção de intrusão 310 mostrado na Figura 3 coleta, atuando como um ponto de conexão para a rede interna, todo o tráfego a partir de e na direção da rede, gerenciando-a por meio de funções de barreira de proteção integradas (312a) e funções de detecção de intrusão (312b). Deste modo, o sistema pode analisar o tráfego, buscando pacotes “suspeitos’’. Ao detectar uma intrusão (por meio do componente 312b), este pode então bloquear a intrusão por meio de componente de barreira de proteção 312a, evitando que este passe para a outra interface.Compared to the more traditional arrangements previously discussed, the arrangement shown in Figure 3 operates as a kind of bridge between the external network 110 and the network to be protected 130, acting as a connection point for the internal network. Operating at level 2 with 311 interfaces, it maintains the IP invisibility typical of a network-based system. Additionally, the intrusion detection system 310 shown in Figure 3 collects, acting as a connection point for the internal network, all traffic from and towards the network, managing it through protective barrier functions. (312a) and intrusion detection functions (312b). This way, the system can analyze traffic for 'suspicious' packets. Upon detecting an intrusion (via component 312b), it can then block the intrusion by means of protective barrier component 312a, preventing it from passing to the other interface.

[000471 Esta técnica de reação atua antes que um pacote suspeito alcance o alvo. implementando deste modo uma mecânica de prevenção verdadeira. As limitações do arranjo da técnica anterior considerado anteriormente são então superadas, com a possibilidade de detectar e bloquear também ataques comidos em um pacote único» [00048J Entretanto, mesmo o arranjo mostrado na Figura 3 ainda sofre das deficiências descritas anteriormente e relacionadas, como é o caso de sistemas baseados em rede para a ausência de conhecimento preciso do estado das máquinas provenientes do segmento de rede 130 sendo controlado. De fato, também o arranjo mostrado na Figura 3 limita sua intervenção a monitorar o tráfego, enquanto busca configurações de ataque, sem conhecer entretanto, se isto pode representar uma ameaça real para os sistemas protegidos.[000471 This reaction technique acts before a suspicious packet reaches the target. thereby implementing true prevention mechanics. The limitations of the prior art arrangement considered above are then overcome, with the possibility of detecting and blocking attacks eaten in a single package as well. [00048J] However, even the arrangement shown in Figure 3 still suffers from the previously described and related shortcomings as the case of network-based systems for the lack of precise knowledge of the state of the machines coming from network segment 130 being controlled. In fact, also the arrangement shown in Figure 3 limits your intervention to monitoring traffic while looking for attack configurations, without knowing however whether this could pose a real threat to protected systems.

Objetivo e Sumário da Invenção [00049] O objetivo da invenção é então prover um arranjo para proteger sistemas e redes de intrusões, adaptado para detectar os pacotes perigosos antes que estes possam alcançar as máquinas numa rede protegida.Purpose and Summary of the Invention The object of the invention is therefore to provide an arrangement to protect intrusion systems and networks, adapted to detect dangerous packets before they can reach the machines on a protected network.

[00050] Particularmente, a presente invenção objetiva prover um sistema adaptado para atacar o problema também com ataques “desconhecidos”, enquanto assegura a segurança de, por exemplo, máquinas de produção, nas quais não é correntemente instalado software dedicado.Particularly, the present invention aims to provide a system adapted to address the problem also with "unknown" attacks, while ensuring the security of, for example, production machines where dedicated software is not currently installed.

[00051] Por ataques ‘desconhecidos’ são designados geralmente aqueles ataques que não foram previamente experimentados pelo sistema e/ou para os quais nenhuma informação tenha sido previamente armazenada no sistema."Unknown" attacks are generally referred to as attacks that have not been previously tried by the system and / or for which no information has been previously stored in the system.

[00052] De acordo com a presente invenção, aquele objetivo é alcançado por meio de um método tendo as características relatadas nas reivindicações que se seguem. A invenção também se relaciona a um sistema correspondente, a uma rede equipada com tal sistema, bem como a um produto de programa de computador, carregável na memória de pelo menos um computador e incluindo porções de código se software para realizar as etapas do método da invenção quando o produto é executado em um computador. Conforme usado aqui, a referência a tal produto de programa de computador é destinada a ser equivalente à referência a um meio legível por computador contendo instruções para controlar um sistema de computador para coordenar o desempenho do método da invenção. A referência a “pelo menos um” computador destina-se evidentemente a destacar a exequibilidade do arranjo da invenção a ser implementado de um modo descentralizado.According to the present invention, that object is achieved by a method having the characteristics reported in the following claims. The invention also relates to a corresponding system, a network equipped with such a system, as well as a computer program product, loadable into the memory of at least one computer and including portions of code and software for performing the steps of the method. invention when the product runs on a computer. As used herein, reference to such computer program product is intended to be equivalent to reference to a computer readable medium containing instructions for controlling a computer system to coordinate the performance of the method of the invention. The reference to "at least one" computer is of course intended to highlight the feasibility of the arrangement of the invention to be implemented in a decentralized manner.

[00053] Uma realização preferida da invenção evita, portanto, intrusão no tráfego de comunicação com um conjunto de máquinas em uma rede, o tráfego compreendendo entidades de comunicação identificadas pelas respectivas configurações. Um sistema de teste incluindo facilidades de teste replicando pelo menos uma das máquinas no conjunto é provida, e pelo menos uma parte das entidades de comunicação no citado tráfego é direcionada para o sistema de teste, onde são executadas as facilidades de teste para detectar possíveis efeitos adversos no sistema de teste. Na presença de um efeito adverso, as entidades de comunicação conduzindo ao efeito adverso são bloqueadas. Na ausência de um efeito adverso, a comunicação com o conjunto de máquinas protegidas é permitida para as entidades de comunicação, deixando de conduzir a um efeito adverso.A preferred embodiment of the invention therefore avoids intrusion on communication traffic with a set of machines in a network, traffic comprising communication entities identified by their configurations. A test system including test facilities replicating at least one of the machines in the set is provided, and at least a portion of the communication entities in said traffic are directed to the test system where test facilities are performed to detect possible effects. adverse effects on the test system. In the presence of an adverse effect, the reporting entities leading to the adverse effect are blocked. In the absence of an adverse effect, communication with the set of protected machines is allowed to the communication entities and no longer leads to an adverse effect.

[00054] As entidades de comunicação direcionadas para o sistema de teste incluem entidades de comunicação obtidas a partir do limite de tráfego na direção e/ou proveniente do conjunto de máquinas protegidas.Communication entities directed to the test system include communication entities obtained from the traffic boundary towards and / or from the protected machine pool.

[00055] O arranjo descrito aqui então alcança proteção “virtualizando” as máquinas protegidas reais em um conjunto de máquinas de teste.[00055] The arrangement described here then achieves protection by "virtualizing" the actual protected machines on a set of test machines.

[00056] O arranjo descrito aqui é particularmente adequado para uso em associação com uma rede protegida, subdividida em áreas agrupando sistemas similares, cada área sendo protegida por um sistema em linha que inclui detecção de intrusão, deflexão de intrusão e componentes de sistema de teste.[00056] The arrangement described here is particularly suitable for use in association with a protected network, subdivided into areas grouping similar systems, each area being protected by an inline system that includes intrusion detection, intrusion deflection and test system components. .

[00057] Em uma realização preferida, o sistema reconhece as entidades de comunicação perigosas, “nocivas” (por exemplo, pacotes) e os pacotes permitidos, “inofensivos” bloqueando os primeiros e permitindo que os últimos passem: isto é feito com base nas respectivas configurações do identificador armazenadas em duas bases de dados. O componente de deflexão de intrusão deflete na direção do componente de teste aqueles pacotes cuja natureza e possíveis defeitos nas máquinas protegidas são desconhecidos (isto é, não conhecidos com suficiente confiabilidade). O sistema de componentes de teste onde os sistemas e serviços da rede interna (isto é, as máquinas protegidas) são replicados, “executa” a entidade de comunicação e então verifica o efeito real desta no sistema replicado.In a preferred embodiment, the system recognizes dangerous, "harmful" communication entities (eg, packets) and permitted, "harmless" packets by blocking the former and allowing the latter to pass: this is based on the respective identifier settings stored in two databases. The intrusion deflection component deflects in the direction of the test component those packages whose nature and possible defects in protected machines are unknown (that is, not known with sufficient reliability). The test component system where internal network systems and services (ie protected machines) are replicated, "executes" the communication entity and then verifies its actual effect on the replicated system.

[00058] No caso de o teste demonstrar um efeito perigoso, negativo, o pacote não é retomado ao sistema de deflexão e, por conseguinte, não é capaz de alcançar as máquinas protegidas da rede interna. No caso do pacote que é verificado representar um “bom” pacote, este é redirecionado ao componente de deflexão de intmsão para ser enviado àquelas máquinas da rede interna.If the test shows a dangerous negative effect, the packet is not returned to the deflection system and therefore cannot reach the protected machines on the internal network. If the packet that is found to represent a “good” packet, it is redirected to the intmsion deflection component to be sent to those machines on the internal network.

Em ambos os casos, as respectivas configurações do identificador (isto é, as assinaturas) podem ser usadas para atualizar as bases de dados possivelmente presentes no componente de detecção de intrusão.In either case, the respective identifier settings (that is, signatures) can be used to update the databases possibly present in the intrusion detection component.

[00059] Para acrescentar, o arranjo descrito aqui provê uma arquitetura que mantém as vantagens de todos os arranjos da técnica anterior, enquanto prescinde das deficiências intrínsecas daqueles sistemas de detecção de intrusão (do tipo baseado em rede) tendo conhecí mento insuficiente disponível dos sistemas finais. O arranjo descrito aqui também evita a natureza in vas iva intrínseca de um sistema de detecção de intrusão baseado em computador principal, enquanto assegura que o tráfego potencial mente perigoso é bloqueado e sua propagação não é permitida para as máquinas protegidas.In addition, the arrangement described herein provides an architecture that retains the advantages of all prior art arrangements while dispensing with the intrinsic deficiencies of those (network-based) intrusion detection systems having insufficient available knowledge of the systems. finals. The arrangement described herein also avoids the intrinsic intrinsic nature of a main computer-based intrusion detection system, while ensuring that potentially dangerous traffic is blocked and its propagation is not allowed to protected machines.

Breve Descrição dos Desenhos Anexos [00060] A invenção será agora descrita, somente a título de exemplo, referindo-se às figuras incluídas nos desenhos, onde: - Figuras 1 a 3, relacionadas à técnica anterior, foram descritas previamente, - Figura 4 é um diagrama em blocos mostrando o layout geral de um arranjo conforme descrito aqui, e - Figuras 5 e 6 são fluxogramas típicos de operação do arranjo aqui descrito.BRIEF DESCRIPTION OF THE ATTACHED DRAWINGS [00060] The invention will now be described, by way of example only, with reference to the figures included in the drawings, where: Figures 1 to 3, related to the prior art, have been described previously, a block diagram showing the general layout of an arrangement as described herein; and Figures 5 and 6 are typical operating flow charts of the arrangement described herein.

Descrição Detalhada das Realizações Preferidas da Invenção [00061 ] Conforme indicado previamente o arranjo típico descrito aqui provê proteção de rede através da ação conjunta dos dois componentes básicos, a saber um componente de rede que coleta c analisa o tráfego de rede através de um elemento de linha interior, e um componente que, embora diferente das máquinas finais, opera em um nível local, [00062] Na maioria das instâncias, os servidores a serem, protegidos são máquinas de produção cujas configurações não são adaptadas para serem modificadas, e onde novos componentes de software não são adequados para serem instalados, no sentido de evitar instabilidade de serviço.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS OF THE INVENTION As indicated previously, the typical arrangement described herein provides network protection through the joint action of the two basic components, namely a network component that collects and analyzes network traffic through a network element. interior line, and a component that, although different from end machines, operates on a local level, [00062] In most instances, the servers to be protected are production machines whose settings are not adapted to be modified, and where new Software components are not suitable to be installed in order to avoid service instability.

[00063] O arranjo descrito aqui cria, por conseguinte, um ambiente de teste onde os serviços e as configurações das máquinas na rede interna são replicados. O ambiente de teste permite que o efeito de qualquer entidade de comunicação perigosa potencial (por exemplo, um pacote) seja testado antes desta alcançar realmente o serviço real. No caso de ser verificado que o pacote é bom, este é redirecionado para as máquinas na rede interna. Caso contrário, este é bloqueado. Deste modo, é provida uma arquitetura para evitar intrusão, onde ataques são detectados e bloqueados antes que possam alcançar o alvo, reduzindo então significativamente o número de alarmes positivos falsos, os pacotes sendo bloqueados somente após verificar se são verdadeiramente perigosos. Adicionalmente, o arranjo descrito aqui é também efetivo para detectar ataques desconhecidos, a saber ataques para os quais uma assinatura ainda não esteja disponível.[00063] The arrangement described here therefore creates a test environment where services and machine configurations on the internal network are replicated. The test environment allows the effect of any potential hazardous communication entity (for example, a packet) to be tested before it actually achieves the actual service. If the package is found to be good, it is redirected to the machines on the internal network. Otherwise, this is blocked. Thus, an intrusion prevention architecture is provided, where attacks are detected and blocked before they can reach the target, thus significantly reducing the number of false positive alarms, packets being blocked only after verifying that they are truly dangerous. Additionally, the arrangement described here is also effective for detecting unknown attacks, namely attacks for which a subscription is not yet available.

[00064] Especificamente, o diagrama em blocos da Figura 4 mostra uma rede interna 130 separada da rede externa 110 por meio de um componente em linha 410. Aquele componente inclui quatro interfaces de rede, duas das quais (aquelas indicadas por 411a e 411b) operam no nível 2, permitindo que o dispositivo atue como uma ponte, enquanto mantém invisibilidade ao nível da rede e também monitora todo o tráfego em trânsito a partir e na direção da rede interna 130.Specifically, the block diagram of Figure 4 shows an internal network 130 separated from the external network 110 by an inline component 410. That component includes four network interfaces, two of which (those indicated by 411a and 411b) operate at level 2, allowing the device to act as a bridge while maintaining network-level invisibility and also monitoring all traffic in transit from and towards the internal network 130.

[00065] Uma terceira interface 411c provê gerenciamento do sistema, enquanto uma quarta interface 41 ld conecta o componente em linha ao ambiente de teste 420.A third interface 411c provides system management while a fourth 41 ld interface connects the inline component to the test environment 420.

[00066] O componente em linha analisa todo o tráfego a partir de e na direção da rede interna 130. Por meio do componente de detecção de intrusão 412b este detecta quaisquer configurações de ataque “ilegais” ou “nocivas” de um tipo conhecido (isto é, aquelas entidades de comunicação cujas assinaturas estão contidas na base de dados 415). No caso de tal ocorrência o sistema evita, via componente de barreira de proteção 412a, que os pacotes perigosos únicos atravessem o dispositivo e alcancem o alvo, deste modo executando uma ação de prevenção de intrusão.The inline component analyzes all traffic to and from internal network 130. Through intrusion detection component 412b it detects any “illegal” or “harmful” attack configurations of a known type (ie that is, those communication entities whose signatures are contained in database 415). In the event of such an occurrence, the system prevents, via protective barrier component 412a, that single hazardous packets pass through the device and reach the target, thereby performing an intrusion prevention action.

[00067] Inversamente, o tráfego reconhecido como “legal” ou “inofensivo” (isto é, aquelas entidades de comunicação cujas assinaturas estão contidas na base de dados 416) é permitido atravessar o componente em linha 410, alcançando então os servidores na rede interna 130.Conversely, traffic recognized as “legal” or “harmless” (ie those communication entities whose signatures are contained in database 416) is allowed to traverse the inline component 410 and then reach the servers in the internal network. 130

[00068] Quando o componente em linha 410 recebe pacotes que não são reconhecíveis como legais ou como ilegais, com base nas assinaturas contidas nas bases de dados 415 e 416, os pacotes em questão são redirecionados para o ambiente de teste ou ambiente 420 via interface 41 ld.When the inline component 410 receives packets that are not recognizable as legal or illegal based on the signatures contained in databases 415 and 416, the concerned packets are redirected to the test environment or environment 420 via interface. 41 ld.

[00069] O ambiente de teste 420 é constituído de uma ou mais máquinas de teste 421 que replicam os servidores ou, menos preferivelmente, parte dos servidores (definitivamente mesmo um único servidor) na rede interna 130 e um sistema 422 adaptado para verificar o estado desta no sentido de detectar os possíveis ataques. Em uma implementação mínima o sistema 422 pode coincidir com um sistema de detecção de intrusão baseado em computador principal conforme mostrado na Figura 2.Test environment 420 is comprised of one or more test machines 421 that replicate the servers or, less preferably, part of the servers (definitely even a single server) on the internal network 130 and a system 422 adapted to check status. to detect possible attacks. In a minimal implementation system 422 may coincide with a main computer based intrusion detection system as shown in Figure 2.

[00070] Após o teste, aqueles pacotes mantidos como sendo legais são dados de volta ao componente em linha 410 que os redireciona aos servidores na rede interna 130, enquanto os pacotes ilegais são bloqueados.After testing, those packets kept as legal are given back to the inline component 410 which redirects them to the servers on the internal network 130, while the illegal packets are blocked.

[00071] O ambiente de teste é também conectado à rede de gerenciamento 414 para permitir atualização da informação contida nas bases de dados 415 e 416.[00071] The test environment is also connected to management network 414 to allow updating of information contained in databases 415 and 416.

[00072] Em mais detalhe, cada pacote único é analisado através de ação conjunta do módulo de barreira de proteção 412a e no módulo de detecção de intrusão 412b.[00072] In more detail, each single packet is analyzed through joint action of the protective barrier module 412a and the intrusion detection module 412b.

[00073] Na primeira instância, o módulo de barreira de proteção 412a verifica a natureza legal do pacote: por exemplo, isto é feito realizando filtragem de pacotes com base nos endereços e portas de fonte e destino, enquanto bloqueia pacotes possivelmente ilegais. Subsequentemente, o módulo de detecção de intrusão 412b analisa os conteúdos de aplicação do pacote com base nos conteúdos de base de dados 415 que contém as configurações de ataques conhecidas a serem bloqueadas, e a base de dados 416, que contém aquelas configurações incluídas no tráfego permitido explicitamente.In the first instance, the protection barrier module 412a verifies the legal nature of the packet: for example, this is done by performing packet filtering based on source and destination addresses and ports, while blocking potentially illegal packets. Subsequently, the intrusion detection module 412b analyzes the packet application contents based on the database contents 415 containing the known attack configurations to be blocked, and the database 416 containing those configurations included in the traffic. allowed explicitly.

[00074] Se o componente 412b detecta um ataque, este é bloqueado antes que possa alcançar os sistemas na rede interna. Inversamente, se uma entidade de tráfego explicitamente permitida é detectada, tal tráfego tem permissão para atravessar o sistema e alcançar a rede 130 via interface 411b.If component 412b detects an attack, it is blocked before it can reach systems on the internal network. Conversely, if an explicitly permitted traffic entity is detected, such traffic is allowed to traverse the system and reach network 130 via interface 411b.

[00075] O restante do tráfego, que não é explicitamente legal nem explicitamente ilegal, é visto como tráfego “suspeito”.[00075] The rest of the traffic, which is neither explicitly legal nor explicitly illegal, is viewed as “suspicious” traffic.

[00076] Será verificado que os sistemas da técnica anterior das Figuras 1 a 3 não manuseiam tal tráfego “suspeito”: como uma função da ocorrência, este é processado como legal e deixado passar ou como ilegal e então bloqueado. Este modo de operar aumenta o risco de gerar ambos alarmes falsos negativos (tráfego ilegal que é processado como tráfego legal) e alarmes falsos positivos (tráfego legal que é processado como tráfego ilegal).It will be appreciated that the prior art systems of Figures 1 to 3 do not handle such "suspicious" traffic: as a function of the occurrence, it is processed as legal and allowed to pass or as illegal and then blocked. This mode of operation increases the risk of generating both false negative alarms (illegal traffic that is processed as legal traffic) and false positive alarms (legal traffic that is processed as illegal traffic).

[00077] Inversamente, no arranjo descrito aqui, o tráfego suspeito é desviado na direção do sistema de teste 420 via interface 41 ld. As máquinas de teste 412 recebem todo o tráfego suspeito coletado pela interface 411a e processam cada pacote único do mesmo modo que tais pacotes seriam processados pelas máquinas reais na rede interna 130.Conversely, in the arrangement described here, suspicious traffic is diverted towards test system 420 via interface 41 ld. Test machines 412 receive all suspicious traffic collected by interface 411a and process each single packet in the same manner as such packets would be processed by actual machines on the internal network 130.

[00078] Na prática, o sistema 422 verifica o estado das máquinas, detectando intrusão no nível de detalhe local (o que seria irrealizável para um sensor baseado em rede), enquanto tem também a possibilidade de verificar o efeito de cada pacote único, ou mesmo cada comando único, nas próprias máquinas. Deste modo, todo o tráfego suspeito é processado e, dependendo do resultado de tal processamento, é finalmente classificado pelo sistema de teste 422 como legal ou ilegal, sem possibilidade de erros.In practice, the 422 system checks the status of machines by detecting intrusion at the local level of detail (which would be unrealistic for a network-based sensor), while also having the ability to check the effect of each single packet, or even every single command on the machines themselves. In this way all suspicious traffic is processed and, depending on the result of such processing, is finally classified by the test system 422 as legal or illegal, without possibility of errors.

[00079] Se um pacote suspeito é verificado como legal, este é redirecionado para o componente em linha 410 do sistema, que por sua vez o envia ao usuário final, que pode então prosseguir a comunicação. Inversamente, se um pacote suspeito é considerado ilegal não é enviado ao sistema em linha, nem qualquer resposta das máquinas de teste 421 é enviada na direção da rede externa 110. O pacote é bloqueado e o alarme correspondente chega ao operador via sistema de gerenciamento 417.[00079] If a suspicious packet is found to be legal, it is redirected to the system's inline component 410, which in turn sends it to the end user, who can then continue communication. Conversely, if a suspicious packet is considered illegal it is not sent to the inline system nor any response from test machines 421 is sent towards the external network 110. The packet is blocked and the corresponding alarm reaches the operator via management system 417. .

[00080] Será verificado que, explorando a cooperação de dois tipos diferentes de arranjos de detecção de intrusão, um do tipo de rede 412b, incluído em um elemento em linha 410 e um componente do tipo baseado em computador principal, integrados no sistema de teste 420, o arranjo descrito aqui supera as limitações intrínsecas de abordagens tradicionais prescindindo de um lado do problema de alarmes falsos, enquanto por outro lado resolve o problema relacionado à natureza invasiva do sistema baseado em computador principal.It will be found that by exploiting the cooperation of two different types of intrusion detection arrangements, one of network type 412b, included in an inline element 410 and one main computer based type component, integrated into the test system. 420, the arrangement described here overcomes the intrinsic limitations of traditional approaches by dispensing with one side of the false alarm problem, while on the other hand solving the problem related to the invasive nature of the main computer-based system.

[00081] A operação do arranjo, como mostrado na Figura 4, será agora descrita referindo-se especificamente aos fluxogramas das Figuras 5 e 6.The arrangement operation, as shown in Figure 4, will now be described with specific reference to the flow charts of Figures 5 and 6.

[00082] Em uma etapa 510, cada pacote recebido é processado pelo elemento de barreira de proteção 412a que opera no nível de rede e nível de transporte. Portanto, os dados de cabeçalho nos níveis 3 e 4 são analisados em uma etapa 520 para verificar a natureza legal do tráfego a partir e na direção de certos endereços e portas IP específicos e a possibilidade de bloqueio - em uma etapa 521 - do tráfego ilegal.In a step 510, each received packet is processed by the protective barrier element 412a operating at the network level and transport level. Therefore, header data at levels 3 and 4 are analyzed in step 520 to verify the legal nature of traffic from and towards certain specific IP addresses and ports and the possibility of blocking - in step 521 - illegal traffic .

[00083] Subsequentemente, em uma etapa 530, o pacote é analisado pelo elemento de detecção de intrusão 412b que detecta ataques com base nas assinaturas contidas na base de dados 415. Um ataque pode ser conduzido por um ou mais pacotes no nível 3 (por exemplo um assim chamado “Ping of Death”), no nível 4 (por exemplo, “SYN FloocT) e o nível de aplicação (por exemplo, um assim chamado “Buffer Overflow”).Subsequently, in a step 530, the packet is parsed by the intrusion detection element 412b which detects attacks based on the signatures contained in database 415. An attack can be conducted by one or more level 3 packets (eg example a so-called “Ping of Death”) at level 4 (eg “SYN FloocT) and the application level (eg a so-called“ Buffer Overflow ”).

[00084] Quando um ataque é detectado, o pacote correspondente é bloqueado em uma etapa 531 e não é redirecionado para interface 411b. Consequentemente, este não alcança os servidores na rede interna 130, enquanto um alarme correspondente é emitido em uma etapa 532, que alcança o administrador da rede via sistema de gerenciamento 417.[00084] When an attack is detected, the corresponding packet is blocked in step 531 and is not redirected to interface 411b. Consequently, it does not reach the servers on the internal network 130, while a corresponding alarm is issued in a step 532, which reaches the network administrator via management system 417.

[00085] Se nenhum ataque é detectado, um processo de coincidência de configuração similar é iniciado em uma etapa 540 para verificar os conteúdos de aplicação legal possivelmente explícitos do pacote. As assinaturas correspondentes estão contidas na base de dados 416 e são tipicamente assinaturas reportando as configurações de requisição legal que os servidores obtiveram de seus clientes.If no attack is detected, a similar configuration matching process is started in step 540 to verify the possibly explicit legal application contents of the package. The corresponding signatures are contained in database 416 and are typically signatures reporting the legal request settings that the servers obtained from their clients.

[00086] Consequentemente, estas configurações são fortemente dependentes dos serviços de aplicação providos pelas máquinas na rede interna 130. Se explicitamente legal ou permitido, cada pacote único é redirecionado aos servidores finais em uma etapa 541, via interface 411b. Os servidores cuidam do processamento do pacote, o que geralmente envolve a emissão, em uma etapa 542, de uma resposta na direção dos clientes na rede externa 110.Accordingly, these configurations are heavily dependent on the application services provided by the machines on the internal network 130. If explicitly legal or permitted, each single packet is redirected to the end servers in one step 541 via interface 411b. Servers handle packet processing, which generally involves issuing, in one step 542, a response to clients on the external network 110.

[00087] Se o pacote não corresponde a qualquer das assinaturas na base de dados 416 e na base de dados 415, então é necessário se arranjar com um elemento “desconhecido” que não é explicitamente ilegal nem explicitamente legal ou permitido. Tal pacote é, portanto, processado como um elemento suspeito.If the packet does not match any of the signatures in database 416 and database 415, then it must be arranged with an “unknown” element that is neither explicitly illegal nor explicitly legal or permissible. Such a package is therefore processed as a suspicious element.

[00088] Especificamente, tal tráfego suspeito é defletido na direção do sistema de teste 420, via interface 411b, o que ocorre em uma etapa 550. O ambiente de teste 420 recebe al 1 os pacotes suspeitos e os processa conforme mostrado na Figura 6.Specifically, such suspicious traffic is deflected towards test system 420 via interface 411b, which occurs in a step 550. Test environment 420 receives 1 1 suspect packets and processes them as shown in Figure 6.

[00089] Cada pacote recebido na etapa 610 é processado pelas máquinas de teste 421 em uma etapa 620. Especificamente, as máquinas de teste 421 replicam os servidores na rede interna 130: um sistema de teste 422, que - conforme indicado - pode corresponder em uma implementação mínima a um sistema de detecção de intrusão baseado em computador principal conforme mostrado na Figura 2, verifica o estado das máquinas 421 para detectar a possível intrusão em uma etapa 630. O sistema de detecção 422 opera em um nível de detalhe local e, portanto, pode verificar o efeito de cada pacote único, ou cada comando único, nas próprias máquinas.Each packet received in step 610 is processed by test machines 421 in step 620. Specifically, test machines 421 replicate the servers on internal network 130: a test system 422, which - as indicated - can correspond in A minimal implementation of a main computer-based intrusion detection system as shown in Figure 2 checks the state of the machines 421 to detect possible intrusion in a step 630. The detection system 422 operates at a local level of detail and, therefore, you can check the effect of each single package, or each single command, on the machines themselves.

[00090] Se um pacote suspeito é considerado legal, em uma etapa 640 este é redirecionado, via interface 41 ld para o componente em linha 420 do sistema, que por sua vez o envia aos sistemas finais na rede interna 130. Estes podem, portanto, continuar, em uma etapa 641, a comunicação com os clientes na rede externa 110. Altemativamente, o pacote pode ser redirecionado para o componente em linha 410, através da rede de gerenciamento 414.If a suspicious packet is considered legal, in step 640 it is redirected via interface 41 ld to the inline component 420 of the system which in turn sends it to the end systems in internal network 130. These can therefore , continue, in one step 641, communication with clients on external network 110. Alternatively, the packet may be redirected to inline component 410 via management network 414.

[00091] Inversamente, se um pacote suspeito é considerado ilegal, em uma etapa 631 este é bloqueado pelo que não é redirecionado para o componente em linha, nem qualquer possível resposta é enviada das máquinas de teste 421 para a rede externa 110.Conversely, if a suspicious packet is considered illegal, in a step 631 it is blocked so that it is not redirected to the inline component, nor is any possible response sent from test machines 421 to external network 110.

[00092] Adicionalmente, um conjunto de ações independentes paralelas é executado na etapa 632 a 635.Additionally, a set of parallel independent actions is performed in step 632 to 635.

[00093] Primeiramente, é gerado um alarme na etapa 632, que alcança o administrador de rede via sistema de gerenciamento 417.First, an alarm is generated in step 632, which reaches the network administrator via management system 417.

[00094] Uma ação de reinicialização é também efetuada em uma etapa 633 para a(s) máquina(s) de teste possivelmente comprometida(s). Tal etapa pode consistir, por exemplo, em restaurar uma partição em um disco, com base em uma imagem desta previamente gerada e armazenada no sistema 422 que, controlando as máquinas de teste, gerencia todo o ambiente 420.[00094] A reboot action is also performed in a step 633 for the possibly compromised test machine (s). Such a step may consist, for example, of restoring a partition on a disk based on a previously generated disk image stored on system 422 which, by controlling the test machines, manages the entire environment 420.

Adicionalmente, recorrendo a técnicas tradicionais, a eliminação da sessão em andamento pode ser realizada em uma etapa 634, uma vez que seja estabelecida a natureza ilegal da comunicação.In addition, using traditional techniques, the elimination of the session in progress can be performed in step 634 once the illegal nature of the communication is established.

[00095] O arranjo descrito executa uma etapa 635 para atualizar as regras contidas na base de dados 415. Isto é destinado a melhorar progressivamente a efetividade da detecção. Uma vez verificada a natureza perigosa de um dado fluxo doe tráfego, o sistema de teste 422 pode revisar as regras contidas na base de dados 415 que regulam o comportamento do componente em linha 410 no sistema, de tal modo que, se o citado fluxo doe tráfego se manifesta novamente, este é imediatamente bloqueado, sem ser redirecionado ao sistema de teste.[00095] The described arrangement performs a step 635 to update the rules contained in database 415. This is intended to progressively improve the effectiveness of detection. Once the hazardous nature of a given traffic flow has been verified, the test system 422 may revise the rules contained in database 415 governing the behavior of the inline component 410 in the system such that if said traffic flow traffic manifests again, it is immediately blocked without being redirected to the test system.

[00096] Adicionalmente, o sistema pode incluir um mecanismo para transmitir, em uma etapa 636, a informação de atualização na direção de outros sistemas de detecção de intrusão, possivelmente de um tipo tradicional, de tal modo que estes sistemas podem explorar as novas assinaturas para detectar intrusão. Daquele modo, uma abordagem efetiva é implementada para gerar automaticamente assinaturas na presença de novos ataques.Additionally, the system may include a mechanism for transmitting, in one step 636, the update information towards other intrusion detection systems, possibly of a traditional type, such that these systems may exploit the new signatures. to detect intrusion. Thus, an effective approach is implemented to automatically generate signatures in the presence of new attacks.

[00097] Similarmente, se o pacote é considerado legal, em uma etapa 650 as regras na base de dados 416 são correspondentemente atualizadas.Similarly, if the package is considered legal, in one step 650 the rules in database 416 are correspondingly updated.

[00098] Esta sinergia do componente baseado em computador principal e componente em linha no sistema, que conduz a uma efetividade melhorada na detecção, é realizada por meio da rede de gerenciamento para 414, à qual ambos sistemas de teste 422 e componente em linha 416 pertencem.This synergy of the main computer-based component and inline component in the system, which leads to improved detection effectiveness, is realized through the 414 management network, to which both 422 and 416 inline component test systems. belong.

[00099] Deste modo, o sistema descrito emite, nas etapas 532 e 632, alarmes somente na ocorrência de uma intrusão real, isto é, somente na presença dos pacotes que, ultrapassando a barreira de proteção 412a, alcançariam os sistemas na rede interna 130 com uma possibilidade de afetar negativamente a operação destes.In this way, the described system issues, in steps 532 and 632, alarms only on the occurrence of a real intrusion, that is, only in the presence of packets that, overcoming the protective barrier 412a, would reach the systems in the internal network. with a possibility of negatively affecting their operation.

[000100] Esta ação se sinalização tem um valor puramente informativo, uma vez que qualquer ataque perigoso já tenha sido bloqueado pelos componentes nos sistemas, tal como o componente em linha 410 ou ambiente de teste 420.This signaling action has a purely informational value, since any dangerous attack has already been blocked by components in systems, such as inline component 410 or test environment 420.

[000101] De fato, àquelas máquinas na rede interna 130 é endereçado somente o tráfego que: - na etapa 541, é mantido como explicitamente legal pois as respectivas assinaturas estão contidas na base de dados 416, ou - tiver sido positivamente testado sem causar qualquer dano, nas máquinas de teste - na etapa 640.In fact, those machines on the internal network 130 are addressed only traffic which: - in step 541, is kept as explicitly legal because their signatures are contained in database 416, or - has been positively tested without causing any damage on the test machines - at step 640.

[000102] O tráfego perigoso é então impedido de alcançar a rede interna, deste modo dando origem a uma situação de prevenção de intrusão.[000102] Dangerous traffic is then prevented from reaching the internal network, thereby giving rise to an intrusion prevention situation.

[000103] Para acrescentar, todo o tráfego a partir e na direção da rede interna 130 é analisado no sistema, no componente em linha 410 e, possivelmente no componente baseado em computador principal integrado no sistema de teste 420.In addition, all traffic from and towards internal network 130 is analyzed in the system, inline component 410 and possibly in the main computer-based component integrated in test system 420.

[000104] Um ataque é reconhecido bloqueado pelo componente em linha 410 (se sua assinatura está presente na base de dados 415) ou pelo sistema de teste 420 (que por sua vez atualiza as assinaturas na base de dados 415).[000104] An attack is acknowledged blocked by inline component 410 (if its signature is present in database 415) or by test system 420 (which in turn updates signatures in database 415).

[000105] Inversamente, o tráfego legal é reconhecido pelo componente em linha (se explicitamente permitido por uma política na base de dados 416), caso contrário atravessa o sistema de teste antes de alcançar o servidor de destino. Também neste último caso, o mecanismo de auto atualização das políticas na base de dados 416 aumenta a efetividade da detecção, uma vez que reduz os casos de tráfego suspeito sendo deflectados na direção do sistema de teste.Conversely, legal traffic is recognized by the inline component (if explicitly allowed by a policy in database 416), otherwise it traverses the test system before reaching the destination server. Also in the latter case, the auto-update mechanism of policies in database 416 increases the effectiveness of detection as it reduces cases of suspicious traffic being deflected towards the test system.

[000106] De fato, o sistema processa como tráfego suspeito, para ser desviado na direção do sistema de teste 420, todos aqueles pacotes/comandos que não são explicitamente proibidos ou explicitamente permitidos, dependendo das regras nas bases de dados 415 e 416.In fact, the system processes as suspicious traffic, to be diverted towards test system 420, all those packages / commands that are not explicitly prohibited or explicitly allowed, depending on the rules in databases 415 and 416.

[000107] Estes são tipicamente ataques cujo resultado não pode ser previsto a não ser a nível local. Este é, por exemplo, o caso de: - ataques que não comprometem pontos vulneráveis verdadeiros das máquinas finais ou que os servidores finais estão em posição de evitar, sendo providos por reparos adequados e que mais provavelmente gerariam alarmes falsos, - ataques que não são conhecidos ainda e que apenas teste real realizado nas máquinas únicas pode detectar, ou - fragmentos de tráfego - em qualquer nível - que não podem ser corretamente reconstruídos, evitando deste modo problemas de evasão e inserção conforme descrito anteriormente, diferentes de operar no nível local em uma máquina específica.[000107] These are typically attacks whose outcome cannot be predicted except at the local level. This is for example the case that: - attacks that do not compromise true endpoint vulnerabilities or that end servers are in a position to avoid, being provided with proper repairs that would most likely generate false alarms, - attacks that are not only real testing performed on single machines can detect, or - traffic fragments - at any level - that cannot be correctly reconstructed, thereby avoiding dropout and insertion problems as described above, other than operating at the local level at a specific machine.

[000108] Será verificado que o problema de fragmentação descrito anteriormente referindo-se primariamente ao nível 3 e a um fluxo TCP existe também no nível de aplicação. Neste nível, a entidade ou unidade de comunicação elementar é o comando único e isto pode também ser arranjado de tal modo a trazer um ataque. Tipicamente, um comando de aplicação está contido em um pacote único, mas, se este não fosse o caso, o sistema de detecção de intrusão precisa estar em uma posição para reconstruí-lo de um modo correto, no sentido de detectar possíveis ataques nele.It will be appreciated that the fragmentation problem described above referring primarily to level 3 and a TCP stream also exists at the application level. At this level, the elementary communication entity or unit is the single command and this can also be arranged in such a way as to bring an attack. Typically, an application command is contained in a single package, but if this were not the case, the intrusion detection system must be in a position to correctly reconstruct it to detect possible attacks on it.

[000109] Um exemplo muito simples de fragmentação no nível de aplicação é representado por um protocolo genérico do tipo texto, tal como HTTP ou SMTP. Usualmente, a interação com o servidor da web ou o servidor de correio é efetuada enviando caracteres de comandos completos em um único pacote. Isto aumenta significativamente a eficiência da rede. Entretanto, é possível usar os vários pacotes independentes para enviar a mesma requisição. Por exemplo, a qualquer tempo que um atacante questiona diretamente o servidor da web ou o servidor de correio de uma ferramenta interativa (por exemplo, TELNET) a requisição enviada ao servidor é fragmentada em vários pacotes, cada um contendo um único caracter, uma vez que esta é a lógica correntemente usada por aplicações interativas. Se o sistema de detecção de intrusão não está em uma posição para reconstruir a conversação total e executa configuração coincidindo apenas no nível de um único pacote, uma manipulação desta espécie seria suficiente para invalidar o mecanismo de detecção.[000109] A very simple example of application level fragmentation is represented by a generic text-type protocol such as HTTP or SMTP. Usually, interaction with the web server or mail server is done by sending full command characters in a single package. This significantly increases network efficiency. However, it is possible to use the various independent packages to send the same request. For example, any time an attacker directly queries the web server or mail server of an interactive tool (for example, TELNET) the request sent to the server is fragmented into multiple packets, each containing a single character once This is the logic commonly used by interactive applications. If the intrusion detection system is not in a position to rebuild the total conversation and performs configuration matching only at the level of a single packet, such manipulation would be sufficient to invalidate the detection mechanism.

[000110] Por exemplo, a seguinte requisição HTTP explora uma vulnerabilidade bem conhecida do programa phf para acessar o arquivo de senha em um sistema Unix: GET / cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd [000111] Se é utilizada uma ferramenta interativa para inserir tal requisição, 50 (cinquenta) pacotes separados são gerados, cada um incluindo um único caracter. O sistema de detecção de intrusão pode detectar este ataque somente reconstruindo completamente o fluxo de dados. No sentido de fazer isto, entretanto, o sistema de detecção de intrusão precisa ser capaz de entender quando uma requisição é terminada. Adicionalmente, é necessário não perder de vista as seções em andamento e usar interrupções para evitar exaustão dos recursos requeridos para não perder de vista todas as conversações separadas. Adicionalmente, cada vez que fluxos de tráfego devem ser reconstruídos, o sistema de detecção de intrusão é exposto aos problemas de evasão e inserção, onde descrito anteriormente.[000110] For example, the following HTTP request exploits a well-known phf program vulnerability to access the password file on a Unix system: GET / cgi-bin / phf Qalias = x% 0a / bin / cat% 20 / etc / passwd [000111] If an interactive tool is used to enter such a request, 50 (fifty) separate packets are generated, each including a single character. The intrusion detection system can detect this attack only by completely rebuilding the data stream. In order to do this, however, the intrusion detection system needs to be able to understand when a request is terminated. Additionally, you need to keep track of ongoing sections and use interruptions to avoid exhaustion of the resources required to keep track of all separate conversations. Additionally, each time traffic flows must be rebuilt, the intrusion detection system is exposed to the evasion and insertion problems where described earlier.

[000112] Um sistema de detecção de intrusão tradicional não é capaz de conviver com este problema de um modo efetivo.[000112] A traditional intrusion detection system is not able to cope effectively with this problem.

[000113] Inversamente, o arranjo descrito aqui tem a vantagem de que o tráfego não é reconstruído pelo sensor embora esta ação de reconstrução seja efetuada pelo sistema de teste 420. De fato, todo o tráfego que não é explicitamente proibido, ou explicitamente permitido pelas políticas nas bases de dados 415 e 416 é manuseado como suspeito e defletido na direção do sistema de teste 420.Conversely, the arrangement described here has the advantage that traffic is not reconstructed by the sensor although this reconstruction action is performed by the 420 test system. In fact, all traffic that is not explicitly prohibited, or explicitly permitted by policies in databases 415 and 416 are handled as suspicious and deflected towards test system 420.

[000114] Consequentemente, se o comando reportado anteriormente é fragmentado em 50 pacotes, o primeiro pacote, incluindo o caracter único G, não pode ser resolvido corretamente e é redirecionado ao sistema de teste 420.Consequently, if the previously reported command is fragmented into 50 packets, the first packet, including the single character G, cannot be resolved correctly and is redirected to test system 420.

[000115] O pacote único não contém qualquer carga útil ilegal, nem pode comprometer a máquina de teste 421. Consequentemente, o sistema de detecção 422 o redireciona para o sistema final, sem risco. Similarmente, cada pacote único incluído no comando total é redirecionado pelo componente em linha 410 na direção das máquinas de teste 421; o sistema de detecção 422 verifica a natureza dos pacotes únicos e os redireciona para os sistemas finais.The single package does not contain any illegal payload, nor can it compromise test machine 421. As a result, detection system 422 redirects it to the final system without risk. Similarly, each single package included in the total command is redirected by the inline component 410 toward test machines 421; detection system 422 verifies the nature of single packets and redirects them to the end systems.

[000116] Quando o sistema de detecção 422 detecta a natureza perigosa do comando que está sendo formado, este para imediatamente o fluxo deste. Isto pode ocorrer, por exemplo, ao aparecer o caractere: cgi-bin/phf incluído em uma dada assinatura.When the detection system 422 detects the dangerous nature of the command being formed, it immediately stops its flow. This can occur, for example, by appearing the: cgi-bin / phf character included in a given signature.

[000117] Consequentemente, o sistema preserva sua efetividade também no caso em que a natureza “desconhecida” do ataque se apóia em tal ataque ser fornecido em uma tentativa de evasão/inserção, por exemplo, fragmentando-o em diversos pacotes/entidades que - de per si - são “inocentes”. Conforme mostrado no exemplo considerado, a natureza perigosa do comando é em qualquer caso verificada quando o último pacote (o 51°) é enviado, incluindo o caracter ENTER, começando a execução do comando inteiro.Consequently, the system preserves its effectiveness also in the event that the "unknown" nature of the attack relies on such an attack being provided in an evasion / insertion attempt, for example by fragmenting it into several packages / entities that - per se - they are “innocent”. As shown in the considered example, the dangerous nature of the command is in any case verified when the last packet (the 51st) is sent, including the ENTER character, beginning the execution of the entire command.

[000118] Naquele ponto, o sistema de detecção de intrusão 422 do ambiente de teste detecta o comportamento anômalo do sistema 421 que tenta acessar o arquivo de senha, detecta tal comportamento como ilegal e, portanto, bloqueia a transmissão do 51° pacote na direção dos sistemas finais. Deste modo, a execução do comando é evitada e o ataque tomado discutível.At that point, the test environment intrusion detection system 422 detects the anomalous behavior of system 421 that attempts to access the password file, detects such behavior as illegal, and therefore blocks 51st packet transmission in the direction of the final systems. In this way the execution of the command is avoided and the attack made debatable.

[000119] Adicionalmente, um alarme pode ser emitido para prover evidência do perigo evitado e atualizar a base de dados 415 para permitir que o componente em linha 416 detecte o futuro comando (se enviado em um pacote único) e bloqueando automaticamente a transmissão deste.Additionally, an alarm may be issued to provide evidence of the danger avoided and update database 415 to allow inline component 416 to detect the future command (if sent in a single packet) and automatically blocking its transmission.

[000120] Deste modo, o comando perigoso não é executado nos sistemas finais na rede interna 130, e a comunicação com o usuário perigoso é interrompida por meio de métodos tradicionais para “eliminar” a seção enquanto a seção corrente interrompida é aniquilada por interrupções de aplicação.Thus, hazardous command is not performed on end systems on internal network 130, and communication with the hazardous user is interrupted by traditional methods of “eliminating” the section while the interrupted current section is annihilated by application.

[000121] O mecanismo de retransmissão descrito conduz a que as máquinas de teste 421 nunca realmente provejam qualquer resposta às requisições dos usuários, uma vez que não existe comunicação entre o ambiente de teste 420 na direção da rede externa 110. Isto praticamente significa que as máquinas de teste 421 no ambiente de teste 420 são inibidas de prover respostas ao tráfego: de fato, a comunicação com os usuários é sempre fechada apenas pelos servidores na rede interna.The relay mechanism described leads to test machines 421 never actually providing any response to user requests, since there is no communication between test environment 420 towards external network 110. This practically means that Testing machines 421 in test environment 420 are inhibited from providing traffic responses: in fact, communication with users is always closed only by servers on the internal network.

[000122] Também, o arranjo descrito aqui é adaptado para operar também em entidades de comunicação obtidas do tráfego distante do conjunto de máquinas compreendendo a rede interna 130, no sentido de dirigir possivelmente qualquer entidade desconhecida na direção do ambiente de teste 420.Also, the arrangement described herein is adapted to operate also on communication entities obtained from the distant traffic of the machine set comprising the internal network 130, in order to possibly direct any unknown entity towards the test environment 420.

[000123] Estas provisões conduzem a segurança melhorada adicional contra aqueles ataques, possivelmente apoiando-se em qualquer espécie de informação proveniente da rede interna 130 e/ou a possibilidade de interceptar respostas dos servidores na rede interna 130, no sentido de manter sincronização no nível TCP.These provisions lead to additional enhanced security against those attacks, possibly relying on any kind of information coming from internal network 130 and / or the ability to intercept responses from servers on internal network 130 to maintain synchronization at the network level. TCP.

[000124] Aqueles especialistas na técnica verificarão prontamente que isto não é necessário para as máquinas de teste 420 serem uma cópia completa, plena das máquinas (servidores) na rede interna 130. Essencialmente, as máquinas de teste 420 reproduzem a configuração de software dos servidores na rede interna como por exemplo, os sistemas operacionais, as versões de software usadas, os serviços oferecidos. Isto permite que intrusões sejam adequadamente detectadas.Those skilled in the art will readily verify that this is not necessary for the 420 test machines to be a complete, full copy of the machines (servers) on the internal network 130. Essentially, the 420 test machines reproduce the software configuration of the servers. internal network such as operating systems, software versions used, services offered. This allows intrusions to be properly detected.

[000125] Entretanto, não é necessário para as máquinas de teste 420 reproduzir plenamente os servidores na rede interna 130 até onde os conteúdos de aplicação são concernentes.However, it is not necessary for test machines 420 to fully reproduce servers on internal network 130 as far as application content is concerned.

[000126] O mecanismo recém descrito é particularmente adequado para ser aplicado quando a rede interna 130 é constituída de máquinas oferecendo serviços homogêneos. Isto facilita o estabelecimento do ambiente de teste 420 e toma a detecção realmente efetiva bem desde o início.[000126] The mechanism just described is particularly suitable to be applied when the internal network 130 is made up of machines offering homogeneous services. This facilitates the establishment of the test environment 420 and makes detection really effective right from the start.

[000127] Tal situação é usual nas assim chamadas fazendas de servidor, de grandes provedores de serviço Internet ou nos departamentos de processamento de dados de grandes companhias. Ali, no sentido de permitir o gerenciamento mais fácil e mais efetivo seja em termos de atualização de software e em termos de gerenciamento global, existe a tendência de agrupar em áreas comuns aquelas máquinas oferecendo serviços homogêneos ou apresentando configurações de software similares.[000127] Such a situation is common in so-called server farms, large Internet service providers, or data processing departments of large companies. There, in order to enable easier and more effective management in terms of software upgrades and global management, there is a tendency to group those machines offering homogeneous services or similar software configurations into common areas.

[000128] Implementando o mecanismo de retransmissão descrito no nível do pacote único, pode se resolver completamente o problema de uma fragmentação no nível 3 bem como no nível de aplicação, conforme descrito no exemplo prévio.By implementing the relay mechanism described at the single packet level, the problem of fragmentation at level 3 as well as at the application level can be completely resolved as described in the previous example.

[000129] No sentido de estar totalmente seguro com respeito a problemas relacionados a fragmentações no nível de fluxo TCP, todas as sessões são preferivelmente traçadas, desviando no sentido do sistema de teste quaisquer pacotes TCP, a saber aqueles direcionados para a rede interna 130 e provenientes da interface 411a e as respostas correspondentes providas pelos servidores na rede 130, transitando pela interface 411b. Deste modo, o ambiente de teste 420 pode não perder de vista todas as sessões ativas nos sistemas finais, sendo então perfeitamente adaptados com respeito ao estado do sistema.In the sense of being fully assured of problems related to TCP flow level fragmentation, all sessions are preferably mapped, diverting any TCP packets, namely those directed to the internal network 130, to the test system. from interface 411a and the corresponding responses provided by the servers on network 130 passing over interface 411b. Thus, the test environment 420 may not lose sight of all active sessions on the end systems, and are therefore perfectly matched with respect to system state.

[000130] Aqueles ataques explorando situações de evasão e inserção em níveis TCP são muito difíceis de interpretar. Consequentemente, o ambiente de teste 420 pode não ser requerido a incluir recursos a um nível muito alto conforme requerido para detectar tais ataques realmente improváveis. Consequentemente, um balanço criterioso pode ser equilibrado ajustando o mecanismo de desvio do tráfego na direção do ambiente de teste, de tal modo a evitar tal intervenção realmente dispendiosa e previsivelmente desnecessária.[000130] Those attacks exploiting evasion and insertion situations at TCP levels are very difficult to interpret. Accordingly, test environment 420 may not be required to include resources at a very high level as required to detect such really unlikely attacks. Consequently, a judicious balance can be balanced by adjusting the traffic diversion mechanism towards the test environment in such a way as to avoid such a really costly and predictably unnecessary intervention.

[000131] Naturalmente, sem prejuízo dos princípios fundamentais da invenção, os detalhes e as realizações podem variar, também apreciavelmente, com referência ao que tem sido descrito somente por meio de exemplo, sem se afastar do escopo da invenção, conforme definido pelas reivindicações anexas.Of course, without prejudice to the fundamental principles of the invention, the details and embodiments may also vary appreciably with reference to what has been described by way of example only, without departing from the scope of the invention as defined by the appended claims. .

REIVINDICAÇÕES

Claims (35)

1. Método para evitar intrusão em tráfego de comunicação com um conjunto de máquinas (130) numa rede, dito tráfego compreendendo entidades de comunicação, caracterizado pelo feto de incluir as etapas de: - prover um sistema de teste (420) incluindo facilidades de teste (421) replicando pelo menos uma das ditas máquinas no dito conjunto (130), - direcionar pelo menos parte de ditas entidades de comunicação no dito tráfego, na direção do referido sistema de teste (420), e - i) na presença de um efeito adverso, bloquear as entidades de comunicação conduzindo ao dito efeito adverso, e - ii) na ausência de um efeito adverso, permitir a comunicação com o dito conjunto (130) de máquinas para as ditas entidades de comunicação deixando de conduzir ao citado efeito adverso*Method for preventing intrusion into communication traffic with a set of machines (130) in a network, said traffic comprising communication entities, characterized in that the fetus comprises the steps of: - providing a test system (420) including testing facilities. (421) replicating at least one of said machines in said assembly (130), - directing at least part of said communication entities in said traffic towards said test system (420), and - i) in the presence of a adverse effect, blocking the communication entities leading to said adverse effect, and - ii) in the absence of an adverse effect, permitting communication with said set of machines (130) to said communication entities no longer leading to said adverse effect. * 2. Método de acordo com a reivindicação l, caracterizado pelo fato de que pelo menos partes de ditas entidades de comunicação direcionadas ao dito sistema de teste (420) incluem entidades de comunicação a partir do tráfego limitado na direção do dito conjunto (130) de máquinas,Method according to claim 1, characterized in that at least parts of said communication entities directed to said test system (420) include communication entities from the limited traffic towards said assembly (130). machines, 3. Método de acordo com a reivindicação 1, caracterizado pelo fato de que pelo menos partes de ditas entidades de comunicação direcionadas ao dito sistema de teste (420) incluem entidades de comunicação a partir do tráfego proveniente do dito conjunto (130) de máquinas.Method according to claim 1, characterized in that at least parts of said communication entities directed to said test system (420) include communication entities from the traffic coming from said set of machines (130). 4. Método de acordo com a reivindicação 1, caracterizado pelo fato de incluir as etapas de: - prover uma base de dados (415), a qual inclui configurações representativas de entidades de comunicação proibidas para comunicação com o dito conjunto de máquinas (130), - bloquear (412a) entidades de comunicação proibidas no dito tráfego conforme identificadas pelas respectivas configurações incluídas na dita base de dados (415).Method according to claim 1, characterized in that it includes the steps of: - providing a database (415) which includes representative configurations of prohibited communication entities for communication with said set of machines (130) blocking (412a) prohibited communication entities in said traffic as identified by their respective configurations included in said database (415). 5. Método de acordo com a reivindicação 1, caracterizado pelo fato de incluir as etapas de: - prover uma base de dados (416), a qual inclui configurações representativas de entidades de comunicação permitidas para comunicação com o dito conjunto de máquinas (130), - permitir comunicação das entidades de comunicação permitidas no dito tráfego conforme identificadas pelas respectivas configurações incluídas na dita base de dados adicional (416).Method according to claim 1, characterized in that it includes the steps of: - providing a database (416), which includes representative configurations of communication entities allowed for communication with said set of machines (130) permitting communication of the communication entities allowed in said traffic as identified by their respective configurations included in said additional database (416). 6. Método de acordo com a reivindicação 4, caracterizado pelo fato de incluir as etapas de: - detectar entidades de comunicação desconhecidas no referido tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na dita base de dados (415), e - direcionar as entidades de comunicação desconhecidas no dito tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na dita base de dados (415) na direção do referido sistema de teste (420) a ser executado naquelas facilidades de teste (421) para detectar possíveis efeitos adversos no referido sistema de teste (420).Method according to claim 4, characterized in that it includes the steps of: - detecting unknown communication entities in said traffic as identified by the respective unknown configurations not included in said database (415), and - directing the entities unknown communication signals in said traffic as identified by respective unknown configurations not included in said database (415) towards said test system (420) to be performed on those test facilities (421) to detect possible adverse effects on said system (420). 7. Método de acordo com a reivindicação 6, caracterizado pelo fato de incluir, na presença do referido efeito adverso, a etapa de adicionar à dita base de dados (415) a respectiva configuração identificando a entidade de comunicação conduzindo ao referido efeito adverso.Method according to claim 6, characterized in that it includes, in the presence of said adverse effect, the step of adding to said database (415) its respective configuration identifying the communication entity leading to said adverse effect. 8. Método de acordo com a reivindicação 5, caracterizado pelo fato de incluir as etapas de: - detectar entidades de comunicação desconhecidas no referido tráfego conforme identificadas pela respectiva configuração desconhecida não incluída na dita base de dados adicional (416), e - direcionar as entidades de comunicação desconhecidas no dito tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na dita base de dados adicional (416) na direção do dito sistema de teste (420) a ser executado naquelas facilidades de teste (421) para detectar possíveis efeitos adversos no referido sistema de teste (420).A method according to claim 5, comprising the steps of: - detecting unknown communication entities in said traffic as identified by their unknown configuration not included in said additional database (416), and - directing the unknown communication entities in said traffic as identified by their unknown configurations not included in said additional database (416) towards said test system (420) to be performed on those test facilities (421) to detect possible adverse effects on the said test system (420). 9. Método de acordo com a reivindicação 8, caracterizado pelo fato de incluir, na ausência do referido efeito adverso, a etapa de adicionar à dita base de dados adicional (416), a respectiva configuração identificando a entidade de comunicação deixando de conduzir ao referido efeito adverso.Method according to claim 8, characterized in that, in the absence of said adverse effect, it includes the step of adding to said additional database (416), the respective configuration identifying the communication entity no longer leading to said adverse effect. 10. Método de acordo com a reivindicação 1, caracterizado pelo fato de incluir, na presença do referido efeito adverso, a etapa de submeter a uma etapa de reinicialização aquelas dentre as ditas facilidades de teste (421) no referido sistema de teste (420) afetadas pelo referido efeito adverso.Method according to claim 1, characterized in that it includes, in the presence of said adverse effect, the step of subjecting to a reset step those among said test facilities (421) in said test system (420) affected by said adverse effect. 11. Método de acordo com a reivindicação 1, caracterizado pelo fato de que as máquinas no dito conjunto (130) incluindo facilidades expostas ao referido efeito adverso, bem como conteúdos adicionais, incluem a etapa de configurar as ditas facilidades de teste (421) no sentido de replicar as referidas facilidades expostas ao dito efeito adverso nas máquinas no dito conjunto (130).A method according to claim 1, characterized in that the machines in said assembly (130) including facilities exposed to said adverse effect, as well as additional contents, include the step of configuring said test facilities (421) in replicating said facilities exposed to said adverse effect on the machines in said assembly (130). 12. Método de acordo com a reivindicação 1, caracterizado pelo fato de incluir a etapa de inibir as referidas máquinas de teste (421) no referido sistema de teste (420) de prover respostas ao dito tráfego.A method according to claim 1, characterized in that it includes the step of inhibiting said test machines (421) in said test system (420) of providing responses to said traffic. 13. Método de acordo com a reivindicação 1, caracterizado pelo fato de incluir as etapas de: - prover um componente em linha (410) assegurando o referido tráfego com o dito conjunto de máquinas (130), e - prover pelo menos uma interface (411 d) interfaceando o dito componente em linha (410) com o dito sistema de teste (420).Method according to claim 1, characterized in that it includes the steps of: - providing an in-line component (410) ensuring said traffic with said set of machines (130), and - providing at least one interface ( 411 d) interfacing said inline component (410) with said test system (420). 14. Método de acordo com a reivindicação 13, caracterizado pelo fato de incluir a etapa de prover realimentação a partir do referido sistema de teste (420) para o referido componente em linha (410), via a dita pelo menos uma interface (411 d).A method according to claim 13, characterized in that it includes the step of providing feedback from said test system (420) to said in-line component (410) via said at least one interface (411 d ). 15. Método de acordo com a reivindicação 13, caracterizado pelo fato de incluir as etapas de: - prover uma rede de gerenciamento (414) para gerenciar o dito sistema de teste (420), e - prover realimentação a partir do referido sistema de teste (420) para o referido componente em linha (410), via a dita rede de gerenciamento.A method according to claim 13, comprising the steps of: - providing a management network (414) for managing said test system (420), and - providing feedback from said test system. (420) to said in-line component (410) via said management network. 16. Método de acordo com a reivindicação 7, caracterizado pelo fato de incluir as etapas de: - prover um arranjo de prevenção de intrusão paralelo, incluindo uma respectiva base de dados que inclui as configurações representativas das respectivas entidades de comunicação proibidas, para a comunicação com um respectivo conjunto de máquinas, - na presença do referido efeito adverso, transmitir ao dito arranjo de prevenção de intrusão paralelo, para a inclusão na respectiva base de dados, a respectiva configuração identificando a entidade de comunicação conduzindo ao referido efeito adverso.Method according to claim 7, characterized in that it includes the steps of: - providing a parallel intrusion prevention arrangement, including a respective database including the representative configurations of the respective prohibited communication entities, for communication. with a respective set of machines, - in the presence of said adverse effect, transmitting to said parallel intrusion prevention arrangement for inclusion in the respective database their respective configuration identifying the communication entity leading to said adverse effect. 17. Método de acordo com a reivindicação 9, caracterizado pelo fato de incluir as etapas de: - prover um arranjo de prevenção de intrusão paralelo, incluindo respectiva base de dados adicional que inclui as configurações representativas das respectivas entidades de comunicação permitidas para a comunicação com um respectivo conjunto de máquinas, - na ausência do referido efeito adverso, transmitir ao referido arranjo de prevenção de intrusão paralelo, para a inclusão na respectiva base de dados adicional, respectiva configuração identificando a entidade de comunicação deixando de conduzir ao referido efeito adverso.Method according to claim 9, characterized in that it includes the steps of: - providing a parallel intrusion prevention arrangement including respective additional database including representative configurations of the respective communication entities allowed for communication with a respective set of machines, - in the absence of said adverse effect, transmit to said parallel intrusion prevention arrangement, for inclusion in its additional database, its configuration identifying the reporting entity no longer leading to said adverse effect. 18. Sistema para evitar intrusão em tráfego de comunicação com um conjunto (130) de máquinas numa rede, dito tráfego compreendendo entidades de comunicação, caracterizado pelo fato de incluir: - um sistema de teste (420) incluindo facilidades de teste (421) replicando pelo menos uma das referidas máquinas no dito conjunto (130), - um módulo de comunicação (410) configurado para direcionar pelo menos parte das referidas entidades de comunicação no referido tráfego, na direção do dito sistema de teste (420), onde as ditas entidades de comunicação direcionadas ao dito sistema de teste (420) são adaptadas para serem executadas nas referidas facilidades de teste (421) para detectar possíveis efeitos adversos no referido sistema de teste (420), o referido módulo de comunicação (410) sendo adicionalmente configurado para - i) na presença de um efeito adverso, bloquear as entidades de comunicação conduzindo ao referido efeito adverso, e - ii) na ausência de um efeito adverso, permitir a comunicação com o referido conjunto (130) de máquinas para as entidades de comunicação deixando de conduzir ao referido efeito adverso.18. A system for preventing intrusion into communication traffic with a set (130) of machines in a network, said traffic comprising communication entities, comprising: - a test system (420) including replicating test facilities (421) at least one of said machines in said assembly (130), - a communication module (410) configured to direct at least part of said communication entities in said traffic towards said test system (420), wherein said communication entities directed to said test system (420) are adapted to be performed on said test facilities (421) to detect possible adverse effects on said test system (420), said communication module (410) being additionally configured for - i) in the presence of an adverse effect, block the reporting entities leading to such adverse effect, and - ii) in the absence of an adverse effect adversely, permits communication with said set of machines (130) to the communication entities by failing to lead to said adverse effect. 19. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de que o dito módulo de comunicação (410) é configurado para incluir na dita pelo menos parte das entidades de comunicação direcionadas ao referido sistema de teste (420), entidades de comunicação a partir do tráfego limitado na direção do referido conjunto (130) de máquinas.System according to claim 18, characterized in that said communication module (410) is configured to include in said at least part of the communication entities directed to said test system (420), communication entities to from limited traffic towards said machine assembly (130). 20. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de que o dito módulo de comunicação (410) é configurado para incluir na dita pelo menos parte das entidades de comunicação direcionadas ao referido sistema de teste (420), entidades de comunicação a partir do tráfego proveniente do referido conjunto (130) de máquinas.A system according to claim 18, characterized in that said communication module (410) is configured to include in said at least part of the communication entities directed to said test system (420), communication entities to from the traffic from said set of machines (130). 21. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de incluir: - uma base de dados (415) incluindo configurações representativas de entidades de comunicação proibidas para comunicação com o dito conjunto de máquinas (130), - um módulo de barreira de proteção (412a) configurado para bloquear as entidades de comunicação proibidas no referido tráfego, conforme identificadas pelas respectivas configurações incluídas na dita base de dados (415).System according to claim 18, characterized in that it includes: - a database (415) including representative configurations of communication entities prohibited for communication with said set of machines (130), - a barrier module of protection (412a) configured to block prohibited communication entities in said traffic as identified by their respective configurations included in said database (415). 22. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de incluir: - uma base de dados adicional (416), a qual inclui configurações representativas de entidades de comunicação permitidas para comunicação com o dito conjunto de máquinas (130), - dito módulo de comunicação (410) configurado para permitir comunicação de entidades de comunicação permitidas no mencionado tráfego, conforme identificadas pelas respectivas configurações incluídas na dita base de dados adicional (416).System according to claim 18, characterized in that it includes: - an additional database (416) which includes representative configurations of communication entities allowed for communication with said set of machines (130); communication module (410) configured to allow communication of communication entities permitted in said traffic as identified by their respective configurations included in said additional database (416). 23. Sistema de acordo com a reivindicação 21, caracterizado pelo fato de que o referido módulo de comunicação (410) é configurado para: - detectar entidades de comunicação desconhecidas no referido tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na referida base de dados (415), e - direcionar as entidades de comunicação desconhecidas no dito tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na dita base de dados (415) na direção do referido sistema de teste (420) a ser executado nas ditas facilidades de teste (421) para detectar possíveis efeitos adversos no referido sistema de teste (420).A system according to claim 21, characterized in that said communication module (410) is configured to: - detect unknown communication entities in said traffic as identified by their unknown configurations not included in said database ( Directing the unknown communication entities in said traffic as identified by their unknown configurations not included in said database (415) towards said test system (420) to be performed in said test facilities (421). ) to detect possible adverse effects on said test system (420). 24. Sistema de acordo com a reivindicação 23, caracterizado pelo fato de que o referido módulo de comunicação (410) é configurado para adicionar à referida base de dados (415), na presença do referido efeito adverso, respectiva configuração, identificando a entidade de comunicação conduzindo ao referido efeito adverso.A system according to claim 23, characterized in that said communication module (410) is configured to add to said database (415), in the presence of said adverse effect, its configuration, identifying the transmission entity. communication leading to such adverse effect. 25. Sistema de acordo com a reivindicação 22, caracterizado pelo fato de que o referido módulo de comunicação (410) é configurado para: - detectar entidades de comunicação desconhecidas no referido tráfego conforme identificadas pela respectiva configuração desconhecida não incluída na dita base de dados adicional (416), e - direcionar as entidades de comunicação desconhecidas no dito tráfego conforme identificadas pelas respectivas configurações desconhecidas não incluídas na dita base de dados adicional (416) na direção do dito sistema de teste (420) a ser executado nas ditas facilidades de teste (421) para detectar possíveis efeitos adversos no referido sistema de teste (420).A system according to claim 22, characterized in that said communication module (410) is configured to: - detect unknown communication entities in said traffic as identified by their unknown configuration not included in said additional database. (416), and - directing the unknown communication entities in said traffic as identified by their unknown configurations not included in said additional database (416) towards said test system (420) to be performed in said test facilities. (421) to detect possible adverse effects on said test system (420). 26. Sistema de acordo com a reivindicação 25, caracterizado pelo fato de que tal módulo de comunicação (410) é configurado para adicionar à dita base de dados adicional (416), na ausência do referido efeito adverso, a respectiva configuração identificando a entidade de comunicação deixando de conduzir ao referido efeito adverso.A system according to claim 25, characterized in that such communication module (410) is configured to add to said additional database (416), in the absence of said adverse effect, its configuration identifying the transmission entity. failure to lead to such adverse effect. 27. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de que as ditas facilidades de teste (421) no dito sistema de teste (420) são configuradas para suportar reinicialização em seguida ao dito efeito adverso.System according to claim 18, characterized in that said test facilities (421) in said test system (420) are configured to withstand reboot following said adverse effect. 28. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de que as máquinas no conjunto (130) incluem facilidades expostas ao efeito adverso, bem como conteúdos adicionais, enquanto as facilidades de teste (421) replicam as facilidades expostas ao efeito adverso nas máquinas no referido conjunto (130).A system according to claim 18, characterized in that the machines in the assembly (130) include facilities exposed to the adverse effect as well as additional contents, while the test facilities (421) replicate the facilities exposed to the adverse effect. machines in said assembly (130). 29. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de que as máquinas de teste (421) no referido sistema de teste (420) são inibidas de prover respostas ao referido tráfego.A system according to claim 18, characterized in that the test machines (421) in said test system (420) are inhibited from providing responses to said traffic. 30. Sistema de acordo com a reivindicação 18, caracterizado pelo fato de incluir: - um componente em linha no módulo de comunicação (410), assegurando o dito tráfego com o referido conjunto de máquinas (130), e - pelo menos uma interface (411 d) interfaceando o mencionado componente em linha (410) com o mencionado sistema de teste (420).System according to claim 18, characterized in that it includes: - an in-line component in the communication module (410), ensuring said traffic with said set of machines (130), and - at least one interface ( 411 d) interfacing said in-line component (410) with said test system (420). 31. Sistema de acordo com a reivindicação 30, caracterizado pelo fato de o sistema de teste (420) ser configurado para prover realimentação ao dito componente em linha (410), via a dita pelo menos uma interface (41 ld).System according to claim 30, characterized in that the test system (420) is configured to provide feedback to said in-line component (410) via said at least one interface (41 ld). 32. Sistema de acordo com a reivindicação 30, caracterizado pelo fato de incluir uma rede de gerenciamento (414) para gerenciar o referido sistema de teste (420) e o referido sistema de teste (420) ser configurado para prover realimentação ao dito componente em linha (410), via a dita rede de gerenciamento.A system according to claim 30, characterized in that it includes a management network (414) for managing said test system (420) and said test system (420) is configured to provide feedback to said component in line 410 via said management network. 33. Sistema de acordo com a reivindicação 24, caracterizado por incluir um arranjo de prevenção de intrusão paralelo associado, que inclui uma respectiva base de dados, incluindo as configurações representativas das respectivas entidades de comunicação proibidas para comunicação com um respectivo conjunto de máquinas, e o referido módulo de comunicação (410) ser configurado para transmitir, na presença do referido efeito adverso, ao dito arranjo de prevenção de intrusão paralelo, para a inclusão na respectiva base de dados, a respectiva configuração identificando a entidade de comunicação que conduz ao referido efeito adverso.A system according to claim 24, characterized in that it includes an associated parallel intrusion prevention arrangement including a respective database including representative configurations of the respective communication entities prohibited for communication with a respective set of machines, and said communication module (410) is configured to transmit, in the presence of said adverse effect, to said parallel intrusion prevention arrangement, for inclusion in its database, its configuration identifying the communication entity leading to said adverse effect. 34. Sistema de acordo com a reivindicação 25, caracterizado por incluir um arranjo de prevenção de intrusão paralelo associado, que inclui uma respectiva base de dados adicional,incluindo configurações representativas das respectivas entidades de comunicação permitidas para comunicação com um respectivo conjunto de máquinas, e o dito módulo de comunicação (410) ser configurado para transmitir, na ausência do referido efeito adverso, ao dito arranjo de prevenção de intrusão paralelo, para a inclusão na respectiva base de dados adicional, a respectiva configuração identificando a entidade de comunicação deixando de conduzir ao referido efeito adverso.A system according to claim 25, characterized in that it includes an associated parallel intrusion prevention arrangement, which includes a respective additional database, including representative configurations of the respective communication entities allowed for communication with a respective set of machines, and said communication module (410) is configured to transmit, in the absence of said adverse effect, to said parallel intrusion prevention arrangement, for inclusion in its additional database, its configuration identifying the communication entity no longer driving said adverse effect. 35. Rede de telecomunicações (110,130), caracterizada pelo fato de incluir o sistema como definido em qualquer uma das reivindicações 18 a 34.Telecommunication network (110,130), characterized in that it includes the system as defined in any one of claims 18 to 34.

Family

ID=

Similar Documents

Publication Publication Date Title
US8356349B2 (en) Method and system for intrusion prevention and deflection
US20200336461A1 (en) Device, system and method for defending a computer network
US7797749B2 (en) Defending against worm or virus attacks on networks
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
US8370936B2 (en) Multi-method gateway-based network security systems and methods
US8127290B2 (en) Method and system for direct insertion of a virtual machine driver
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
EP2289221B1 (en) Network intrusion protection
US8336108B2 (en) Method and system for collaboration involving enterprise nodes
US7624444B2 (en) Method and apparatus for detecting intrusions on a computer system
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
US20120167214A1 (en) Method and system for cloaked observation and remediation of software attacks
EP0743777A2 (en) System for packet filtering of data packets at a computer network interface
Zaraska Prelude IDS: current state and development perspectives
JP3699941B2 (en) Distributed denial of service attack prevention method, gate device, communication device, distributed denial of service attack prevention program, and recording medium
US11228607B2 (en) Graceful termination of security-violation client connections in a network protection system (NPS)
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
BRPI0318587B1 (en) Method and system for preventing intrusion in communication traffic with a set of machines in a network, and, telecommunications network
WO2021018803A1 (en) Intrusion protection
Lin et al. Building an integrated security gateway: Mechanisms, performance evaluations, implementations, and research issues
US11451584B2 (en) Detecting a remote exploitation attack
JP2006094377A (en) Access control apparatus, access control method, and access control program
JP2018129712A (en) Network monitoring system
Einstein et al. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection
Ibitola et al. Analysis of Network-Based Intrusion Detection and Prevention System in an Enterprise Network Using Snort Freeware